Με τα νέα των Ρώσων χάκερ που επηρεάζουν τις προεδρικές εκλογές των ΗΠΑ, πολλοί δημοσιογράφοι αναρωτήθηκαν πώς εντοπίζουμε τους χάκερ. Υπάρχουν διάφοροι τρόποι με τους οποίους οι εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο μπορούν να βρουν την πηγή πίσω από ένα hack.

Διευθύνσεις IP

Ο πρώτος και πιο προφανής τρόπος για να εντοπίσετε έναν χάκερ είναι με τη διεύθυνση IP του. Τώρα, οποιοσδήποτε χάκερ που αξίζει το αλάτι του θα χρησιμοποιήσει μια διεύθυνση IP που δεν έχει ουσιαστικές πληροφορίες. Θα εργάζονται πάνω από τον Tor, μέσω ενός VPN, ή ίσως ακόμη και σε έναν δημόσιο χώρο. Αλλά ας υποθέσουμε ότι ο χάκερ που θέλουμε να παρακολουθήσουμε είναι εξαιρετικά άπειρος ή έχουν εκθέσει τυχαία τη διεύθυνση IP τους. Η εύρεση τους από την IP τους μπορεί να λειτουργήσει ως εξής:

1. Ο χάκερ επιτυγχάνει επιτυχώς τους στόχους του (ό, τι και αν είναι), αλλά αφήνει πίσω τους ημερολόγια που δείχνουν πρόσβαση δικτύου από μια συγκεκριμένη διεύθυνση IP.

2. Η εταιρία ή το άτομο που έχει πειραχτεί περνά αυτά τα αρχεία καταγραφής στην υπηρεσία επιβολής του νόμου.

3. Οι αξιωματικοί επιβολής του νόμου παραπέμπουν στον ISP για να μάθουν ποιος κατέχει τη διεύθυνση IP ή ποιος τη χρησιμοποίησε κατά τη στιγμή της επίθεσης. Οι ερευνητές μπορούν στη συνέχεια να συνδέσουν αυτή τη διεύθυνση IP με μια φυσική τοποθεσία.

4. Μετά τη λήψη εντάλματος, οι ερευνητές ταξιδεύουν στη φυσική θέση που υποδεικνύει η διεύθυνση IP και αρχίζουν την έρευνά τους.

5. Εάν ο χάκερ μας ήταν πραγματικά χαζός, οι ανακριτές θα βρουν παντού τα αποδεικτικά στοιχεία του hack. Αν ναι, θα είναι μια σύντομη δίκη πριν ο hacker αποσταλεί στη φυλακή για τα εγκλήματά του.

Φυσικά, με τους περισσότερους χάκερ που εργάζονται πίσω από πληρεξουσίους, οι διευθύνσεις IP που λαμβάνονται από την επιβολή του νόμου δεν θα τους δείχνουν οπουδήποτε χρήσιμο. Αυτό σημαίνει ότι θα χρειαστεί να χρησιμοποιήσουν άλλες τεχνικές ή να περιμένουν για χάκερ να κάνουν λάθος.

Μετά από Breadcrumbs

Όταν διερευνά κάποιον εξειδικευμένο χάκερ, η εγκληματολογία υπολογιστών καταλήγει να ψάχνει για μικρά λάθη και περιστατικά στοιχεία. Δεν θα έχετε διεύθυνση IP που να δείχνει ένα μεγάλο κόκκινο βέλος στο σπίτι του εισβολέα σας. Αντ 'αυτού, θα έχετε μια δέσμη των μικρών breadcrumbs που μπορεί να σας βοηθήσει να κάνετε μια καλή εικασία για τους πιθανούς δράστες.

Η πολυπλοκότητα ενός hack μπορεί να περιορίσει τους πιθανούς δράστες σε εργαζόμενους υψηλής ειδίκευσης. Οι αμερικανικές υπηρεσίες πληροφοριών καταγράφουν τις προηγούμενες επιθέσεις και τις συσχετίζουν με συγκεκριμένους χάκερς, ακόμη και αν δεν γνωρίζουν τα ονόματά τους.

Για παράδειγμα, η αμερικανική επιβολή του νόμου ονομάζεται DNC hacker APT 29 ή Advanced Persistent Threat 29. Μπορεί να μην γνωρίζουμε το όνομα και τη διεύθυνσή του, αλλά μπορούμε ακόμα να αποδίδουμε αχρήστου σ 'αυτόν με βάση το στυλ του, το modus operandi και πακέτα λογισμικού.

