Как отследить хакера

Question

Итак, я большой поклонник сырых фильмов 90-х о хакерстве (читай Хакеры). Я использую компьютеры всю свою жизнь, что привело меня к обучению в университете по специальности «Компьютерная инженерия». На днях я смотрел знакомый хитрый хакерский фильм, и супер-умный парень-подросток, который работает для ФБР и был нанят, чтобы поймать хакера, поймал хакера на его система. Он продолжал вводить некоторые команды и смог отследить ВСЕ компьютерные прыжки, которые сделал плохой парень, прежде чем устанавливать соединение со взломанным компьютером.

Мой вопрос прост: возможно ли это? Я знаю, что вы можете traceroute пакеты и посмотреть, где они были, но можно ли сделать то же самое для активных подключений к компьютеру? Как охранные фирмы и крупные организации, такие как ФБР, "отслеживают" хакера до его пункта назначения. Предполагая, конечно, он использует несколько прокси по всему миру и, возможно, даже сеть tor .

Более того, как можно было бы исключить возможность отслеживания или сделать его очень трудным для других. Очевидный ответ будет прыгать через столько компьютеров, сколько возможно, прежде чем добраться до места назначения.

Модераторам: я не считаю этот вопрос не по теме. Я спрашиваю о реальных процедурах и использовании современных технологий.

Answer 1

Пожалуйста, взгляните на этот вопрос в Security Stack Exchange, чтобы обсудить, почему такого рода трассировка часто невозможна. Это может быть сделано, если злоумышленники неаккуратны или хвастливы, но, как правило, отслеживание большинства злоумышленников происходит путем отслеживания денег - так же, как это всегда делалось.

Answer 2

У лучших хакеров есть шаги, привычки, процессы, которым они следуют при каждом взломе, которые обычно включают в себя различные комбинации прокси, скомпрометированных компьютеров, временных различий и стран с правовыми политиками laissez faire, касающимися безопасности технологий.

Используя все эти шаги в разных порядках и с запланированными конкретными отклонениями, они могут ввести в заблуждение следователей, запутать их путь, создать несколько тупиков и, как правило, очень трудно их успешно отследить.

Большинство успешных хакеров обладают невероятным терпением и долго смотрят на свои атаки. Хотя некоторые атаки кажутся быстрыми, настройка успешной атаки никогда не бывает.

<rabbit trail>

Вы видели телевизионную рекламу о кибербезопасности Lockheed? Я понятия не имею, почему они создали такой голливудский сценарий для этого 30-секундного ролика, что, как я полагаю, должен сделать их похожими на компетентных специалистов по безопасности.

Единственное, кого это впечатлит, это те, кто считает, что Голливуд предлагает точные изображения технологий и безопасности.

</rabbit trail>

Answer 3

Вы можете легко увидеть все активные подключения к вашему компьютеру, если он не заражен. В Linux используйте "netstat -ta". В Windows используйте Process Hacker или какой-либо другой диспетчер задач. Если хакер использует прокси, вам потребуется доступ к прокси для просмотра его активных соединений. Как правило, это невозможно, если у вас нет доступа к прокси-серверу, который использует хакер.

Если вам интересно, прочитайте это: http://www.cert.org/archive/pdf/02sr009.pdf разделы 8-12. Первая половина отчета в основном говорит, что это действительно трудно отследить из-за того, как работает интернет.