Met nieuws van Russische hackers die de presidentsverkiezingen in de VS beïnvloeden, hebben velen in de media zich afgevraagd hoe we hackers kunnen identificeren. Er zijn een aantal manieren waarop cyberbeveiligingsdeskundigen de bron achter een hack kunnen vinden.

IP-adressen

De eerste en meest voor de hand liggende manier om een ​​hacker bij te houden, is met zijn IP-adres. Nu zal elke hacker die zijn zout waard is een IP-adres gebruiken dat zinvolle informatie mist. Ze werken via Tor, via een VPN, of misschien zelfs in een openbare ruimte. Maar laten we aannemen dat de hacker die we willen volgen, uitzonderlijk onervaren is, of dat ze per ongeluk hun IP-adres hebben getoond. Ze vinden op hun IP-adres werkt misschien als volgt:

1. De hacker bereikt met succes zijn doelstellingen (wat dat ook moge zijn) maar laat logs achter met de netwerktoegang vanaf een specifiek IP-adres.

2. Het bedrijf of de persoon die is gehackt geeft deze logboeken door aan wetshandhavers.

3. Wetshandhavingsfunctionarissen dagvaarden de ISP om erachter te komen wie de eigenaar van dat IP-adres is of wie het heeft gebruikt op het moment van de aanval. Onderzoekers kunnen dit IP-adres vervolgens koppelen aan een fysieke locatie.

4. Na het verkrijgen van een bevel reizen onderzoekers naar de fysieke locatie die wordt aangegeven door het IP-adres en beginnen hun onderzoek.

5. Als onze hacker echt dom was, zullen onderzoekers overal de bewijzen van de hack vinden. Als dat zo is, zal het een korte rechtszaak zijn voordat de hacker voor zijn of haar misdaden de gevangenis wordt ingestuurd.

Natuurlijk, met de meeste hackers die achter proxy's werken, zullen de IP-adressen die verkregen zijn door wetshandhavers hen nergens nuttig vinden. Dat betekent dat ze andere technieken moeten gebruiken of wachten op hackers om een ​​fout te maken.

Breadcrumbs volgen

Bij het onderzoeken van een ervaren hacker komt computer forensisch onderzoek neer op het zoeken naar kleine fouten en indirect bewijs. Je zult geen IP-adres hebben dat een grote rode pijl naar het huis van je aanvaller wijst. In plaats daarvan heb je een aantal kleine broodkruimels die je kunnen helpen een goede inschatting te maken van de vermoedelijke daders.

De complexiteit van een hack kan potentiële daders beperken tot hoogopgeleide medewerkers. Amerikaanse geheime diensten houden gegevens bij over eerdere aanvallen en correleren deze met specifieke hackers, zelfs als ze hun namen niet kennen.

Bijvoorbeeld de Amerikaanse wetshandhaving, de DNC-hacker APT 29 of Advanced Persistent Threat 29. We kennen zijn naam en adres misschien niet, maar we kunnen hem of haar nog steeds hacks toewijzen op basis van zijn of haar stijl, modus operandi en softwarepakketten.

Het type softwarepakket dat in de hack wordt gebruikt, biedt mogelijk een "handtekening" -patroon. Veel hackers gebruiken bijvoorbeeld sterk aangepaste softwarepakketten. Sommige zijn zelfs terug te voeren tot staatsintelligentie-instanties. In de DNC-hack ontdekten forensische onderzoekers dat het SSL-certificaat dat in de hack werd gebruikt identiek was aan dat van de Russische militaire inlichtingendienst in de hack van 2015 van het Duitse parlement.

Soms zijn het echt kleine dingen. Misschien is het een vreemde uitdrukking die wordt herhaald in willekeurige communicatie die de hack terugbindt naar een bepaald individu. Of misschien is het een beetje broodkruimel achtergelaten door hun softwarepakket.

Dat is een van de manieren waarop de DNC-hacks werden geassocieerd met Rusland. Onderzoekers van het misbruik merkten op dat sommige van de Word-documenten die door de hack werden vrijgegeven revisies vertoonden van een gebruiker met een Russische localisatie van Word en een Cyrillische gebruikersnaam. Buggy-tools kunnen zelfs de locatie van een hacker onthullen. Het populaire DDoS hulpprogramma Low Orbital Ion Cannon had ooit een bug erin die de locatie van de gebruiker zou onthullen.

Ouderwetse politiewerk helpt ook bij het vinden van hackers. Het specifieke doel kan helpen bij het identificeren van de dader. Als wetshandhaving de motivatie achter de aanval bepaalt, kan het mogelijk zijn om politieke motieven toe te schrijven. Als de hack verdacht veel voordelen heeft voor een groep of persoon, is het duidelijk waar je moet zoeken. Hackers kunnen geld naar een bankrekening leiden en dat kan traceerbaar zijn. En hackers zijn niet immuun voor het "ratten" op elkaar om hun eigen huid te redden.

Tot slot, soms vertellen hackers het je gewoon. Het is niet ongebruikelijk om te zien dat hackers opscheppen op Twitter of IRC over hun recente exploits.

Als onderzoekers genoeg broodkruimels kunnen vinden, kunnen ze beginnen aan een vollediger beeld en proberen ze een zinvol IP-adres te bemachtigen.

Hackers arresteren

Het is één ding om de codenaam van een hacker te kennen, maar het is iets anders om ze echt te pakken te krijgen. Vaak komt het arresteren van een hacker neer op een kleine fout. Lulzsec-leider Sabu werd bijvoorbeeld betrapt toen hij naliet om Tor te gebruiken om in te loggen op IRC. Hij maakte slechts één keer de fout, maar het was voldoende voor de agentschappen die hem controleerden om zijn echte fysieke locatie te bepalen.

Conclusie

Wetshandhaving vindt hackers op een verbazingwekkende variëteit aan manieren. Het komt vaak neer op een kleine maar kritische fout gemaakt door de dader.