<<... я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.
Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.
Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).
Итак, как же вычисляют наивных хакеров, использующих VPN?
Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное - Solera (http://www.soleranet...-appliances.php). В Европе распространено оборудование Netwitness (http://www.mantech.com/), в России - СОРМович (http://sormovich.ru/), на Украине я встречался с Solera и E-Detective (http://www.edecision4u.com/). Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!
А что же происходит в случае, если поверх VPN используется SOCKS?
Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.
Как спастись от подобного?
Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор). Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства (http://cybercop.in/). Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел>>.
#1
Отправлено 22 Сентябрь 2016 - 19:36
#2
Отправлено 22 Сентябрь 2016 - 19:57
По этому и нужны связки подлинней чем просто впн+сокс.
Чем больше звеньев, тем меньше скорость, тем дольше распутывать эту цепь отделу К.
ВПН берите из разных стран, чтоб запросы кидали в разные страны, а не 1 запросом взяли все логи на вас.
Соксы тоже берите разных стран.
Таким образом, если вы не натвориле чего-нибудь совсем крупного - никто не будет распутывать ваши цепочки впн-сокс-тор-впн-сокс
#3
Отправлено 22 Сентябрь 2016 - 20:05
Описанная схема показывает, что если вы пакостите у себя дома, то независимо от количества и качества промежуточных звеньев вас можно вычислить в т.ч по онлайну.
По этому не нужно быть свиньей и гадить там, где живешь.
#4
Отправлено 22 Сентябрь 2016 - 20:29
Для просмотра содержимого необходимо 300 очков 
#7
Отправлено 23 Сентябрь 2016 - 00:07
Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере.
Прежде чем твой IP подсадят на СОРМ и аналоги надо хорошенько поднасрать, весь трафик сильно дорого логировать, поэтому логируют только после возникновения проблемы/заявления/подозрения. Хотя по знаменитому пакету Яровой с 1 июля 2018 будут логировать всех в РУ.
Вешайте VPN на популярные порты такие как 80 например и меняйте VPN почаще, раз в неделю например - заебуться снифать и хостеров трясти.
А что же происходит в случае, если поверх VPN используется SOCKS?
Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.
1) Для того чтоб перехватывать трафик на носках необходимо знать какой IP у носка и снифать его. Если использовать одноразовые носки, которые стоят пачка 30 баксов в месяц и поднимаются владельцами на ботах/троях, то каким образом отснифают такой вариант? Домой что ли к бабушке прийдут у которой на компе носок поднят? К тому же у тебя каждый раз новый канал и новый IP. Если же поднимать свой socks и юзать только его месяц подряд, тогда да, другое дело - понятно какой IP снифать и какого хостера трясти на логи.
2) Интерпол вступает в дело только когда сумма ущерба нанесенного в результате произведенных действий злоумышленника превышает $15000 и только после открытия уголовного дела. Если ты на 500 баксов кого-то подраздел или наспамил, то ты нафиг кому нужен будешь. Это не касается РУ, тут все по другому, например если ты в ВК напишешь что Владимир Ясно Солнышко совсем не солнышко, а хуйло плешивое - ты резко станешь интересен как экстремист и опасный террорист. Но Интерпол все равно будет не при чем.
3) Человек ни слова ни сказал о DNS кеше. Без смены DNS ни VPN ни носки не спасут.
#8
Отправлено 23 Сентябрь 2016 - 04:11
много нюансов по анонимности, те же фингерпритны, еверкуки, веб ртц и т.д.
Просто если человек решил потемнить - нужно или учесть все нюансы по анонимности или сразу смотреть на ютубе ролики "как правильно войти в хату" или "как прописаться в хате" =)
#9
Отправлено 23 Сентябрь 2016 - 06:40
для мутных дел
дабл-квадровпн+дед+носок
и все хорошо.
если совсем не але - впн+дед+дед+дед+носок.
на дедах обязательно грохать следы присутсвия в жрунале аудита входа.
