it-swarm-korea.com

반격하는 것이 적절합니까?

웹 사이트 나 시스템이 공격을받을 때 수동적으로 공격을 처리하는 것이 아니라 공격자에 대해 자동으로 조치를 취해야하는 시나리오가 있습니까? 그렇다면 어떤 답변이 적절하고 합법적입니까? 야생에서 일어나는 일의 예 (좋거나 나쁜)가 있습니까?

20
VirtuosiMedia

지리적 위치, IP 주소, 네트워크 경로를 결정하는 것과 같은 수동 검색은 아마도 좋은 생각 일 것입니다 (공격이 시작된 위치를 이해하기 위해).

업데이트 : 실제로 대규모 기관의 경우 공격이 대규모 조직 공격인지 아니면 단순히 방어를 테스트하는 고독한 해커인지 확인하는 데 필수적입니다. 어느 쪽이든 아마도 배포 될 것입니다. 두 경우 모두 방화벽을 추가로 잠그는 데 유용한 정보를 제공합니다.

귀하가 거주하는 국가의 법적 프레임 워크에 따라 자신의 적극적인 네트워크 공격 (예 : DOS 또는 바이러스)으로 공격에 보복하는 것은 불법 행위로 간주됩니다.

20
Anonymous Type

반격은 멋진 아이들이하는 일입니다! > :)

법률에 관해서는 http://lawmeme.law.yale.edu/static/pastevents/digitalcops/papers/karnow_newcops.pdf (2005)에서이 스 니펫을 가져 왔습니다.

"결론 성가신 법 하에서도 모든 반격 (또는"자조 "노력)이 자동으로 면제되는 것은 아닙니다. 이는 정당하고 성가신 일에 비례해야하며 자기 방어에 대한 유사한 요구 사항과 관련하여 논의한 문제 여야합니다. 항상, 고대의 doctrine 새로운 기술에 의해 투사 된 빛은 조명과 그림자 모두를 생성 할 것입니다. 법원은 분석에 "퍼지"하고 선례를 위해 투쟁하며 때로는 잘못된 것을 테스트합니다. 한 사람은 버전 1 (새 소프트웨어)을 출시하고 싶지만, 아무도 법정에서 테스트 케이스가되기를 원하지 않습니다. 외과의가 복잡한 다중 장기 이식을 고려할 때 흥미로운 사례라고 말할 수 있듯이 환자가 좋아하는 것이 아닙니다. 듣다."

진지하게 생각해 보면 언제 방아쇠를 당길 준비가되었는지 궁금해 할 정도로 나쁜 핵백 시나리오가 너무 많습니다. 예를 들어, 역습 한 시스템 중 일부가 실수로 봇넷 무리의 일부였던 중요한 병원 시스템이라는 사실을 나중에 알기 위해 봇넷 공격을 막기 위해 해킹하면 어떻게 될까요?.

예와 관련하여 Richard Bejtlich blogged 2005 년 :

"저는 스트라이크 백 아이디어에 동의하지 않습니다. 그것이 자경단 판사로 넘어 간다고 믿기 때문입니다. 팀의 문서는 모두 스트라이크 백이 실제로 얼마나 위험한지 보여주는 Welchia 웜보다 이전 날짜임을 말하고 있습니다. Blaster 웜을 비활성화 할 목적으로 라이브 시스템을 검색 할 때 Welchia로 인한 치명적인 ICMP 트래픽을 기억하십시오. "

16
Tate Hansen

저에게 가장 큰 질문은 "반격"에서 무엇을 성취하고 싶습니까?

모기에 쏘이면 죽일 거에요.하지만 모기가 사라지면 들판을 가로 질러 쫓지 않을 거예요. 벌집을 지키고있는 꿀벌 떼에게 공격을 받으면 두드리지 않을 것입니다. 도망쳐 서 자신을 보호하겠습니다.

반격의 위험은 다른 답변에 잘 나와 있지만 반복하겠습니다.

  1. 합법성-귀하의 반응은 불법 일 수 있습니다.
  2. 부수적 피해/조 일자리-당신의 반응은 비교적 무고한 제 3 자에게 해를 끼칩니다

개인적으로 선택한 반응 :

  1. 내 사이트에 적절한 수준의 보안을 유지하여 공격의 성공 가능성을 줄이십시오.
  2. 공격에 대한 정보를 수집하여 심각도를 평가합니다.
  3. 잠재적으로 IP를 차단하거나 대역폭 플러드 공격 인 경우 ISP가 IP를 차단하도록합니다. 이렇게하면 사이트에 대한 악의적이지 않은 트래픽 (부수적 손상)도 차단 될 수 있지만 대부분의 피해는 타사가 아닌 사용자 (트래픽/액세스 감소)가됩니다.

