Attaccare i siti web senza lasciare un audit trail
https://stackoverflow.com/questions/938978
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Recentemente Aetna ha subito una violazione in cui ha perso 65.000 SSNs. Non hanno mai stati in grado di trovare una traccia di verifica di quello che è successo che probabilmente suggerisce che l'attacco XSS o tecnica simile sfruttato.
Ci sono specifici attacchi noti che i cattivi sono più volte sfruttando per questo tipo di attacco?
Soluzione
Ci sono gli errori più comuni che le persone fanno e ci sono piattaforme comuni che la gente usa. Ogni, senza patch se non avrebbe permesso a qualcuno di spezzare in utilizzando un semplice script.
Ma se qualcuno stava andando alla ricerca di qualcosa in particolare, in questo caso, numeri di previdenza sociale, che hanno un alto valore in anelli di criminalità organizzata, mi sarei aspettato che qualcuno di trascorrere un po 'più di tempo per capire come il sito ha funzionato e l'applicazione di un costume exploit per afferrare i dati.
Non vedo il motivo per cui deve essere XSS neanche. Se i loro sistemi non sono stati l'invio di log di accesso off-server o anche la registrazione ogni punto di ingresso, ci sono una varietà di metodi che qualcuno potrebbe sfruttare un server sfruttabile e ripulire dopo.
Altri suggerimenti
Non è affatto chiaro a questo punto che si trattava di un guasto tecnico, e date le forense inconcludenti sembra molto più probabile per me che questo è stato un errore umano, sia esso Engineeering sociale, i dati lasciato su un sedile del treno, o un dipendente scontento.
Per quanto ne so l'unico modo per lasciare davvero traccia di controllo è pari a zero per la revisione di non essere stato scritto. Registrazione del traffico HTTP da solo sarà sempre darà alcuni la prova di un attacco basato HTTP.
Ho visto i risultati di alcuni attacchi automatizzati, e una delle prime cose che fanno è disattivare la registrazione, ed eliminare tutti i registri.
Ecco perché è comune per cambiare la registrazione posizioni a un percorso non standard -. Che non farà nulla contro un determinato attaccante, ma vi darà ulteriori informazioni nel caso di un attacco automatico
La mancanza di una pista di controllo non è sorprendente per non dire altro. Non molte aziende là fuori continuano audit trail significativi. Certo, c'è spesso gigabyte e gigabyte di log, ma che passa attraverso tutto questo? La maggior parte pone sarebbe solo il dump una volta l'invecchiamento abbastanza, quindi la sua del tutto possibile che tale violazione è accaduto qualche tempo fa e hanno già scaricato i registri poiché dall'articolo sembra che non conoscevano la possibile violazione fino a quando la mail di spam cominciarono ad arrivare.
Mi piacerebbe sospetto povera invece di qualche attacco intelligente che ha causato la mancanza di una pista di controllo.
