¿Cómo determinar el alcance de la compensación por ser atacado por DDoS?

Prevenir y manejar ataques es el trabajo diario de los departamentos de seguridad de las principales plataformas. Entre el lote 18 de casos de comunicados emitidos recientemente por la Fiscalía Popular Suprema, hay un caso en el que se usó un ataque DDoS para provocar un bloqueo del servidor. Debido a que el atacante destruyó la evidencia y la empresa víctima no conservó adecuadamente la evidencia que causó la pérdida, trajo dificultades para la condena y compensación del atacante. A través de este caso, puedo recordarles a mis amigos del departamento de seguridad: ¡la tecnología es muy importante en el trabajo, pero también es necesario entender la ley! Hechos básicos del caso A principios de 2017, el acusado Yao Moumou y otros aceptaron el empleo de Wang Moumou (manejado en otro caso), reclutaron a varios técnicos de redes y establecieron la organización de piratas informáticos "Dark Night Group" en el extranjero. El "Dark Night Group" compró una gran cantidad de recursos del servidor del acusado Ding Moumou y otros tres, y luego utilizó un software troyano para controlar el servidor de control y llevar a cabo ataques DDoS. De febrero a marzo de 2017, los miembros del "Dark Night Group" utilizaron computadoras con 14 servidores de consola tres veces para llevar a cabo ataques DDoS continuos en las direcciones IP de los clientes de tres compañías de juegos que operan en el servidor en la nube de una compañía de Internet. El equipo de seguridad de la red de la empresa de Internet víctima detectó varios ataques DDoS dirigidos a los servidores en la nube de la empresa con un gran tráfico y un alto valor máximo en el trabajo diario, y se desconocía la dirección IP de origen del ataque. El ataque provocó el bloqueo de las IP de las tres compañías de juegos y hubo problemas como la imposibilidad de iniciar sesión en el juego, la desconexión frecuente de los usuarios y la falla del juego para ejecutarse normalmente. Una empresa de Internet pagó más de 110 000 yuanes a los usuarios del juego debido a su ataque y, para restaurar el funcionamiento normal del servidor, organizó personal para reparar el servidor y pagó más de 40 000 yuanes por esto. Los órganos de seguridad pública arrestaron sucesivamente a 11 sospechosos. La investigación encontró que los miembros del "Equipo de la Noche Oscura" se habían coludido entre sí después de cometer el crimen y destruyeron o encriptaron sus teléfonos móviles, computadoras portátiles y otras herramientas criminales para evitar el ataque. (Ataque DDoS: se refiere a un ataque de red en el que los piratas informáticos lanzan solicitudes de servicio de alta frecuencia al objetivo mediante el control remoto de recursos como servidores o computadoras, lo que hace que el servidor objetivo quede paralizado porque es demasiado tarde para procesar solicitudes masivas). LVC , una subsidiaria del gigante japonés de las comunicaciones LINE, cooperará con Yahoo Japan coopera para respaldar las subastas de NFT: el gigante japonés de las comunicaciones LINE anunció el martes que su subsidiaria de criptomonedas LVC Corporation cooperará con Yahoo Japan (Yahoo! Japan) para permitir la emisión de NFT en función de la LINE blockchain para ser negociado en el mercado secundario. Como parte de la asociación, Yahoo! Japan ofrecerá NFT basados ​​en la cadena de bloques LINE en Yahoo! Auctions, su plataforma de servicio de subastas en línea. Para permitir que los NFT se negocien en la plataforma, las partes planean integrar las subastas de Yahoo! con la billetera Line Bitmax. Line Bitmax Wallet es la billetera blockchain patentada de LINE diseñada para administrar activos digitales, incluidos los NFT. La asociación permitirá a los usuarios intercambiar NFT administrados por la billetera Line Bitmax directamente en las subastas de Yahoo!. Según el anuncio, las dos compañías esperan lanzar transacciones NFT de Yahoo! Auctions a finales de 2021. (Cointelegraph) [2021/7/27 1:18:32] Resultados de la sentencia De acuerdo con la Sentencia Penal No. 418 (2018), Yue 0305 Xingchu: Yao Moumou y otros