Pregunta:
¿Cómo puedo castigar a un hacker?
Elmo
2013-05-11 14:03:39 UTC
view on stackexchange narkive permalink

Soy propietario de una pequeña empresa. Mi sitio web fue pirateado recientemente, aunque no hubo daños; se robaron datos no confidenciales y se cargaron algunos shells de puerta trasera. Desde entonces, eliminé los shells, arreglé la vulnerabilidad y bloqueé la dirección IP del pirata informático.

¿Puedo hacer algo para castigar al pirata informático ya que tengo la dirección IP? ¿Puedo meterlos en la cárcel o algo así?

Esta pregunta se presentó como una Pregunta de la semana sobre seguridad de la información .
Lea la entrada de blog del 5 de febrero de 2016 para obtener más detalles o envíe su propia pregunta de la semana .

El citado hacker ya pasa sus noches en su computadora, solo, mirando su sombría pantalla, buscando vulnerabilidades e instalando puertas traseras. ¿Cómo podrías castigarlo más?
¿Borraste las conchas ... lo que significa que destruiste las pruebas?
¿Está 100% seguro de que eliminó todos los shells? Puede ser prudente reconstruir el sistema desde cero y auditar su red para asegurarse de que el pirata informático no pudo usar la máquina comprometida para obtener acceso a otras máquinas en la red.
Instale [Black Ice] (http://en.wikipedia.org/wiki/Intrusion_Countermeasures_Electronics).
@Tass: Estás bromeando, pero echa un vistazo al proyecto de labrea. Luego considere cuánto tiempo ha existido.
¿Cómo sabe que tiene su dirección IP * real *?
Castigar a los crackers, recompensar a los piratas informáticos.
AilisaswjvCMT negativo
Átalo y golpéalo como Max Mosley.
Ve a su casa y habla con severidad con su madre.
no castigas al hacker, el hacker te castiga a ti.
hacer ping a su IP dos veces por semana. ¡Que muera su anfitrión en lenta agonía!
@TomLeek writes: * El citado hacker ya pasa sus noches en su computadora, solo, mirando su sombría pantalla, buscando vulnerabilidades e instalando puertas traseras. ¿Cómo podrías castigarlo más? * Sí, pero el suelo está nivelado en ese punto, ya que OP pasa sus noches solo en su computadora, rastreando las actividades de los crackers que atacan su sitio web e imaginando castigos.
* aunque no se hizo ningún daño * <- entonces, ¿cuál es el punto de buscar un castigo? ¿orgullo? personalmente, me alegraría si alguien entrara en mis servidores pero no hiciera daño; puedo parchear la vulnerabilidad antes de que alguien más cause daño gracias a él.
@Mahn ¡Se robaron datos!
@ClickUpvote Así que el daño * estaba * hecho. Es posible que desee buscar leyes de notificación de incumplimiento relevantes para su jurisdicción.
@randomstring solo en la Rusia soviética.
Hackearlo de vuelta ...
Déjele una nota agradeciéndole por identificar el problema y considérese afortunado. La persona a la que castiga debe ser la persona que contrató para configurar su sistema o, si no son profesionales capacitados, la persona que eligió utilizar talentos no capacitados para configurar un servidor empresarial orientado a Internet. Ojalá se responsabilizara a las personas adecuadas de crímenes como este, el adulto que deja la puerta abierta cuando se van al trabajo, no el niño que entra a la casa abierta y vacía y come unas cuantas galletas (Sí, el hacker fue malévolo, pero habría sido otra persona si no él)
#TL; DR # No es la dirección IP correcta y a la policía no le importa.
Tampoco sabe si su propio servidor (leer IP) se ha visto comprometido para hacer lo mismo con otros servidores. Siguiendo su lógica, su IP debe ser reportada como un centro de actividad sospechosa y incluida en la lista negra.
Encuentra dónde vive y ve a su casa con una rubia de Nebraska y toca la puerta. Cuando abra la puerta, déjela que le dé una patada en los nads y recupere rápidamente su bat'leth y su cuenta de WoW. He estado en lugares donde esto sucedió en los EE. UU. Con la intención de causar daños y entregamos la evidencia al FBI. No estoy seguro de qué / si todos hicieron algo, ya que el delincuente estaba en Rusia.
¿Conseguiste castigarlo?
Doce respuestas:
user10211
2013-05-11 14:06:30 UTC
view on stackexchange narkive permalink

no castigas al hacker. La ley lo hace. Simplemente informe a la policía cualquier información que tenga y déjela manejar.

