DJHD
Новорег
- Сообщения
- 42
- Реакции
- 77
- Баллы
- 19
Всем доброго времени суток. Все мы выходим в даркнет. И все мы хотим сохранить наши личности в тайне. Все мы используем Tor VPN и тп. Но так ли надежны все эти инструменты в действительности? По отдельности не очень, в связке уже больше уверенности в том, что мы в безопасности. Но так ли это? В этой теме хотелось быть поделиться с вами некоторыми статьями на тему деанона. Сразу скажу: копипаст и много букАв, но достаточно интересная информация, которой мне просто необходимо с кем-то поделиться. Итак, приятного чтения:
Жизнь в киберпространстве идет своим чередом: преступники совершают преступления, а агенты ФБР стараются их поймать. Но перед тем как киберпреступника поймать, необходимо установить его личность или местоположение. И вот тут возникает проблема, так как киберпреступники не хотят делиться подлинным IP-адресом, по которому их можно найти, ииспользуют различные средства сокрытия вроде VPN, Tor и proxy. Агенты ФБР постоянно ищут новые эффективные методы деанонимизировать пользователей, скрывающих свой IP-адрес. Конечно, установление личности не гарантирует арест, например, личность Slavik’а, разработчика трояна ZeuS, ФБР давно установило, но вот посадить его они так до сих пор и не могут, так как Анапа – это не Аляска и законы США в России не действуют. Обычно после успешной деанонимизации киберпреступника из России или Украины ФБР дожидается его визита на отдых в одну из стран, с которой налажено сотрудничество, и дальше киберпреступник едет на суд в США. Так было с Романом Селезневым, который прилетел с семьей отдыхать на Мальдивы, а оттуда отправился не домой в Россию, а в сопровождении агентов ФБР в США. И там федеральный судья Ричард Джонс вынес ему приговор, согласно которому ближайшие 27 лет он проведет в тюрьме. Одних киберпреступников сажают, а на их место приходят другие.
Один из самых популярных способов киберпреступлений – рассылка мошеннических писем. Он не требует особых технических навыков, главное, уметь составлять грамотные письма и пытаться, пытаться, пытаться. Обычно мошенники рассылают компаниям письма с несуществующими штрафами, выставляют счета от партнеров или от имени банка просят перевести средства на новый счет. Из 1000 компаний, может быть, одна допустит ошибку, но иногда такие ошибки стоят больших денег.
В свое время известный итальянский футбольный клуб «Лацио» решил приобрести у «Фейеноорда» защитника сборной Голландии Стефана Де Врея. Сумма сделки оценивалась в 7 млн евро и была разбита на несколько траншей. И вот на официальный электронный почтовый адрес футбольного клуба «Лацио» пришел счет на 2 млн евро от «Фейеноорда», и, разумеется, он был своевременно оплачен. Как вы можете догадаться, этот счет был отправлен мошенниками. За рассылающими мошеннические письма и охотится ФБР, и не только ФБР, за ними охотятся все: от частных компаний, занимающихся расследованием киберпреступлений, до правоохранительных органов разных стран.
Одна из кампаний ФБР, направленная на охоту за подобными киберпреступниками, включала создание поддельного сайта FedEx, на который заманивались мошенники. Работало это так: злоумышленники отправляют на почту компании мошенническое письмо, а на него отвечает уже не бухгалтер, а агент Джон, и, конечно, ответ будет содержать ссылку на FedEx от ФБР.
Особенность сайта FedEx от ФБР была в том, что при попытке зайти на сайт с использованием proxy, VPN или Tor он отвечал ошибкой «Access Denied, This website does not allow proxy connections», или по-русски «Доступ запрещен. Этот веб-сайт не поддерживает соединение через прокси». Есть много способов определить использование прокси, Тор или VPN, предполагаю, что они просто проверяли IP-адрес на предмет принадлежности хостинг-провайдеру, это является явным признаком применения VPN, прокси или Тор. «Хитрый» план ФБР заключался в вынуждении преступника отказаться от средства сокрытия IP-адреса, но работа ФБР в этом случае мне кажется примитивной.
Я вам расскажу о более эффективном способе побудить пользователей отказаться от VPN, Тор и прокси и засветить свой подлинный IP-адрес. Этот способ применялся на одном русскоязычном форуме хакеров, созданном при поддержке правоохранительных органов. Все вы знаете, что такое капча: выбор светофоров, пешеходных переходов и велосипедов и сейчас доставляет мало удовольствия, а пару лет назад она была еще ужаснее. Возможно, вы помните эти неразборчиво написанные слова, которые надо было ввести. И вот эту капчу сотрудники органов размещали на подконтрольном форуме, чтобы спровоцировать пользователей отказаться от применения VPN, прокси и Тор. Дело в том, что тех, кто использовал средства сокрытия IP-адреса, при каждом входе на форум встречала капча. И им приходилось по несколько раз вводить ее – это может вывести из себя даже человека с образцово крепкими нервами. Руководство площадки объясняло это защитой от спама и атак, подобная легенда выглядела достаточно правдоподобно, так как капча действительно служила хорошей защитой. Участникам форума для своего удобства предлагалось использовать российские IP-адреса. Разумеется, отказаться от VPN или прокси никто не предлагал, но рекомендовалось использовать VPN и прокси с российскими серверами, иными словами, размещенными в России. А хостинг-провайдеры, размещенные в России, обязаны были выдавать правоохранительным органам всю информацию о пользователях сервера по запросу и, конечно, выдавали ее. Возможно, еще использовалась деанонимизация методом сопоставления соединений, я не знаю деталей операции.
Так или иначе, капча работала прекрасно, ведь даже у самых осторожных ребят не железные нервы. Из этих историй сложно вывести совет или заключение, их просто нужно помнить, может быть, когда-нибудь подобным образом захотят деанонимизировать и вас.
