Med nyheter om russiske hackere som påvirker det amerikanske presidentvalget, har mange i media lurt på hvordan vi identifiserer hackere. Det finnes flere måter som cybersikkerhetseksperter kan finne kilden bak et hack.

IP-adresser

Den første og mest åpenbare måten å spore hacker på er med deres IP-adresse. Nå vil enhver hacker verdt sitt salt bruke en IP-adresse som mangler meningsfull informasjon. De vil jobbe over Tor, over en VPN, eller kanskje til og med i en offentlig plass. Men la oss anta at hackeren vi vil spore er usedvanlig uerfaren, eller de utsetter uhell deres IP-adresse. Å finne dem etter deres IP kan virke slik:

1. Hackeren oppnår vellykket sine mål (uansett hva det kan være), men etterlater loggene som viser nettverksadgang fra en bestemt IP-adresse.

2. Selskapet eller individet som ble hacket, overfører disse loggene til politiet.

3. Retshåndhevelse offiserer forfølge Internett-leverandøren for å finne ut hvem som eier den IP-adressen eller hvem som brukte den på angrepstidspunktet. Etterforskere kan deretter knytte denne IP-adressen til en fysisk plassering.

4. Etter å ha mottatt en warrant, reiser forskerne til den fysiske plasseringen som er angitt av IP-adressen, og begynner å undersøke dem.

5. Hvis våre hacker var veldig dumme, vil etterforskerne finne bevis på hacken overalt. I så fall vil det bli en kort rettssak før hackeren blir sendt til fengsel for hans eller hennes forbrytelser.

Selvfølgelig, med de fleste hackere som jobber bak proxyer, vil IP-adressene som er oppnådd av lovhåndhevelse, ikke vise dem hvor som helst som er nyttige. Det betyr at de må bruke andre teknikker eller vente på hackere å gjøre en feil.

Følgende brødsmuler

Når du undersøker en dyktig hacker, kommer datamaskinen rettsmedisin ned til å lete etter små feil og tilfeldige bevis. Du vil ikke ha en IP-adresse som peker på en stor rød pil i angriperens hjem. I stedet har du en haug med små brødsmuler som kan hjelpe deg med å gjøre et godt gjetning om de sannsynlige gjerningsmennene.

Kompleksiteten til en hack kan begrense potensielle gjerninger til høyt kvalifiserte operasjoner. Amerikanske etterretningsorganer holder oversikt over tidligere angrep og korrelerer dem med bestemte hackere, selv om de ikke kjenner navnene sine.

For eksempel kalte den amerikanske politimyndigheten DNC hacker APT 29 eller Advanced Persistent Threat 29. Vi kan kanskje ikke kjenne hans eller hennes navn og adresse, men vi kan fortsatt tildele hack til ham eller henne basert på hans eller hennes stil, modus operandi og programvarepakker.

Typen av programvarepakke som brukes i hacken, kan tilby et "signatur" -mønster. For eksempel bruker mange hackere svært tilpassede programvarepakker. Noen kan til og med spores tilbake til stats etterretningstjenester. I DNC-hacken oppdaget rettsmedisinske etterforskere at SSL-sertifikatet som ble brukt i hacken, var identisk med det som ble brukt av russisk militær etterretning i 2015-hack av det tyske parlamentet.

Noen ganger er det veldig små ting. Kanskje det er en merkelig setning som gjentas i tilfeldig kommunikasjon som binder hacken tilbake til et bestemt individ. Eller kanskje det er et lite breadcrumb igjen av programvaren.

Det er en av måtene DNC-hackene kom for å være assosiert med Russland. Investigatorer av exploit bemerket at noen av Word-dokumentene utgitt av hack viste revisjoner av en bruker med en russisk lokalisering av Word og et kyrillisk brukernavn. Buggy-verktøy kan til og med avsløre et sted for hacker. Det populære DDoS-verktøyet Low Orbital Ion Cannon har en gang hatt en feil i det som vil avsløre brukerens plassering.

Gammeldags politimannhjelp hjelper også med å finne hackere. Det bestemte målet kan bidra til å identifisere gjerningsmannen. Hvis lovhåndhevelse bestemmer motivasjonen bak angrepet, kan det være mulig å tildele politiske motivasjoner. Hvis hacken er mistenkelig gunstig for en gruppe eller individ, er det åpenbart hvor du skal se. Hackere kan skaffe penger til en bankkonto, og det kan være sporbar. Og hackere er ikke immune mot å "rote" på hverandre for å redde sin egen hud.

Endelig, noen ganger sier hackere bare deg. Det er ikke uvanlig å se hackere som skryter på Twitter eller IRC om deres siste bruk.

Hvis etterforskerne kan spore opp nok brødsmuler, kan de begynne å bygge et mer komplett bilde og prøve å få hendene på en meningsfull IP-adresse.

Arrestere hackere

Det er en ting å vite kodenavnet til en hacker, men det er en annen ting å faktisk få hendene på dem. Ofte er det en liten feil å arrestere en hacker. Lulzsec-leder Sabu, for eksempel, ble fanget da han forsømte å bruke Tor for å logge på IRC. Han gjorde bare feilen en gang, men det var nok for byråene å overvåke ham for å bestemme sin virkelige fysiske plassering.

Konklusjon

Rettshåndhevelse finner hackere på et forbløffende mangfold av måter. Det kommer ofte ned til en liten, men kritisk feil gjort av gjerningsmannen.