Как се идентифицират хакерите и се довеждат до правосъдие?
С новините за руските хакери, влияещи на президентските избори в САЩ, мнозина в медиите се чудеха как разпознаваме хакерите. Съществуват редица начини, по които експертите в областта на кибернетичната сигурност могат да намерят източника зад хакване.
IP адреси
Първият и очевиден начин за проследяване на хакери е техният IP адрес. Сега всеки хакер, който си струва солта, ще използва IP адрес, който няма смислена информация. Те ще работят над Тор, над VPN, или дори в обществено пространство. Но да предположим, че хакерът, който искаме да проследим, е изключително неопитен или случайно е изложил своя IP адрес. Намирането им по техните ПР може да работи по следния начин:
1. Хакерът успешно постига своите цели (каквото и да е това), но оставя зад себе си трупи, показващи достъп до мрежата от конкретен IP адрес.
2. Компанията или личността, която е подложена на хакване, предава тези регистри на правоприлагащите органи.
3. Правоприлагащите служители призовават доставчика на интернет услуги да разберат кой притежава този IP адрес или кой го е използвал по време на атаката. Следователите след това могат да свържат този IP адрес с физическо местоположение.
4. След получаване на заповед, следователите пътуват до физическото местоположение, посочено от IP адреса, и започват разследването.
5. Ако нашият хакер беше наистина тъп, следователите ще намерят доказателства за раната навсякъде. Ако е така, ще бъде кратък процес, преди хакерът да бъде изпратен в затвора за престъпленията си.
Разбира се, с повечето хакери, работещи зад пълномощници, IP адресите, получени от правоприлагащите органи, няма да ги насочат никъде полезно. Това означава, че ще трябва да използват други техники или да чакат хакерите да направят грешка.
Следване на Breadcrumbs
Когато разследва квалифициран хакер, компютърната съдебна медицина се свежда до търсене на малки грешки и обстоятелства. Няма да имате IP адрес, сочещ голяма червена стрелка в дома на нападателя ви. Вместо това ще имате куп малки галета, които могат да ви помогнат да направите добро предположение за вероятните извършители.
Сложността на хак може да ограничи потенциалните извършители до висококвалифицирани работници. Американските разузнавателни агенции водят записки на предишни нападения и ги свързват с конкретни хакери, дори ако не знаят имената си.
Например, американското правоохранително звено наречено DNC хакер APT 29 или Advanced Persistent Threat 29. Може да не знаем името и адреса му, но все пак можем да му приписваме хакове въз основа на неговия или нейния стил, modus operandi и софтуерни пакети.
Типът на софтуерен пакет, използван в хак, може да предложи модел на "подпис". Например, много хакери използват високо персонализирани софтуерни пакети. Някои дори могат да бъдат проследени до държавните разузнавателни служби. В DNC хакета съдебните следователи установиха, че SSL сертификатът, използван в хака, е идентичен с този, използван от руското военно разузнаване в хаоса на германския парламент през 2015 г.
Понякога това са много малки неща. Може би това е странна фраза, която се повтаря в случайни съобщения, които свързват раната обратно към определено лице. Или може би това е малко нарязана от техния софтуер пакет.
Това е един от начините, по които DNC хакерите се свързват с Русия. Изследователи на експлойта забелязали, че някои от Word документи, освободени от хак, показаха ревизии от потребител с руска локализация на Word и кирилично потребителско име. Бъгите инструменти дори могат да разкрият местоположението на хакерите. Популярната помощна програма DDoS Low Orbital Ion Cannon веднъж имаше грешка в нея, която да разкрие местоположението на потребителя.
Старомодната полицейска работа помага и при намирането на хакери. Конкретната цел може да помогне за идентифицирането на извършителя. Ако правоприлагащите органи определят мотивацията на атаката, възможно е да се припишат политически мотиви. Ако хакване е подозрително полезно за една група или човек, очевидно е къде да погледнем. Хакерите може да натрупват пари в банкова сметка и това може да бъде проследимо. И хакерите не са имунизирани да "разбиват" един на друг, за да спасят собствената си кожа.
И накрая, понякога хакерите просто ви казват. Не е необичайно да виждате хакери, които се хвалят в Twitter или IRC за последните им експлоатации.
Ако изследователите могат да проследят достатъчно навигационни пътеки, те могат да започнат да изграждат по-цялостна картина и да се опитат да получат значителен IP адрес.
Арестуващи хакери
Това е едно нещо, което трябва да знаете кодовото име на хакера, но е още едно нещо, което действително трябва да вземете ръцете си върху тях. Често арестуването на хакери се свежда до малка грешка. Например лидерът на "Лулзсек" Сабу е бил хванат, когато пренебрегвал използването на Тор за влизане в IRC. Той направи грешката само веднъж, но достатъчно беше агенциите да го проучат, за да определи истинското му физическо местоположение.
заключение
Прилагането на закона намира хакери в удивително разнообразие от начини. Често се свежда до малка, но критична грешка, извършена от извършителя.