Один из самых популярных способов киберпреступлений – рассылка мошеннических писем. Он не требует особых технических навыков, главное, уметь составлять грамотные письма и пытаться, пытаться, пытаться. Обычно мошенники рассылают компаниям письма с несуществующими штрафами, выставляют счета от партнеров или от имени банка просят перевести средства на новый счет. Из 1000 компаний, может быть, одна допустит ошибку, но иногда такие ошибки стоят больших денег.
В свое время известный итальянский футбольный клуб «Лацио» решил приобрести у «Фейеноорда» защитника сборной Голландии Стефана Де Врея. Сумма сделки оценивалась в 7 млн евро и была разбита на несколько траншей. И вот на официальный электронный почтовый адрес футбольного клуба «Лацио» пришел счет на 2 млн евро от «Фейеноорда», и, разумеется, он был своевременно оплачен. Как вы можете догадаться, этот счет был отправлен мошенниками. За рассылающими мошеннические письма и охотится ФБР, и не только ФБР, за ними охотятся все: от частных компаний, занимающихся расследованием киберпреступлений, до правоохранительных органов разных стран.
Одна из кампаний ФБР, направленная на охоту за подобными киберпреступниками, включала создание поддельного сайта FedEx, на который заманивались мошенники. Работало это так: злоумышленники отправляют на почту компании мошенническое письмо, а на него отвечает уже не бухгалтер, а агент Джон, и, конечно, ответ будет содержать ссылку на FedEx от ФБР.
Особенность сайта FedEx от ФБР была в том, что при попытке зайти на сайт с использованием proxy, VPN или Tor он отвечал ошибкой «Access Denied, This website does not allow proxy connections», или по-русски «Доступ запрещен. Этот веб-сайт не поддерживает соединение через прокси». Есть много способов определить использование прокси, Тор или VPN, предполагаю, что они просто проверяли IP-адрес на предмет принадлежности хостинг-провайдеру, это является явным признаком применения VPN, прокси или Тор. «Хитрый» план ФБР заключался в вынуждении преступника отказаться от средства сокрытия IP-адреса, но работа ФБР в этом случае мне кажется примитивной.
Я вам расскажу о более эффективном способе побудить пользователей отказаться от VPN, Тор и прокси и засветить свой подлинный IP-адрес. Этот способ применялся на одном русскоязычном форуме хакеров, созданном при поддержке правоохранительных органов. Все вы знаете, что такое капча: выбор светофоров, пешеходных переходов и велосипедов и сейчас доставляет мало удовольствия, а пару лет назад она была еще ужаснее. Возможно, вы помните эти неразборчиво написанные слова, которые надо было ввести. И вот эту капчу сотрудники органов размещали на подконтрольном форуме, чтобы спровоцировать пользователей отказаться от применения VPN, прокси и Тор. Дело в том, что тех, кто использовал средства сокрытия IP-адреса, при каждом входе на форум встречала капча. И им приходилось по несколько раз вводить ее – это может вывести из себя даже человека с образцово крепкими нервами. Руководство площадки объясняло это защитой от спама и атак, подобная легенда выглядела достаточно правдоподобно, так как капча действительно служила хорошей защитой. Участникам форума для своего удобства предлагалось использовать российские IP-адреса. Разумеется, отказаться от VPN или прокси никто не предлагал, но рекомендовалось использовать VPN и прокси с российскими серверами, иными словами, размещенными в России. А хостинг-провайдеры, размещенные в России, обязаны были выдавать правоохранительным органам всю информацию о пользователях сервера по запросу и, конечно, выдавали ее. Возможно, еще использовалась деанонимизация методом сопоставления соединений, я не знаю деталей операции.
Так или иначе, капча работала прекрасно, ведь даже у самых осторожных ребят не железные нервы. Из этих историй сложно вывести совет или заключение, их просто нужно помнить, может быть, когда-нибудь подобным образом захотят деанонимизировать и вас.
Деанонимизация − процесс установления личности пользователя в сети либо подлинного места выхода в сеть. Понятие деанонимизации неотделимо от понятия анонимности. Анонимность − это возможность посещать сайты, совершать какие-либо активные действия на веб-ресурсах, например оставлять сообщения, без возможности связать ваши действия с вашей реальной личностью или местом вашего выхода в сеть. Многие приравнивают анонимность к сокрытию подлинного IP-адреса, но это очень упрощенный подход. Во-первых, злоумышленник может провести JavaScript-атаку и, используя уязвимости в веб-браузере, получить доступ к вашему устройству. Дальше, получив контроль над устройством, постараться определить владельца на основе анализа посещаемых сайтов, реального IP-адреса, документов и информации в мессенджерах. Во-вторых, через сайт можно проверить наличие у вас аккаунтов в социальных сетях, где вы авторизованы. Если вы авторизованы в Facebook и там указаны ваши реальные данные, владелец сайта сможет получить их незаметно для вас.Установление личности пользователя или точки выхода в сеть по IP-адресу или mac-адресу называется пассивной деанонимизацией, когда против пользователя не применяется никаких атак. Атаки на пользователя, например через сайт с вредоносным JavaScript, или фишинг − это активная деанонимизация.
Важно понимать отсутствие прямой связи между IP-адресом и каким-либо пользователем. IP-адрес принадлежит точке выхода в сеть. Например, если вы подключаетесь к Wi-Fi роутеру, то получаете IP-адрес данного роутера. Все остальные пользователи, подключившись к этому роутеру, получат этот же самый IP-адрес.
Проверка IP-адреса может указать только интернет-провайдера и общее место расположения, проведя сканирование, можно определить модель роутера. Провайдер интернет-связи, подключивший кабель интернета к данному роутеру, знает, на кого он оформлен и где располагается, при запросе от компетентных органов он обязан выдать эту информацию. Есть еще возможность проанализировать логи провайдера, логи роутера − обо всем этом мы расскажем в главе, посвященной деанонимизации.
