web-dev-qa-db-fra.com

Pourquoi est-il difficile d'attraper "Anonymous" ou "Lulzsec" (groupes)?

Je ne suis pas un spécialiste de la sécurité, et si je l'étais, je ne poserais probablement pas cette question. En tant que suiveur régulier de nouvelles technologiques, je suis vraiment surpris par le outrage de Anonyme (groupe de pirates) , mais en tant que penseur critique, je ne peux pas contrôler ma curiosité creuser comment exactement ils font ça? Franchement, ce groupe me fait vraiment peur.

Une chose que je ne comprends pas, c'est comment ils n'ont pas encore été capturés. Leurs adresses IP doivent être traçables quand ils DDOS, même s'ils usurpent ou passent par un proxy.

  • Le serveur avec lequel ils usurpent l'identité aurait dû enregistrer les adresses IP de ces types dans ses journaux. Si le gouvernement. demandez à l'entreprise (qui possède le serveur) ne donne-t-elle pas les journaux?
  • Même s'il s'agit d'un serveur privé appartenant à ces gars-là, l'IANA (ou qui que ce soit l'organisation) n'a-t-elle pas l'adresse et les détails de la carte de crédit du gars qui a acheté et enregistré le serveur?
  • Même s'ils ne l'ont pas, les FAI ne peuvent-ils pas remonter à l'origine de ces paquets?

Je sais que si c'était aussi simple que je l'ai dit, le gouvernement les aurait déjà pris. Alors, comment sont-ils capables de s'échapper exactement?

PS: Si vous pensez qu'il existe des ressources qui pourraient m'éclairer, je serai heureux de les lire.

[Mise à jour - cela est tout aussi approprié lorsque vous vous référez au groupe Lulzsec , alors avez ajouté un lien rapide vers la page Wikipedia sur eux]

ip-spoofingddosanonymity
102
claws

Ma réponse touche à la question d'origine. Qu'est-ce qui vous fait penser qu'ils ne se font pas prendre?

La CIA et le DoD ont trouvé Oussama ben Laden.

Les moyens typiques incluent OSINT, TECHINT et HUMINT. La criminalistique peut être effectuée sur Tor. Les outils de suppression sécurisée tels que sdelete, BCWipe et DBAN ne sont pas parfaits. Les outils de chiffrement tels que GPG et Truecrypt ne sont pas parfaits.

Les communications en ligne étaient peut-être la plus grande force d'Oussama Ben Laden (il avait des courriers qui se rendaient dans des cybercafés lointains en utilisant le courrier électronique sur des clés USB) et la plus grande faiblesse d'Anonymous/LulzSec. Ils utilisent généralement non crypté IRC. Vous pensez qu'ils utiliseraient au moins OTR via Tor avec un proxy SSL pour le ou les serveurs de communication de messagerie instantanée au lieu d'un trafic en texte clair via un nœud de sortie.

Leur utilisation commune d'utilitaires tels que Havij et sqlmap pourrait certainement se retourner. Il y a peut-être une vulnérabilité côté client dans la machine virtuelle Python. Peut-être y a-t-il un débordement de tampon côté client à Havij. Peut-être y a-t-il des backdoors dans les deux.

En raison de la nature politique de ces groupes, il y aura des problèmes internes. J'ai vu récemment des informations selon lesquelles un pirate informatique sur quatre est un informateur du FBI.

Ce n'est "difficile" de "rattraper" personne. Une autre personne sur ces forums m'a suggéré de regarder une vidéo d'une présentation Defcon où le présentateur traque un escroc nigérian en utilisant les capacités de transformation avancées de Maltego. Les capacités OSINT de Maltego et du bloc-notes d'analyste du groupe i2 sont assez illimitées. Un petit indice; une petite erreur OPSEC - et un renversement se produit: le chasseur est maintenant chassé.

66
atdre

D'après mon expérience avec l'application de la loi et la criminalistique, je peux dire que l'un des plus gros problèmes est que les FAI ne veulent vraiment pas avoir à suivre les utilisateurs. Une fois qu'ils ont dépassé un certain niveau de gestion, ils perdent le statut de "transporteur public" et deviennent responsables de beaucoup de ce que leurs clients peuvent faire.