fueron declarados culpables de destruir sistemas informáticos de información. Entre ellos, Yao Moumou fue condenado a 2 años de prisión, los 10 acusados ​​restantes fueron condenados a 1 o 2 años de prisión. Después de que se pronunció el veredicto, ninguno de los 11 acusados ​​presentó una apelación y el veredicto ha entrado en vigor. Análisis del caso En este caso, hay dos cuestiones importantes en la condena de Yao XX y otros: La primera cuestión es: Yao XX y otros destruyeron la computadora y otros soportes de datos utilizados en el crimen, cómo probar la relación entre el comportamiento y la relevancia del terminal de datos? ¿Cómo probar que existe una relación de causalidad entre su ataque y el daño causado? LTC cayó por debajo de la marca de $ 270 con una caída intradía del 10,57 %: los datos de Huobi Global muestran que LTC cayó a corto plazo y cayó por debajo de la marca de $ 270, y ahora está en $ 269,99, con una caída intradía del 10,57 %. El mercado fluctúa mucho , por favor haga un buen trabajo en el control de riesgos . [2021/5/17 22:10:07] En los hechos de este caso, aunque el equipo de seguridad de la red de una empresa de Internet detectó múltiples ataques DDoS de gran tráfico y picos elevados contra los servidores en la nube de la empresa, no bloqueó el dirección IP de origen del ataque. Al mismo tiempo, para evitar ataques, los miembros del "Grupo Noche Oscura" se han confabulado con sus confesiones después de cometer el crimen y han destruido o encriptado sus teléfonos móviles, computadoras portátiles y otras herramientas del crimen; evidencia. En este caso, los investigadores probaron el hecho de que el perpetrador cometió el crimen por los siguientes tres aspectos: Primero, existe una correlación entre el comportamiento y la terminal de datos. A través de los datos del sistema proporcionados por la empresa víctima, la IP atacada y casi 200 000 IP de origen del ataque se examinaron y analizaron más, y se filtraron las direcciones IP de las principales fuentes de ataque. Descubrimiento: entre estas direcciones IP, 198 direcciones IP son hosts controlados en la botnet y estos hosts están controlados por 14 servidores finales de control. En segundo lugar, existe una correlación entre los terminales de datos y los actores. A través del contenido del chat en línea de Yao XX y otros y los registros de transacciones bancarias y otras pruebas, se descubrió que Yao XX y otros del "Dark Night Group" compraron los derechos de control de los 14 servidores finales de control mencionados anteriormente de Ding. XX y otros. . En tercer lugar, existe una correlación entre el comportamiento y el resultado del daño. A través del tiempo de ataque determinado en el primer paso, el tiempo de daño del servidor, la escala del ataque y el evento de que el "Dark Night Team" envió correos electrónicos a la empresa víctima después del ataque, se puede encontrar: el tipo de ataque, características de forma de onda y protocolo de red de la fuente de ataque principal, con las mismas características de recursos de ataque que el servidor de ataque vendido por Ding Moumou y otros y controlado de hecho por Yao Moumou et al; el ataque ocurrió al mismo tiempo que ocurrió el daño. También se encontró que cuando ocurrió el ataque, no había otros ataques de la misma escala en la red. Por lo tanto, se puede determinar que el ataque principal proviene del servidor de control realmente controlado por Yao et al., y vendido por Ding et al. USDT representa aproximadamente el 69,54% de las transacciones de Bitcoin: Golden Finance News, según los datos de cryptocompare, el estado actual de la transacción de Bitcoin se clasifica según la moneda de la transacción, el primer lugar es USDT, que representa el 69,54%; el segundo lugar es el dólar estadounidense, representando el 9,44%; el tercero es el yen japonés, representando el 8,85%; el cuarto es el won coreano, representando el 2,83%; el quinto es el euro, representando el 2,01% %. [13/09/2020] En este caso, la prueba de que el sospechoso delictivo envió correos electrónicos a la víctima para extorsionarla después de realizar el ciberataque es una prueba