Domanda:
È mai appropriato reagire?
VirtuosiMedia
2010-11-17 04:46:49 UTC
view on stackexchange narkive permalink

Quando un sito Web o un sistema viene attaccato, esiste mai uno scenario in cui dovrebbe agire automaticamente contro gli aggressori anziché limitarsi a gestire passivamente l'attacco? In caso affermativo, quali risposte sono appropriate e legali? Ci sono esempi (buoni o cattivi) di ciò che accade in natura?

Dieci risposte:
#1
+20
Anonymous Type
2010-11-17 04:50:01 UTC
view on stackexchange narkive permalink

La scansione passiva, come la determinazione della posizione geografica, dell'indirizzo IP e dei percorsi di rete, è probabilmente una buona idea (per darti un'idea della provenienza degli attacchi).

Aggiornamento: in realtà per le istituzioni più grandi questo è tipo essenziale per determinare se l'attacco è un attacco organizzato su larga scala o semplicemente un hacker solitario che testa le difese. In entrambi i casi sarà probabilmente distribuito. In entrambi i casi fornirà informazioni utili per bloccare ulteriormente i firewall.

A seconda del quadro legale del paese in cui vivi, vendicarsi di un attacco con un attacco di rete attivo (come DOS o virus) costituirebbe un atto illegale.

Buon punto sulla legalità. Ho modificato la mia domanda per chiarire che sto cercando soluzioni legali.
per gli Stati Uniti: http://www.justice.gov/criminal/cybercrime/reporting.html
Non credo che ci siano precedenti legali sufficienti per concludere che tutti i contrattacchi siano illegali. Dalla mia lettura, sono necessari più casi di test in tribunale.
#2
+16
Tate Hansen
2010-11-17 12:49:35 UTC
view on stackexchange narkive permalink

Combattere è quello che fanno i ragazzi fantastici! > :)

Per quanto riguarda la legge, ho preso questo frammento da http: //lawmeme.law.yale. edu / static / pastevents / digitalcops / papers / karnow_newcops.pdf (2005)

"CONCLUSIONE Anche secondo la legge del fastidio, non tutti i contraccolpi - o sforzi di" auto aiuto "- sono automaticamente immune. Deve essere ragionevole e proporzionale al fastidio, questioni che ho discusso in relazione a un requisito simile per autodifesa. E come sempre, la luce proiettata dall'antica dottrina su nuove tecnologie produrrà illuminazione e ombra entrambe. "Fudge" l'analisi e lotta per i precedenti, a volte testando quella sbagliata. Così come nessuno vuole lanciare la versione 1 (nuovo software), nessuno vuole essere un caso di prova in tribunale. Lo è, come chirurgo potrebbe dire quando si considera un trapianto complesso e multiorgano, un caso interessante, non qualcosa che il paziente ama sentire. "

Su una nota seria. ci sono così tanti cattivi scenari di hack-back da immaginare che devi chiederti quando saresti pronto a premere il grilletto; per esempio, cosa succede se si effettua un hack-back per fermare un attacco botnet solo per apprendere in seguito che alcuni dei sistemi che hai contrattaccato erano sistemi ospedalieri critici che facevano inavvertitamente parte del branco di botnet.

Per quanto riguarda gli esempi, Richard Bejtlich ha scritto nel blog nel 2005:

"Non sono d'accordo con l'idea di strike-back, poiché credo che superi il in linea con i giudici vigilanti. È significativo che tutti i documenti di Tim siano antecedenti al worm Welchia, che ha dimostrato quanto possa essere davvero pericoloso un contrattacco. Ricorderai il devastante traffico ICMP causato da Welchia mentre cercava macchine attive per scopi di disabilitando il worm Blaster. "

Imho totalmente corretto. Counter strike è una giustizia da vigilante black hat.
#3
+11
Shewfig
2010-11-19 03:15:56 UTC
view on stackexchange narkive permalink

La prima domanda per me è: cosa speri di ottenere "reagendo"?

Se vengo punto da una zanzara, la ucciderò, ma se si allontana non la inseguirò attraverso il campo. Se vengo attaccato da uno sciame di api che difendono il loro alveare, non le schiaccerò: mi proteggerò scappando.

I pericoli di reagire sono ben presentati nelle altre risposte, ma Li ripeto:

  1. legalità: la tua reazione potrebbe essere illegale
  2. danni collaterali / lavori di Joe - la tua reazione danneggia una terza parte relativamente innocente
  3. ol>

    La mia scelta personale di reazioni:

    1. Cerca di mantenere un livello di sicurezza decente sul mio sito in modo che gli attacchi abbiano una ridotta possibilità di successo.
    2. Raccogli informazioni sugli attacchi per valutarne la gravità.
    3. Potenzialmente, blocca l'IP o, se si tratta di un attacco di inondazione della larghezza di banda, prova a far sì che il mio ISP blocchi gli IP. Tieni presente che questo probabilmente bloccherà anche il traffico non dannoso al tuo sito (danno collaterale), ma la maggior parte del danno sarà per te (riduzione del traffico / accesso) piuttosto che per terze parti.