Злоумышленник может взломать Wi-Fi роутер и затем начать перехватывать трафик с целью найти в нем зацепки для установления личности, например аккаунты социальных сетей, либо пытаться заразить компьютер через подмену DNS или «склейку» пакетов. Все это − активная деанонимизация. К слову, сокрытие IP-адреса важно не только для анонимности, но и для безопасности. Как уже было сказано выше, сканируя ваш IP-адрес, злоумышленник может взломать ваш роутер или модем, если вы выходите через Wi-Fi или 3G/4G-модем, либо прямо компьютер, если он подключен непосредственно к интернет-кабелю. Подобные истории происходят слишком часто, чтобы игнорировать данную угрозу.
Уникализация - поиск и сбор уникальных идентификаторов браузера для формирования уникального отпечатка, по которому всегда можно будет узнавать данный браузер независимо от IP-адреса и предоставляемых пользователем данных. Уникализация, как правило, не несет задачи установить личность пользователя, а лишь узнавать его в любой ситуации. Уникализация пользователей сайтов происходит благодаря уникальным отпечаткам браузера, таким как Canvas fingerprint, WebGL fingerprint, Front fingerprint и др., а также благодаря использованию cookies.
Для формирования уникальных отпечатков вам достаточно всего лишь один раз посетить веб-сайт. Даже если в следующий раз вы посетите сайт с другого IP-адреса, предоставите иные авторизационные данные, сайт все равно вас узнает, а если сайт подключен к какой-либо антифрод или маркетинг-системе, собирающей отпечатки пользователей, то и другие сайты-участники этой системы смогут получить информацию о вас.
HWID - уникальный отпечаток «железа», уникализирует устройство пользователя. Он может быть получен только при установке на ваш компьютер программы, которая соберет данные для уникализации. Уникализация устройства возможна благодаря наличию у комплектующих вашего компьютера уникальных серийных номеров. Серийный номер материнской платы, серийный номер жесткого диска задаются производителем, и изменить их − далеко не самая простая задача. Уникальные серийные номера есть даже у монитора и клавиатуры. Даже если вы удалите программу, переустановите систему и вновь установите программу, она узнает вас по тому же HWID, сгенерированному на основе уникальных серийных номеров «железа» вашего компьютера. HWID и различные идентификаторы «железа» используются в основном для лицензирования программного обеспечения и антифрод системами приложений. Уникализация браузеров пользователей в основном используется для борьбы с мошенниками, но может быть использована для отслеживания и даже деанонимизации. Например, вы зашли на сайт, где оставили свои данные, пусть это будет интернет-магазин. Этот магазин установил у себя антифрод систему, призванную защищать от мошенников. Антифрод система получила уникальный отпечаток вашего браузера и данные о вас, указанные при заказе. Получив эту информацию, она может узнать вас на любом сайте, который вы открыли и где размещены ее скрипты, хотите вы этого или нет.
Важно понимать отсутствие прямой связи между IP-адресом и каким-либо пользователем. IP-адрес принадлежит точке выхода в сеть. Например, если вы подключаетесь к Wi-Fi роутеру, то получаете IP-адрес данного роутера. Все остальные пользователи, подключившись к этому роутеру, получат этот же самый IP-адрес.
Проверка IP-адреса может указать только интернет-провайдера и общее место расположения, проведя сканирование, можно определить модель роутера. Провайдер интернет-связи, подключивший кабель интернета к данному роутеру, знает, на кого он оформлен и где располагается, при запросе от компетентных органов он обязан выдать эту информацию. Есть еще возможность проанализировать логи провайдера, логи роутера − обо всем этом мы расскажем в главе, посвященной деанонимизации.
Злоумышленник может взломать Wi-Fi роутер и затем начать перехватывать трафик с целью найти в нем зацепки для установления личности, например аккаунты социальных сетей, либо пытаться заразить компьютер через подмену DNS или «склейку» пакетов. Все это − активная деанонимизация. К слову, сокрытие IP-адреса важно не только для анонимности, но и для безопасности. Как уже было сказано выше, сканируя ваш IP-адрес, злоумышленник может взломать ваш роутер или модем, если вы выходите через Wi-Fi или 3G/4G-модем, либо прямо компьютер, если он подключен непосредственно к интернет-кабелю. Подобные истории происходят слишком часто, чтобы игнорировать данную угрозу.
Уникализация - поиск и сбор уникальных идентификаторов браузера для формирования уникального отпечатка, по которому всегда можно будет узнавать данный браузер независимо от IP-адреса и предоставляемых пользователем данных. Уникализация, как правило, не несет задачи установить личность пользователя, а лишь узнавать его в любой ситуации. Уникализация пользователей сайтов происходит благодаря уникальным отпечаткам браузера, таким как Canvas fingerprint, WebGL fingerprint, Front fingerprint и др., а также благодаря использованию cookies.
Для формирования уникальных отпечатков вам достаточно всего лишь один раз посетить веб-сайт. Даже если в следующий раз вы посетите сайт с другого IP-адреса, предоставите иные авторизационные данные, сайт все равно вас узнает, а если сайт подключен к какой-либо антифрод или маркетинг-системе, собирающей отпечатки пользователей, то и другие сайты-участники этой системы смогут получить информацию о вас.
HWID - уникальный отпечаток «железа», уникализирует устройство пользователя. Он может быть получен только при установке на ваш компьютер программы, которая соберет данные для уникализации. Уникализация устройства возможна благодаря наличию у комплектующих вашего компьютера уникальных серийных номеров. Серийный номер материнской платы, серийный номер жесткого диска задаются производителем, и изменить их − далеко не самая простая задача. Уникальные серийные номера есть даже у монитора и клавиатуры. Даже если вы удалите программу, переустановите систему и вновь установите программу, она узнает вас по тому же HWID, сгенерированному на основе уникальных серийных номеров «железа» вашего компьютера. HWID и различные идентификаторы «железа» используются в основном для лицензирования программного обеспечения и антифрод системами приложений. Уникализация браузеров пользователей в основном используется для борьбы с мошенниками, но может быть использована для отслеживания и даже деанонимизации. Например, вы зашли на сайт, где оставили свои данные, пусть это будет интернет-магазин. Этот магазин установил у себя антифрод систему, призванную защищать от мошенников. Антифрод система получила уникальный отпечаток вашего браузера и данные о вас, указанные при заказе. Получив эту информацию, она может узнать вас на любом сайте, который вы открыли и где размещены ее скрипты, хотите вы этого или нет.