Sin embargo, es muy poco probable que atrapen al atacante. Es muy probable que la dirección IP que posea pertenezca a otro sistema que el atacante haya comprometido y esté utilizando como proxy. Trátelo como una lección aprendida y siga adelante.

Entonces, ¿cómo atrapan a los piratas informáticos sobre los que lee en las noticias?
@ClickUpvote Todo el mundo comete errores ocasionalmente. Si alguien hace lo suficiente y la policía se esfuerza por investigar todos esos datos, es posible que atrape a alguien. A menudo atrapan a uno en un grupo y luego lo usan como topo para atrapar al resto.
O piratean algo que realmente le importa a la ley o al gobierno, lo que les da un incentivo para intentar atraparlos. Estoy seguro de que a ellos realmente no les importa el sitio web promedio.
@ClickUpvote aquí hay una lista de lo que veo como prioridades de investigación de piratas informáticos: [Redes propiedad del gobierno explotadas, exploits financieros a gran escala, DDOS en sitios públicos del gobierno, distribuidores de vulnerabilidades de día cero, explotadores de incidentes elevados, ....., ..... , navegar por facebook por aburrimiento, ....., ....., script kiddies] (este caso)
@ClickUpvote, * ¿sobre qué * hackers leíste en las noticias? Una docena de sitios son pirateados todos los días, y leo sobre piratas informáticos que son atrapados tal vez un par de veces al año, como mucho. Esos pocos casos suelen ser personas que están rompiendo un sistema gubernamental sensible. Alguien se da cuenta, se pone en contacto con el FBI, pero * no * detiene al pirata informático ni lo reconoce de ninguna manera. Esto le da tiempo a las fuerzas del orden público para obtener las autorizaciones necesarias en varios estados y / o países para rastrear la conexión hasta su origen * mientras el pirata informático está conectado, * probablemente durante varias semanas. ¿Pero rastrear a un pirata informático después del hecho? Buena suerte.
Por supuesto, puede publicar la dirección IP en 4chan y esperar que alguien esté especialmente aburrido hoy ...
@MarkAllen Eso supone que estás en los EE. UU.
¿Existe el "traspaso digital"? Aunque el OP no lo menciona, creo que uno podría suponer que el OP tomó medidas razonables para fortalecer su servidor si se necesitara "pirateo" para ingresar. No veo esto como diferente de alguien que ingrese su casa para leer el periódico y hacer una copia de la llave del porche trasero. ¿La policía tomaría la misma indiferencia en ese caso?
@hydroparadise Si vive en los EE. UU. Y un ladrón roba su casa, informe al cuerpo local. ¿Qué sucede si vive en los EE. UU., Aloja su sitio web usando un servidor ubicado en un centro de datos en Japón, fue atacado por un hacker francés usando una máquina comprometida en China? ¿A quién le informa? ¿Qué agencia policial va a arrestar al tipo?
@MarkAllen [Explícito es mejor que implícito] (http://www.python.org/dev/peps/pep-0020/)
TildalWave
2013-05-11 15:34:33 UTC
view on stackexchange narkive permalink

Entonces, ha identificado la dirección IP involucrada en el proceso de piratería de su sitio web. ¡Felicidades!

¿Qué le hace creer que esta IP es de hecho la dirección IP de un pirata informático y no simplemente otra computadora pirateada que se ejecuta en modo zombie? ¿Y quién puede decir que su propio servidor web no se ejecutó exactamente en el mismo modo zombie hasta que eliminó los shells instalados a través de, como dice, una puerta trasera identificada más tarde?

¿Debería esperar que otra persona, cuyo servidor web se intentó o, de hecho, fue pirateado a través de la IP de su servidor web comprometida, pensara exactamente lo mismo sobre usted y ya está buscando formas de obtener incluso como tú?

