Старый 24.11.2010, 01:36   #1
tipsy
 
Аватар для tipsy
 
Регистрация: 10.07.2010
Сообщений: 415
Репутация: 311
По умолчанию Анонимность в современном мире.

Пару лет назад на Эксплойте появилась статья от Mаil2k с названием "Анонимность VPN + SOCKS, Так ли безопасно?"
В статье описываются разрывающие шаблон вещи про то, как (успешно) составляется доказательная база в случае использования подозреваемым схемы впн+сокс.
Я проверил ссылки и погуглил термины - всё правда, автор знает, о чём пишет, и если что-то и приукрашено, то совсем чуть-чуть.

Текст
Цитата:
Сообщение от Mаil2k
Доброго времени форумчане!

Как некоторые из вас уже знают, я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.

Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.

Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).

Итак, как же вычисляют наивных хакеров, использующих VPN?

Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное - Solera (http://www.soleranetworks.com/produc...appliances.php). В Европе распространено оборудование Netwitness (http://www.mantech.com/), в России - СОРМович (http://sormovich.ru/), на Украине я встречался с Solera и E-Detective (http://www.edecision4u.com/). Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!

А что же происходит в случае, если поверх VPN используется SOCKS?

Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.

Как спастись от подобного?

Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор). Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства (http://cybercop.in/). Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел.

Статью пообсуждали на эксплойте и совсем немного на ачате, но можете не тратить время на чтение комментариев, ничего толкового там нет, кроме ещё одного поста от автора статьи, скопирую его сюда для удобства:

Цитата:
Короче ТС забанили на этом форуме ;) Поэтому он мне через личку на другом форуме просил передать следующее:
цитируй
На основании какой законодательной базы и какими уликами доказывали причастность пакетов к конкретному пользователю ?
конец_цитаты

Улики те, что перечислены выше + системный блок, который изъяли менты
Там было 2 винта, один из них с кристально чистой виндой, второй зашифрован (загрузчик TrueCrypt стоял). На зашифрованном было 2 раздела, т.е. скорее всего была скрытая ОС. При помощи DNA (от AccessData) удалось подобрать довольно-таки простой пароль к первому разделу (офсайт TrueCrypt, кстати, рекомендует делать именно простые пароли на ложную ОС, чтобы было чем объяснить наличие второго зашифрованного раздела), там обнаружилась ОС, из которой и были извлечены доказательства В ходе экспертизы при анализе логов провайдера выяснилось, что время загрузки / выключения зашифрованной ОС совпадает с временем входа / выхода в сеть, т.е. в заключении было написано, что ни вероятно присутствующая скрытая ОС на втором разделе, ни какой-либо LiveCD не был использован для доступа в сеть в промежутке от X до Y. Вопрос о том, мог ли комп находится в составе ботнета и быть использован кем-то другим был поставлен при помощи адвоката, но ответ эксперта, я думаю, итак понятен.

Вот, больше подробностей рассказать не могу.
Прежде чем паниковать, хотелось бы переписать сюда мнение умного человека в вольном перессказе:

---
Мы привыкли думать, что есть люди, которые как бы "хотят" бороться, а никто не хочет, просто все зарабатывают деньги, и их метод заработка - это клянчить бюджет у государства, а потом получать зарплату.

Правоохранительные органы (и наши, но в оригинале про американские) - это тоже корпорации, со своим бюджетом и отчётностью. Они не получают прибыль, но обязаны распределять выделенные им деньги эффективно.

Представьте себе весы, где левая чаша - это ваша ценность для отчётности: сколько нанесённого ущерба вам можно инкриминировать, PR-ценность дела (резонансные дела весят очень много - хорошо для имиджа)

Правая чаша - количество задействованных сотрудников и их времени, которое нужно потратить для поиска и подготовки доказательной базы (человекочасы стоят денег), использование спецсредств (стоит денег), необходимость заказывать экспертизы у сторонних компаний (стоит денег).

В конце финансового года надо отчитаться перед конгрессом за попиленный бюджет - раскрыто ххх дел на общую сумму ууу долларов, раскрыты такие-то и такие-то громкие дела.

Если результаты впечатлят конгресс, на следующий год выделят хороший бюджет, если достижения будут скромными на фоне проеденных за год денег, бюджет урежут, а деньги налогоплательщиков пойдут на что-то более полезное - пострелять по очередному ираку или побороть птичий/свиной/коровий грипп.

Из этого всего получается, что есть некий коэффициент, отражающий экономическую целесообразность раскрытия того или иного дела.
Каждый посаженный хакер - это хорошо для отчётности, особенно если он сам плывёт в руки, закапывая себя разговорами по аське. Но если сумма, потраченная на раскрытие дела несоразмерно превышает его ценность для отчёта, сыщика выебет его же собственное начальство.

Чтобы жить долго и счастливо, следует:

1) не влипать в резонансные дела и не перебегать дорогу государству. Держать свою ПР-ценность низкой.

Есть виды деятельности, которые позволяют хорошо зарабатывать, но, хоть это и незаконно, резонность траты денег на пресечение такой деятельности будет сложно объяснить налогоплательщикам и конгрессменам. Пока есть на свете кардеры, спамеры и вирмейкеры, для фбр рациональнее тратить деньги на них.

2) делать так, чтобы найти и доказать было слишком дорого в сравнении с суммой ущерба, которую можно на тебя повесить и отчитать.

В России добавляется ещё и пункт 3
3) не светить деньги перед местными ментами. Даже 10к для них уже хороший куш, могут прессануть без всяких доказательств.