Сопоставление соединений - это один из самых эффективных путей деанонимизации пользователей VPN и proxy, применяемых спецслужбами и правоохранительными органами по всему миру. Давайте представим ситуацию: вы сотрудник спецслужбы и разыскиваете опасного хакера. Все, что у вас есть - это его IP-адрес, с которого он месяц назад один раз заходил на сайт. Вроде бы отличная возможность вычислить пользователя по IP-адресу, точно известно, что хакер находится в одной с вами стране, но IP-адрес принадлежит VPN-сервису и размещен в Нидерландах. Что делать? Первым делом вы отправляете запрос владельцу VPN с просьбой выдать данные о том, кто использовал такой-то IP-адрес в такое-то время. Предположим, владелец VPN игнорирует ваш запрос. В вашем арсенале остается набор вредоносного софта, которым можно заразить устройство хакера, но вот проблема – контакта с ним никакого нет. Хакер сделал свое дело и залег на дно, потому все методы активной деанонимизации бесполезны.
Что же делать? У вас есть система ОРМ, которая сканирует весь трафик всех пользователей, у вас есть провайдеры, которые по закону сохраняют данные об активности пользователей. Да, вы не можете расшифровать записанный VPN-трафик, но это вам и не нужно. Вам необходимо посмотреть, кто из жителей в интересующий промежуток времени устанавливал зашифрованное соединение с нужным вам VPN-сервером в Нидерландах. Если это популярный публичный VPN, таких пользователей может быть несколько, но их не может быть много. Пусть в нашем случае будет три человека. Установить, кто же из них хакер, уже не представляется сложной задачей, для этого используются стандартные практики расследования, не имеющие прямого отношения к вопросам анонимности и безопасности в сети.
Аналогичным способом можно деанонимизировать и пользователей proxy, а вот против пользователей Тор атака не пройдет, так как IP-адрес, к которому подключается пользователь Тор,‒это адрес входной ноды, а на выходе у него IP-адрес выходной ноды. Против пользователей Тор есть свои методы деанонимизации с использованием ОРМ, например тайминг-атака на мессенджер. Главная защита от атаки методом сопоставления соединений – использование цепочек, например Double (двойной) VPN или Double proxy, в этом случае подключаться вы будете к одному серверу, а на выходе у вас будет IP-адрес другого сервера.Для защиты от атаки методом сопоставления соединений используйте связки серверов VPN и proxy.
Знаю, что некоторые специалисты настраивают single (одинарный) VPN таким образом, чтобы на входе был один IP-адрес, а на выходе другой. Такая схема должна быть эффективна против атаки путем сопоставления соединений, но на практике я с подобными решениями не сталкивался.
Что же делать? У вас есть система ОРМ, которая сканирует весь трафик всех пользователей, у вас есть провайдеры, которые по закону сохраняют данные об активности пользователей. Да, вы не можете расшифровать записанный VPN-трафик, но это вам и не нужно. Вам необходимо посмотреть, кто из жителей в интересующий промежуток времени устанавливал зашифрованное соединение с нужным вам VPN-сервером в Нидерландах. Если это популярный публичный VPN, таких пользователей может быть несколько, но их не может быть много. Пусть в нашем случае будет три человека. Установить, кто же из них хакер, уже не представляется сложной задачей, для этого используются стандартные практики расследования, не имеющие прямого отношения к вопросам анонимности и безопасности в сети.
Аналогичным способом можно деанонимизировать и пользователей proxy, а вот против пользователей Тор атака не пройдет, так как IP-адрес, к которому подключается пользователь Тор,‒это адрес входной ноды, а на выходе у него IP-адрес выходной ноды. Против пользователей Тор есть свои методы деанонимизации с использованием ОРМ, например тайминг-атака на мессенджер. Главная защита от атаки методом сопоставления соединений – использование цепочек, например Double (двойной) VPN или Double proxy, в этом случае подключаться вы будете к одному серверу, а на выходе у вас будет IP-адрес другого сервера.Для защиты от атаки методом сопоставления соединений используйте связки серверов VPN и proxy.
Знаю, что некоторые специалисты настраивают single (одинарный) VPN таким образом, чтобы на входе был один IP-адрес, а на выходе другой. Такая схема должна быть эффективна против атаки путем сопоставления соединений, но на практике я с подобными решениями не сталкивался.
Начнем с Джереми Хаммонда (Jeremy Hammond) − самого разыскиваемого агентами ФБР хакера, среди преступлений которого числится взлом компьютеров разведывательного агентства Stratfor. Компания Stratfor основана в 1996 году и сегодня многими считается «вторым ЦРУ», а ее клиентами являются государство и крупнейшие корпорации. Джереми сумел добыть информацию о преступлениях со стороны Stratfor и частных военных подрядчиков, тесно сотрудничавших с американскими силовыми структурами. Хаммонд стёр файлы с серверов Stratfor, скопировал письма и передал их Wikileaks. С банковских карточек клиентов Stratfor было сделано пожертвований на сумму более 700 тыс. USD, и в моих глазах его поступки находятся на грани преступления и подвига. Но американское правосудие не нашло в его деяниях ничего героического, и 15 ноября 2013 года 28-летний Джереми Хаммонд получил 10 лет тюрьмы и три года последующего надзора. Нас же интересует вопрос: как ФБР удалось найти его, а главное − каким образом спецслужба добыла доказательства его вины? Узнать его личность смогли через завербованного члена хакерской группировки, по крайней мере эта версия распространена СМИ. Вербовка − один из самых популярных методов спецслужб. Мне достоверно неизвестно, каким путем происходит процесс вербовки, но предполагаю, что находят самого глупого, ловят, и он работает за свою свободу, а кто-то, может, и за вознаграждение. К некоторым людям, с кем мы постоянно работаем, доверия всегда больше, нежели к посторонним с улицы. Даже великие хакеры − всего лишь простые Homo Sapiens, и общение для них − одна из потребностей. Но не только хакерам и преступникам стоит опасаться разоблачения через сообщника. Всем нам стоит быть осторожнее при общении с людьми в сети: переписки имеют свойство сохраняться, и кто знает, когда и у кого они окажутся в будущем.
