Domanda Domande su tracce e log attacchi informatici esperti

Stato
Discussione chiusa ad ulteriori risposte.

pcgamer1

Utente Iron
24 Luglio 2022
36
12
3
15
Salve, avevo scritto un post ieri sera ma è stato cancellato due volte e l'ho messo nella sezione sbagliata forse.

Un attaccante ascolta i telefoni (voce, audio, messaggi e tutto), quale attacco può fare:

simjacking, rimangono i log dell'attacco subito? so che arrivano degli sms invisibili con dei codici, se approfondiscono la polizia ed enti specializzati possono risalire ad attacchi?

So che google invia ogni tot delle registrazioni audio per gli ads, non sono sicuro di questo, ma mi chiedo un hacker può interecettare quelle registrazioni ed ascoltare il telefono?

Se c'è un virus tipo rat e simili sul telefono lascia i log vero? perché ogni volta deve in qualche modo comunicare con l'attaccante il telefono, quindi dovrebbe risultare alla polizia.

Se l'hacker è nell'isp nella cella telefonica o in qualche modo fa un attacco molto raffinato (avevo chiesto e c'era il man in the middle e cose simili), la polizia se esamina tutte le connessione può trovare i log o no?

Stanotte leggevo che alcune tecniche hacker è usare il pc della vittima come ponte e zombie, ma mi chiedo anche se comunica da solo a meno che l'hacker non è nella cella telefonica per forza ci deve essere il log di una connessione verso l'esterno o da qualche parte. A meno che non comunica all'isp e l'hacker è nell'isp/google/server "ufficiale" tipo facebook, meta, instagram ma gestito da hacker o qualcosa di simile.. ?
 

JunkCoder

Moderatore
5 Giugno 2020
1,061
20
903
458
Ciao, i tuoi post precedenti non erano stati cancellati, erano solo in coda di approvazione: essendo un nuovo utente senza presentazione, il messaggio era considerato un sospetto spam.

Hai fatto un sacco di domande cercherò di rispondere nel modo più semplice possibile. Innanzi tutto ogni attacco lascia tracce di qualche tipo, potrebbe essere un log, altri tipi di artefatti, cache ecc.

Nel caso del simjacking si, l'operatore telefonico può consultare i log e vedere da quale cella e l'orario preciso da dove si è connesso l'attaccante.

Gli smartphone Android con account Google di default hanno abilitato lo storico cloud di alcuni audio: quelli dell'assistente vocale (ok google) e quelli della dettatura. Se questa opzione è abilitata è possibile, per chi conosce la password dell'account, ascoltare questi audio direttamente dal sito di google. Se Google ascoltasse anche quando non dovrebbe questo non lo sappiamo, ma di certo non trovi questi audio sul portale privato.

Nel caso di un RAT è difficile a dirsi, dipende da che canale di comunicazione usa, se ha exploit o meno e da molti altri fattori. Per quelli pubblici e free ti direi di si, quantomeno hai i log di connessione verso il server di command & control. Poi ci sono altri artefatti sul dispositivo come un file apk e altro.

Hacker nell'isp... Qua andiamo oltre, è una situazione estrema, possono succedere mille cose e fare previsioni è inutile. Potrebbe essere beccato oppure potrebbero anche non accorgersi mai della sua presenza, chissà, dipende dal caso specifico.

Usare client di una botnet anche come proxy è una tecnica usata da parecchio dagli attaccanti, dà la possibilità di fare molte cose: puoi fare operazioni spacciandoti per lui, hai un proxy con IP residenziale e quindi difficilmente blacklistato, puoi concatenarli fino a fare una sorta di tua rete tor personale ecc. Non serve essere dentro l'ISP per fare queste cose.
 
  • Mi piace
Reazioni: DanyDollaro

pcgamer1

Utente Iron
24 Luglio 2022
36
12
3
15
Ciao, i tuoi post precedenti non erano stati cancellati, erano solo in coda di approvazione: essendo un nuovo utente senza presentazione, il messaggio era considerato un sospetto spam.

Hai fatto un sacco di domande cercherò di rispondere nel modo più semplice possibile. Innanzi tutto ogni attacco lascia tracce di qualche tipo, potrebbe essere un log, altri tipi di artefatti, cache ecc.

Nel caso del simjacking si, l'operatore telefonico può consultare i log e vedere da quale cella e l'orario preciso da dove si è connesso l'attaccante.

Gli smartphone Android con account Google di default hanno abilitato lo storico cloud di alcuni audio: quelli dell'assistente vocale (ok google) e quelli della dettatura. Se questa opzione è abilitata è possibile, per chi conosce la password dell'account, ascoltare questi audio direttamente dal sito di google. Se Google ascoltasse anche quando non dovrebbe questo non lo sappiamo, ma di certo non trovi questi audio sul portale privato.

Nel caso di un RAT è difficile a dirsi, dipende da che canale di comunicazione usa, se ha exploit o meno e da molti altri fattori. Per quelli pubblici e free ti direi di si, quantomeno hai i log di connessione verso il server di command & control. Poi ci sono altri artefatti sul dispositivo come un file apk e altro.

Hacker nell'isp... Qua andiamo oltre, è una situazione estrema, possono succedere mille cose e fare previsioni è inutile. Potrebbe essere beccato oppure potrebbero anche non accorgersi mai della sua presenza, chissà, dipende dal caso specifico.

Usare client di una botnet anche come proxy è una tecnica usata da parecchio dagli attaccanti, dà la possibilità di fare molte cose: puoi fare operazioni spacciandoti per lui, hai un proxy con IP residenziale e quindi difficilmente blacklistato, puoi concatenarli fino a fare una sorta di tua rete tor personale ecc. Non serve essere dentro l'ISP per fare queste cose.
Sei sicuro al 100% che gli attacchi sim jacking e simili (che abbiano chiamate invisibili, infettano il telefono, danno possibilità di accedere alla gestione del telefono) sono rilevati dall'operatore/polizia?

