我不是安全识字者,如果是,我可能不会问这个问题。作为一名常规的科技新闻追随者,我真的对Anonymous(黑客组织)的愤怒感到惊讶,但是作为一个批判性的思想家,我无法控制自己的好奇心,以弄清楚他们到底在做什么?坦白说,这群人真的吓到我了。

我不了解的一件事是他们还没有被抓住。即使他们欺骗或通过代理,他们的IP地址也应该是可跟踪的。



他们欺骗的服务器应该在其DDOS中记录了这些家伙的IP。日志。如果政府。问公司(拥有服务器的公司)是否不提供日志?
即使这是这些人拥有的私有服务器,IANA(或组织的所有人)也没有购买和注册服务器的人的地址和信用卡详细信息吗?
即使他们没有这些信息,ISP不能追溯到这些数据包的起源吗?

我知道,如果像我说的那么简单,政府将早已捕获它们。那么他们到底有多能逃脱呢?

PS:如果您觉得有什么可以启发我的资源,我将很高兴阅读它们。

[更新-当提及Lulzsec组,因此已在其中添加了指向Wikipedia页面的快速链接]

评论

不能捕获Anonymous,因为名称合适-它不是一群人,基本上是志同道合的人聚在一起,没有任何真正的命令结构,因此无法相信。您可以捕获单个成员(并且他们有) ,但是因为没有群组,所以您无法抓住它。

@Phoshi,根据定义,是一个小组。只是一个没有组织的小组。

@Steve;好吧,是的,在任何一点上都有一个“匿名者”,但是人们自由地加入和离开而没有任何记录,而且根据定义,所有“调查”都是反动的,因此,进行任何攻击的单一团体已不复存在。您可以,而且他们已经逮捕了个人,但您无法抓住永远保持一致的群体。

“这群人真的吓到我了。” –冒着政治危险的危险……但此刻应该真正使“匿名者”的敌人吓到你了。 Anon基本上是一堆朋克。但是其他人……他们才是真正的酒鬼。如果Anon尚未入侵HBGary电子邮件,那么……哇!格里森(Grisham),卢德卢姆(Ludlum)和克兰西(Clancy)……相比之下,他们什么都不是。

另请参阅战争中的黑客:网络忍者,匿名者,LulzSec-Computerworld Blogs

#1 楼

我的回答戳了原来的问题。是什么让您认为他们没有被抓住?

中央情报局和国防部发现了乌萨马·本·拉登。

典型的手段包括OSINT,TECHINT和HUMINT。可以对Tor进行取证。安全删除工具(例如sdelete,BCWipe和DBAN)并不完美。 GPG和Truecrypt等加密工具并不完美。

在线通信也许是乌萨马·本·拉登(Osama bin Laden)的最大优势(他的信使使用USB闪存驱动器上的电子邮件前往了很远的网吧)和Anonymous / LulzSec的最大弱点。他们通常使用未加密的IRC。您认为他们至少会使用通过Tor的OTR和指向IM通信服务器的SSL代理,而不是通过出口节点的明文通信。

它们常用的工具,例如Havij和sqlmap当然可以适得其反。也许Python VM中存在一个客户端漏洞。 Havij中可能存在客户端缓冲区溢出。也许这两个都有后门。

由于这些团体的政治性质,将存在内部问题。我最近看到一些消息,说四分之一的黑客是FBI的线人。

“捉住”任何人并不困难。这些论坛上的另一个人建议我观看Defcon演示文稿中的视频,演示者使用Maltego中的高级转换功能跟踪尼日利亚的骗子。 Maltego和i2 Group Analyst的Notebook的OSINT功能相当有限。一点提示;一个OPSEC的小错误-并发生了逆转:现在正在狩猎猎人。

评论


我喜欢这个答案,并会在2小时内将其投票(很抱歉达到了当天的投票上限:-)-这很不错。西班牙和土耳其执法部门逮捕了他们所说的匿名人士。但是,由于成员不一定认识任何其他成员,因此不太可能导致所有成员被捕获。特别是因为成员可以随意加入-没有这样的“成员资格”,因此只要人们声称自己可以加入,该小组就可以继续。

–Rory Alsop♦
2011年6月15日在21:03

奇怪的是合适的用户图片。

– StrangeWill
2011-12-15 18:33

Truecrypt,如果使用正确,是不是很完美?隐藏卷呢? truecrypt.org/docs/?s=隐藏卷

– Marek Sebera
2012年5月18日在17:28

这个答案有些误导。诸如TrueCrypt,DBAN等的工具。从理论上讲可能并不完美,但是它们足够完美,可以100%地结束所有调查。根据我们所掌握的信息,除了精心控制和有限的学术背景之外,没有人会利用这两种产品之一的缺陷。人们以与攻击者剥削受害者相同的方式被捕。

– tylerl
2012年9月15日在21:41

@atdre如果您仍然知道在哪里找到它,可以链接到该视频吗?我将非常有兴趣观看它!

