• Обратная связь: [email protected]

    Наш канал в telegram: https://t.me/ru_sfera

    Группа VK: https://vk.com/rusfera

    Пользователи могут писать на форуме ТОЛЬКО ЧЕРЕЗ 7 ДНЕЙ после регистрации

Анонимность и конфиденциальность в Интернете


Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Сейчас искал информацию по преимуществам и недостаткам протокола Socks.И попалась мне такая статья:"Безопасно ли использование Vpn + Socks?".Казалось бы такая связка должна давать высокий уровень анонимности,но в СБ не спят.Вообщем статья была написана человеком (Mаil2k) ранее работавшим в структуре связанной с сетевой безопасностью.Оригинала этой статьи не достал,так как требуется рега на источнике,а она достаточно сложная (оригинал был опубликован на exploit.in,года 4 назад).Ссылки на примеры использованного оборудования для перехвата уже сдохли и я взял первое попавшееся из Гугла.

Доброго времени форумчане!
Как некоторые из вас уже знают, я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.
Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.
Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).
Итак, как же вычисляют наивных хакеров, использующих VPN?
Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное - . В Европе распространено оборудование , в России - на Украине я встречался с Solera и .Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!
А что же происходит в случае, если поверх VPN используется SOCKS?
Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.
+ в обсуждении темы рассматривался такой вопрос "На основании какой законодательной базы и какими уликами доказывали причастность пакетов к конкретному пользователю ?" , был дан ответ от Mаil2k
Улики те, что перечислены выше + системный блок, который изъяли менты
Там было 2 винта, один из них с кристально чистой виндой, второй зашифрован (загрузчик TrueCrypt стоял). На зашифрованном было 2 раздела, т.е. скорее всего была скрытая ОС. При помощи DNA (от AccessData) удалось подобрать довольно-таки простой пароль к первому разделу (офсайт TrueCrypt, кстати, рекомендует делать именно простые пароли на ложную ОС, чтобы было чем объяснить наличие второго зашифрованного раздела), там обнаружилась ОС, из которой и были извлечены доказательства В ходе экспертизы при анализе логов провайдера выяснилось, что время загрузки / выключения зашифрованной ОС совпадает с временем входа / выхода в сеть, т.е. в заключении было написано, что ни вероятно присутствующая скрытая ОС на втором разделе, ни какой-либо LiveCD не был использован для доступа в сеть в промежутке от X до Y. Вопрос о том, мог ли комп находится в составе ботнета и быть использован кем-то другим был поставлен при помощи адвоката, но ответ эксперта, я думаю, итак понятен.
Как спастись от подобного?
Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности. Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства.. Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел.
Хотел бы добавить, чтобы жить долго и счастливо :
1. Не влипать в резонансные дела и не перебегать дорогу государству.
2. Делать так, чтобы найти и доказать было слишком дорого в сравнении с суммой ущерба, которую можно на тебя повесить и отчитать.
3. И как уже писал Teodor Bodler безопаснее использовать связку vpn+дедик.
4. Всем удачи!
 

carioca_cat

^•-•^
Форумчанин
Регистрация
16.08.2013
Сообщения
188
Репутация
570
HELP!!! Ребята, нужна консультация по следующему вопросу: зарегистрирован на одном сайте, аккаунту около трёх месяцев, анкета привязана к номеру телефона + @, пароль создавал максимально сложный ( 14 символов: цифры, буквы разного регистра, символы $, # и т.д сайт не поддерживает для паролей ). Время моего последнего посещения сайта на днях было 1:06. В 3:24 пришло письмо на @, что на мою страницу под другим IP был совершен вход. Зашёл на сайт где-то в 6 часов утра, посмотрел историю посещений, в отчёте не было никаких посещений моей страницы под другим IP в период с 1:06 до 6 утра. В полученном @ были данные, которые вообще не совпадают с моими: IP адрес, используемый браузер, операционная система. Может ли такое быть, чтобы кто-то посещал мою страницу, не оставляя на самом сайте в истории посещений никаких следов? I'm sorry Не может же прийти @ ошибочно. Может ли это быть кто-то из администрации сайта, или какие-то другие варианты? I'm sorry
 
