Angriff auf Webseiten ohne einen Audit-Trail zu verlassen
https://stackoverflow.com/questions/938978
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Vor kurzem Aetna eine Verletzung erlitten, wo es 65.000 Sozialversicherungsnummern verloren. Sie waren nie in der Lage eine Audit-Trail von zu finden, was passiert ist, was wahrscheinlich deutet an, dass der Angriff XSS oder ähnliche Technik genutzt.
Gibt es bestimmte bekannte Angriffe, dass die bösen Jungs sind für diese Art von Angriffen immer wieder nutzen?
Lösung
Es gibt häufige Fehler, die Leute machen, und es gibt gemeinsame Plattformen, die Menschen benutzen. Jeder, wenn links ungepatchte erlauben würde jemand in mit einem einfachen Skript zu brechen.
Aber wenn jemand nach etwas los war in diesem Fall Sozialversicherungsnummern gesagt, die hohen Wert in der organisierten Kriminalität Ringe haben, ich erwartet hätte jemand ein wenig mehr Zeit zu verbringen, herauszufinden, wie die Website gearbeitet und Anlegen einer benutzerdefinierten ausbeuten die Daten zu greifen.
Ich sehe nicht, warum es XSS entweder sein muss. Wenn ihre Systeme wurden nicht Zugang zu senden abmeldet-Server oder sogar jeden Eintrittspunkt anmelden, gibt es eine Vielzahl von Methoden könnte jemand einen Exploit-Server nutzen und danach aufzuräumen.
Andere Tipps
Es ist überhaupt nicht an dieser Stelle klar, dass dies ein technisches Versagen war, und die nicht schlüssig Forensik gegeben scheint es viel wahrscheinlicher, zu mir, dass dies ein menschlichen Versagen war, wäre es sozialer Engineeering, Daten auf einem Zug Sitz links oder ein verärgerter Mitarbeiter.
AFAIK der einzige Weg, wirklich Null Audit-Trail verlassen ist für die Prüfung nicht geschrieben worden zu sein. HTTP-Protokollierung Verkehr allein wird immer geben Sie einige Beweis für eine HTTP-basierte Angriffe.
Ich habe die Ergebnisse einiger automatisierte Angriffe gesehen, und eines der ersten Dinge, die sie tun, ist Deaktivieren der Protokollierung, und löschen Sie alle Protokolle.
Aus diesem Grund ist es üblich, auf einen Nicht-Standard-Pfad Anmeldung Standorte zu ändern -. Es nichts gegen einen entschlossenen Angreifer nicht tun wird, aber es wird Ihnen weitere Informationen im Falle eines automatisierten Angriff geben
Das Fehlen eines Audit-Trail ist nicht überraschend, gelinde gesagt. Nicht viele Unternehmen gibt, sinnvoll halten Prüfprotokolle. Sicher, es gibt oft Gigabyte und Gigabyte-Protokolle, aber wer geht durch all das? Die meisten Orte IT wäre es nur Dump, sobald es im Alter genug, so dass sie durchaus möglich, dass diese Verletzung vor einer Weile passiert ist, und sie haben abgeladen bereits die Protokolle aus dem Artikel, da es sieht aus wie sie nicht über die mögliche Verletzung bis zur Spam-Mail wussten begann kommen in.
Ich würde vermuten, dass schlechte IT statt einigen cleveren Angriff, der das Fehlen eines Audit-Trail verursacht.