Но одной деанонимизации − установления подлинной личности пользователя сети − мало. Чтобы привлечь киберпреступника к ответственности, нужно собрать доказательную базу − получить доступ к его данным, где хранится информация о совершенных им преступлениях.
Джереми Хаммонд − настоящий профессионал, и он, безусловно, шифровал свой диск. Вот только пароль к диску был "Chewy 123". Chewy − кличка его кошки. А поскольку агенты ФБР следили за ним, они, естественно, данную информацию знали и без особого труда подобрали пароль. Немного отвлекусь и кратко расскажу, как обычно происходит подбор пароля. Первым делом специалисты проверят, не использовали ли вы один из нескольких десятков миллионов распространенных паролей (например, QwErTy1234567890), затем сформируют список, куда, в том числе войдут и ваш адрес, номера телефонов, фамилии, имена родственников, клички домашних животных, любимая команда, любимый певец, спортсмен, номер школы; после начнут проверять их, при помощи программы подставляя к ним различные данные. Вы сильно ошибаетесь, если думаете, что девичья фамилия вашей матери и 123456 на конце − это надежный пароль. Кстати, кроме этого специалисты постараются выяснить ваши пароли к другим ресурсам и если увидят, что к одному из ресурсов в качестве пароля использовалась цитата Овидия, они проверят все его цитаты с различными дополнениями.
Джереми Хаммонд − настоящий профессионал, и он, безусловно, шифровал свой диск. Вот только пароль к диску был "Chewy 123". Chewy − кличка его кошки. А поскольку агенты ФБР следили за ним, они, естественно, данную информацию знали и без особого труда подобрали пароль. Немного отвлекусь и кратко расскажу, как обычно происходит подбор пароля. Первым делом специалисты проверят, не использовали ли вы один из нескольких десятков миллионов распространенных паролей (например, QwErTy1234567890), затем сформируют список, куда, в том числе войдут и ваш адрес, номера телефонов, фамилии, имена родственников, клички домашних животных, любимая команда, любимый певец, спортсмен, номер школы; после начнут проверять их, при помощи программы подставляя к ним различные данные. Вы сильно ошибаетесь, если думаете, что девичья фамилия вашей матери и 123456 на конце − это надежный пароль. Кстати, кроме этого специалисты постараются выяснить ваши пароли к другим ресурсам и если увидят, что к одному из ресурсов в качестве пароля использовалась цитата Овидия, они проверят все его цитаты с различными дополнениями.
Пароли, их создание и хранение, способы их подбора и кражи − большой материал, который обязателен к изучению. Ему посвящена отдельная глава курса. Из предыдущей истории советую сделать еще один вывод: не надо нарушать законы там, где вы живете (а ещё лучше вообще не нарушайте их). Эдвард Сноуден выдал миру секретов на несколько пожизненных сроков в США, но живет в России, и тут он едва ли не народный герой. Находись Джереми Хаммонд в России, где «второе ЦРУ» не любят, как и первое, он, вероятнее всего, был бы на свободе. Я ни на что не намекаю, просто рассуждения вслух. Кстати, в русскоязычном андеграунде повсеместно распространён запрет воровать там, где живешь. Делается это не из какого-то патриотизма или жалости к соотечественникам, киберпреступники редко обременяют себя благородными идеями. Делается это исключительно ради безопасности, во избежание заведения уголовных дел на родине. Практическое применение запрета воровать там, где живешь, можно проследить на примере разработки вредоносного программного обеспечения. Многие программы-вымогатели, разработанные русскоязычными программистами, попадая на компьютер жертвы, проверяют наличие русского языка среди языков, используемых операционной системой. Обнаруживая русский язык, они удаляют себя с компьютера, не причиняя никакого вреда жертве.
Продолжим повествование историей из российских реалий. 31 июля 2013 года российский бизнесмен, владелец платежной системы " Chronopay" Павел Врублевский получил два с половиной года тюрьмы за организацию в 2011 году DDoS-атаки на интернет-ресурсы компании-конкурента «Ассист». Вследствие атаки была заблокирована возможность покупки билетов на сайте российской авиакомпании «Аэрофлот», так, по крайней мере, писали СМИ. DDoS-атаки − различного типа атаки на вычислительные системы (например, сервера) с целью вывести их из строя или препятствовать нормальной работе. В настоящее время организация и осуществление DDoS-атак является уголовно наказуемым деянием в большинстве стран мира. В результате атаки «Аэрофлот» понес серьезные убытки и прекратил пользоваться услугами компании «Ассист». Кроме этого, «Аэрофлотом» был подан иск на 194 млн руб. к «ВТБ-24», который через "Ассист" обеспечивал «Аэрофлоту» процессинг платежей. Возникает закономерный вопрос: как следствие при помощи ФСБ смогло найти и доказать вину Врублевского? Эта информация попала в прессу, и теперь мы можем проанализировать ее. Первый необдуманный шаг − использование Врублевским и его сообщниками мессенджера ICQ. ICQ принадлежит Mail.ru Group, чьё тесное сотрудничество с ФСБ давно ни для кого не секрет. ICQ далеко не безопасна, по крайней мере, без использования дополнительных инструментов шифрования. Это в целом даже и не скрывается, вот пункт пользовательского соглашения с переводом из Википедии (данный пункт был актуален на дату описываемых событий): «Вы соглашаетесь, что, отправляя любой материал или информацию через какой-либо ICQ сервис, вы уступаете авторские и любые другие имущественные права на опубликованный материал или информацию. В дальнейшем вы соглашаетесь, что ICQ Inc. имеет право использовать опубликованный материал или информацию в любом виде и с любой целью, включая, но не ограничиваясь, его публикацию и распространение.» Кроме этого, в ICQ масса уязвимостей, доступы к аккаунтам регулярно получают злоумышленники. У меня, естественно, возникает вопрос: ну какой человек в здравом уме будет пользоваться этим сервисом?!
