Pregunta:
¿Debo tomar el control de un sitio web comprometido de otro hacker?
user67281
2015-01-29 20:57:24 UTC
view on stackexchange narkive permalink

Un sitio web (www.blue ***** art.com) está intentando atacar mi servidor utilizando la vulnerabilidad Shellshock. Después de hacer un escaneo de Nmap en la dirección IP atacante, encontré muchos puertos abiertos. Parece que el sitio web está ejecutando Exim, que es vulnerable a GHOST.

El sitio web en cuestión no se ha mantenido durante los últimos tres años ( desde la fecha de copyright, estado de Twitter y Facebook); posiblemente el dueño falleció. Un cheque con Sucuri muestra que actualmente no está en la lista negra, porque no se ha encontrado ningún malware.

¿Debería tomar represalias tomando el control del sitio web del pirata informático y cerrándolo para evitar que escanee las computadoras de otras personas?

Relacionado: [¿Cómo puedo castigar a un pirata informático?] (Http://security.stackexchange.com/questions/35738/how-can-i-punish-a-hacker/35747#35747)
Los piratas informáticos suelen utilizar sitios web para seguir pirateando. Te recomiendo encarecidamente que no ingreses a otro sitio web.
Dos errores no hacen un bien. Terminarás siendo tan responsable / procesable como el hacker original. ¿No puede simplemente bloquear esta IP por ahora, mientras informa a través de los canales adecuados?
Puede haber dos preguntas mezcladas aquí. Si se podría argumentar en la corte que es un ataque legal (como en defensa propia) en cualquier territorio que sea, podría ser una pregunta interesante, pero luego está la cuestión ética, que también podría depender de la primera.
@Smig Estoy pensando que bloquear la dirección IP, como sugiere geoffmcc, sería el equivalente digital de la autodefensa.
@Smig no es una pregunta particularmente interesante - AFAIK absolutamente ninguna jurisdicción en ningún lugar tiene nada similar a una doctrina legal de "autodefensa virtual" que permitiría vender al por menor para un ciberataque, y sería una noticia importante en el campo con una discusión interesante si alguna ley como esa se aprobó en cualquier lugar. A algunas agencias gubernamentales se les puede otorgar inmunidad / autorización para * ataque * como tal, pero incluso entonces legalmente no importa si es un "contraataque" o simplemente hackear el sistema para sus objetivos.
Creo que la mejor analogía aquí, en cualquier caso, sería descubrir que un ladrón ha robado su propiedad e irrumpir en su casa para robársela. Puede que tengas la autoridad moral, pero seguro que no tienes la legal.
Aunque me encantaría tomar un parche en el ojo y responder con un cordial "¡Arr!" Creo que todos aquí, incluido el OP, saben que la justicia electrónica vigilante (casi) nunca es un buen plan.
@Pateris No estoy en desacuerdo. Solo estoy tratando de aclarar y delimitar la pregunta. Al preguntar si "debería" en lugar de "podría", no estaba claro si iba más allá de la letra de la ley. La pregunta legal puede tener una respuesta objetiva, pero la pregunta ética no.
@sapi definitivamente no "seguro como el infierno". Es algo que tendría sentido, y acepto que la ley probablemente no lo permita, pero como es "razonable", nunca lo consideraría "seguro".
Cuando todavía está en línea durante 3 años, alguien está pagando las facturas de alojamiento.
¿Te refieres a [Code Green] (http://w.spyware32.com/170/11525/IISWormCodeGreen.html)? Y [nematodos] (http://virus.wikidot.com/nematode) en general.
@sapi Tu analogía no funciona. Recuperar tus cosas de un ladrón no es un robo porque el robo es, por definición, tomar algo que no te pertenece. En una jurisdicción donde la intrusión es un asunto civil y, siempre que no dañe nada ni se lleve nada más que su propiedad, no creo que esté cometiendo ningún tipo de delito.
Legalmente no puede piratear el sitio web. Sin embargo, moralmente no me sentiría culpable por piratear un servidor que intenta piratear el mío. Así es como lo veo: piratear un sitio web que te está pirateando activamente es comparable a la autodefensa si alguien te está atacando. Es posible que un juez no esté de acuerdo con eso, pero ¿el pirata informático irá a la policía porque fue pirateado y expulsado de una máquina? No es probable. Es una decisión difícil con muchos ángulos de visión diferentes, pero supongo que si ves la situación en blanco y negro, entonces es ilegal hacerlo.
Cinco respuestas:
#1
+87
S.L. Barth - Reinstate Monica
2015-01-29 21:05:03 UTC
view on stackexchange narkive permalink

No si quiere no meterse en problemas.