    Hack-back porta anche a un nuovo tipo di attacco: Kallisti. "Joe Jobs" falsifica la fonte dell'attacco per indurre i difensori ad attaccare la fonte falsificata. L'attacco "Kallisti" proverebbe a provocare un hack-back loop tra 2 o più siti, sia per creare rumore in cui nascondere l'attacco "reale" o semplicemente per causare il caos. (Ave Eris)

#4
+8
Roger C S Wernersson
2010-11-17 15:57:48 UTC
view on stackexchange narkive permalink

Una risposta correlata potrebbe essere quella di creare una trappola per il miele per attirare gli aggressori e far credere loro di esserci riusciti. Lascia che sprechino tempo e fatica mentre li rintracci, forse. Anche se sembra una brutta sceneggiatura di un film di Hollywood.

Allo stesso modo, questo quasi risponde alla domanda! Se anche gli avversari usano questa tecnica, il contrattacco può essere una perdita di tempo.
Non si chiama intrappolamento (legalmente parlando) a meno che non lo faccia il governo?
Penso che l'intrappolamento richiederebbe che inviti le persone ad hackerare il tuo sito. La differenza tra un agente di polizia che si offre di acquistare droga e un agente di polizia offerto di acquistare droghe; attivo o passivo.
#5
+7
Peter Smit
2010-11-18 12:11:43 UTC
view on stackexchange narkive permalink

Un caso interessante nei Paesi Bassi è appropriato qui.

La polizia olandese (KLPD) ha bloccato alcuni server che eseguono una grande botnet. Hanno ritenuto legale utilizzare la botnet ora per inviare un messaggio ai proprietari delle macchine per informarli che sono infetti.

Si discute se fosse effettivamente legale, ma penso che la maggior parte delle persone d'accordo che è una cosa etica da fare.

Questo caso è abbastanza diverso da quello che dovreste affrontare come azienda, ma se questo è già messo in dubbio come non legale quando fatto dalla polizia, ci si dovrebbe chiedere l'azione nei confronti dell'attaccante può essere intrapresa.

#6
+7
Wesley
2011-09-22 09:18:48 UTC
view on stackexchange narkive permalink

È mai appropriato diventare un criminale e mettere te stesso, la tua organizzazione e tutti i tuoi mezzi di sussistenza a rischio di un'azione legale? Questo non è il caso di un uomo armato mascherato che ti mette in una rissa o in una fuga situazione. Sì, potresti inventare uno scenario in cui un utente malintenzionato proveniente da Internet minaccia la vita umana attraverso un attacco a sistemi critici per gli ospedali o qualcosa del genere. Tuttavia, anche in quelle situazioni, non vi è alcun precedente di cui sono a conoscenza che giustifichi l'applicazione della stessa forza reattiva come in un alterco fisico. È probabile che i sistemi che attacchereste siano fornitori di servizi innocenti o utenti finali che sono stati dirottati per scopi dannosi. Non sarebbe diverso che dare fuoco a un'automobile che è stata rubata e usata in una rapina in banca.

Tappi immediatamente i buchi che un aggressore sta sfruttando. Segnalare immediatamente l'incidente alle autorità competenti. Non lasciare che le tue emozioni prendano il sopravvento e convincerti a chinarti allo stesso livello dei tuoi aggressori.

#7
+5
AviD
2010-11-19 02:09:44 UTC
view on stackexchange narkive permalink

Un altro punto da tenere in considerazione è il modo in cui i cattivi possono sovvertire il tuo contrattacco.

Ad esempio, possono inviare pacchetti dannosi con indirizzi IP falsificati, sapendo che lo rileverai e, per rappresaglia, attaccare la fonte dell'attacco o, in realtà, il server innocente che è effettivamente registrato all'IP contraffatto.

Pertanto, stanno usando you per attaccare la loro vittima, la terza parte contraffatta.

Non dimenticare che l'azienda attaccata ora crederà, correttamente, che i tuoi server stiano attaccando i loro. Non importa se hai creduto di avere una buona ragione per farlo - questo è irrilevante, dato che li stai attaccando attivamente . E avranno motivo di sporgere denuncia, o qualsiasi altra cosa.

Uno scenario interessante sarebbe se la vittima di terze parti fosse anche configurata per contrattaccare. Quindi, ovviamente, riceverai attacchi effettivi dal loro server - questa volta, per davvero, ma ovviamente è stata colpa TUA, non è vero?

Entrambe le parti si farebbero probabilmente a vicenda prima che venisse fatto un vero danno ... a meno che non scelgano entrambe di intensificarsi e ridimensionarsi ... POTREBBERO ABBASSARE TUTTI GLI INTERTUBI!

#8
+1
rjmunro
2012-01-26 06:28:44 UTC
view on stackexchange narkive permalink

La risposta è quasi certamente no, non farlo.

Posso immaginare uno scenario in cui un worm ti sta attaccando e poiché sai che il worm si diffonde tramite la vulnerabilità X, sai che tutti i computer che ti stanno attaccando hanno la vulnerabilità X. Potrebbe essere possibile utilizzare la vulnerabilità X per accedere ai computer infetti e avvisare i loro utenti, o anche spegnerli.

Anche se potresti pensare che questo sia un problema cosa accettabile da fare, è un terreno molto pericoloso. E se qualcosa che fai va storto, ad es. portando alla perdita di dati che non è stata causata dal worm, o fai arrabbiare il creatore del worm originale che quindi vuole vendicarti in un altro modo. È probabile che sia illegale anche nella maggior parte delle giurisdizioni.

#9
+1
Thomas Pornin
2012-11-15 06:44:57 UTC
view on stackexchange narkive permalink

Quando sei vittima di un attacco, la tua situazione implica che attualmente hai:

  1. un problema;
  2. la protezione della legge;
  3. l'alto livello morale.

"contrattaccando", perdi il terzo e molto probabilmente il secondo. Tuttavia, non ti libererai necessariamente del problema. Il contrattacco è illegale nella maggior parte dei paesi; ti impedirà di richiedere assistenza alle forze di polizia e, forse ancora più importante, annullerà l'assicurazione (la tua compagnia di assicurazioni sarà pronta a segnalarlo). Ultimo ma non meno importante, la tua ritorsione potrebbe danneggiare gli astanti e farti finire in guai più grandi di quelli con cui hai iniziato.

Quindi, no, non ne vale la pena. Usa la protezione passiva e chiama la polizia.

#10
  0
Salvador Dali
2012-11-14 04:34:11 UTC
view on stackexchange narkive permalink

Ho un eccellente esempio dichiarato da Ivan Orton (Procuratore legale aggiunto specializzato in crimini informatici) durante il suo discorso per gli studenti del corso online di Stanford (Mi dispiace non posso caricare il video su youtube, perché della politica del sito web):

Immagina di avere una società di intermediazione boutique a Seattle. Boutique significa piccolo numero di clienti, conti con un valore in dollari elevato e i clienti sono attivamente coinvolti nel trading sui loro conti, dipendono dai servizi che la società boutique fornisce sul proprio sito Web in termini di quotazioni in tempo reale, informazioni di trading in tempo reale , analisi delle tendenze e tutti i tipi di servizi forniti dall'azienda. Quella compagnia in uno di quei tipici venerdì tripli delle streghe che è quando tre cose stanno accadendo allo stesso tempo e il mercato azionario è estremamente volatile a Seattle a mezzanotte: 25,25 il loro sistema va giù, cioè circa 35 minuti prima dell'orario di chiusura del borsa valori di New York. Il loro sistema si blocca, il che significa che non hanno informazioni di trading attive o reali o, o informazioni sulle quotazioni, nessuna capacità di fare scambi, tutte le loro analisi di tendenza e altre cose sono inattive e non disponibili. Il capo torna urlando con un'analisi comp-sys e dice, cosa sta succedendo e aggiustalo. E l'analista di sistema guarda rapidamente l'indirizzo IP, usa alcuni dei suoi strumenti e dice che proviene da un computer e un router, in particolare, presso l'Università dell'Oregon. E il capo dice, spegni quel router adesso. E il ragazzo dice, non so a cosa sia associato quel router. Non so cosa farò. E il capo ha detto che dobbiamo spegnerlo solo per 35 minuti. Puoi riavviarlo, puoi interrompere qualunque cosa stavi facendo in 35 minuti. Ma abbiamo bisogno del nostro sistema di backup fino all'una: 00, quindi il tizio sotto pressione spegne il router. Bene, si scopre che il router è in realtà un router associato alla University of Oregon Medical sistema ed è un router che controlla la distribuzione di un database che elenca tutte le interazioni farmacologiche che hanno i pazienti dell'Università dell'Oregon. E in quel momento arriva al pronto soccorso un paziente che è un paziente noto, quindi è nel sistema. E nel suo sistema, nei suoi dati ci sono indicazioni di un paio di interazioni farmacologiche che sono, che sono alte, ha una reazione altamente allergica ad esse. Ha una condizione per la quale la prima linea di difesa è uno di quei farmaci. Il dottore cerca di accedere al database, non riesce a trovare nessuna informazione, il ragazzo si trova in una situazione veramente critica quindi gli somministrano uno dei farmaci e muore. Quindi, il sistema è di nuovo attivo e tutto è fantastico. È uno scenario radicale.

quello che succede è che la famiglia fa causa al sistema medico dell'Università dell'Oregon. L'Università dell'Oregon Medical System, perché hanno scoperto tutto su questo, fa causa alla boutique di Seattle. Cosa dovrebbe fare la boutique?

Dopo aver fatto questa domanda, parla molto di diversi scenari simili in parole non elettroniche (è troppo lungo per metterlo qui, ma se qualcuno vuole, io avrebbe) e alla fine ha dichiarato: potresti essere tentato di usare la difesa attiva e potresti avere qualche responsabilità associata a ciò e tienilo a mente, ma al momento non esiste una legge chiara riguardo a questo problema e molto dipende dalla giuria (Questo non sono esattamente le sue parole - si riduce il suo discorso di 7 minuti su questo problema)

Spero che questo chiarisca quanto poco chiara sia la situazione con la difesa attiva.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...