Uma dúvida que tenho decorrenteessa questão, onde alguém mostra o histórico do Terminal de uma tentativa de invasão de seu sistema.
Há uma linha na saída que sugere que o hack veio da China. Esta afirmação foi feita em muitas respostas e ninguém pensou em duvidar dela. A linha fica assim:
Accept-Language: zh-cn
o que significa que o idioma chinês foi preferido no outro extremo. O endereço IP do qual algumas ferramentas são baixadas pelo hacker é chinês. No entanto, de forma análoga à questão principal aqui... Isso nos diz que o hacker está na China?
É concebível/possível que as pessoas incluam a linha simplesmente para torná-laaparecerque o ataque veio da China? Ou existem pistas adicionais que apontam para isso?
Eles poderiam facilmente ainda estar trabalhando em inglês, ou em qualquer outro idioma, no final.
Imagino, por exemplo, um inglês sentado em um cibercafé em Moscou, roteado por uma VPN no Equador...
As estatísticas que são relatadasna mídiaou, por exemplo, pelo governo americano queXpercentagem de toda a guerra cibernética/hacking origina-se da China com base em informações mais sólidas? Se sim, qual?
Responder1
Estou feliz que alguém tenha levantado isso, pois pensei a mesma coisa ao ler essa pergunta.
Accept-Language: zh-cn
A primeira coisa que penso quando vejo isso é que alguém copiou um cabeçalho de solicitação HTTP de seu navegador sem entender o que ele faz.
Mesmo em solicitações normais isso geralmente é desnecessário e, neste caso, a URL provavelmente está sendo usada para baixar recursos binários, que não precisam ser traduzidos. É apenas um desperdício de espaço.
A linha não indica necessariamente nada, mas poderia, hipoteticamente, indicar a configuração de idioma do navegador do invasor.
O que indica algo são os endereços IP encontrados no binário, mas isso não significa que o invasor esteja na China, possivelmente apenas que ele hackeou alguns servidores na China.
Sempre fico cético quando vejo essas estatísticas. Não tenho certeza em que eles se baseiam além dos endereços IP.
Responder2
Nesse caso, o invasor, ao que parece, escondeu sua identidade realizando o ataque por meio de servidores em nuvem Microsoft Azure. Como tal, é difícil dizer a origem do ataque sem quaisquer registros que a Microsoft possa ter.
No entanto, os endereços IP dos quais os arquivos estavam sendo baixados eram originários da China. Isso, assim como a linha mencionada, é o mais próximo que temos de saber sem quaisquer registros adicionais.
Tenha em mente que a China não é particularmente conhecida pela sua Internet gratuita e aberta. Pelo contrário, da última vez que pesquisei, qualquer forma de hospedagem básica era incrivelmente cara. Pode ter mudado, mas parece um tanto improvável que pessoas fora da China se esforçassem demais para contratar um servidor lá e se esforçassem tanto para fazer com que parecesse que ele era originário da China.
É 100% conclusivo? Não, de jeito nenhum. Mas provável? Eu diria que sim.
Quanto à mídia, acredito que esteja muito aberta à opinião e a cada meio de comunicação e suas fontes para uma resposta conclusiva neste formato.