Atacando sites sem deixar uma trilha de auditoria
https://stackoverflow.com/questions/938978
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Recentemente Aetna sofreu um violação onde perdeu 65.000 CPFs. Eles nunca foram capazes de encontrar uma trilha de auditoria do que aconteceu o que provavelmente sugere que o ataque alavancado XSS ou técnica similar.
Existem ataques específicos conhecido que os maus são repetidamente aproveitando para este tipo de ataque?
Solução
Existem erros comuns que as pessoas fazem e há plataformas comuns que as pessoas usam. Cada um, se deixada sem correção permitiria que alguém a quebrar em usar um script simples.
Mas se alguém estava indo atrás de algo especificamente, neste caso, números de segurança social, que têm alto valor em anéis de crime organizado, eu teria esperado alguém para gastar um pouco mais tempo para descobrir como o site funcionou e aplicar um costume explorar para pegar os dados.
Eu não vejo por que tem que ser XSS também. Se seus sistemas não estavam enviando logs de acesso off-servidor, ou mesmo registrando cada ponto de entrada, há uma variedade de métodos que alguém poderia explorar um servidor explorável e limpar depois.
Outras dicas
Não é de todo claro neste ponto que esta era uma falha técnica, e dadas as forense inconclusivos parece muito mais provável para mim que esta era uma falha humana, seja engineeering sociais, os dados deixados em um assento de trem, ou um funcionário descontente.
AFAIK a única maneira de sair verdadeiramente trilha de auditoria zero é para a auditoria de não ter sido escrita. Registrando o tráfego HTTP só vai sempre dar-lhe alguns evidência de um ataque baseado em HTTP.
Eu vi os resultados de alguns ataques automatizados, e uma das primeiras coisas que fazem é o log desativar e excluir todos os logs.
É por isso que é comum para os locais de registro mudança para um caminho não-padrão -. Ele não vai fazer nada contra um determinado atacante, mas ele vai te dar mais informações no caso de um ataque automatizado
A falta de uma trilha de auditoria não é surpreendente para dizer o mínimo. Não muitas empresas lá fora, manter trilhas de auditoria significativos. Claro, há muitas vezes gigabytes e gigabytes de toras, mas quem passa por tudo isso? A maioria coloca seria apenas despejá-lo uma vez que envelhece suficientes, pelo que a sua perfeitamente possível que esta violação aconteceu há um tempo atrás e eles já despejou os logs desde do artigo parece que eles não sabiam sobre a eventual violação até o email de spam começaram a chegar.
Eu suspeito pobres em vez de algum ataque inteligente que causou a falta de uma trilha de auditoria.