----

Возвращаясь к статье Mаil2k - я размышлял, как противодействовать этой системе, но так ничего и не придумал.

Ситуация - ваш впн сервер под колпаком, система типа Солеры пишет траф и одновременно автоматически сопоставляет входящие и исходящие пакеты, связывая ваш компьютер и исходящий некриптованный траф воедино в пригодном для суда виде. Узнать о том, что это происходит, невозможно никак.

Очевидный вариант - создать входящий и исходящий фоновые шумы, маскирующие наш траффик, чтобы сделать сопоставление пакетов невозможным.

На впн-сервер можно поставить ТОР-сервер и стать нодой, это даст некриптованный исходящий траффик, который принадлежит не вам, а значит, и ваш траффик теоретически мог бы принадлежать кому-то другому, то есть нельзя доказать что ваш траффик именно ваш.
Да?
Нет. Когда будут отправляться пакеты с вашим некриптованным трафом, с вероятностью почти 100% на интерфейсе не будет чужих входящих пакетов того же размера с нужным таймингом. Фейл.

Для зашумливания криптоканала мы можем непрерывно лить через него что-то на сам впн-сервер. Чтобы наш траф не создавал пиков на ровном фоне, добавим в шумовой траф случайные колебания интенсивности.
Да?
Нет. На сетевом уровне нет такого понятия "непрерывно". Чтобы гарантированно смешать наш реальный траф с фоновым на пакетном уровне, недостаточно просто немного шуметь, нужно забить свой канал дерьмом на 110%, что даст нефиговые лаги в работе. Фейл.

Итого, фейл на входе и на выходе.
Есть варианты лучше?
tipsy вне форума   Ответить с цитированием
Старый 24.11.2010, 05:00   #2
Nightmare
Banned
 
Регистрация: 06.07.2010
Сообщений: 162
Репутация: 10
По умолчанию

А если такие схемы, VPN где нибудь в грузии или эстонии, потом TOR, а потом VPSPproxy ? (в VPSPproxy встроенна шифровка траффа)
В итоге имеем длинную цепочку, где весь трафф от и до шифруется. А чтобы поставить на карандаш ваш VPN сервер, то его помоему как минимум надо спалить.

Вторая схема, по заверению многих людей самая надёжная, это съёмный винчестер, который при случае всегда можно заныкать куда нибудь.

Опять таки сам не сталкивался, тоже хочется послушать комментарии от знающих людей.
Nightmare вне форума   Ответить с цитированием
Старый 24.11.2010, 08:21   #3
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию

ну съемный винт это сила, и это факт, у меня например одному другу он спасение сделал)
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума   Ответить с цитированием
Старый 24.11.2010, 09:18   #4
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 252
Репутация: 155
По умолчанию

VPN + TOR

Минус связки в том, что свой трафф через это гонять нельзя. Тоесть только под что-то конкретное и ни в коем случае не для заходов на СВОЮ почту, форумы, сайты которые тебя деанонимизируют. Думаю все и так знают, что на exit ноде трафф легко перехватывается, а вот что-бы понять откуда пришли пакеты нужно гораздо больше везения

Ну и скорость конечно ...
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 24.11.2010, 11:16   #5
asddas
 
Аватар для asddas
 
Регистрация: 04.08.2010
Сообщений: 153
Репутация: 161
По умолчанию

Невольно начинаешь шугаться после таких тем
asddas вне форума   Ответить с цитированием
Старый 24.11.2010, 14:53   #6
k0xy
 
Аватар для k0xy
 
Регистрация: 06.07.2010
Сообщений: 6
Репутация: 0
По умолчанию

А если вот так?
В соц. сетях не сидеть, часто меняю контакты.
На основной ОС дешевый VPN для серфинга (Kebrum VPN, например), при этом серый IP-адрес. При включении sudo macchanger -r eth0.
Раздел /home зашифрован, при этом чистить логи и заполнить свободное пространство нулями.
Нехорошие дела делать на виртуальной машине, на ней использовать VPN от Secretsline + TOR, к примеру. При этом, чтобы интернет раздается через NAT от основной ОС, на которой уже подключен к VPN.
k0xy вне форума   Ответить с цитированием
Старый 24.11.2010, 16:00   #7
hard
Banned
 
Регистрация: 06.07.2010
Сообщений: 50
Репутация: 1
По умолчанию

Цитата:
Сообщение от k0xy Посмотреть сообщение
VPN от Secretsline
fail
а как хорошо начинался рассказ.
hard вне форума   Ответить с цитированием
Старый 24.11.2010, 16:22   #8
Jokester
 
Аватар для Jokester
 
Регистрация: 01.07.2010
Сообщений: 252
Репутация: 155
По умолчанию

Цитата:
Сообщение от hard Посмотреть сообщение
fail
а как хорошо начинался рассказ.
дадада

k0xy отличный выбор!
__________________
------------------
Jokester вне форума   Ответить с цитированием
Старый 24.11.2010, 16:23   #9
k0xy
 
Аватар для k0xy
 
Регистрация: 06.07.2010
Сообщений: 6
Репутация: 0
По умолчанию

Совсем плохо?
k0xy вне форума   Ответить с цитированием
Старый 24.11.2010, 16:34   #10
hard
Banned
 
Регистрация: 06.07.2010
Сообщений: 50
Репутация: 1
По умолчанию

Цитата:
Сообщение от k0xy Посмотреть сообщение
Совсем плохо?
hard вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot