PROSECUTIONSbasedonHONEYPOTEVIDENCE.pptVIP

基于蜜罐证据的起诉 编辑展示人：John Daly （独立顾问） 引用 知己知彼，百战不殆； 不知彼而知己，一胜一负； 不知彼不知己，每战必败。 孙子兵法 大约公元500年前 另一个引用 我有一个简单但是强烈的信条，即你所收集、管理和使用的信息方法决定你的成败。 比尔 .盖茨 未来时速 Business @ the Speed of Thought 公元2000年 本报告 是关于 如何利用蜜罐 来收集，管理和使用 有关电脑黑客的信息 生产系统的局限性 应用于生产环境中的计算机经常: 缺少警告功能以致于系统的操作者不能意识到遭受了攻击。 记录机制存在局限性。 处理大量的数据使得电脑黑客留下的任何证据很快就丢失了。 由于操作上的原因不能离线分析。 因此需要蜜罐 蜜罐的定义 蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。 Lance Spitzner 蜜罐 – 追踪电脑黑客 简单的蜜罐 蜜罐的作用 发现攻击 产生警告 强大的记录能力有助于分析攻击 欺骗 协助调查 起诉 什么是蜜网? 蜜网由许多连在一起能收集和交换信息的蜜罐组成。 蜜罐的目标是构建一个记录和观察黑客及黑客工具的行为的环境 。 基于这个信息，我们在处理互联网所面对的黑客威胁时具有足够的知识。 分布式蜜网 蜜罐的合法性 三个重要的问题： 设陷技术 隐私 责任 设陷技术 设陷技术的定义因司法权的不同而有所不同。 典型的定义是: “由官方人员引起的攻击的概念和计划，而且这次攻击行为如果不是在这位官员的欺骗，劝说和欺诈下是不可能发生的.” 注意 “由官方人员引起”这个词 隐私 蜜罐可能侵犯用户的以下两种典型隐私: 蜜罐被设计用来在用户不知情且没有许可的情况下捕捉用户的大量数据 。 蜜罐被设计用来在用户不知情且没有许可的情况下截取通讯信息。 系统标识 典型例子: 你试图进入只对授权用户开放的香格里拉政府计算机网 。利用这个网络来监控，检索和公开这个网络中的任何信息来达成任何目的，包括犯罪起诉. 责任 如果你的相当不安全的蜜罐受到了损害并被用来攻击另一个组织的另一个系统或者从事其它的非法活动，你是否要承担责任? 认识到这个危险是非常重要的，你可以通过构造你的蜜罐使其很难被黑客用来攻击其他系统或者存储/传播非法的内容来减小这个风险。 起诉证据 很难找到有记录的关于黑客因为对蜜罐的攻击而被起诉的案例，尽管一些这样的起诉正在操作中。 但是, 蜜罐已经收集了提供非常重要的线索的证据 ，导致了对生产系统攻击的进一步调查 – 著名的 1989 杜鹃鸟蛋 事件是一个非常有趣的例子。 想证明电脑黑客的恶意是非常困难的, 但是至少最近的一个商业化蜜罐产品 (SPECTER) 宣称它能够提供可靠的证据使人们确信黑客的敌意和行动。 结论 基于互联网犯罪的起诉越来越普遍。 蜜罐成为调查中的重要辅助工具并且越来越多的被用来在起诉中提供证据 全世界的法律执行机构必须熟悉新技术的的长处和短处。 谨慎的回顾现有的法律管辖权，以使合法的蜜罐行动和现行法律之间可能产生的冲突最小化。 谢谢 由 独立顾问 John Daly 编辑展示 jad@.hk . ? John Daly 2003 ? John Daly 2003 重定向 隐藏 蜜罐 蜜罐 前端 生产环境 前端 可同时有： 生产环境蜜罐 研究环境蜜罐 源自e: Honeynet Project/Honeynet Research Alliance 源自: 来自 /ssappendix2002.html#_A_