Espero sinceramente que este no sea el caso, y hemos superado los tiempos de la caza de brujas y hemos acusado y juzgado libremente a las personas antes de que se demuestre lo contrario. más allá de toda duda razonable en un tribunal de justicia, donde se les permite defenderse, presentar sus propias pruebas, disputar las pruebas reunidas en su contra, y es de esperar que esta evidencia se valore y luego se apruebe por personas lo suficientemente decentes como para poder ver a ambos lados de la moneda antes de llamarla por lo que resultó ser.

La divulgación obligatoria de IANAL se aplica en este momento, pero estas son las opciones que probablemente debería considerar :

  • Informe el incidente a las autoridades correspondientes. Debe hacer eso no solo con la esperanza de que el verdadero pirata informático finalmente sea atrapado y procesado, sino también para cubrirse las espaldas en caso de que su servidor web estuviera involucrado en otras actividades ilegales mientras estaba comprometido y actuando de maneras más allá de su control inmediato. Luego coopere, prepárese para que su servidor web sea llevado a un laboratorio forense y pueda sufrir un tiempo de inactividad de sus servicios debido a ello. Esto le quitará tiempo y posiblemente también incurra en costos.

  • Alternativamente, refuerce su servidor web contra otras posibles puertas traseras, exploits en el software que utiliza y contrate a un analista de seguridad adecuado para que haga su magia. Llene un informe de incidente interno y haga que lo verifique una parte independiente, para cubrirse la espalda de esa manera en una eventualidad poco probable, luego lo necesitará como evidencia, si se comunica con las autoridades. Esto también llevará tiempo y también costará. Pero su servidor web estará en línea y su negocio, con suerte, compensará los costos involucrados.

Entonces, es su elección, pero no se meta en mayores problemas jugando a sí mismo -justo justiciero, simplemente no vale la pena y las probabilidades están en tu contra desde el principio de que busques venganza en la dirección correcta.

La mayoría de las personas ajenas a esta comunidad no conocen el "modo zombi". Creo que entendiste mal OP. Preguntar '¿puedo meterlos en la cárcel?' No los convierte en un 'justiciero moralista'. Ese es un deseo normal de justicia. Sería útil especificar quiénes son las "autoridades competentes".
+1 que probablemente no sea su IP. Cualquier atacante real al menos rebotaría UNA VEZ, pero lo más probable es que proxy -> tor -> máquina víctima
Scott Pack
2013-05-11 18:47:22 UTC
view on stackexchange narkive permalink

El término que se usa con más frecuencia para describir lo que estás hablando es Hacking Back. Es parte del movimiento de contramedidas ofensivas que está ganando terreno últimamente. Algunas personas realmente inteligentes están poniendo su corazón y su alma en descubrir cómo nosotros, como industria, deberíamos hacer esto. Hay muchas cosas que puedes hacer, pero a menos que seas un estado-nación o tengas órdenes y un contrato de un estado-nación, tus opciones son muy limitadas.

Hay una serie de leyes relativas a la piratería en una computadora para la que no tienes autorización para piratear, la CFAA en los EE. UU., la CMA en Gran Bretaña, la CHM en Australia, y la lista continúa. Todo lo cual hace que sea ilegal hacer lo que quiere hacer y, en algunos casos, imponen sanciones bastante estrictas incluso para las acciones más pequeñas.

Supongamos que puede piratear la máquina infractora sin infringir una ley. Esto es bastante menos que ideal. A veces, la dirección IP que tiene le indicará la computadora real donde estaba sentado el hacker. Este es el mejor de los casos y también el menos probable de que ocurra. Más a menudo, la dirección IP que tiene es un intermediario inocente, es decir, es más probable que sea la eMachine de su abuela que se vio comprometida cuando hizo clic en un sitio web poco fiable mientras investigaba estrategias de canasta. Entonces, si bien existe la posibilidad de que el pirateo pueda castigar al malhechor, el escenario más probable es que rompas el vínculo de tu abuela con el mundo exterior.

¿Tu mejor opción? Informe el incidente a la agencia policial más apropiada. A menos que haya una pérdida financiera significativa, probablemente no ganará mucha tracción como caso individual. Lo que podría suceder es que su información se agregue a la pila de evidencia que podría usarse para acabar con un grupo grande.