–凯文·沃恩(Kevin Voorn)
15年1月23日在14:57

#2 楼

从一些执法和取证经验中,我可以说最大的问题之一就是ISP确实不想跟踪用户。一旦他们超出一定程度的管理,他们就会失去“共同承运人”的地位,并对客户的许多可能行为承担责任。

此外,许多国家/地区不希望将信息传递给另一个国家-尤其是可能反对西方文化或西方干扰的国家。

在互联网上隐藏几乎所有内容非常容易。

关于以下三点:



服务器应具有IP地址-否-这很容易欺骗或擦除

私有服务器-不太可能,虽然可能-但是不会
使用他们的信用卡

ISP的踪迹-不会发生-它不会对ISP产生负面影响,而且太难了

更新毕竟这可能发生-http://blogs.forbes.com/andygreenberg/2011/03/18/ex-anonymous-hackers-plan-to-out-groups-members/

评论


由体面的安全专家设置的任何服务器都会不断地将其日志镜像到另一台或多台服务器,这使攻击者很难清除它们。再说一次,任何优秀的攻击者都不会使用自己的IP攻击盒子。

–mrnap
2011-2-23在17:13

#3 楼

此类攻击最重要的方面之一就是掩盖您的足迹。有许多不同的方法可以执行此操作,这取决于技术。要解决您的特定问题:

当他们进行DDoS时:如果洪水来自他们自己的计算机,那么跟踪它们将非常容易。问题在于他们没有使用自己的机器。他们要么是a)未经许可控制他人,要么b)促使某人代表他们这样做。后者就是Wikileaks攻击所发生的情况。人们签署了此协议。

当服务器位于通常不响应日志请求的国家/地区时,事情开始变得棘手。如果被攻击的公司在美国,如果可以证明攻击源于美国,则很容易获得法院命令。如果这是美国的目标,但攻击源于俄罗斯或中国,该怎么办?购买记录也是如此。

由于害怕...那里有很多这样的团体。其中大多数是(我不想说无害,但...)无害。在这种特殊情况下,有人戳了熊,熊生气了。

编辑:不是我宽恕了他们的行为,等等等等。

评论


+1关于外国机器的好点,以及我忽略的DDoS僵尸网络。

–清除
2011年2月21日在19:12

#4 楼

除了已经给出的答案之外,很难捕获匿名的另一个原因是,从字面上看,匿名可以是任何人。我的意思是两种。首先,黑客可以使用恶意软件,间谍软件和漫游器的组合来访问和使用/遍历世界各地的其他计算机。因此,从理论上讲,使任何计算机都可以匿名运行即可。其次,忠实于匿名,任何黑客,无论身在何处,使用任何方法或样式,使用任何随机活动模式,都可以使其遭受攻击并自称为匿名。因此,对于政府/主管部门而言,按模式,样式或签名跟踪活动是极其困难的,因为由于攻击性质的变化,它总是在变化,因为正如我之前所说,它实际上可能来自任何人。 br />
基本上,

匿名不是一个人...
匿名不是一个人...

匿名无处不在...
匿名者可以是所有人,也可以没有人...

不幸的是,名字的性质,唯一性和天才。

#5 楼

黑客可以通过多种方式来掩盖自己的足迹。.

这是一个非常普遍的示例:

黑客可以破坏第三方机器并使用它进行攻击代表黑客。由于系统受到威胁,黑客可以删除/修改日志。黑客还可以piggy带计算机,例如,从计算机A登录到计算机B,从计算机A登录到计算机B,从计算机B登录到计算机C,从计算机C攻击计算机D,然后清除计算机C,B和A的日志。

这甚至都没有考虑到被黑客入侵的互联网帐户(因此,即使追溯到他们指向的是另一个人),打开代理等,等等。 />
我知道上面的内容并非完美无缺,但就像我说的那样,这只是一个非常非常普通的示例。有很多方法可以掩盖您的足迹。