Ok quindi escluso che Google funzioni da rat e mandi l'audio in continuazione.

In ogni caso se l'hacker è nell'isp può vedere il traffico facendo tipo un attacco mitm, ma in teoria non ascoltare l audio del telefono a meno che non lo infetta con un virus tipo rat, ma ad ogni modo per ascoltare l'audio deve comunicare il rat con qualche ip dove destina l audio appunto.

L'ultimo punto non l'ho capito. Ricordo che mettendo un firewall su Android un app (non ci capisco tanto) risultavano un sacco di connessioni verso il proprio ip di mioip.it, diceva per il DNS, poteva essere che in quella comunicazione c'era l'attaccante in teoria? Boh non capisco, non mi è chiaro però poi come si fa a prendere l audio una volta che lo comunica ad un ip anche il proprio. Non mi sono chiare tante cose.

Di fatto se l'audio del telefono è ascoltato, un ente o un informatico esperto della polizia analizzando il flusso delle connessioni del telefono può rendersene conto che c'è qualcosa che non quadra? Anche se l'attaccante fosse nell'isp per esempio o un hacker super esperto.

Dopo due mesi che non si usa un dispositivo mobile la polizia postale può comunque rivedere tutto il flusso dei dati e quello che contenevano ed eventualmente vedere se c era un virus che comunicava cose che in teoria non dovrebbe?
 

JunkCoder

Moderatore
5 Giugno 2020
1,061
20
903
458
Capisco la curiosità, facendo così però non imparerai e perderemmo solo tempo. Ognuna di queste domande merita una discussione approfondita, non posso liquidarle in due righe superficialmente, altrimenti sarai più confuso di prima. Ti consiglio di leggerne di più sui protocolli più importanti di internet come IP, UDP, TCP e poi HTTP e DNS. Una volta che l'avrai fatto potrai risponderti da solo a molte delle domande, se avrai ancora una domanda apri pure un nuovo thread ponendo quella specifica domanda, altrimenti si va tutti in confusione e off-topic.
 

pcgamer1

Utente Iron
24 Luglio 2022
36
12
3
15
Capisco la curiosità, facendo così però non imparerai e perderemmo solo tempo. Ognuna di queste domande merita una discussione approfondita, non posso liquidarle in due righe superficialmente, altrimenti sarai più confuso di prima. Ti consiglio di leggerne di più sui protocolli più importanti di internet come IP, UDP, TCP e poi HTTP e DNS. Una volta che l'avrai fatto potrai risponderti da solo a molte delle domande, se avrai ancora una domanda apri pure un nuovo thread ponendo quella specifica domanda, altrimenti si va tutti in confusione e off-topic.
Non voglio imparare informatica, voglio solo farmi un'idea di come funziona perché non capisco alcune cose.

È sicuro al 100% che l'attacco simjacking (che avvia chiamate in background e da accesso al telefono in tutto) lascia delle tracce alla polizia postale?

Se l'audio del telefono è ascoltato in qualche modo deve comunicare all'attaccante e lasciare per forza delle tracce giusto? Se il telefono è hackerato e la polizia postale vede i flussi delle connessioni trova per forza le tracce di qualcosa che non quadra anche se è un attacco ben elaborato da hacker esperti giusto?

Se l'hacker è nell'isp cosa cambia? Può vedere il traffico del telefono e mandarlo in crash senza lasciare tracce (?), ma se infetta il telefono con un virus poi il telefono comunica per forza ad un qualche ip, ed è rintracciabile un attacco a meno che le comunicazioni sono verso ip sicuri, tipo l'IP personale o quello di società riconosciute?

La polizia postale può vedere i flussi delle connessioni e tutto quello che contengono anche audio e virus che trasmettono i dati estrapolati dal telefono anche a distanza di mesi dai log?

Un telefono android conserva i log nel sistema a distanza di mesi - oltre alle modifiche di sistema etc - anche di quando cade la connessione e torna?
 

JunkCoder

Moderatore
5 Giugno 2020
1,061
20
903
458
Non voglio imparare informatica, voglio solo farmi un'idea di come funziona perché non capisco alcune cose.

È sicuro al 100% che l'attacco simjacking (che avvia chiamate in background e da accesso al telefono in tutto) lascia delle tracce alla polizia postale?

Se l'audio del telefono è ascoltato in qualche modo deve comunicare all'attaccante e lasciare per forza delle tracce giusto? Se il telefono è hackerato e la polizia postale vede i flussi delle connessioni trova per forza le tracce di qualcosa che non quadra anche se è un attacco ben elaborato da hacker esperti giusto?

Se l'hacker è nell'isp cosa cambia? Può vedere il traffico del telefono e mandarlo in crash senza lasciare tracce (?), ma se infetta il telefono con un virus poi il telefono comunica per forza ad un qualche ip, ed è rintracciabile un attacco a meno che le comunicazioni sono verso ip sicuri, tipo l'IP personale o quello di società riconosciute?

La polizia postale può vedere i flussi delle connessioni e tutto quello che contengono anche audio e virus che trasmettono i dati estrapolati dal telefono anche a distanza di mesi dai log?

Un telefono android conserva i log nel sistema a distanza di mesi - oltre alle modifiche di sistema etc - anche di quando cade la connessione e torna?

Fai domande di informatica e non vuoi imparare informatica? Mi dispiace ma non è l'approccio giusto, come non è il modo giusto di usare il forum
 
Stato
Discussione chiusa ad ulteriori risposte.