B

BioNIX

Гость
HELP!!! Ребята, нужна консультация по следующему вопросу: зарегистрирован на одном сайте, аккаунту около трёх месяцев, анкета привязана к номеру телефона + @, пароль создавал максимально сложный ( 14 символов: цифры, буквы разного регистра, символы $, # и т.д сайт не поддерживает для паролей ). Время моего последнего посещения сайта на днях было 1:06. В 3:24 пришло письмо на @, что на мою страницу под другим IP был совершен вход. Зашёл на сайт где-то в 6 часов утра, посмотрел историю посещений, в отчёте не было никаких посещений моей страницы под другим IP в период с 1:06 до 6 утра. В полученном @ были данные, которые вообще не совпадают с моими: IP адрес, используемый браузер, операционная система. Может ли такое быть, чтобы кто-то посещал мою страницу, не оставляя на самом сайте в истории посещений никаких следов? I'm sorry Не может же прийти @ ошибочно. Может ли это быть кто-то из администрации сайта, или какие-то другие варианты? I'm sorry
Это скорее всего может быть ошибка или кто то пробовал взломать страницу, надо сделать следующее, почистить комп от следящих кукисов, сканировать комп примером Хитман Про, почистить остатки следов, войти на страницу и сменить пароль, могла прийти полностью фальшивая страница для получения данных, вот и все, главное завладеть куки, а там все просто дальше идет взлом на много проще, так что лучше смени пароль и не отвечай больше на такие письма и не открывай такие страницы с просьбой был взлом и прочее это все уловки очень хитрые, если хочешь убедиться то лучше открыть страницу из закладок и так войти в аккаунт, но не с предложенной страницы в почте. Следуй совету и все будет пучком.
 

carioca_cat

^•-•^
Форумчанин
Регистрация
16.08.2013
Сообщения
188
Репутация
570
BioNIX, агась, понял like it . Я, правда, в инете со смартфона, но когда заходил на сайт после полученного @, вначале жмакнул на "Выход", потом в браузере очистил все cookies, историю посещений и т.д, вновь зашел на сайт и изменил пароль, создав новую закладку в браузере на этот сайт. Только вот насчёт уведомления с сайта на @ - как бы не похоже на уловку. Я в последнее время пользуюсь VPN клиентом для Андроид ( изменение IP и т.д ), и когда заходил на этот сайт с трёх разных локаций, то на @ приходили аналогичные сообщения с сайта о входе с другого IP на мой аккаунт. Но я то знаю с каких трёх IP адресов я заходил, и они есть в истории посещений моей страницы, а в данном случае - вообще полное не совпадение по всем партнерам I'm sorry . И сообщение на @ пришло точно такое, как и прошлые разы, абсолютно идентичные. Я ещё читал, что рекомендуют пользоваться режимом Невидимка в браузере, вроде как скрывается в нём все cookies, нет истории посещений в самом браузере ( все тонкости не знаю ), но в этом режиме не работает веб-защита в антивируснике, а это не есть хорошо для меня. Думки думаю!!!
 
B

BioNIX

Гость
BioNIX, агась, понял like it . Я, правда, в инете со смартфона, но когда заходил на сайт после полученного @, вначале жмакнул на "Выход", потом в браузере очистил все cookies, историю посещений и т.д, вновь зашел на сайт и изменил пароль, создав новую закладку в браузере на этот сайт. Только вот насчёт уведомления с сайта на @ - как бы не похоже на уловку. Я в последнее время пользуюсь VPN клиентом для Андроид ( изменение IP и т.д ), и когда заходил на этот сайт с трёх разных локаций, то на @ приходили аналогичные сообщения с сайта о входе с другого IP на мой аккаунт. Но я то знаю с каких трёх IP адресов я заходил, и они есть в истории посещений моей страницы, а в данном случае - вообще полное не совпадение по всем партнерам I'm sorry . И сообщение на @ пришло точно такое, как и прошлые разы, абсолютно идентичные. Я ещё читал, что рекомендуют пользоваться режимом Невидимка в браузере, вроде как скрывается в нём все cookies, нет истории посещений в самом браузере ( все тонкости не знаю ), но в этом режиме не работает веб-защита в антивируснике, а это не есть хорошо для меня. Думки думаю!!!
Какой браузер на андрюхе стоит, поставь мозилу тогда или комодыча, в них есть более точные настройки по куки.
 

