基于蜜罐證據(jù)的起訴.ppt

,基于蜜罐證據(jù)的起訴 編輯展示人：John Daly （獨(dú)立顧問）,引用,知己知彼，百戰(zhàn)不殆； 不知彼而知己，一勝一負(fù)； 不知彼不知己，每戰(zhàn)必?cái)　?孫子兵法 大約公元500年前,另一個(gè)引用,我有一個(gè)簡單但是強(qiáng)烈的信條，即你所收集、管理和使用的信息方法決定你的成敗。 比爾 .蓋茨 未來時(shí)速 Business the Speed of Thought 公元2000年,本報(bào)告,是關(guān)于 如何利用蜜罐 來收集，管理和使用 有關(guān)電腦黑客的信息,生產(chǎn)系統(tǒng)的局限性,應(yīng)用于生產(chǎn)環(huán)境中的計(jì)算機(jī)經(jīng)常: 缺少警告功能以致于系統(tǒng)的操作者不能意識到遭受了攻擊。 記錄機(jī)制存在局限性。 處理大量的數(shù)據(jù)使得電腦黑客留下的任何證據(jù)很快就丟失了。 由于操作上的原因不能離線分析。 因此需要蜜罐,蜜罐的定義,蜜罐是一個(gè)安全資源，它的價(jià)值在于被探測、攻擊和損害。 Lance Spitzner 蜜罐 追蹤電腦黑客,簡單的蜜罐,重定向,隱藏,可同時(shí)有：,生產(chǎn)環(huán)境蜜罐,研究環(huán)境蜜罐,蜜罐的作用,發(fā)現(xiàn)攻擊 產(chǎn)生警告 強(qiáng)大的記錄能力有助于分析攻擊 欺騙 協(xié)助調(diào)查 起訴,什么是蜜網(wǎng)?,蜜網(wǎng)由許多連在一起能收集和交換信息的蜜罐組成。 蜜罐的目標(biāo)是構(gòu)建一個(gè)記錄和觀察黑客及黑客工具的行為的環(huán)境 。 基于這個(gè)信息，我們在處理互聯(lián)網(wǎng)所面對的黑客威脅時(shí)具有足夠的知識。,源自e: Honeynet Project/Honeynet Research Alliance,分布式蜜網(wǎng),源自: ,蜜罐的合法性,三個(gè)重要的問題： 設(shè)陷技術(shù) 隱私 責(zé)任,設(shè)陷技術(shù),設(shè)陷技術(shù)的定義因司法權(quán)的不同而有所不同。 典型的定義是: “由官方人員引起的攻擊的概念和計(jì)劃，而且這次攻擊行為如果不是在這位官員的欺騙，勸說和欺詐下是不可能發(fā)生的.” 注意 “由官方人員引起”這個(gè)詞,隱私,蜜罐可能侵犯用戶的以下兩種典型隱私: 蜜罐被設(shè)計(jì)用來在用戶不知情且沒有許可的情況下捕捉用戶的大量數(shù)據(jù) 。 蜜罐被設(shè)計(jì)用來在用戶不知情且沒有許可的情況下截取通訊信息。,系統(tǒng)標(biāo)識,典型例子: 你試圖進(jìn)入只對授權(quán)用戶開放的香格里拉政府計(jì)算機(jī)網(wǎng) 。利用這個(gè)網(wǎng)絡(luò)來監(jiān)控，檢索和公開這個(gè)網(wǎng)絡(luò)中的任何信息來達(dá)成任何目的，包括犯罪起訴.,來自 ,責(zé)任,如果你的相當(dāng)不安全的蜜罐受到了損害并被用來攻擊另一個(gè)組織的另一個(gè)系統(tǒng)或者從事其它的非法活動，你是否要承擔(dān)責(zé)任? 認(rèn)識到這個(gè)危險(xiǎn)是非常重要的，你可以通過構(gòu)造你的蜜罐使其很難被黑客用來攻擊其他系統(tǒng)或者存儲/傳播非法的內(nèi)容來減小這個(gè)風(fēng)險(xiǎn)。,起訴證據(jù),很難找到有記錄的關(guān)于黑客因?yàn)閷γ酃薜墓舳黄鹪V的案例，盡管一些這樣的起訴正在操作中。 但是, 蜜罐已經(jīng)收集了提供非常重要的線索的證據(jù) ，導(dǎo)致了對生產(chǎn)系統(tǒng)攻擊的進(jìn)一步調(diào)查 著名的 1989 杜鵑鳥蛋 事件是一個(gè)非常有趣的例子。 想證明電腦黑客的惡意是非常困難的, 但是至少最近的一個(gè)商業(yè)化蜜罐產(chǎn)品 (SPECTER) 宣稱它能夠提供可靠的證據(jù)使人們確信黑客的敵意和行動。,結(jié)論,基于互聯(lián)網(wǎng)犯罪的起訴越來越普遍。 蜜罐成為調(diào)查中的重要輔助工具并且越來越多的被用來在起訴中提供證據(jù) 全世界的法律執(zhí)行機(jī)構(gòu)必須熟悉新技術(shù)的的長處和短處。 謹(jǐn)慎的回顧