Кстати, согласно имеющейся в прессе информации, к этому же выводу пришел и Павел Врублевский, перейдя на использование XMPP (Jabber), но было уже поздно. Надо было сразу использовать XMPP (Jabber), и лучше с дополнительным PGP-шифрованием. Отдельная глава нашей книги будет посвящена безопасному общению в сети, где мы расскажем о безопасных мессенджерах. Согласно публично доступным материалам, по решению суда сетевой трафик Павла Врублевского и других подозреваемых подвергался мониторингу и анализу. Для анализа трафика использовались Ufasoft Sniffer и WireShark, был применен простой поиск в журналах трафика слова «password», в результате которого были найдены строки с логином и паролем к панели управления ботнетом. Ботнет (одно из определений) − сеть зараженных вирусом компьютеров, дистанционно управляемых из панели управления. В основном зараженные компьютеры используются для рассылки спама, DDoS-атак, майнинга биткоинов. Мы в данной книге научим вас надежно шифровать интернет-трафик, защищая от перехвата и анализа, чистить журналы; более того, мы научим вас анализировать трафик, как это делают спецслужбы. В рассмотренном выше случае владельцы ботнета просто не шифровали интернет-трафик! Мне до сих пор сложно поверить в это. Вся информация, имеющаяся о них в публичном доступе, говорит, что это настоящие профессионалы, и мне сложно объяснить подобную оплошность, может быть, врут СМИ.
Но и это не все в деле Врублевского. Для расчетов с исполнителями использовалась платежная система "WebMoney", популярная в русскоязычном сегменте интернета. Данная система требует от пользователя идентификации и собирает о нем максимум информации, включая IP-адрес. Эта информация, которая хранится длительное время, и была выдана правоохранительным органам. Все вышесказанное − не повод отказываться от использования платежных систем, просто не питайте иллюзий, что это анонимно. Они хранят о вас даже больше, чем вы способны вообразить. Кстати, надеюсь, вы ведь не верите, что Bitcoin анонимен? Следующий случай наглядно демонстрирует, насколько важно, заботясь об анонимности и безопасности в сети, правильно подойти к выбору поставщика VPN. В апреле 2013 года Коди Кретсингер, член хакерской группировки LulzSec, известный под псевдонимом «Recursion», получил год тюрьмы с последующим домашним арестом и выполнением общественных работ сроком в 1000 часов. Человек, участвовавший в хищении конфиденциальной информации с серверов Sony Pictures, безусловно, думал о своей анонимности и использовал VPN. Но... Единственное, он не смог предусмотреть, что VPN-сервис собирал и хранил информацию о нем, и по запросу передал ее спецслужбам. К выбору VPN-сервиса надо подходить максимально серьезно, если вам действительно важна ваша анонимность.
В 2019 году в Гонконге вспыхнули массовые протесты, вызванные законом об экстрадиции, дающим правительству Гонконга право передавать своих граждан по запросам стран, с которыми не подписано соглашение об экстрадиции. Как бы это странно ни звучало, но такого соглашения нет, в частности, с материковым Китаем.
Жители Гонконга увидели в принимаемом законе угрозу автономии региона и нарушение прав граждан, что послужило поводом к серии массовых протестов. Интернет полон эпичных видеороликов и фотографий, запечатлевших описываемые события. Спустя некоторое время протестующие расширили список своих требований, и на начало 2020 года протесты продолжали бушевать. Для координации действий использовался мессенджер Telegram. Выбор был сделан из-за позиционируемого упора на приватность данных, а также из-за возможности создавать большие чаты и группы. Именно в этих чатах и группах планировались акции и обсуждались противоправные, с точки зрения властей, действия. Однако нас интересуют не сами протесты, не их причина, а заявления протестующих о возможности властей независимо от настроек конфиденциальности получать данные о мобильном номере, привязанном к аккаунту Telegram. Я уже писал в рамках курса об уязвимости, позволяющей, добавляя все подряд телефонные номера, получать в результате логины пользователей, связанные с ними. Пока Павел Дуров критиковал безопасность WhatsApp, базы пользователей Telegram, включающие номера и логины, оказались не только у силовиков, но и в даркнете. Пробив мобильного номера по username стал рутинной и даже не очень дорогой задачей, приведя к большим проблемам у пользователей. Безусловно, не все привязывают личную сим-карту к Telegram. Предположим, диссидент, которого хотят вычислить, купил сим-карту в переходе и никогда не оформлял ее на себя. Как можно установить его личность?
Первый путь – установить, где происходила активация сим-карты и с какого устройства. У каждого мобильного устройства есть IMEI – уникальный идентификатор, и при активации сим-карты он передается оператору. По IMEI можно узнать, какие еще сим-карты вставлялись в устройство. Немногие, даже самые рьяные, поборники анонимности сразу после активации отправляют телефон в мусорное ведро. Даже если жертва вставляла сим-карту не у себя дома, будет проверено, какие мобильные устройства были поблизости в момент активации. Если в это время в кармане лежал включенный личный мобильный телефон или он был выключен в том же месте незадолго до активации анонимной сим-карты, это провал.
