Eine Frage, die ich habe, stammt ausdiese Frage, wo jemand den Terminalverlauf eines Hackversuchs seines Systems anzeigt.
In der Ausgabe gibt es eine Zeile, die nahelegt, dass der Hack aus China stammt. Diese Behauptung wurde in vielen Antworten aufgestellt und niemand kam auf die Idee, daran zu zweifeln. Die Zeile sieht folgendermaßen aus:
Accept-Language: zh-cn
was bedeutet, dass am anderen Ende die chinesische Sprache bevorzugt wurde. Die IP-Adresse, von der der Hacker einige Tools herunterlädt, ist chinesisch. Analog zur Hauptfrage hier ... Sagt uns das, dass der Hacker in China sitzt?
Ist es denkbar/möglich, dass die Leute die Zeile einfach einfügen, um eserscheinendass der Angriff aus China kam? Oder gibt es weitere Hinweise, die darauf hinweisen?
Sie könnten problemlos weiterhin auf Englisch oder in einer anderen Sprache arbeiten.
Ich stelle mir zum Beispiel einen Engländer vor, der in einem Internetcafé in Moskau sitzt und über ein VPN in Ecuador geroutet wird ...
Sind die Statistiken, die gemeldet werdenin den Medienoder beispielsweise von der amerikanischen Regierung, dieXWie viel Prozent aller Cyberkriegs-/Hacking-Angriffe stammen aus China, wenn man fundierteren Informationen Glauben schenkt? Und wenn ja, welcher?
Antwort1
Ich bin froh, dass jemand das angesprochen hat, da ich beim Lesen der Frage dasselbe dachte.
Accept-Language: zh-cn
Wenn ich das sehe, denke ich zuerst, dass jemand einen HTTP-Anforderungsheader aus seinem Browser kopiert hat, ohne zu verstehen, was dieser bewirkt.
Selbst bei normalen Anfragen ist dies im Allgemeinen unnötig, und in diesem Fall wird die URL wahrscheinlich zum Herunterladen von Binärdateien verwendet, die nicht übersetzt werden müssen. Es ist nur Platzverschwendung.
Die Zeile muss nicht unbedingt etwas aussagen, könnte aber hypothetisch auf die Spracheinstellung des Browsers des Angreifers hinweisen.
Ein Indiz sind die in der Binärdatei gefundenen IP-Adressen. Diese bedeuten allerdings nicht, dass sich der Angreifer in China befindet, sondern möglicherweise nur, dass er einige Server in China gehackt hat.
Wenn ich solche Statistiken sehe, bin ich immer skeptisch. Ich bin mir nicht sicher, worauf sie außer IP-Adressen basieren.
Antwort2
In diesem Fall hat der Angreifer seine Identität offenbar dadurch verschleiert, dass er den Angriff über die Azure-Cloud-Server von Microsoft durchgeführt hat. Daher ist der Ursprung des Angriffs ohne Protokolle, die Microsoft möglicherweise besitzt, schwer zu ermitteln.
Die IP-Adressen, von denen die Dateien heruntergeladen wurden, stammten jedoch aus China. Das und die erwähnte Zeile sind das Beste, was wir ohne weitere Protokolle wissen.
Bedenken Sie, dass China nicht gerade für sein freies und offenes Internet bekannt ist. Im Gegenteil, als ich das letzte Mal nachgeschaut habe, war jede Form von Basis-Hosting dort unglaublich teuer. Das mag sich geändert haben, aber es scheint ziemlich unwahrscheinlich, dass sich Leute außerhalb Chinas so viel Mühe gemacht hätten, dort einen Server zu mieten und sich so viel Mühe zu geben, damit es aussieht, als stamme er aus China.
Ist es 100% schlüssig? Nein, überhaupt nicht. Aber wahrscheinlich? Das würde ich sagen.
Was die Medien betrifft, glaube ich, dass hier zu sehr den Meinungen der einzelnen Medien und ihrer Quellen eine Rolle spielt, als dass in diesem Format eine abschließende Antwort gegeben werden könnte.