web-dev-qa-db-fra.com

Comment IRC est-il si sécurisé / introuvable que les pirates et les pirates l'utilisent pour communiquer?

Quelle est la particularité de IRC que les pirates utilisent pour organiser des réunions en ligne, ignorant toutes les autres options, comme les messagers ou les médias sociaux?

Il semble très sûr qu'il soit utilisé pour envoyer des commandes aux ordinateurs de la victime au lieu de les envoyer directement (appelé "botnet", non?)

botnetirc
17
Ulkoma

En plus des points de Rory ...

Internet Relay Chat est en fait incroyablement précaire

Je ne pense pas que IRC est en aucune façon sécurisé par défaut. Presque tous les serveurs utilisent la communication via le texte en clair. Votre FAI peut facilement espionner le contenu. Tous vos messages, en général, ne sont pas cryptés Vous devez installer des extensions pour activer les communications chiffrées, si elles sont bien faites.

Même si le serveur lui-même a chiffré les messages/utilise SSL, c'est un point discutable: tout le monde peut se connecter et lire ce que vous dites à moins que vous ne l'ayez chiffré votre fin. IRC les administrateurs peuvent également lire vos messages privés.

La grande majorité des serveurs que j'ai visités exposent également votre adresse IP à tout le monde sauf si vous êtes derrière un proxy ou un VPN, il n'y a donc pas de véritable anonymat. Même ceux qui masquent partiellement votre IP montreront une partie de votre position. Par exemple: Random432342.hsd1.ca.comcast.net. Alors que d'autres serveurs bloqueront tout, tous les IRCops/admins connaissent la véritable IP à partir de laquelle vous vous connectez. Qu'est-ce qui les empêche de coopérer avec les forces de l'ordre?

Votre client IRC pourrait également être vulnérable aux attaques de dépassement de tampon/aux vulnérabilités de formatage de chaînes/etc.

Existe-t-il un véritable anonymat sur IRC?

Certaines personnes ont une définition de l'anonymat différente de la mienne. La définition de Rory est correcte dans le contexte d'être anonyme pour la plupart des gens , mais ce n'est pas la définition à laquelle je souscris. Pour moi, l'anonymat est anonyme pour tout le monde , quoi qu'il arrive.

Comment pensez-vous que les gens continuent de se faire arrêter même s'ils sont "derrière 7 mandataires" ? Si vous êtes derrière un proxy/vpn, vous communiquez toujours avec le serveur IRC. Votre proxy/Le VPN est connecté à ce IRC, et vous êtes connecté à ce serveur proxy/vpn sur un heure spécifique .

Une fois que vous avez envoyé du texte, qu'il soit chiffré ou non, tout ce que les forces de l'ordre doivent faire est d'aligner les horodatages, même s'ils sont chiffrés. Retard de retard? Oui, c'est très facile à expliquer. Bientôt, un modèle très clair émergera et toute votre chaîne proxy/VPN sera rapidement démêlée à la source.

Comment peuvent-ils faire ça? XKeyscore , Prisme .

À l'heure actuelle, le véritable anonymat n'existe pas vraiment sur IRC.

Mais Mark Buffalo, je n'ai jamais été pris!

Soit ils ne se soucient pas de vous parce que vous êtes un petit alevin qui n'a pas d'importance, ou ils construisent lentement un étui pour obtenir vous sur les charges maximales . Ou vous êtes simplement hors de leur juridiction, mais ils sont toujours prêts à bondir.

Peut-être que cette "sécurité" est en fait une question de compétence?

Je pense qu'une partie de la confusion ici réside dans la compétence. La juridiction peut offrir une sécurité énorme en cas de refus de coopération. C'est pourquoi de nombreux criminels peuvent encore être présents après avoir "été pris".

Si vous êtes dans un autre pays qui refuse de coopérer avec les forces de l'ordre d'un autre pays, vous pourriez être à l'abri des poursuites, mais vous serez probablement toujours inculpé des accusations . Donc tant que vous n'entrez jamais dans ce pays ...

24
Mark Buffalo

L'anonymat est le principal:

  • vous pouvez utiliser des serveurs IRC n'importe où, ou configurer le vôtre, plutôt que d'être lié à des messagers centralisés
  • vous n'avez pas besoin de données personnelles liées à votre compte IRC, donc vous retrouver est presque impossible
  • Chaque fois que vous envoyez des commandes directement, vous êtes beaucoup plus directement détectable, alors qu'un botnet utilisant IRC est presque impossible à retracer

Et pour la facilité d'utilisation, il est entièrement basé sur du texte - les commandes peuvent donc être facilement envoyées et reçues.