carioca_cat

^•-•^
Форумчанин
Регистрация
16.08.2013
Сообщения
188
Репутация
570
BioNIX, пользуюсь только Next Browser и стоковым ( системным Android ). Иногда ещё через Safe Browser от установленного антивирусника F-Secure, но он по функциональности очень скудный. А Firefox, Chrome - очень тяжёлые браузеры. Их каждый
раз пытаются разработчики довести до ума, но что-то не очень получается. Весят под 30-ть метров, после установки уже 50-ть занимают, оперативки жрут - это тихий ужас, и особенно у Firefox есть недостаток: после каждого выхода из инета он до ужаса растет в объеме занимаемой памяти на смарте, которые не удаляются вместе с очисткой кэша, истории, cookies. Через неделю пользования он может занимать уже не 50-ть Мб памяти, а все 150/200, и с каждым разом всё больше и больше. Если эти данные очищать, то вместе с ними удаляются и все закладки, плагины, настройки. Хотя сам по себе браузер очень функциональный и удобный для инета. Такие дела like it
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 203
Репутация
8 335
Может ли такое быть, чтобы кто-то посещал мою страницу, не оставляя на самом сайте в истории посещений никаких следов?
Такое возможно если злоумышленник специально почистил логи, на сайте возможно чистить логи ?

Ну и как уже написано важно поменять пароль !

Ну и я-бы ещё посоветовал обратится к администрации ресурса с этим вопросом, мы-же только можем гадать ! WinkSmile
 

carioca_cat

^•-•^
Форумчанин
Регистрация
16.08.2013
Сообщения
188
Репутация
570
Такое возможно если злоумышленник специально почистил логи, на сайте возможно чистить логи ?

Ну и как уже написано важно поменять пароль !

Ну и я-бы ещё посоветовал обратится к администрации ресурса с этим вопросом, мы-же только можем гадать ! WinkSmile
Возможно ли очистить логи? Даже не знаю, что это, где и как? Как уже говорил, в истории посещений нет входов с неизвестного IP, информация о входе была лишь в пришедшим @ с сайта. Пароль сменил в этот же день, плюс поменял @ на который привязан аккаунт, в дополнение изменил и пароль на самом @ на максимально сложный. На форуме сайта в этот день прочитал несколько тем, созданных юзерами, оказалось, что не только у меня было такое. Многих таки взломали.
Мне вот ещё интересно, насколько хорошо может защищать VPN клиент от антивирусной компании, установленный на смартфоне? Скажем так, как разработчики обещают шифрование трафика, защита от внешних подключений, защита всех сессий, защита конфиденциальных данных при веб-серфинге. Реально ли может обеспечить подобную защиту VPN клиент на Андроид? И может ли он защитить от взлома аккаунта ( ну как много в инете пишут насчёт перехвата сессии пользователя, какого-то там sid, что при переходе с основного сайта по какой-нибудь ссылке могут похитить какие-то данные браузера, и затем легко взломать станицу ) ?
 

Антоха

Уважаемый пользователь
Форумчанин
Регистрация
26.12.2012
Сообщения
2 780
Репутация
4 653
Мне вот ещё интересно, насколько хорошо может защищать VPN клиент от антивирусной компании, установленный на смартфоне?
Если ломанули сайт на котором расположен твой аккаунт,то неважно чем ты будешь пользоваться.Ты пишешь,что не только у тебя были проблемы по этому поводу.Так что все вопросы к руководству твоего ресурса.Тут ты бессилен что-то сделать.
 
B

BioNIX

Гость
waver1der, Кинь в личку свое мыло гляну базу взлома, которая мне попала вчера вечером, база очень внушительна около 10000 адресов
 
Автор темы Похожие темы Форум Ответы Дата
Иван Грозный Защита приватной информации 0
Верх Низ