importante para determinar la relación causal entre el hecho del ataque y el resultado del mismo. el daño. La segunda pregunta es: ¿Cómo se debe determinar el monto de las pérdidas de las empresas de Internet? En este caso, la empresa víctima planteó que debido al ataque no se podía realizar el servicio y reembolsó al cliente 114.358 RMB; los salarios del personal pagados por la reparación de datos y funciones del sistema fueron de 47.170 RMB. ¿Pueden todas estas pérdidas contarse como pérdidas criminales? El monto de las pérdidas ocasionadas por la destrucción de los sistemas informáticos es un tipo de "consecuencias graves" previstas en el artículo 286 de la Ley Penal. De acuerdo con lo dispuesto en este artículo: “Si las consecuencias son graves, serán reprimidos con pena privativa de libertad no mayor de cinco años o prisión penal; si las consecuencias son especialmente graves, serán reprimidos con pena privativa de libertad de no menos de cinco años." En la práctica, el tamaño de las consecuencias dañinas a menudo se juzga por la cantidad de ganancias ilegales y las pérdidas económicas resultantes. El estándar de pérdida económica no refleja necesariamente de forma completa y precisa el daño causado por actos delictivos. En algunos casos, la cantidad de ganancias ilegales o pérdidas económicas no es grande, pero la cantidad de usuarios afectados por ataques cibernéticos es particularmente grande, o por otras consecuencias, ha causado impactos sociales adversos. Sin embargo, en este caso, la evidencia del número de sistemas informáticos y usuarios afectados ya no está disponible, y las consecuencias perjudiciales de la conducta solo pueden determinarse en función de las pérdidas económicas causadas. De acuerdo con el artículo 11 de la Interpretación del Tribunal Popular Supremo y la Fiscalía Popular Suprema sobre varias cuestiones relativas a la aplicación de las leyes en la tramitación de causas penales que ponen en peligro la seguridad de los sistemas informáticos de información, las "pérdidas económicas" incluyen: "pérdidas económicas causadas directamente a los usuarios por actos delictivos que pongan en peligro los sistemas informáticos y los gastos necesarios pagados por el usuario para restaurar los datos y funciones.” En este caso, además de la pérdida económica directa causada por la falla del servicio, los salarios del empleado pagados por La empresa víctima para restaurar los datos y funciones del sistema también son gastos necesarios derivados del delito; también debe reconocerse como pérdida económica en este caso. En la sentencia se reembolsaron al cliente 114.358 RMB por la falla del servicio provocada por el ataque, lo que teóricamente puede identificarse como la pérdida económica de este caso. Sin embargo, debido a que la empresa lesionada no presentó suficientes documentos de respaldo sobre los estándares de gasto y la base de los gastos, el tribunal no reconoció esta parte de los gastos como pérdidas económicas en este caso. Además, se gastaron 47 170 RMB en salarios de empleados para reparar funciones y datos del sistema; el tribunal determinó que este costo era un costo necesario incurrido por el delito y fue la base para determinar la pérdida económica en este caso. Finalmente, para la situación de que el costo de la restauración se mezcle en parte con el salario de los empleados de la empresa, el tribunal utilizó esto como base para dictar sentencia y le dio al autor una pena más leve según corresponda. Escrito al final En este caso, el actor implementó métodos anti-investigación como alquilar un servidor de terceros, destruir herramientas criminales y borrar registros de chat; pero estos métodos no afectaron la adquisición de evidencia relevante y la determinación de causalidad. Skynet es extenso y es escaso pero no falta; me gustaría recordarles a todos los viejos amigos que los métodos de investigación son mucho más profundos de lo que piensan, ¡así que no usen su cerebro! ¡Además, es muy importante preservar la evidencia en caso de ataques relacionados! Si la IP atacante puede bloquearse en primer lugar, los registros de datos electrónicos