Med nyheder om russiske hackere, der påvirker det amerikanske præsidentvalg, har mange i medierne spekuleret på, hvordan vi identificerer hackere. Der er en række måder, hvorpå cybersikkerhedseksperter kan finde kilden bag et hack.

IP-adresser

Den første og mest oplagte måde at spore en hacker på er med deres IP-adresse. Nu vil enhver hacker, der er værd for deres salt, bruge en IP-adresse, der mangler meningsfuld information. De arbejder over Tor, over en VPN, eller måske endda i et offentligt rum. Men lad os antage, at hackeren vi vil spore, er usædvanligt uerfarne, eller de har ved et uheld udsat deres IP-adresse. At finde dem ved deres IP kan virke sådan:

1. Hackeren opnår succesfuldt deres mål (uanset hvad det måtte være), men efterlader logfiler, der viser netværksadgang fra en bestemt IP-adresse.

2. Virksomheden eller individet, der blev hacket, overfører disse logfiler til retshåndhævelsen.

3. Retshåndhævende myndigheder anklager internetudbyderen for at finde ud af, hvem der ejer den IP-adresse, eller hvem der brugte det på tidspunktet for angrebet. Undersøgere kan så forbinde denne IP-adresse med en fysisk placering.

4. Efter at have modtaget en warrant, rejser investigators til den fysiske placering angivet af IP-adressen og begynder deres undersøgelse.

5. Hvis vores hacker var rigtig dum, vil efterforskerne finde tegn på hack overalt. Hvis det er tilfældet, vil det være en kort retssag, før hackeren bliver sendt til fængsel for hans eller hendes forbrydelser.

Selvfølgelig vil de IP-adresser, der er opnået ved lovhåndhævelse, ikke vise dem hvor som helst, hvor de fleste hackere arbejder bag proxy. Det betyder, at de bliver nødt til at bruge andre teknikker eller vente på hackere at lave en fejl.

Følgende brødkrummer

Når man undersøger en dygtig hacker, kommer computermedicin ned til at lede efter små fejl og omstændigheder. Du har ikke en IP-adresse, der peger på en stor rød pil i din angriber's hjem. I stedet har du en flok små brødkrummer, som kan hjælpe dig med at gøre et godt gæt om de sandsynlige gerningsmænd.

En hackes kompleksitet kan begrænse potentielle gerningsmænd til højtuddannede operationer. Amerikanske efterretningsorganer registrerer tidligere angreb og korrelerer dem med bestemte hackere, selvom de ikke kender deres navne.

For eksempel kaldte amerikansk retshåndhævelse DNC hacker APT 29 eller Advanced Persistent Threat 29. Vi kan muligvis ikke kende hans eller hendes navn og adresse, men vi kan stadig tildele hacks til ham eller hende baseret på hans eller hendes stil, modus operandi og softwarepakker.

Den type softwarepakke, der anvendes i hacket, kan tilbyde et "signatur" -mønster. For eksempel bruger mange hackere højt tilpassede softwarepakker. Nogle kan endda spores tilbage til stats efterretningstjenester. I DNC-hack fandt retsmedicinske efterforskere, at det SSL-certifikat, der blev brugt i hacket, var identisk med det, der blev brugt af den russiske militære efterretning i 2015-hacket i det tyske parlament.

Nogle gange er det de meget små ting. Måske er det en mærkelig sætning, der gentages i tilfældig kommunikation, der binder hacket tilbage til et bestemt individ. Eller måske er det en lille breadcrumb efterladt af deres softwarepakke.

Det er en af ​​de måder, hvorpå DNC-hackerne kom til at være forbundet med Rusland. Undersøgere af udnyttelsen bemærkede, at nogle af de Word-dokumenter, der blev frigivet af hacket, viste revisioner af en bruger med en russisk lokalisering af Word og et cyrillisk brugernavn. Buggy værktøjer kan endda afsløre en hacker placering. Den populære DDoS utility Low Orbital Ion Cannon havde engang en fejl i den, der ville afsløre brugerens placering.

Gammeldags politiarbejde hjælper også med at finde hackere. Det specifikke mål kan hjælpe med at identificere gerningsmanden. Hvis lovhåndhævelse afgør motivationen bag angrebet, kan det være muligt at tildele politiske motivationer. Hvis hacket er mistænkeligt gavnligt for en gruppe eller individ, er det indlysende, hvor man skal se. Hackere kan muligvis finde penge på en bankkonto, og det kan være sporbart. Og hackere er ikke immun for at "ratte" på hinanden for at redde deres egen hud.

Endelig fortæller nogle gange hackere bare dig. Det er ikke ualmindeligt at se hackere springer på Twitter eller IRC om deres nylige udnyttelser.

Hvis efterforskere kan spore nok brødkrummer, kan de begynde at bygge et mere komplet billede og forsøge at få deres hænder på en meningsfuld IP-adresse.

Arrestere Hackere

Det er en ting at kende kodenavnet på en hacker, men det er en anden ting at faktisk få dine hænder på. Ofte er det en lille fejl at arrestere en hacker. Lulzsec-leder Sabu blev for eksempel fanget, da han forsømte at bruge Tor til at logge ind på IRC. Han gjorde kun fejlen én gang, men det var nok for agenturerne at overvåge ham for at bestemme sin virkelige fysiske placering.

Konklusion

Lovhåndhævelse finder hackere på en forbløffende række måder. Det kommer ofte ned til en lille, men kritisk fejl begået af gerningsmanden.