Lo que está sugiriendo es una acción de vigilante, y la mayoría de los sistemas legales no lo ven con buenos ojos. Aunque sienta que está protegiendo a otras personas menos conocedoras de la tecnología, probablemente constituiría un delito.

Lo que podría hacer es intentar averiguar si hay autoridades a las que advertir. Este podría ser el proveedor de alojamiento, el registrador o la policía del país donde está alojado el sitio web. O, si cree que el sitio ha sido secuestrado, busque al propietario o al resto de familiares.

¿Es una acción de vigilante? ¿O defensa propia?
@corsiKa Es una acción de vigilante. En defensa propia, basta con bloquear la dirección IP hasta que se resuelva la situación.
@S.L.Barth El bloqueo de una dirección IP lo protegerá de todo lo relacionado con esa dirección IP, excepto del consumo de ancho de banda. Es posible que haya situaciones en las que el consumo de ancho de banda sea un problema, y ​​podría haber algo que uno podría hacerle al remitente, lo que haría que se detuviera el flujo de paquetes. Pero rara vez es una buena idea tomar estas medidas.
@kasperd, sí, podría por ejemplo "tarpit" sus conexiones. Dependiendo del método y el sistema de escaneo, esto podría incluso hacer caer la máquina del atacante debido al agotamiento de los recursos.
#2
+66
kasperd
2015-01-29 22:32:55 UTC
view on stackexchange narkive permalink

Debe comunicarse con el proveedor de alojamiento, su información de contacto se puede encontrar mediante una búsqueda whois de la dirección IP del servidor. Debe proporcionar al proveedor de alojamiento los registros con la evidencia de que los ataques se originaron desde esa IP.

El proveedor de alojamiento puede inspeccionar el tráfico de la red para averiguar si algún ataque aún está en curso y desconectar el host si es necesario.

Estoy seguro de que alguien que conozca Shell Shock, sucuri, GHOST y Exim, también sabe cómo "se puede encontrar su información de contacto" y que "debe entregar registros al proveedor de hosting con la evidencia de que los ataques se originaron desde esa IP".
#3
+37
Alteci
2015-01-30 01:43:29 UTC
view on stackexchange narkive permalink

Muchas veces, el sitio web atacante no tiene ni idea de que su sitio está atacando. Soy propietario de una empresa de alojamiento y normalmente se nos notifica a través de nuestro correo electrónico de abuso del atacado .

Tras la investigación, encontramos

  1. Carpeta de escritura mundial donde se han instalado scripts de escaneo falsos
  2. sitios web mal creados que permiten la carga sin restricciones
  3. cuentas FTP comprometidas.

En la mayoría de los casos, si no en todos, nuestros clientes no tenían ni idea.

Aparte de eso, es ilegal / poco ético tomar represalias.

#4
+2
Malachi
2015-01-29 23:03:30 UTC
view on stackexchange narkive permalink

Si alguien te estuviera atacando en la vida real, tendrías opciones:

  • Correr
  • Defenderse

Yo diría que esta es una situación similar. Si pones las contramedidas adecuadas y sientes que el hacker va a intentar a toda costa piratear tu servidor, yo diría que no te queda otra opción que defenderte a toda costa, o cerrar el castillo y llamar a ayuda.

Explore sus opciones.

  • Aplicación de la ley
  • Autoridades de Internet
  • Cierre del sitio
  • Tomando el control del sitio
  • etc.