поцики работают так с 2000 и ниче, все ровно - дербанят юсу и еу - суммы до 2к с терпилы и норм.
снг табу - прийдут и выебут.
и еще человек выше правильно сказал - какать там где живешь нельзя эт тоже заправило.
Сообщение отредактировал PROStep: 23 Сентябрь 2016 - 06:44
#10
Отправлено 23 Сентябрь 2016 - 15:25
много нюансов по анонимности, те же фингерпритны, еверкуки, веб ртц и т.д.
Просто если человек решил потемнить - нужно или учесть все нюансы по анонимности или сразу смотреть на ютубе ролики "как правильно войти в хату" или "как прописаться в хате" =)
Эту тему лучше всего изучать по фильму "Джентльмены удачи". Как зашел в камеру, сразу рвешь майку на груди и кричишь: "Пасть порву! Моргала выколю!" 
Насчет анонимности нашел у себя старый, но неплохой мануальчик (для начинающих кардеров, так сказать): http://dropmefiles.com/WQ1rT
#11
Отправлено 30 Сентябрь 2016 - 20:24
Эту тему лучше всего изучать по фильму "Джентльмены удачи". Как зашел в камеру, сразу рвешь майку на груди и кричишь: "Пасть порву! Моргала выколю!"
Насчет анонимности нашел у себя старый, но неплохой мануальчик (для начинающих кардеров, так сказать): http://dropmefiles.com/WQ1rT
Файл был удален
#12
Отправлено 30 Сентябрь 2016 - 21:11
Как спастись от подобного?
Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор).
обе варианта не подойдут
вы как работник должны были знать что тор это тоже проект спецслужб , а на счет "стран где нету оборудование " наивно полагать что есть страны где провайдер не ведет логи и не дает полный доступ спец. служ. своей страны
я не знаю каким лохом нужно быть чтоб покупать серверы у хостера , который "хакер" нашел через гугл. тут важны много моментов
1) Это то что против какой страны ты собираешься работать. Если ты например занимаешься кардингом (т.е против сша и европы) то тебе нужно взять сервер например в ливии. Есть много подпольных селлеров которые не зарегистрированы как организация и которые за 200 баксов в месяц продадут тебе такой сервер который расположен "на луне".
2) ОС - все должны понимать что винда ,макос это сливаторы , они сливают все что можно. Нужно работать на линуксе (пример таилс) + чтоб ос загружалась на внешнем носителе (флешка для примера)
3) Правильная настройка - забудьте раз и навсегда про соксы и прокси, отключите джаваскрипт на браузере (гуглите WebRTC сливает
, отключите адобе флеш, отключите local data, переходите на l2p сеть.
4) Правильный выбор сервера. Выбирайте всегда unmanaged vps, создайте цепочку из 3 и более серверов (QuadVPN), правильно отключите все логи, не экономьте при выборе сервере. Лучше 200 баксов в месяц чем на нарах.
5) Работать через дедик. После того как вы создали такую цепочку вы сможете купить за битки сбрученные дедики за пару баксов и там спокойно работать , дедик это гарантия на анонимность 50 %
Если будете соблюдать все эти законы то отдел К не будет тратить пару тысяч баксов чтоб найти того что создал фишинг mail.ru или ддосил сайт дом 2.
Сообщение отредактировал dilolo: 30 Сентябрь 2016 - 21:15
#13
Отправлено 04 Октябрь 2016 - 19:54
<<... я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.
Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.
Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).
Итак, как же вычисляют наивных хакеров, использующих VPN?
Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное - Solera (http://www.soleranet...-appliances.php). В Европе распространено оборудование Netwitness (http://www.mantech.com/), в России - СОРМович (http://sormovich.ru/), на Украине я встречался с Solera и E-Detective (http://www.edecision4u.com/). Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!
А что же происходит в случае, если поверх VPN используется SOCKS?
Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.
Как спастись от подобного?
Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор). Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства (http://cybercop.in/). Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел>>.
для тебя лично
https://russian.rt.com/article/39624
Что мешает в переходе или на авито купить, usb модем+симкарту??
это не спасет вычаслят очень быстро
для мутных дел
дабл-квадровпн+дед+носок
и все хорошо.
если совсем не але - впн+дед+дед+дед+носок.
на дедах обязательно грохать следы присутсвия в жрунале аудита входа.
поцики работают так с 2000 и ниче, все ровно - дербанят юсу и еу - суммы до 2к с терпилы и норм.
снг табу - прийдут и выебут.
и еще человек выше правильно сказал - какать там где живешь нельзя эт тоже заправило.
3накомые делают проще исполь3уют ботнет как дико большую сеть плюс еще пару фишек найти практически нель3я
если ботнет на тыщи 2 xотя бы!
имxо
обе варианта не подойдут
вы как работник должны были знать что тор это тоже проект спецслужб , а на счет "стран где нету оборудование " наивно полагать что есть страны где провайдер не ведет логи и не дает полный доступ спец. служ. своей страны
я не знаю каким лохом нужно быть чтоб покупать серверы у хостера , который "хакер" нашел через гугл. тут важны много моментов
1) Это то что против какой страны ты собираешься работать. Если ты например занимаешься кардингом (т.е против сша и европы) то тебе нужно взять сервер например в ливии. Есть много подпольных селлеров которые не зарегистрированы как организация и которые за 200 баксов в месяц продадут тебе такой сервер который расположен "на луне".
2) ОС - все должны понимать что винда ,макос это сливаторы , они сливают все что можно. Нужно работать на линуксе (пример таилс) + чтоб ос загружалась на внешнем носителе (флешка для примера)
3) Правильная настройка - забудьте раз и навсегда про соксы и прокси, отключите джаваскрипт на браузере (гуглите WebRTC сливает
, отключите адобе флеш, отключите local data, переходите на l2p сеть.
4) Правильный выбор сервера. Выбирайте всегда unmanaged vps, создайте цепочку из 3 и более серверов (QuadVPN), правильно отключите все логи, не экономьте при выборе сервере. Лучше 200 баксов в месяц чем на нарах.
5) Работать через дедик. После того как вы создали такую цепочку вы сможете купить за битки сбрученные дедики за пару баксов и там спокойно работать , дедик это гарантия на анонимность 50 %
Если будете соблюдать все эти законы то отдел К не будет тратить пару тысяч баксов чтоб найти того что создал фишинг mail.ru или ддосил сайт дом 2. ка п омне ты
как по мне что то ты дико подо3рительный!
Сообщение отредактировал Karalek: 04 Октябрь 2016 - 19:58
#14
Отправлено 04 Октябрь 2016 - 21:06
Что мешает в переходе или на авито купить, usb модем+симкарту??
это не спасет вычаслят очень быстро
Гуру безопасности, скажи как могут вычислить точнее чем до базовой станции, если не сидеть с этой сим карты и модема в своем контакте, а использовать только для работы????
Похожие темы
| Название темы | Форум | Автор | Статистика | Последнее сообщение | |
|---|---|---|---|---|---|
Скачать
[Udemy] Midjourney мастер - создание визуальных эффектов с использованием ИИ (2023)
|
Нейросети | НЛО |
|
|
|
Скачать
[Udemy] Кибербезопасность на основе искусственного интеллекта (2024)
|
Нейросети | НЛО |
|
|
|
Скачать
[Udemy] Коучинг и консультирование с использованием искусственного интеллекта (2024)
|
Нейросети | НЛО |
|
|
|
Услуги
Предлагаем использование крауд-ссылок для регионов СНГ и США. :)
|
Услуги | stanislavseolabops |
|
|
|
Скачать
[Udemy] Изучение Python с использованием статистики - Анализ данных и наука о данных (2023)
|
Курсы по программированию | НЛО |
|
|
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
