sites Attaquer sans laisser une piste de vérification
https://stackoverflow.com/questions/938978
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Récemment Aetna a subi une violation où il a perdu 65.000 SSNs. Ils n'ont pu trouver une piste de vérification de ce qui est arrivé qui fait allusion sans doute que l'attaque XSS ou d'une technique similaire exploitée.
Y at-il des attaques connues spécifiques que les méchants sont à plusieurs reprises tirant parti de ce type d'attaque?
La solution
Il y a des erreurs communes que les gens font et il y a des plates-formes communes que les gens utilisent. Chacun d'eux, si non patché gauche permettrait à quelqu'un de briser à l'aide d'un simple script.
Mais si quelqu'un allait après quelque chose en particulier, dans ce cas, les numéros de sécurité sociale, qui ont une grande valeur dans les anneaux du crime organisé, je me serais attendu à quelqu'un de passer un peu plus de temps à comprendre comment le site a fonctionné et l'application d'une mesure d'exploiter pour saisir les données.
Je ne vois pas pourquoi il doit être XSS non plus. Si leurs systèmes n'envoyions les journaux d'accès hors serveur, ou même se connecter tous les points d'entrée, il existe une variété de méthodes quelqu'un pourrait exploiter un serveur exploitable et nettoyer par la suite.
Autres conseils
Il est pas du tout clair à ce stade que ce fut un échec technique, et compte tenu de la médecine légale non concluants, il me semble beaucoup plus probable que ce fut un échec humain, que ce soit Voie Ingénierie sociale, les données à gauche sur un siège de train, ou un employé mécontent.
AFAIK la seule façon de vraiment laisser zéro piste de vérification est pour la vérification de ne pas avoir été écrit. Enregistrement du trafic HTTP seul sera toujours vous donner certains preuve d'une attaque basée sur HTTP.
J'ai vu les résultats de certaines attaques automatisées, et l'une des premières choses qu'ils font est de désactiver la journalisation, et supprimer tous les journaux.
Voilà pourquoi il est fréquent de changer d'emplacement Se connecter à un chemin non standard -. Il ne fera rien contre un attaquant déterminé, mais il vous donnera plus d'informations dans le cas d'une attaque automatisée
L'absence d'une piste d'audit n'est pas surprenant de dire le moins. Pas beaucoup d'entreprises continuent là des pistes de vérification significatives. Bien sûr, il y a souvent giga-octet et giga-octets de journaux, mais qui passe par tout cela? La plupart IT place serait juste vider une fois assez âges, de sorte que son tout à fait possible que cette violation est arrivé il y a un certain temps et ils ont déjà jeté les journaux depuis de l'article, on dirait qu'ils ne savaient pas au sujet de la violation possible jusqu'à ce que le spam mail ont commencé à venir.
Je soupçonne une mauvaise information au lieu d'une attaque intelligente qui a causé l'absence d'une piste d'audit.