那是什么使您确定某些3个字母的代理机构不知道它们中的很多是谁,但也没有采取任何行动我相信其他人可以更彻底地解释他们,但我认为要学习的最终教训是,与特定的黑客和其他人减少对自己的关注黑客小组,以及更多具有您自己的安全性的小组。他们最近的声名claim起是因为尝试将其作为SQL Injection漏洞而修复(这并不是新事物,没有得到很好的记录和理解),这对于被黑的未具名的“安全公司”来说是巨大的声誉。怒吼

#6 楼

好吧,我对上面提到的一些帖子提供了不正确的信息,但我认为我应该只发表自己的回复以更好地解释。

匿名基本上由两个子组组成:


只拥有最基本的安全知识,并且只是坐在IRC中并且基本上是攻击的伪装的“小子”(脚本小子)和新手。这些是联邦调查局(FBI)敲门的人。
一个匿名的核心领导层,一个拥有一些黑客知识的组织,拥有hbgary,但最近又被忍者黑客小队拥有。除非您是安全专家,否则将无法跟踪此子组。

他们如何隐藏自己的足迹?

像前面提到的回答者一样,



通过Tor之类的代理服务器,破坏了机顶盒并发起了攻击这些框(基本上是伪装为该人的IP),或者使用在国外且不保存任何日志的VPN来

。使用VPN,您的所有流量都将通过该中继进行中继,因此无论连接到哪里,它都只能将IP addy追溯到VPN本身,而​​不能再追溯(除非VPN保留日志,在这种情况下您无论如何都不应该使用它)。

希望这有助于澄清一点。

评论


@Sparkie我自己没有参与过“研究”,也没有对这种情况的当前投资。但是,2010年12月12日的pastebin.com/LPHBuQys(自有和公开的问题2)似乎暗示它们确实存在。您是否拥有比这更可靠的信息,或者只是在进行宣传? :)

–mrnap
2011-2-23在22:32

只是要清楚。可能存在具有自称为匿名并声称代表匿名发言的层次结构的组,甚至可能是匿名的-但匿名不是该组。匿名者是任何人-您,我,您旁边的人。除了匿名之外,没有其他条件。您不需要邀请即可匿名创建自己的网站,也不需要其他匿名人员加入您的事业。阅读以利的答案。

– Sparkie
2011-2-23在23:34

啊。我明白您在说什么,理论上我同意。但是,OP专门讨论了“匿名者”这个黑客组织以及“这个组织真的让我感到恐惧”,这是这些漏洞背后的核心领导小组(也请参见th3j35t3r的博客),因此,我们要讨论匿名意味着什么的理论。在这种情况下非常无关紧要。

–mrnap
2011-2-23在23:42

这不是无关紧要的。您谈论的“黑客组”只是一个组,还有其他类似的组。您可以是自己的黑客匿名组。关键是,如果有人设法渗透并撤下该小组,那么他们就不会撤下匿名组织。另一个匿名组将替换它。这就是为什么不可能取消匿名的原因。您只能删除一小部分,并且由于没有最终的层次结构,因此您无法拆除“结构”-没有任何结构。

– Sparkie
2011-2-23在23:49

@Sparkie那一小部分将是核心领导。并不是说黑客现场有大量知识渊博,有组织的团体自称为“匿名者”。是的,任何人都可以做到,但是在这种情况下(请参阅链接的维基百科文章),它基本上是一个专注的小组。同样,请阅读th3j35t3rs博客以获取有关我在说什么的更多信息。知识渊博的“匿名”团体通过这种口头禅提及自己,并非一夜之间就崛起。从理论上讲,您是对的,在实现上,在这种情况下,情况完全不同。

–mrnap
2011-02-25 4:43



#7 楼

关于DDoS的事情是您使用他人的IP,而不是您自己的IP。在Internet上变得不可追踪相对简单-只需通过不保留流量日志的主机路由流量即可。作为经常要追踪这些人的人,我可以告诉你这是一场不可能的噩梦。这是我经常看到的模式:


在某些Web软件包(例如joomla扩展名)中选择一个相对较新的漏洞。
使用google找到适当的易受攻击的目标
/>从无法追踪到您的某个位置(例如咖啡店),执行攻击以控制易受攻击的服务器,但不要做任何其他会引起您注意的事情。 (加分点,解决漏洞,使没人在您身后)。删除所有可能追溯到您的假定位置的日志。
重复以上操作,通过以前受到威胁的服务器中继流量。再次重复几次,直到您从将作为代理的计算机上删除了多个步骤。理想情况下,这些服务器应位于中国,印度,巴西,墨西哥等国家,那里的数据中心技术往往不配合调查工作,并且都应位于不同的国家,以为试图这样做的人们创建管辖权和通信噩梦跟踪您。

