- Регистрация
- 26.12.2012
- Сообщения
- 2 780
- Репутация
Сейчас искал информацию по преимуществам и недостаткам протокола Socks.И попалась мне такая статья:"Безопасно ли использование Vpn + Socks?".Казалось бы такая связка должна давать высокий уровень анонимности,но в СБ не спят.Вообщем статья была написана человеком (Mаil2k) ранее работавшим в структуре связанной с сетевой безопасностью.Оригинала этой статьи не достал,так как требуется рега на источнике,а она достаточно сложная (оригинал был опубликован на exploit.in,года 4 назад).Ссылки на примеры использованного оборудования для перехвата уже сдохли и я взял первое попавшееся из Гугла.
Доброго времени форумчане!
Как некоторые из вас уже знают, я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.
Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.
Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).
Итак, как же вычисляют наивных хакеров, использующих VPN?
Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное -
А что же происходит в случае, если поверх VPN используется SOCKS?
Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.
+ в обсуждении темы рассматривался такой вопрос "На основании какой законодательной базы и какими уликами доказывали причастность пакетов к конкретному пользователю ?" , был дан ответ от Mаil2k
Улики те, что перечислены выше + системный блок, который изъяли менты
Там было 2 винта, один из них с кристально чистой виндой, второй зашифрован (загрузчик TrueCrypt стоял). На зашифрованном было 2 раздела, т.е. скорее всего была скрытая ОС. При помощи DNA (от AccessData) удалось подобрать довольно-таки простой пароль к первому разделу (офсайт TrueCrypt, кстати, рекомендует делать именно простые пароли на ложную ОС, чтобы было чем объяснить наличие второго зашифрованного раздела), там обнаружилась ОС, из которой и были извлечены доказательства В ходе экспертизы при анализе логов провайдера выяснилось, что время загрузки / выключения зашифрованной ОС совпадает с временем входа / выхода в сеть, т.е. в заключении было написано, что ни вероятно присутствующая скрытая ОС на втором разделе, ни какой-либо LiveCD не был использован для доступа в сеть в промежутке от X до Y. Вопрос о том, мог ли комп находится в составе ботнета и быть использован кем-то другим был поставлен при помощи адвоката, но ответ эксперта, я думаю, итак понятен.
Как спастись от подобного?
Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности. Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства.. Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел.
Хотел бы добавить, чтобы жить долго и счастливо :
1. Не влипать в резонансные дела и не перебегать дорогу государству.
2. Делать так, чтобы найти и доказать было слишком дорого в сравнении с суммой ущерба, которую можно на тебя повесить и отчитать.
3. И как уже писал Teodor Bodler безопаснее использовать связку vpn+дедик.
4. Всем удачи!
Доброго времени форумчане!
Как некоторые из вас уже знают, я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.
Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.
Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).
Итак, как же вычисляют наивных хакеров, использующих VPN?
Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. В Европе распространено оборудование
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
, в России -
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
на Украине я встречался с Solera и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!А что же происходит в случае, если поверх VPN используется SOCKS?
Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.
+ в обсуждении темы рассматривался такой вопрос "На основании какой законодательной базы и какими уликами доказывали причастность пакетов к конкретному пользователю ?" , был дан ответ от Mаil2k
Улики те, что перечислены выше + системный блок, который изъяли менты
Там было 2 винта, один из них с кристально чистой виндой, второй зашифрован (загрузчик TrueCrypt стоял). На зашифрованном было 2 раздела, т.е. скорее всего была скрытая ОС. При помощи DNA (от AccessData) удалось подобрать довольно-таки простой пароль к первому разделу (офсайт TrueCrypt, кстати, рекомендует делать именно простые пароли на ложную ОС, чтобы было чем объяснить наличие второго зашифрованного раздела), там обнаружилась ОС, из которой и были извлечены доказательства В ходе экспертизы при анализе логов провайдера выяснилось, что время загрузки / выключения зашифрованной ОС совпадает с временем входа / выхода в сеть, т.е. в заключении было написано, что ни вероятно присутствующая скрытая ОС на втором разделе, ни какой-либо LiveCD не был использован для доступа в сеть в промежутке от X до Y. Вопрос о том, мог ли комп находится в составе ботнета и быть использован кем-то другим был поставлен при помощи адвоката, но ответ эксперта, я думаю, итак понятен.
Как спастись от подобного?
Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности. Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства.. Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел.
Хотел бы добавить, чтобы жить долго и счастливо :
1. Не влипать в резонансные дела и не перебегать дорогу государству.
2. Делать так, чтобы найти и доказать было слишком дорого в сравнении с суммой ущерба, которую можно на тебя повесить и отчитать.
3. И как уже писал Teodor Bodler безопаснее использовать связку vpn+дедик.
4. Всем удачи!
Ребята, нужна консультация по следующему вопросу: зарегистрирован на одном сайте, аккаунту около трёх месяцев, анкета привязана к номеру телефона + @, пароль создавал максимально сложный ( 14 символов: цифры, буквы разного регистра, символы $, # и т.д сайт не поддерживает для паролей ). Время моего последнего посещения сайта на днях было 1:06. В 3:24 пришло письмо на @, что на мою страницу под другим IP был совершен вход. Зашёл на сайт где-то в 6 часов утра, посмотрел историю посещений, в отчёте не было никаких посещений моей страницы под другим IP в период с 1:06 до 6 утра. В полученном @ были данные, которые вообще не совпадают с моими: IP адрес, используемый браузер, операционная система. Может ли такое быть, чтобы кто-то посещал мою страницу, не оставляя на самом сайте в истории посещений никаких следов? 
Не может же прийти @ ошибочно. Может ли это быть кто-то из администрации сайта, или какие-то другие варианты? 
. Я, правда, в инете со смартфона, но когда заходил на сайт после полученного @, вначале жмакнул на "Выход", потом в браузере очистил все cookies, историю посещений и т.д, вновь зашел на сайт и изменил пароль, создав новую закладку в браузере на этот сайт. Только вот насчёт уведомления с сайта на @ - как бы не похоже на уловку. Я в последнее время пользуюсь VPN клиентом для Андроид ( изменение IP и т.д ), и когда заходил на этот сайт с трёх разных локаций, то на @ приходили аналогичные сообщения с сайта о входе с другого IP на мой аккаунт. Но я то знаю с каких трёх IP адресов я заходил, и они есть в истории посещений моей страницы, а в данном случае - вообще полное не совпадение по всем партнерам 
