Wie werden Hacker identifiziert und zur Rechenschaft gezogen?
Angesichts der Nachrichten von russischen Hackern, die die US-Präsidentschaftswahl beeinflussen, haben sich viele Medien gefragt, wie wir Hacker identifizieren können. Es gibt eine Reihe von Möglichkeiten, wie Cyber-Sicherheitsexperten die Quelle hinter einem Hack finden können.
IP-Adressen
Der erste und offensichtlichste Weg, einen Hacker zu verfolgen, ist seine IP-Adresse. Nun wird jeder Hacker, der es wert ist, eine IP-Adresse verwenden, die keine aussagekräftigen Informationen enthält. Sie arbeiten über Tor, über ein VPN oder vielleicht sogar in einem öffentlichen Raum. Aber gehen wir davon aus, dass der Hacker, den wir verfolgen wollen, außergewöhnlich unerfahren ist oder versehentlich seine IP-Adresse preisgegeben hat. Sie anhand ihrer IP zu finden, könnte folgendermaßen funktionieren:
1. Der Hacker erreicht erfolgreich seine Ziele (was auch immer das sein mag), lässt aber Logs zurück, die den Netzwerkzugriff von einer bestimmten IP-Adresse zeigen.
2. Die Firma oder Person, die gehackt wurde, leitet diese Protokolle an die Strafverfolgungsbehörden weiter.
3. Strafverfolgungsbeamte lassen den ISP vorladen, um herauszufinden, wem diese IP-Adresse gehört oder wer sie zum Zeitpunkt des Angriffs benutzt hat. Die Ermittler können diese IP-Adresse dann mit einem physischen Standort verknüpfen.
4. Nach Erhalt eines Haftbefehls begeben sich die Ermittler an den von der IP-Adresse angegebenen physischen Standort und beginnen mit ihrer Untersuchung.
5. Wenn unser Hacker wirklich dumm ist, werden die Ermittler überall Beweise für den Hack finden. Wenn dies der Fall ist, wird es ein kurzer Prozess sein, bevor der Hacker wegen seiner Verbrechen ins Gefängnis kommt.
Bei den meisten Hackern, die hinter Proxies arbeiten, werden die IP-Adressen, die von den Strafverfolgungsbehörden erhalten werden, sie nicht an irgendeinen nützlichen Ort bringen. Das bedeutet, dass sie andere Techniken verwenden müssen oder warten müssen, bis Hacker einen Fehler machen.
Nach Brotkrumen
Bei der Untersuchung eines erfahrenen Hackers kommt die Computerforensik auf die Suche nach kleinen Fehlern und Indizien. Sie werden keine IP-Adresse haben, die einen großen roten Pfeil auf das Haus Ihres Angreifers zeigt. Stattdessen haben Sie eine Menge kleiner Brotkrumen, die Ihnen helfen können, die wahrscheinlichen Täter zu erraten.
Die Komplexität eines Hacks könnte potenzielle Täter auf hoch qualifizierte Mitarbeiter beschränken. US-Geheimdienste protokollieren frühere Angriffe und korrelieren sie mit bestimmten Hackern, auch wenn sie ihre Namen nicht kennen.
Zum Beispiel hat die amerikanische Strafverfolgung den DNC-Hacker APT 29 oder Advanced Persistent Threat 29 genannt. Wir wissen vielleicht nicht seinen oder ihren Namen und seine Adresse, aber wir können ihm immer noch Hacks auf Grundlage seines Stils, Modus Operandi und Softwarepakete.
Die Art des im Hack verwendeten Softwarepakets könnte ein "Signatur" -Muster bieten. Zum Beispiel verwenden viele Hacker stark angepasste Softwarepakete. Manche sind sogar auf staatliche Geheimdienste zurückzuführen. In dem DNC-Hack fanden forensische Ermittler heraus, dass das SSL-Zertifikat, das in dem Hack verwendet wurde, identisch mit dem war, das der russische Militärgeheimdienst im Hack des Bundestags 2015 verwendete.
Manchmal sind es die wirklich kleinen Dinge. Vielleicht ist es eine seltsame Phrase, die sich in zufälligen Kommunikationen wiederholt, die den Hack an eine bestimmte Person binden. Oder vielleicht ist es eine kleine Brotkrume, die von ihrem Softwarepaket hinterlassen wurde.
Das ist einer der Wege, mit denen die DNC-Hacks mit Russland in Verbindung gebracht wurden. Ermittler des Exploits stellten fest, dass einige der Word-Dokumente, die durch den Hack veröffentlicht wurden, Überarbeitungen durch einen Benutzer mit einer russischen Lokalisierung von Word und einem kyrillischen Benutzernamen zeigten. Buggy-Tools können sogar den Standort eines Hackers anzeigen. Das populäre DDoS-Programm Low Orbital Ion Cannon hatte einmal einen Fehler, der den Aufenthaltsort des Benutzers erkennen ließ.
Altmodische Polizeiarbeit hilft auch, Hacker zu finden. Das spezifische Ziel könnte helfen, den Täter zu identifizieren. Wenn die Strafverfolgung die Motivation hinter dem Angriff bestimmt, könnte es möglich sein, politische Motive zuzuschreiben. Wenn der Hack für eine Gruppe oder Person verdächtig vorteilhaft ist, ist es offensichtlich, wo Sie suchen müssen. Hacker könnten Geld auf ein Bankkonto lenken, und das könnte nachvollziehbar sein. Und Hacker sind nicht immun gegen einander, um ihre eigene Haut zu retten.
Schließlich erzählen Hacker Ihnen manchmal. Es ist nicht ungewöhnlich, dass Hacker auf Twitter oder im IRC über ihre jüngsten Exploits prahlen.
Wenn Ermittler genügend Breadcrumbs aufspüren können, können sie damit beginnen, ein vollständigeres Bild zu erstellen und versuchen, eine aussagekräftige IP-Adresse zu erhalten.
Anhaftende Hacker
Es ist eine Sache, den Codenamen eines Hackers zu kennen, aber es ist eine andere Sache, sie in die Finger zu bekommen. Oft ist die Verhaftung eines Hackers auf einen kleinen Fehler zurückzuführen. Lulzsec-Anführer Sabu zum Beispiel wurde erwischt, als er es versäumte, Tor zu benutzen, um sich im IRC anzumelden. Er hat den Fehler nur einmal gemacht, aber es war genug für die Agenturen, die ihn überwachten, um seinen tatsächlichen physischen Standort zu bestimmen.
Fazit
Die Strafverfolgung findet Hacker in einer erstaunlichen Vielfalt von Möglichkeiten. Es kommt oft auf einen kleinen, aber kritischen Fehler des Täters an.