핵백은 또한 새로운 유형의 공격 인 Kallisti로 이어집니다. "Joe Jobs"는 공격 소스를 스푸핑하여 방어자가 스푸핑 된 소스를 공격하도록 속입니다. "Kallisti"공격은 "실제"공격을 숨기거나 혼돈을 유발하는 노이즈를 생성하기 위해 2 개 이상의 사이트간에 해킹 루프를 발생 시키려고합니다. (에리스 만세)

11
Shewfig

관련 대응은 공격자를 유인하고 성공했다고 생각하도록 허니 트랩을 설치하는 것일 수 있습니다. 추적하는 동안 시간과 노력을 낭비하게하십시오. 할리우드 영화의 나쁜 대본처럼 들리지만.

8

네덜란드의 흥미로운 사례가 여기에 적절합니다.

네덜란드 경찰 (KLPD)은 대형 봇넷을 실행하는 일부 서버를 중단했습니다. 그들은 이제 봇넷을 사용하여 컴퓨터 소유자에게 감염되었음을 알리는 메시지를 보내는 것이 합법적이라고 생각했습니다.

실제로 합법적인지에 대한 논의가 있지만 대부분의 사람들은 그것이 윤리적 인 일이라는 데 동의한다고 생각합니다.

이 사건은 회사가 직면하는 것과는 상당히 다르지만, 경찰이이 사건을 이미 합법적이지 않다고 의심한다면, 공격자에 대한 어떤 조치도 취할 수 있는지 궁금해 할 것입니다.

7
Peter Smit

범죄자가되어 자신, 조직 및 전체 생계를 법적 조치의 위험에 처하게하는 것이 적절합니까? 이것은 가면을 쓴 총잡이가 당신을 싸움이나 도피 상황에 빠뜨리는 경우가 아닙니다. 예, 인터넷 기반 공격자가 병원에 ​​중요한 시스템에 대한 공격 등을 통해 인간의 생명을 위협하는 시나리오를 만들 수 있습니다. 그러나 이러한 상황에서도 물리적 인 교류에서와 동일한 반력이 적용되는 것을 정당화하는 선례는 없습니다. 공격 할 시스템은 악의적 인 목적으로 도용 된 무고한 서비스 제공 업체 또는 최종 사용자 일 수 있습니다. 도난 당하고 은행 강도에 사용 된 자동차에 불을 지르는 것과 다를 바가 없습니다.

공격자가 악용하는 구멍을 즉시 막으십시오. 즉시 관련 당국에 사건을보고하십시오. 당신의 감정이 당신의 공격자와 같은 수준으로 구부러 지도록 설득하지 마십시오.

7
Wesley

고려해야 할 또 다른 요점은 악당들이 당신의 역습을 무너 뜨릴 수있는 방법입니다.

예를 들어 스푸핑 된 IP 주소를 사용하여 악성 패킷을 보낼 수 있습니다. 알고이를 감지하고 보복 공격에서 공격의 소스 또는 실제로는 실제로인 무고한 서버를 공격합니다. _ 스푸핑 된 IP에 등록되었습니다.

따라서 그들은 yo를 사용하여 피해자 인 스푸핑 된 제 3자를 공격하고 있습니다.

잊지 마세요. 공격을받은 회사는 이제 서버가 서버를 공격하고 있다고 믿을 것입니다. 당신이 그렇게하려는 이유가 있다고 믿었다는 사실은 신경 쓰지 마십시오. 그것은 당신이 그들을 적극적으로 공격하고 있다는 사실과는 무관합니다. 그리고 그들은 고소 할 이유가있을 것입니다.

흥미로운 시나리오는 제 3 자 피해자가 반격하도록 구성된 경우입니다. 그렇다면 물론, 당신은 그들의 서버로부터 실제 공격을 받게 될 것입니다. 이번에는 진짜이지만, 물론 그것은 당신의 잘못이었습니다.

양측 모두 실제 피해가 발생하기 전에 서로를 처리 할 것입니다 ... 둘 다 확대 및 확장을 선택하지 않는 한 ... 그들은 전체 개입을 중단 할 수 있습니다!

5
AviD

대답은 확실히 아니오입니다.하지 마십시오.

웜이 사용자를 공격하는 시나리오를 상상할 수 있습니다. 웜이 취약성 X를 통해 확산된다는 것을 알고 있기 때문에 공격하는 모든 컴퓨터에 취약성 X가 있음을 알고 있습니다. 취약성 X를 사용하여 감염된 사용자에 액세스 할 수 있습니다. 사용자에게 경고하거나 종료 할 수도 있습니다.

이것이 도덕적으로 허용되는 일이라고 생각할 수도 있지만 매우 위험한 상황입니다. 당신이 한 일이 잘못되면 어떻게 될까요? 웜이 원인이 아닌 데이터 손실로 이어 지거나 다른 방식으로 사용자에게 보복하려는 원래 웜 제작자를 화나게합니다. 대부분의 관할권에서도 불법 일 가능성이 높습니다.

1
rjmunro

귀하가 공격의 피해자 인 경우 귀하의 상황은 현재 다음과 같은 상황을 의미합니다.