Yo diría que si toma el control o cierra el sitio, este hacker puede (probablemente tomará) represalias contra

Debería

  • Recopilar registros
  • Obtener información sobre el hacker
  • Dirección IP, etc. - cosas que puede hacerlo pasivamente
  • Autoridades de contacto

Las autoridades policiales y de Internet tienen recursos que usted puede o no tener. Están preparados para este tipo de ataques y las represalias que conlleva rastrearlos.

No sabes quién te está pirateando o cuántos recursos tienen a su disposición.

Entonces, a menos que seas algo así como una Penélope García, no recomendaría ir cara a cara con un hacker en su propio vecindario.

¿Qué tal simplemente bloquear la IP en su firewall?
@schroeder, Creo que se incluye en "etc.", ¿no es así? Sé que realmente no insinué en esa dirección. El bloqueo de IP es una batalla sin fin si el Hacker insiste en atacar su sistema, puede tener acceso a otras IP o puede falsificar su IP.
#5
-3
AgonyOfVictory
2015-01-31 05:40:17 UTC
view on stackexchange narkive permalink

Obviamente, la apuesta más segura sería hacer lo que la mayoría de los que respondieron ya han sugerido, registrar y notificar los recursos apropiados para cerrarlo ... pero eso no es divertido, ¿verdad?

¿Los ataques en curso deberían ser de tipo activo en contraposición a los tipos de ataques de botnet automatizados (que suena más cercano a lo que está tratando ... y tengo poca familiaridad con esta vulnerabilidad en particular), El objetivo del atacante en vivo es penetrar en su sistema y tal vez tomar algo valioso, luego toser jugué con la idea de tomar represalias con un BearTrap (piense en un honeypot que lleva a carga útil maliciosa). Legalmente, eso es un poco menos sencillo ahora, ¿no es así en comparación con una acción de adquisición activa? ... aunque mucho más sofisticado.

Si ingresas a mi casa, robas mi caja fuerte y, al abrirla, explota. en tu cara entonces, oye ...

Por supuesto, esto probablemente invita a una represalia mayor y más motivada al final ... pero las líneas morales y legales son mucho más borrosas ...

Si colocas una trampa explosiva en una caja fuerte y estalla en la cara de un posible ladrón de cajas fuertes, serás acusado y probablemente condenado por intento de asesinato. La autodefensa se limita a lo que se conoce como "fuerza razonable", y solo en presencia de una amenaza inmediata. Hacer estallar un ladrón de cajas fuertes falla en ambas pruebas, al igual que el contraataque de un atacante.
el tema de la legalidad relacionado con la creación de un honeypot no el seguro ANALOGY ... pensé que sería obvio pero aparentemente no para todos. No creo que poner una bomba en una caja fuerte que explote al abrirse solucione nada. Para ser claros, me refiero a la idea de que alguien robe algo que podría no ser tan beneficioso como cree. Debería contratar al peor abogado para
Veo que es muy difícil probar alguna intención de hacer daño con un código "experimental" robado ... eso es una mierda del tipo Informe de Minorías ...
A nadie le importa tu código, e incluso si lo hacen, es el código fuente lo que quieren, no los binarios. La posibilidad de que alguien ejecute su código malicioso en su máquina es mínima. Lo más probable es que lo ejecuten en * su * máquina, ya que lo que generalmente buscan es la capacidad de lanzar futuros ataques contra terceros de forma anónima y sin consumir su propio ancho de banda y CPU.
Probablemente sea cierto, pero no es inaudito y técnicamente posible. Todas las intrusiones no son iguales, no sobrestimaría el promedio. la sofisticación del atacante ya sea ... ** Honeypot pica a los atacantes con contraataques **: http://www.darkreading.com/vulnerabilities---threats/honeypot-stings-attackers-with-counterattacks/d/d-id/1139424? "Los honeypots agresivos y ofensivos son un concepto controvertido y las ramificaciones legales son complicadas. Sintsov, quien presentó los hallazgos de su experimento honeypot en Blck Ht Europe este mes en Amsterdam, dice que las cuestiones legales están pendientes de interpretación ..."


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...