恭喜,您现在在Internet上是匿名的。有点像Tor,只是没有一个节点知道他们正在参与。通常,这些攻击者在没有保留任何日志或记录的服务器上设置并使用后门(因为该后门可能不存在)。一旦攻击者断开连接,该链接将变得永久不可追踪。

一跳会大大降低您被检测到的机会。两跳使检测几乎不可能。三跳,甚至都不值得付出努力。

#8 楼

也许您应该阅读此PDF。他们不是那么匿名。用于DDOS的LOIC工具会泄漏使用它的人的原始IP。您可以使用同一工具的浏览器(JavaScript)版本,也许躲在Tor后面。

HBGary Federal在该PDF中公开了它们的名称和地址。这就是为什么他们攻击他的网站,发送电子邮件,擦除他的iPad,接管他的Twitter等的原因。在Twitter上搜索#hbgary主题标签以获取更多信息。

评论


实际上,您是不对的,HBGary只是个渴望电力的白痴。阅读此内容:wired.com/threatlevel/2011/02/spy

–mrnap
11年2月23日在17:01

您还应该指出,HBGary调查中的“公开”名称和PDF从未得到确认。

– jamiei
2011-2-23在17:32

祝您好运,将IP地址链接到RL人员并留在法庭上...用配备WiFi的笔记本电脑匿名连接互联网非常容易...

–布鲁诺·罗埃(BrunoRohée)
11年4月23日在20:37

#9 楼

一些帖子讨论了寻找这些团体背后人员的技术困难。当使用许多机器来创建匿名感时,回溯他们的活动绝非易事。

另一个非常重要的方面是,警察,全球情报界和不同县的立法是并非真正能够处理这些情况。因此,如果您在一个国家/地区找到一台服务器,该服务器曾被用来跳到另一国家/地区的服务器,则花费很长时间才能通过适当的渠道来获取当地警察的信息。即使您这样做,诸如日志之类的信息也不会始终保留较长的时间。

非法浏览Internet很容易,但是以合法方式浏览Internet要慢得多。尝试查找这些组时,这是一个非常禁止的因素。

#10 楼

这是本月发表在《科学美国人》网站上的一个问题,只是在问(和回答)这个问题。这个问题的简短答案是欺骗源地址和使用代理。

评论


欢迎光临本站!您不仅可以发布链接,还可以添加一些摘要甚至引号(如果源站点允许复制内容)。请参阅常见问题解答,以及如何回答...

–AVID♦
2011-6-15 18:44



#11 楼

还没有提到一件事:人为因素。

这些小组没有这样的层次结构,而是围绕着一套想法形成的。在大多数情况下,唯一的共同点是“政府错了,我们必须通过黑客手段伸张正义”,这种感觉可能只会变得越来越强烈,而美国政府(自身受到企业的压力)正在施加当前压力。在掩盖之下的其他国家/地区通过严厉的法律,禁止言论自由,这可能损害上述公司。

因此,这里的巨大吸引力(尤其是匿名人士)是,如果您拥有知识并憎恨政府(谁没有呢?),您可以自己加入,也可以自己承担费用,并承担风险。

为了了解这种思想的出处,我推荐电影/漫画小说《 V for Vendetta》,他们从中拿走了你经常看到的那个面具。

当然,有些团体的英雄意图要少得多。 LulzSec曾是“一切为了lulz”。

最重要的是,他们可能会吸引每个小组的一些成员,但还会有更多成员出现。

评论


我认为这很大程度上取决于最近被抓到的句子。知道没人会去找你,造成巨大破坏是一回事,而知道道路的尽头是在联邦监狱中服刑15年,则是一回事。

– StasM
2012年3月20日17:16

@StasM我认为实际的顽固黑客将由联邦调查局雇用。他们逮捕了一群青少年,我怀疑他们实际上已经逮捕了几名4chan的追随者,并吹嘘了该小组的胜利,但看上去并不那么me脚。

–卡米洛·马丁(Camilo Martin)
2012-03-20 17:24

#12 楼

可以捕获黑客,匿名则不能。匿名者是这样一个失败的集体,以至于执法部门对其个别黑客的打击并没有造成实质性损害。但是,它的确会对试图这样做的任何组织做出猛烈的反应。这意味着


仅通过捕获其成员来消除匿名是非常困难的。
匿名将使尝试的任何人都很难受。

所有匿名者要做的是继续“追赶”其成员继续是“不值得的努力”,它将继续免费。但是,他们玩危险游戏。如果公众认为他们足够令人讨厌,那么突然发现并追赶其成员,并承受匿名者的反击,将是值得的。