Второй путь – биллинг, а именно изучить, каким образом пополнялась купленная сим-карта, какие СМС приходили на нее. Возможно, она пополнялась через уличный терминал, размещенный под камерами, и в этот момент у пополнявшего был включен личный мобильный телефон, либо она пополнялась с личного электронного кошелька, что еще лучше для установления личности. Если речь идет об арендуемом виртуальном номере, то предоставляющие их сервисы, вопреки заблуждениям, весьма охотно выдают всю информацию. Последние годы на них оказывается серьезное давление, вплоть до угроз выведения из строя инфраструктуры. Мне доводилось общаться с одним из владельцев. В стоимость номера он не закладывает работу с жалобами, иначе цена возросла бы в десятки раз, а потому сервис выдает все имеющиеся данные по запросу правоохранительных органов любой страны. Они зарабатывают, предлагая сэкономить на международных звонках, а аренда номера для разового приема СМС – это, можно сказать, работа в убыток. Хотя, если у вас есть надежный сервис, куда вы зайдете через Tor, укажете одноразовую почту и где рассчитаетесь биткоинами, ‒ это хороший вариант. Но вернемся к протестам и Telegram. Когда тема деанонимизации пользователей получила общественный резонанс, руководство Telegram добавило новую настройку конфиденциальности «Кто может найти меня по номеру», где одним из пунктов был предложен вариант «Никто».
Руководство Telegram ответило новой возможностью указать «Никто» в опции «Кто видит мой номер телефона». Гениальное решение, способное решить все проблемы пробива мобильных номеров, но не тут-то было... Опция «Никто» в ее первой реализации – это обман пользователей со стороны Telegram. Она по-прежнему позволяла получать данные об аккаунте Telegram всем, у кого привязанный к этому аккаунту номер телефона добавлен в список контактов. Да, вы все правильно прочитали: это была просто пыль в глаза. Доказательства можете изучить по этой ссылке, я бы не стал обманывать вас.
Многих в тот момент шокировала эта новость. Указанный в Telegram номер по-прежнему могли получить без проблем и спецслужбы, и злоумышленники. Чуть позже Telegram ужесточил настройки, позволив находить по номеру телефона только тех, кто добавлен на целевом устройстве в список контактов. У меня есть достаточно достоверная информация, что это серьезно осложнило работу пробива актуального номера. Подавляющее количество сервисов, предлагавших такого рода услуги, работают с базами, собранными в начале осени 2019 года
Что точно не работает:
Хочу обратить ваше внимание: недостаточно сменить номер мобильного и username или даже совсем его не использовать. Каждый аккаунт Telegram имеет постоянный User ID, сменить который пользователь не имеет возможности. Многие базы данных уже содержат User ID, что позволяет получить историю мобильных номеров, привязывавшихся к аккаунту ранее, и использованных ранее username. Потому у спецслужб всегда будет возможность получить данные о прежних номерах телефона, привязанных к конкретному User ID, и проверить каждый из них. User ID меняется только при полной смене аккаунта. Рекомендую удалить текущий аккаунт и зарегистрировать новый, если вам важна максимальная анонимность. Вот еще один важный момент: некоторые пользователи не сразу после регистрации аккаунта активируют настройки приватности. Уже спустя час после регистрации аккаунта ваши данные могут оказаться в подобных базах и дальнейшие меры будут малоэффективны. Потому настроить безопасность спустя время после регистрации лучше, чем не настроить совсем, но недостаточно, если вы серьезно заботитесь о своей анонимности.
Дальше интереснее: на сингапурских форумах активно обсуждается тема засланного казачка в команду поддержки Telegram, который может по запросу доставать правительству нужные данные. К сожалению, даже при отсутствии весомых доказательств исключать такое нельзя. И в этом случае не поможет даже смена аккаунта, необходимо менять телефон вместе с аккаунтом.
Что стоит сделать
Первым делом запретите Telegram доступ к контактам, это можно сделать в настройках вашего устройства.
В настройках управления данными удалите импортированные контакты и отключите синхронизацию контактов. Вы, наверное, слышали этот совет миллион раз.
В настройках конфиденциальности > номер телефона запретите кому-либо видеть ваш номер телефона, а искать по номеру телефона разрешите только тем, кто добавлен у вас в контакты.
Я рекомендую также отказаться от использования username и запретить пересылать ваши сообщения. Тут главное – не впадать в крайность и воспользоваться данным советом, только если описываемые опции вам не нужны.
Ну а если базовых рекомендаций вам мало, покупайте новое устройство, регистрируйте новый аккаунт в магазине приложений Google/Apple. Затем ищите сервис аренды виртуальных номеров, где будет возможно оплатить при помощи биткоинов и зарегистрироваться с Tor, арендуйте там виртуальный номер, на который зарегистрируйте новый аккаунт Telegram.
Жители Гонконга увидели в принимаемом законе угрозу автономии региона и нарушение прав граждан, что послужило поводом к серии массовых протестов. Интернет полон эпичных видеороликов и фотографий, запечатлевших описываемые события. Спустя некоторое время протестующие расширили список своих требований, и на начало 2020 года протесты продолжали бушевать. Для координации действий использовался мессенджер Telegram. Выбор был сделан из-за позиционируемого упора на приватность данных, а также из-за возможности создавать большие чаты и группы. Именно в этих чатах и группах планировались акции и обсуждались противоправные, с точки зрения властей, действия. Однако нас интересуют не сами протесты, не их причина, а заявления протестующих о возможности властей независимо от настроек конфиденциальности получать данные о мобильном номере, привязанном к аккаунту Telegram. Я уже писал в рамках курса об уязвимости, позволяющей, добавляя все подряд телефонные номера, получать в результате логины пользователей, связанные с ними. Пока Павел Дуров критиковал безопасность WhatsApp, базы пользователей Telegram, включающие номера и логины, оказались не только у силовиков, но и в даркнете. Пробив мобильного номера по username стал рутинной и даже не очень дорогой задачей, приведя к большим проблемам у пользователей. Безусловно, не все привязывают личную сим-карту к Telegram. Предположим, диссидент, которого хотят вычислить, купил сим-карту в переходе и никогда не оформлял ее на себя. Как можно установить его личность?