Ο τύπος του πακέτου λογισμικού που χρησιμοποιείται στο hack μπορεί να προσφέρει ένα πρότυπο "υπογραφής". Για παράδειγμα, πολλοί χάκερ χρησιμοποιούν πολύ προσαρμοσμένα πακέτα λογισμικού. Κάποιοι μπορούν ακόμη και να εντοπιστούν πίσω στις κρατικές υπηρεσίες πληροφοριών. Στο DNC hack, οι εγκληματολόγοι διαπίστωσαν ότι το πιστοποιητικό SSL που χρησιμοποιήθηκε στο hack ήταν ταυτόσημο με αυτό που χρησιμοποίησε η ρωσική στρατιωτική υπηρεσία στο χάος του 2015 του γερμανικού κοινοβουλίου.

Μερικές φορές είναι τα πραγματικά μικροσκοπικά πράγματα. Ίσως είναι μια περίεργη φράση που επαναλαμβάνεται σε τυχαίες ανακοινώσεις που δεσμεύουν την χαρά πίσω σε ένα συγκεκριμένο άτομο. Ή ίσως είναι λίγο παγωμένο από το πακέτο λογισμικού τους.

Αυτός είναι ένας από τους τρόπους που συσχετίστηκαν με τη Ρωσία οι αμυχές DNC. Οι ερευνητές της εκμετάλλευσης παρατήρησαν ότι ορισμένα από τα έγγραφα του Word που κυκλοφόρησε από το hack έδειξαν αναθεωρήσεις από έναν χρήστη με ρωσική εντοπισμό του Word και ένα όνομα κυριλλικού χρήστη. Τα εργαλεία Buggy μπορούν να αποκαλύψουν ακόμη και την τοποθεσία ενός χάκερ. Το δημοφιλές βοηθητικό πρόγραμμα DDoS Low Orbital Ion Cannon είχε κάποτε ένα σφάλμα σε αυτό που θα αποκάλυπτε τη θέση του χρήστη.

Η παλιομοδίτικη αστυνομική εργασία βοηθάει να βρει και τους χάκερς. Ο συγκεκριμένος στόχος μπορεί να βοηθήσει στον εντοπισμό του δράστη. Εάν η επιβολή του νόμου καθορίσει τα κίνητρα πίσω από την επίθεση, ίσως είναι δυνατό να αποδοθούν πολιτικά κίνητρα. Εάν το hack είναι ύποπτα ευεργετικό για μια ομάδα ή ένα άτομο, είναι προφανές πού να κοιτάξουμε. Οι χάκερ μπορούν να διοχετεύουν χρήματα σε έναν τραπεζικό λογαριασμό και αυτό μπορεί να είναι ανιχνεύσιμο. Και οι χάκερ δεν είναι ανομοιογενείς για να «χτυπάνε» ο ένας τον άλλο για να σώσουν το δικό τους δέρμα.

Τέλος, μερικές φορές οι χάκερ σας λένε ακριβώς. Δεν είναι ασυνήθιστο να βλέπουμε τους χάκερ να καυχώνται στο Twitter ή το IRC για τα πρόσφατα κατόρθωμά τους.

Αν οι ερευνητές μπορούν να εντοπίσουν αρκετά ψίχουλα ψωμιού, μπορούν να αρχίσουν να δημιουργούν μια πιο ολοκληρωμένη εικόνα και να προσπαθήσουν να πάρουν τα χέρια τους σε μια σημαντική διεύθυνση IP.

Συγκράτηση των χάκερ

Είναι ένα πράγμα να γνωρίζετε το κωδικό όνομα ενός χάκερ, αλλά είναι ένα άλλο πράγμα που πραγματικά να πάρετε τα χέρια σας πάνω τους. Συχνά, η σύλληψη ενός χάκερ έρχεται σε ένα μικρό λάθος. Ο ηγέτης του Lulzsec Sabu, για παράδειγμα, πιάστηκε όταν παραμελήθηκε να χρησιμοποιήσει τον Tor για να συνδεθεί στο IRC. Κάνει μόνο το λάθος μόνο μία φορά, αλλά ήταν αρκετό για τους οργανισμούς που τον έλεγαν να καθορίσει την πραγματική φυσική του θέση.

συμπέρασμα

Η επιβολή του νόμου βρίσκει τους χάκερ σε μια εκπληκτική ποικιλία τρόπων. Συχνά καταλήγει σε ένα μικρό αλλά κρίσιμο λάθος που έκανε ο δράστης.