De plus, il existe depuis plus longtemps que la plupart des autres outils de messagerie, il est donc bien entendu qu'il existe des clients gratuits pour chaque plate-forme et des millions d'instances de IRC sur Internet).

13
Rory Alsop

Rory a bien répondu à la partie IRC, mais pour répondre à la deuxième partie sur les botnets, ce n'est pas que IRC est ou n'est pas sécurisé).

Qu'est-ce qu'un botnet?

Un botnet est une collection d'appareils, généralement des ordinateurs (mais qui peuvent également être des téléphones portables et à peu près n'importe quel autre appareil connecté à Internet, comme un réfrigérateur), qui sont connectés à un serveur C&C pour recevoir des commandes. Les botnets peuvent en fait être utilisés pour de bon, mais ce qui fait la nouvelle, bien sûr, ce sont les botnets qui ne sont pas utilisés pour de bon.

C&C?

C&C, parfois considéré comme CnC, CNC ou CC, est Command and Control. Comme Rory l'a mentionné, IRC existe depuis très longtemps, est basé sur du texte, il est donc facile d'écrire des clients pour lui et est facile à configurer. Les services C&C existent sur Twitter, GitHub , SMS et autres technologies, IRC est un go-to en raison de sa simplicité. Il permet également de contrôler une quantité énorme de bots avec une relative facilité.

Et les commandes?

Les commandes sont exécutées par les bots au nom du propriétaire du bot. En utilisant le service C&C, le propriétaire envoie des commandes à un ou plusieurs robots à la fois. Ces commandes peuvent envoyer du spam, des attaques par déni de service, mettre à jour le client, rechercher de nouveaux appareils à infecter, etc.

8
h4ckNinja

IRC n'est pas centralisé comme Twitter, Facebook, Discord, Slack, ICQ, ce qui rend le suivi plus difficile, surtout si un groupe fermé gère son propre serveur IRC. Un serveur peut être configuré en 5 minutes, à partir de projets open source D'un autre côté, comme le disent les autres commentaires, c'est un protocole non sécurisé. Beaucoup de chatteurs ouvrent une session et gardent les anciens journaux de chat pour toujours. Vous ne pouvez jamais savoir combien ou qui se connecte. Les journaux peut être utilisé pour des actions en justice des années plus tard.Un grand nombre de poursuites Anon/lulzsec en 2011 ont pu utiliser IRC logs de chat comme preuves contre les pirates et les participants au DoS. Quant à l'utilisation de IRC pour contrôler un botnet, ce n'est pas parce que IRC est sécurisé, c'est parce que IRC est le moyen le plus simple pour assembler des milliers de bots/drones dans un endroit et leur envoyer des commandes. En outre, il existe des centaines de serveurs IRC ouverts au public. Les opérateurs de botnet ont configuré un canal sur une taille moyenne IRC = serveur et essayez de ne pas vous faire remarquer par le IRC opérateurs de serveur, mais leurs propres connexions sont stockées dans les journaux du serveur, donc s’ils se connectent à IRC en utilisant leurs propres adresses IP, ils sont faciles à application de la loi pour suivre, même des années plus tard

"très facile à démêler la plupart des chaînes proxy/VPN" Pas vraiment, Mark Buffalo n'a aucune idée de ce que sont vraiment XKeyscore et PRISM. XKeyscore n'est rien de plus qu'un outil de recherche pour diverses collections de données, qui n'ont pas la capacité de suivre les sauts de réseau. PRISM est une collecte de données limitée qui n'enregistre aucun lien réseau à l'exception des adresses IP source. En outre, ce sont des outils NSA, pour l'espionnage américain, pas pour l'application de la loi contre les botnets et similaires

Oui, le NSA effectue la collecte de données en masse, mais "très facile à démêler la plupart des chaînes proxy/VPN" n'est pas activé par cela. Une certaine corrélation de lien basée sur le temps est possible, mais dans un sens général , une passerelle VPN ressemble à un gâchis de TCP entrantes et sortantes, sans corrélation entre les liens entrants et sortants, et sans données en clair

Quoi qu'il en soit, pour la plupart des activités discutées ici, les auteurs exposent leurs adresses IP personnelles au journal de connexion du serveur IRC (ou dans le canal de discussion, enregistré par d'autres utilisateurs) au moins une fois. Voir Parmy Le livre d'Olson, We Are Anonymous, explique comment les serveurs IRC ont divulgué les détails de l'auteur. Ces gars auraient pu échapper à la détection en louant un VPS bon marché de manière anonyme, en installant un serveur IRC pour leur propre usage, désactiver les journaux du serveur, se connecter uniquement à IRC avec VPN, et ne pas utiliser un service VPN de snitching - HideMyAss a exposé leurs ânes

1
Louis Thompson