  1. 문제;
  2. 법의 보호;
  3. 도덕적 고지.

"반격"함으로써 당신은 세 번째를 잃고 아마도 두 번째를 잃을 것입니다. 그러나 반드시 문제를 제거하지는 않습니다. 반격은 대부분의 국가에서 불법입니다. 경찰의 도움을 요청하는 것을 막을 수 있으며, 더 중요한 것은 보험을 무효화 할 것입니다 (귀하의 보험 회사가이를 신속하게 지적 할 것입니다). 마지막으로, 보복은 방관자에게 해를 끼치고 처음 시작한 것보다 더 큰 문제에 빠질 수 있습니다.

그래서, 그럴 가치가 없습니다. 수동적 보호를 사용하고 경찰에 신고하십시오.

1
Thomas Pornin

스탠포드 온라인 과정 학생들을위한 연설에서 Ivan Orton (IT 범죄 전문 선임 검사)가 언급 한 훌륭한 예가 있습니다. 웹 사이트) :

시애틀에 부티크 중개 회사가 있다고 상상해보십시오. 부티크는 적은 수의 고객, 높은 가치의 계정 및 고객이 자신의 계정에서 적극적으로 거래하는 것을 의미하며, 부티크 회사가 실시간 견적, 실시간 거래 정보 측면에서 웹 사이트를 통해 제공하는 서비스에 의존합니다. , 트렌드 분석 및 회사가 제공하는 모든 종류의 서비스. 세 가지 일이 동시에 일어나고 주식 시장이 시애틀의 12 : 25,25에 극도로 변동하는 전형적인 트리플 위칭 금요일 중 하나에 해당하는 회사의 시스템이 다운됩니다. 뉴욕의 증권 거래소. 시스템이 다운되어 활성 또는 실제 거래 정보가 없거나 견적 정보가없고 거래를 할 수있는 능력이 없으며 모든 추세 분석 및 기타 사항이 다운되어 사용할 수 없습니다. 상사는 comp-sys 분석을 통해 비명을 지르며 무슨 일이 일어나고 있는지에 대해 말합니다. 그리고 시스템 분석가는 IP 주소를 빠르게 살펴보고 자신의 도구 중 일부를 사용하며 특히 오레곤 대학의 컴퓨터와 라우터에서 발생한다고 말합니다. 사장님은 지금 당장 라우터를 종료하십시오. 그리고 그 사람은 그 라우터가 무엇과 관련이 있는지 모르겠습니다. 나는 내가 무엇을하게 될지 모른다. 사장님은 35 분 동안 만 종료하면됩니다. 백업을 다시 시작할 수 있으며 35 분만에하던 모든 작업을 중지 할 수 있습니다. 그러나 우리는 1:00까지 시스템을 백업해야하므로 압력을받는 사람은 라우터를 종료합니다. 음, 라우터는 실제로 University of Oregon 의료 시스템과 관련된 라우터이며, University of Oregon의 환자가 가지고있는 모든 약물 상호 작용을 나열하는 데이터베이스 배포를 제어하는 ​​라우터입니다. 그리고 그 당시에 알려진 환자 인 환자가 응급실에 들어 와서 시스템에 있습니다. 그리고 그의 시스템에서 그의 데이터에는 두 가지 약물 상호 작용의 징후가 있습니다. 즉, 높은 알레르기 반응을 보입니다. 그는 첫 번째 방어선이 그러한 약물 중 하나 인 상태를 가지고 있습니다. 의사가 데이터베이스에 접근하려했지만 정보를 찾을 수 없었고 그 사람은 진짜 위급 한 상황에있어 약물 중 하나를 투여하고 사망했습니다. 그런 다음 시스템이 다시 백업되고 모든 것이 엉망입니다. 그것은 급진적 인 시나리오입니다.

가족은 오레곤 대학 의료 시스템에 소송을 제기합니다. University of Oregon Medical System은이 모든 것을 알게 되었기 때문에 시애틀의 부티크를 고소합니다. 부티크는 무엇을해야합니까?

이 질문을받은 후 그는 비 전자적 Word에서 다른 유사한 시나리오에 대해 많은 것을 말하고 (여기에 입력하기에는 너무 길지만 누군가가 원하면 나는 그렇게 할 것입니다) 결국 그는 다음과 같이 말했습니다. 적극적인 방어를 사용하고 싶을 수 있습니다. 그리고 당신은 그것과 관련된 어떤 책임이있을 수 있고 명심할 수 있습니다. 그러나 지금 당장은이 문제에 관한 명확한 법이없고 배심원들에게 많은 것이 달려 있습니다. (이것은 그의 말이 아닙니다-이 문제에 대한 그의 7 분 이야기를 단축하는 것입니다. )

이것이 적극적인 수비 상황이 얼마나 불분명한지를 분명히 해주길 바랍니다.

0
Salvador Dali