Первый путь – установить, где происходила активация сим-карты и с какого устройства. У каждого мобильного устройства есть IMEI – уникальный идентификатор, и при активации сим-карты он передается оператору. По IMEI можно узнать, какие еще сим-карты вставлялись в устройство. Немногие, даже самые рьяные, поборники анонимности сразу после активации отправляют телефон в мусорное ведро. Даже если жертва вставляла сим-карту не у себя дома, будет проверено, какие мобильные устройства были поблизости в момент активации. Если в это время в кармане лежал включенный личный мобильный телефон или он был выключен в том же месте незадолго до активации анонимной сим-карты, это провал.
Второй путь – биллинг, а именно изучить, каким образом пополнялась купленная сим-карта, какие СМС приходили на нее. Возможно, она пополнялась через уличный терминал, размещенный под камерами, и в этот момент у пополнявшего был включен личный мобильный телефон, либо она пополнялась с личного электронного кошелька, что еще лучше для установления личности. Если речь идет об арендуемом виртуальном номере, то предоставляющие их сервисы, вопреки заблуждениям, весьма охотно выдают всю информацию. Последние годы на них оказывается серьезное давление, вплоть до угроз выведения из строя инфраструктуры. Мне доводилось общаться с одним из владельцев. В стоимость номера он не закладывает работу с жалобами, иначе цена возросла бы в десятки раз, а потому сервис выдает все имеющиеся данные по запросу правоохранительных органов любой страны. Они зарабатывают, предлагая сэкономить на международных звонках, а аренда номера для разового приема СМС – это, можно сказать, работа в убыток. Хотя, если у вас есть надежный сервис, куда вы зайдете через Tor, укажете одноразовую почту и где рассчитаетесь биткоинами, ‒ это хороший вариант. Но вернемся к протестам и Telegram. Когда тема деанонимизации пользователей получила общественный резонанс, руководство Telegram добавило новую настройку конфиденциальности «Кто может найти меня по номеру», где одним из пунктов был предложен вариант «Никто».
Руководство Telegram ответило новой возможностью указать «Никто» в опции «Кто видит мой номер телефона». Гениальное решение, способное решить все проблемы пробива мобильных номеров, но не тут-то было... Опция «Никто» в ее первой реализации – это обман пользователей со стороны Telegram. Она по-прежнему позволяла получать данные об аккаунте Telegram всем, у кого привязанный к этому аккаунту номер телефона добавлен в список контактов. Да, вы все правильно прочитали: это была просто пыль в глаза. Доказательства можете изучить по этой ссылке, я бы не стал обманывать вас.
Многих в тот момент шокировала эта новость. Указанный в Telegram номер по-прежнему могли получить без проблем и спецслужбы, и злоумышленники. Чуть позже Telegram ужесточил настройки, позволив находить по номеру телефона только тех, кто добавлен на целевом устройстве в список контактов. У меня есть достаточно достоверная информация, что это серьезно осложнило работу пробива актуального номера. Подавляющее количество сервисов, предлагавших такого рода услуги, работают с базами, собранными в начале осени 2019 года
Что точно не работает:
Хочу обратить ваше внимание: недостаточно сменить номер мобильного и username или даже совсем его не использовать. Каждый аккаунт Telegram имеет постоянный User ID, сменить который пользователь не имеет возможности. Многие базы данных уже содержат User ID, что позволяет получить историю мобильных номеров, привязывавшихся к аккаунту ранее, и использованных ранее username. Потому у спецслужб всегда будет возможность получить данные о прежних номерах телефона, привязанных к конкретному User ID, и проверить каждый из них. User ID меняется только при полной смене аккаунта. Рекомендую удалить текущий аккаунт и зарегистрировать новый, если вам важна максимальная анонимность. Вот еще один важный момент: некоторые пользователи не сразу после регистрации аккаунта активируют настройки приватности. Уже спустя час после регистрации аккаунта ваши данные могут оказаться в подобных базах и дальнейшие меры будут малоэффективны. Потому настроить безопасность спустя время после регистрации лучше, чем не настроить совсем, но недостаточно, если вы серьезно заботитесь о своей анонимности.
Дальше интереснее: на сингапурских форумах активно обсуждается тема засланного казачка в команду поддержки Telegram, который может по запросу доставать правительству нужные данные. К сожалению, даже при отсутствии весомых доказательств исключать такое нельзя. И в этом случае не поможет даже смена аккаунта, необходимо менять телефон вместе с аккаунтом.
Что стоит сделать
Первым делом запретите Telegram доступ к контактам, это можно сделать в настройках вашего устройства.
В настройках управления данными удалите импортированные контакты и отключите синхронизацию контактов. Вы, наверное, слышали этот совет миллион раз.
В настройках конфиденциальности > номер телефона запретите кому-либо видеть ваш номер телефона, а искать по номеру телефона разрешите только тем, кто добавлен у вас в контакты.
Я рекомендую также отказаться от использования username и запретить пересылать ваши сообщения. Тут главное – не впадать в крайность и воспользоваться данным советом, только если описываемые опции вам не нужны.
Ну а если базовых рекомендаций вам мало, покупайте новое устройство, регистрируйте новый аккаунт в магазине приложений Google/Apple. Затем ищите сервис аренды виртуальных номеров, где будет возможно оплатить при помощи биткоинов и зарегистрироваться с Tor, арендуйте там виртуальный номер, на который зарегистрируйте новый аккаунт Telegram.
Пока что все. Кому интересно почитать еще, можете погуглить. Напомню статьи копипаст! В первоисточнике очень много материала. Все в окрытом доступе. Так что без труда сможете найти первоисточник. Итак, подведем итоги из этих статей. Никогда не относитесь к своей анонимности спустя рукава. Раскрыть вашу личность могут на раз два, даже с использованием Tor, VPN и Proxy. Истории описанные в статьях тому доказательство. Учитесь на чужих ошибках. Всегда помните про безопасность и в онлайне, и IRL. Когда буду по свободнее выкачу еще чего-нибудь интересное.
P.S: Нарыл небольшую подборку книг по кибербезопасности и не только, могу поделиться если кому интересно. Стучите в ЛС.