En outre, de nombreux pays ne veulent pas transmettre d'informations à un autre pays - en particulier les pays qui peuvent être opposés à la culture occidentale ou à l'ingérence occidentale.

Et il est extrêmement facile de cacher presque n'importe quoi sur Internet.

Concernant vos trois points:

  • Le serveur doit avoir des adresses IP - Non - c'est simple à usurper ou à effacer
  • Serveur privé - Peu probable, bien que possible - mais ce ne serait pas leur carte de crédit utilisée
  • Trace du FAI - Cela ne se produira pas - cela n'affecte pas négativement le FAI et est beaucoup trop difficile

mise à jour Cela peut arriver après tout - http://blogs.forbes.com/andygreenberg/2011/03/18/ex-anonymous -hackers-plan-to-out-groups-members /

42
Rory Alsop

L'un des aspects les plus importants d'une attaque comme celle-ci est de couvrir vos traces. Il existe de nombreuses façons de procéder, car cela dépend de la technologie. Pour répondre à vos questions spécifiques:

Quand ils DDoS: Si l'inondation provenait de leurs propres machines, il serait assez facile de les suivre. Le problème réside dans le fait qu'ils n'utilisent pas leurs propres machines. Il s'agit soit a) de prendre le contrôle de quelqu'un d'autre sans autorisation, soit b) de demander à quelqu'un de le faire en son nom. C'est ce qui s'est produit avec les attaques de Wikileaks. Les gens se sont inscrits pour le faire.

Les choses commencent à devenir bizarres lorsque les serveurs se trouvent dans des pays qui ne répondent généralement pas aux demandes de journaux. Si la société attaquée se trouve aux États-Unis, il est assez facile d'obtenir une ordonnance du tribunal s'il peut être prouvé que l'attaque est originaire des États-Unis. Que se passe-t-il s'il s'agit d'une cible américaine, mais que l'attaque provient de Russie ou de Chine? La même chose vaut pour les enregistrements d'achat.

Quant à avoir peur ... il y a pas mal de ces sortes de groupes. La plupart d'entre eux sont (je ne veux pas dire inoffensifs, mais ...) inoffensifs. Dans ce cas particulier, quelqu'un a poussé l'ours et l'ours s'est énervé.

EDIT: Non pas que je cautionne leurs actions, bla bla bla.

29
Steve

En plus des réponses qui ont déjà été données, une autre raison pour laquelle il est si difficile d'attraper anonyme est parce que anonyme peut être n'importe qui, littéralement. Je veux dire cela de deux manières. Premièrement, les pirates peuvent utiliser une combinaison de logiciels malveillants, de logiciels espions et de robots pour accéder et utiliser/parcourir les ordinateurs d'autres personnes partout dans le monde; ainsi, faire de n'importe quel ordinateur, théoriquement, un point à partir duquel anonyme peut fonctionner. Deuxièmement, fidèle au nom anonyme, tout pirate informatique, n'importe où, en utilisant n'importe quelle méthode ou style, en utilisant n'importe quel modèle d'activité aléatoire, peut lancer son attaque et s'appeler anonyme. Ainsi, il est extrêmement difficile pour un gouvernement/une autorité de suivre l'activité par modèle, style ou signature, car elle change toujours en raison de la nature variée des attaques, car elle peut, comme je l'ai déjà dit, provenir littéralement de n'importe qui.

Essentiellement,

Anonyme n'est pas une seule personne ... Anonyme n'est pas un groupe ...

Anonymous est partout et partout ... Anonymous pourrait être tout le monde ou personne ...

Malheureusement, c'est la nature, l'unicité et le génie du nom.

19
Eli

Il existe de NOMBREUSES façons pour un pirate de couvrir ses traces.

Voici un exemple très généralisé:

Un pirate peut compromettre une machine tierce et l'utiliser pour lancer des attaques au nom des pirates. Parce que le système est compromis, le pirate peut supprimer/modifier les journaux. Un pirate peut également superposer des machines, telles que se connecter à la machine A, de la machine A se connecter à la machine B, de la machine B se connecter à la machine C, de la machine C attaquer la machine D, puis nettoyer les journaux des machines C, B, puis A rendant le suivi du pirate plus difficile.

Cela ne prend même pas en compte les comptes Internet piratés (donc même s'ils sont retracés, ils pointent vers une autre personne), des procurations ouvertes, etc., etc., etc.