relevantes pueden convertirse en una evidencia poderosa para concluir el caso. Además de guardar los datos electrónicos relevantes que fueron atacados la primera vez, también es muy importante guardar la evidencia de la pérdida directa causada por el ataque y la prueba de reparación, mantenimiento, compensación y otros gastos debido al ataque. . En el proceso penal, la norma probatoria exigida para la condena es diferente a la norma civil. El hecho de que se conserve suficiente evidencia no solo determina si puede obtener una compensación, sino también si puede condenar al perpetrador de acuerdo con el monto de la pérdida. Solo conservando la prueba en su totalidad de conformidad con la ley podemos ser "invencibles" en diferentes escenarios de litigio. Apéndice: Las normas se basan en la "Ley Penal de la República Popular China": Artículo 286: El delito de destrucción de los sistemas informáticos viola las normas estatales, elimina, modifica, agrega e interfiere con las funciones de los sistemas informáticos, provocando que la computadora mal funcionamiento del sistema de información, si las consecuencias son graves, serán sancionados con pena privativa de libertad no mayor de cinco años o pena privativa de libertad, en cuanto a las "consecuencias graves" previstas en el artículo 286 de la Ley Penal, la Interpretación de el Tribunal Popular Supremo y la Fiscalía Popular Suprema sobre varias cuestiones relativas a la aplicación de la ley en la tramitación de casos penales que ponen en peligro la seguridad de los sistemas informáticos de información "Se estipula expresamente: Artículo 4 Quien destruya las funciones, datos o programas de aplicación del sistema informático de información y se encuentre en cualquiera de las siguientes circunstancias, será tipificado como delincuente de conformidad con lo dispuesto en los párrafos primero y segundo del artículo 286 de la Ley Penal. "Consecuencias graves": (1) causar que el software o hardware principal de más de diez sistemas informáticos dejen de funcionar normalmente; (2) eliminar, modificar o agregar datos almacenados, procesados ​​o transmitidos en más de veinte sistemas informáticos de información (3) ganancias ilegales de más de 5000 yuanes o pérdidas económicas de más de 10.000 yuanes; El sistema informático proporcionado por los usuarios antes mencionados no funciona normalmente durante más de una hora; (5) causando otras consecuencias graves. Artículo 6 La producción y difusión intencional de programas destructivos, tales como virus informáticos, que afecten el normal funcionamiento del sistema informático, en cualquiera de las siguientes circunstancias, se determinará como "consecuencias graves" según lo dispuesto en el tercer párrafo del artículo 286 de la Ley Penal : (1) ) hacer, proporcionar o transmitir el programa especificado en el Punto (1) del Artículo 5, causando que el programa sea difundido a través de redes, medios de almacenamiento, archivos y otros medios; (2) causando que más de 20 sistemas informáticos ser implantado en (2) y (3) programas; (3) proporcionar virus informáticos y otros programas destructivos a más de diez personas; (4) obtener ganancias ilegales de más de 5.000 yuanes o causar pérdidas económicas de más de 10.000 yuanes; " "Sistema informático de información" y "sistema informático", tal como se mencionan en esta interpretación, se refieren a sistemas con funciones automáticas de procesamiento de datos, incluidas computadoras, equipos de red, equipos de comunicación, equipos de control de automatización, etc. La "información de autenticación de identidad" a que se refiere esta Interpretación se refiere a los datos utilizados para confirmar la autoridad de operación del usuario en el sistema de información de la computadora, incluidos números de cuenta, contraseñas, contraseñas, certificados digitales, etc. La “pérdida económica” a que se refiere esta Interpretación comprende la pérdida económica directamente causada al usuario por el delito de poner en peligro el sistema informático informático, así como los gastos necesarios pagados por el usuario para restaurar datos y funciones

Tags：

DOT