@ ŁukaszLech: Es difícil superar nuestros sentimientos iniciales de violación y la necesidad de cobrar algún tipo de peaje. Haga suficientes investigaciones y comenzará a darse cuenta de que en casi todos los casos la fuente del ataque no es más que un espectador inocente. Realmente muy triste.
justausr
2013-05-11 23:54:50 UTC
view on stackexchange narkive permalink

No juegues a su juego, perderás

He aprendido a no jugar ese juego, los piratas informáticos por naturaleza tienen más tiempo libre que tú y, en última instancia, ganar. Incluso si lo recupera, su sitio web no estará disponible para sus clientes durante una semana completa después. Recuerde, usted es el que tiene servidores públicos, tiene una IP de un servidor aleatorio que probablemente usó una vez. Él es el que tiene un montón de guiones y probablemente más conocimiento del que obtendrás en tu búsqueda de venganza. Las probabilidades no están a su favor y el costo para su empresa probablemente sea demasiado alto para arriesgarse a perderlo.

Lo más probable es que no sea su IP

Este tipo de piratería es una prioridad increíblemente baja para las fuerzas del orden y la IP que tiene probablemente pertenece a un servidor a 1000 millas de distancia de dicho pirata informático. Si tiene la intención de obtener su IP, es posible que haya usado un proxy cuyo propósito no sea el anonimato, si rastrea los encabezados http, busca encabezados reenviados x en las solicitudes ofensivas, es más probable que tengan su IP real si ' estás ahí. Nadie se molesta en encadenar proxies para trucos "divertidos" como este. Pero de nuevo, no te molestes, te ha pirateado, ganó, si juegas su juego, volverá a ganar. En este momento no es personal para él, por lo que el costo de un ataque DDOS en usted no supera el beneficio todavía.

Si debes jugar el juego

Solía ​​configurar honeypots para piratas informáticos. Cuando uno llegaba a mi servidor vulnerable intencionalmente dejado en mi DMZ, colocaba algunos archivos divertidos que parecen importantes y conducen a otros beneficios divertidos que no son tan buenos para la salud de una PC. Ahora, si configuro un honeypot, es solo un servidor de registro con algunos puertos vulnerables, por lo que se me alerta de los intentos en mi red. De esa manera, puedo observar un poco más de cerca cuando es importante.

Estás viendo esto mal

Cuando un tipo te interrumpe en la interestatal y te apresuras a recuperarlo, su respuesta no siempre será buena para tu salud. En lugar de vengarse, piense en su experiencia como una auditoría de seguridad gratuita en la que el único gasto fue realizar el trabajo que debería haber hecho en primer lugar. Los piratas informáticos son frustrantes, pero el primer par de veces que esto suceda, cambiará su visión de la seguridad. Pero en general ... Woooooosah

Incluso si es "su" IP, podría ser una línea dinámica que se puede reasignar a otro cliente.
Rory Alsop
2013-05-11 17:49:28 UTC
view on stackexchange narkive permalink

Recuerde: no importa lo que hicieron, si persigue al pirata informático (suponiendo que haya identificado al correcto) y lo castiga,

habrá infringido la ley y el es probable que la policía pueda demostrar su culpabilidad

No lo haga. ¡La justicia vigilante es para los superhéroes y los cruzados con capa!

Tenga en cuenta que la persona no dijo que iba a cazarlos y hacer algo malo. Específicamente dicen "¿Puedo meterlos en la cárcel o algo así?", Lo que significa ir a la policía.
Adi
2013-05-11 14:25:03 UTC
view on stackexchange narkive permalink

Por supuesto que puede castigar a los piratas informáticos. Simplemente use un servicio como GeoBytes IP Locator para conocer su dirección. Conduce allí, toca la puerta, y quien abra, debe ser el hacker. Luego sigue adelante y castígalos por la chica / chico malo que son.

De vuelta a la realidad. Desafortunadamente, es muy probable que queden impunes.

Dependiendo de su jurisdicción, su caso podría ser demasiado menor para atraer a las fuerzas del orden competentes a rastrear a su atacante. Por supuesto, oficialmente, nunca te dirán eso. Lo informará y ellos le dirán que harán lo mejor que puedan.

Es muy probable que su atacante esté utilizando algún servicio anonimizado (como Tor), lo que hace que rastrearlo sea muy difícil y requiera muchos recursos.