Je sais que ce qui précède n'est pas parfait, mais comme je l'ai dit, ce n'est qu'un exemple TRÈS TRÈS général. Il existe de nombreuses façons de couvrir vos traces.

Cela dit, qu'est-ce qui vous rend si sûr que certaines agences de 3 lettres ne savent pas déjà qui sont bon nombre d'entre elles, mais ne faites rien pour que ces personnes puissent les conduire à d'autres?

Je suis sûr que d'autres sonneront qui peuvent expliquer plus en détail, mais je pense que la leçon ultime à tirer est de vous préoccuper moins de pirates et de groupes de piratage spécifiques, et plus de votre propre sécurité. Le fait que leur dernière revendication de gloire provienne de quelque chose comme TRIVIAL à corriger en tant que vulnérabilité d'injection SQL (qui n'est pas nouveau, très bien documenté et compris) est un énorme discrédit pour la "firme de sécurité" anonyme qui a été piratée. coup de gueule

16
Purge

Eh bien, j'ai répondu à certains messages ci-dessus contenant des informations incorrectes, mais je me suis dit que je devrais simplement publier ma propre réponse pour mieux expliquer.

Anonymous est composé essentiellement de 2 sous-groupes:

  1. Skiddies (script kiddies) et les débutants qui n'ont que les connaissances de sécurité les plus élémentaires, et assis juste dans leur IRC et essentiellement les pwns pour l'attaque. Ce sont les gens que le FBI renversait leurs portes.

  2. Anime core leadership, un groupe avec des connaissances en piratage qui appartenait à hbgary, mais a également été récemment détenu par une équipe de piratage ninja. Vous ne pourrez pas retracer ce sous-groupe à moins d'être un gourou de la sécurité.

Comment cachent-ils leurs traces?

Comme un précédent répondeur l'a mentionné,

  1. via des serveurs proxy comme Tor
  2. en compromettant les boîtes et en lançant des attaques à partir de ces boîtes (essentiellement se faisant passer pour l'IP de cette personne), ou
  3. en utilisant un VPN qui est dans un pays étranger et ne conserve aucun journal. Avec le VPN, tout votre trafic est relayé à travers lui, donc où que vous vous connectiez, il ne peut que retracer l'add IP au VPN lui-même et pas plus loin (sauf si le VPN conserve des journaux, auquel cas vous ne devriez pas l'utiliser de toute façon).

J'espère que cela aide à clarifier un peu.

16
mrnap

La chose à propos d'un DDoS est que vous utilisez d'autres personnes IPs, pas les vôtres. Il est relativement simple de devenir introuvable sur Internet - il suffit de router votre trafic via un hôte qui ne tient pas de journaux de trafic. En tant que personne qui doit souvent essayer de retrouver ces personnes, je peux vous dire ce qu'est un cauchemar impossible. Voici le modèle que je vois fréquemment:

  1. Sélectionnez un exploit relativement récent dans certains progiciels Web (par exemple l'extension joomla).
  2. Utilisez Google pour trouver une cible d'attaque vulnérable appropriée
  3. Depuis un endroit qui ne peut pas être retracé jusqu'à vous (par exemple, un café), exécutez l'attaque pour prendre le contrôle du serveur vulnérable, mais ne faites rien d'autre qui attirerait l'attention sur vous. (points bonus, corrigez la vulnérabilité afin que personne ne vienne derrière vous). Supprimez tous les journaux qui pourraient remonter à votre emplacement présumé.
  4. Répétez ce qui précède, en relayant votre trafic via le serveur précédemment compromis. Répétez plusieurs fois jusqu'à ce que vous supprimiez plusieurs étapes de la machine qui se comportera comme votre proxy. Idéalement, ces serveurs devraient être situés dans des pays comme la Chine, l'Inde, le Brésil, le Mexique, etc., où les techniciens des centres de données ont tendance à être non coopératifs vers les enquêtes, et devraient tous être situés dans des pays différents afin de créer une juridiction et cauchemars de communication pour les personnes qui essaient de vous suivre.

