監査証跡を残さずにウェブサイトを攻撃

Question

最近<のhref = "http://www.google.com/url?sa=t&source=web&ct=res&cd=1&url=http%3A%2F%2Fwww.computerworld.com%2Faction%2Farticle.do%3Fcommand ％3DviewArticleBasic％26articleId％3D9133621＆EI = qQolStfQMsfAtwepvLnfBg＆RCT = J＆Q = Computerworldの+エトナ+突破＆USG = AFQjCNEDcZnUExyxu1HlPhI22XVz3Loj0g」のrel = "nofollowをnoreferrer">エトナは、違反を被っのそれは65,000のSSNを失ったところ。おそらく彼らは攻撃がXSSまたは類似の技術を活用することをヒントに何が起こったかの監査証跡を見つけることができたことはありません。

特定の既知の攻撃が悪者を繰り返し、この種の攻撃のために活用されていることがありますか？

Answer 1

人々が作る、人々が使用する一般的なプラットフォームがある一般的な間違いがあります。それぞれ、パッチを当てていない左の場合、誰かが簡単なスクリプトを使用して分割することが可能になる。

しかし、誰かが、この場合には、具体的に何か後に組織犯罪リングで高い価値を持っている社会保障番号を、行っていた場合、私は、誰かが悪用し、サイトが働いていた方法を考え出すとカスタムを適用もう少し時間を費やすことを期待しているだろうデータを取得します。

それはどちらかのXSSなければならない理由は、

私は表示されません。自分のシステムがオフのサーバアクセスログを送信する、あるいはすべてのエントリーポイントをログに記録されていない場合は、メソッドの誰かのものが用意されてい悪用可能なサーバーを利用し、その後クリーンアップすることができます。

Answer 2

これは技術的な失敗だった、と決定的フォレンジック与えられ、それは私に多くの可能性が高いようだ、これは人間の失敗だったこと、それは社会的engineeering、データは、列車の座席に残される、またはことをこの時点では全く明らかではありません不満を抱いた従業員ます。

本当にゼロ監査証跡を残すための唯一の方法が書かれていないために、監査のためである私の知る限り。単独のHTTPトラフィックをログに記録することは、常にあなたがをHTTPベースの攻撃のいくつかのの証拠が得られます。

Answer 3

私はいくつかの自動化された攻撃の結果を見てきた、と彼らは最初のものの一つが無効伐採され、すべてのログを削除します。

それは非標準のパスに場所をロギング変更するのが一般的だ理由です - 。それは、決定攻撃者に対して何もしませんが、それはあなたが自動化された攻撃の場合はより多くの情報が得られます。

Answer 4

監査証跡の欠如は、控えめに言っても驚くべきことではありません。多くのない企業がそこに意味のある監査証跡を維持します。確かに、そこにログのギガバイトとギガバイトはしばしばだが、誰がそのすべてを通過しますか？ほとんどのITは、ちょうどこの違反はしばらく前に起こった、彼らはすでに彼らはスパムメールまで可能違反について知らなかったように見えるの記事から以降のログをダンプしてきたように、その完全に可能で、十分にそれ一度の年齢を、それをダンプします置きます来て始めています。

私は、ITではなく、監査証跡の欠如を引き起こしたいくつかの巧妙な攻撃の貧しい疑うと思います。