Atacar sitios web sin dejar un rastro de auditoría
https://stackoverflow.com/questions/938978
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Recientemente Aetna sufrieron una violación donde perdió 65.000 SSN. Ellos nunca fueron capaces de encontrar una pista de auditoría de lo que ocurrió que probablemente sugiere que el ataque XSS o técnica similar apalancada.
¿Hay ataques específicos conocidos que los malos están aprovechando en varias ocasiones para este tipo de ataque?
Solución
Hay errores comunes que la gente hace y hay plataformas comunes que la gente usa. Cada uno, sin parches si no se permitiría que alguien se rompa en el uso de un simple script.
Pero si alguien iba detrás de algo en concreto, en este caso los números de seguridad social, que tienen un alto valor en los anillos del crimen organizado, lo que habría esperado a alguien para pasar un poco más de tiempo a averiguar cómo funcionaba el sitio y la aplicación de una costumbre explotar para agarrar los datos.
No veo por qué tiene que ser XSS tampoco. Si sus sistemas no estaban enviando los registros de acceso fuera del servidor, o incluso registrar cada punto de entrada, hay una variedad de métodos que alguien podría explotar un servidor explotable y limpiar después.
Otros consejos
No está del todo claro en este punto que se trataba de un fallo técnico, y teniendo en cuenta las forense no concluyentes, parece mucho más probable para mí que este fue un fallo humano, ya sea Engineeering sociales, los datos de la izquierda en un asiento de tren, o un empleado descontento.
Que yo sepa la única forma de salir de pista de auditoría verdaderamente es cero para la auditoría de no haber sido escrito. Registro de tráfico HTTP solos siempre le dará algunos evidencia de un ataque basado en HTTP.
He visto los resultados de algunos ataques automatizados, y una de las primeras cosas que hacer es desactivar el registro y borrar todos los registros.
Es por eso que es común a cambiar el registro ubicaciones a una trayectoria no estándar -. No va a hacer nada contra un atacante determinado, sino que le dará más información en el caso de un ataque automatizado
La falta de un registro de auditoría no es sorprendente por decir lo menos. No hay muchas empresas por mantener pistas de auditoría significativos. Claro, hay a menudo gigabytes y gigabytes de registros, sino que pasa a través de todo eso? La mayoría coloca acaba de volcar una vez que pasa el tiempo suficiente, por lo que su muy posible que esta ruptura ocurrió hace un tiempo y que ya han arrojado los registros ya que desde el artículo parece que no sabían acerca de la posible infracción hasta que el correo spam empezaron a llegar.
Me sospecho pobres en lugar de algún ataque inteligente que causó la falta de una pista de auditoría.