Si yo fuera usted, le pediría a un experto en seguridad que evalúe mi sitio y corrija las vulnerabilidades para evitarlo que vuelva a suceder.

Tracy Reed
2013-05-12 06:17:08 UTC
view on stackexchange narkive permalink

No te conviene castigar al atacante. Es mejor utilizar sus recursos para proteger su servidor y continuar con sus negocios.

artifex
2013-05-11 17:23:00 UTC
view on stackexchange narkive permalink

Lo que puede hacer directamente es enviar un correo de abuso a su ISP. Simplemente busque la ip en la base de datos ripe.net. En la mayoría de los casos, hay un correo de abuso listado para el propietario de la IP.

Los proveedores de servicios de Internet se toman en serio los correos electrónicos de abuso legítimo, al menos en mi opinión.

Envío de abusos a su ISP ...
Esta es la forma más fácil y probable de "castigar" al hacker. En el peor de los casos, el propietario de otra máquina que fue pirateada descubrirá que su máquina ha sido comprometida y, con suerte, resolverá el problema. En el mejor de los casos, causa problemas con el ISP doméstico de los piratas informáticos.
Así es como funciona Internet. ¿No todo el mundo sabe sobre abuse@isp? Si esta fuera la respuesta de todos tan pronto como se descubrieran los ataques, tendríamos muchos menos atacantes.
Lucas Kauffman
2013-05-11 16:17:30 UTC
view on stackexchange narkive permalink

Lo que hace es: ponerse en contacto con la oficina de policía local de delitos informáticos , presentar una denuncia y presentar cargos contra personas desconocidas, entregar la dirección IP y es posible que tenga suerte.

En realidad, hay pocas posibilidades de que suceda algo.

¿Existe, en algún lugar del mundo, una oficina o comisaría de policía tan augusta como ésta?
Sé que tenemos una Unidad Federal de Delitos Informáticos
afyo
2013-05-11 23:44:17 UTC
view on stackexchange narkive permalink

Si tiene el tiempo / conocimiento / recursos, puede redirigir el tráfico desde la IP del atacante a un honeypot y estudiar el tráfico del ataque, eventualmente encontrará algo útil para vincular a la persona responsable.

Asegúrese de vigilar su servidor para rastrear ataques de nuevas IP y debe agregar el nuevo rango a la lista de redireccionamiento.

Diviértase

Las buenas intenciones pueden resultar en un mal resultado. Simplemente no es la forma en que operan las botnets: a Command & Control no le importa si uno de sus zombis de repente deja de transmitir solicitudes en su nombre, simplemente pasa a otros cuando se detecta _cualquier_ interrupción. Y permitir que el bot continúe transmitiendo solicitudes (incluso si está en un espacio aislado y no afecta más al host infectado) puede ser un camino peligroso, y el que lo hace es responsable de permitirlo. Simplemente no lo sugeriría. Incluso el propio equipo de Google tuvo grandes problemas / reservas [al hacer eso] (https://www.youtube.com/watch?v=2GdqoQJa6r4).
Amila
2013-05-12 18:30:13 UTC
view on stackexchange narkive permalink

Bueno, no creo que puedas rastrear al hacker usando su IP. Lo más probable es que esté usando una máquina / IP zombi para hacer lo que quiere. Lo mejor que puede hacer es informar a las autoridades con cualquier detalle que tenga. & refuerza su seguridad.

Asegúrese de que su sitio web siga siendo utilizable y fácil de usar mientras refuerza la seguridad.

Java D
2013-07-16 12:50:33 UTC
view on stackexchange narkive permalink

Creo que la dirección IP que obtuviste puede ser una dirección proxy ... porque el que sabe cómo piratear debe saber cómo ocultar su IP real ... Así que solo mejora el nivel de seguridad de tu sitio web. y defender su sitio web ... porque ahora un pirata informático hace todo esto fácilmente y no puede atraparlo ...

Gracias ...

Preste atención a lo que ya se ha respondido. En realidad, no está proporcionando nuevas ideas sobre el tema que se discutió aquí, y simplemente está repitiendo los puntos que otros mencionaron antes que usted. Puedo decir, de una manera mucho más clara también. ¡Gracias!


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...