Félicitations, vous êtes désormais anonyme sur Internet. C'est un peu comme Tor, sauf qu'aucun des nœuds ne sait qu'ils participent. Habituellement, ces attaquants configurent et utilisent des portes dérobées sur des serveurs pour lesquels aucun journal ou enregistrement n'est conservé (car la porte dérobée n'existe probablement pas). Une fois que l'attaquant se déconnecte, ce lien devient définitivement introuvable.

Un saut diminue considérablement vos chances de détection. Deux sauts rendent la détection presque impossible. Trois sauts et ça ne vaut même pas la peine.

10
tylerl

Vous devriez peut-être lire ce PDF . Ils ne sont pas si anonymes. L'outil LOIC utilisé pour DDOS, fuit l'IP d'origine de la personne qui l'utilise. Vous pouvez utiliser la version navigateur (JavaScript) du même outil, en vous cachant peut-être derrière Tor.

HBGary Federal a exposé leurs noms et adresses dans ce PDF. C'est pourquoi ils ont attaqué son site, envoyé un courrier électronique, essuyé son iPad, pris le contrôle de Twitter, etc.

4
labmice

Plusieurs articles discutent des difficultés techniques à trouver les personnes derrière ces groupes. Il n'est pas du tout facile de revenir sur leur activité lors de l'utilisation de nombreuses machines pour créer un sentiment d'anonymat.

Un autre aspect très important est que la police, les services de renseignement du monde entier et la législation des différents comtés ne sont pas vraiment conçus pour gérer ces situations. Donc, si vous trouvez un serveur dans un pays qui a été utilisé pour accéder à un serveur dans un autre pays, il faut trop de temps pour passer par les canaux appropriés pour obtenir la police locale pour obtenir les informations. Même si vous le faites, les informations telles que les journaux ne sont pas toujours conservées pendant de plus longues périodes.

Il est facile de sauter illégalement sur Internet, mais beaucoup plus lent de faire le tour de l'Internet de manière légale. C'est un facteur très prohibitif lorsque vous essayez de trouver ces groupes.

3
bengtb

Voici un article poser (et répondre) juste cette question du site de Scientific American publiée ce mois-ci. La réponse courte à la question est l'usurpation d'adresses source et l'utilisation de procurations.

1
mvario

Il y a une chose qui n'a pas encore été mentionnée: le facteur humain.

Ces groupes n'ont pas de hiérarchie en tant que telle, ils se forment plutôt autour d'un ensemble d'idées. La plupart du temps, la seule idée en commun est "les gouvernements ont tort, nous devons faire justice en piratant", ce qui est probablement un sentiment qui ne fait que se renforcer, avec la pression actuelle que le gouvernement américain (lui-même fait pression sur les entreprises) met dans d'autres pays sous les couvertures pour adopter des lois draconiennes contre la liberté d'expression qui pourraient nuire aux sociétés susmentionnées.

Donc, le grand attrait ici, en particulier par Anonymous, est que si vous avez les connaissances et détestez le gouvernement (qui n'en a pas?), Vous pouvez les rejoindre par vous-même et pour votre propre compte et risque.

Afin de voir d'où vient cette pensée, je recommande le film/bande dessinée "V pour Vendetta", dont ils ont pris ce masque que vous voyez si souvent.

Certains groupes ont bien entendu des intentions beaucoup moins héroïques. LulzSec était "tout pour le lulz".

L'essentiel, c'est que oui, ils pourraient avoir quelques membres de chaque groupe, mais d'autres apparaîtront.

0
Camilo Martin

Les pirates peuvent être capturés, Anonymous ne peut pas. Anonymous est un collectif tellement perdant qu'il n'est pas matériellement blessé par les forces de l'ordre qui attaquent ses pirates individuels. Cependant, il répond violemment contre toute organisation qui tente de le faire. Ça signifie

  • Il est très difficile de vaincre Anonymous simplement en attrapant ses membres.
  • Anonymous rendra la vie difficile à quiconque essaie.

Tout ce que Anonymous doit faire est de continuer à "ne pas en valoir la peine" pour poursuivre ses membres en masse et il restera libre. Cependant, ils jouent un jeu dangereux. Si le public décide qu'ils constituent une nuisance suffisante, il en vaudra soudain la peine de traquer et d'attraper ses membres, endurant les contre-hacks d'Anonymous au fur et à mesure.

0
Cort Ammon