?

Log in

No account? Create an account
В эфире независимое радио Гондураса!
Обзоры, события, факты, комментарии
Как ФСБ ловит хакеров и слушает интернеты 
19-янв-2013 02:55 pm
Оригинал взят у ntv в Как ФСБ ловит хакеров и слушает интернеты
На Cnews появилась очень интересная статья о поимке организаторов DDoS атаки на "Ассист". Ее анализ дает возможность оценить, насколько реально силовики "умеют интернет". Выясняется, что более чем.

376394


В поле зрения оперативников сразу попал кошелек в платежной системе Webmoney (WM), используемый человеком под псевдонимом Engel, следуют из материалов дела. Также в распоряжении следствия оказалась электронная переписка сотрудников Chronopay, согласно которой в дни атаки ежедневно на указанный кошелек должно было переводиться по $500 с целью «PR и конкурентной борьбы».

Ну здесь все понятно. Обычно в таких разборках сразу ясно откуда ветер дует, но без достаточных оснований официально веселиться с системой СОРМ-2 нельзя, поэтому в деле появляются такие формулировки как "в поле зрения попал" и "в распоряжении следствия оказалась". Прямо как "подошел на улице какой-то грузин и передал видео".


В ФСБ заподозрили, что атаку осуществлял Engel по заказу Врублевского. С помощью «оперативных возможностей» в системе Webmoney было установлено, что упомянутый выше кошелек относится к WM-идентификатору, зарегистрированному на уроженца Ленинградской области Игоря Артимовича. Следствие получило доступ к журналу входов в систему за последние несколько месяцев, узнав таким образом IP-адрес Артимовича и контрольную сумму его оборудования (Engel использовал в программе WM Keeper метод авторизации путем проверки оборудования, с которого осуществляется вход). С помощью контрольной суммы ФСБ обнаружило и остальные WM-идентификаторы, зарегистрированные на Артимовича.

Другими словами, ФСБ сидит в логах вебмани как у себя дома. Другие платежные системы – скорее всего не исключение. Дальше еще интересней.


iartimovich

Сделав запрос провайдеру, которому принадлежал упомянутый выше IP-адрес — «Национальные кабельные сети» (бренд Onlime) - ФСБ установило, что адрес зарегистрирован на брата Игоря Артимовича Дмитрия. Мосгорсуд выдал санкцию на снятие информации с используемых братьями Артимовичами интернет-каналов (от Onlime и «Скай Линк»), прослушивание их стационарного и мобильных телефонов (от «Вымпелкома», МТС и «Мегафона»), а также чтение электронной почты в домене artimovich.info. У Артимовичей было еще несколько ящиков на Mail.ru, но их заблокировала администрация. Кроме того, управление ФСБ по Санкт-Петербургу получило доступ к журналам посещения страницы Игоря Артимовича в сети «Вконтакте».

Собственно, здесь и полный финиш. Силовики не только читают вконтактик, аську и прочее, но и защищенный со всех сторон почту! Сервис Gmail тут вообще не исключение. Скорее всего он и был привязан в домену артимович.инфо (проверяется). Охохо, после таких новостей дажу у меня бы начала задница дымиться. Понятно, что все это расследование скорее всего как-то сильно мотивировалось, но сам факт чтения гмыла – это пиздец. Даже удивительно, что с материалов дела сняли секретность и дали написать статью. Ведь многие теперь начнут чувствовать себя неуютно и принимать повышенные меры безопасности. Ну и на сладкое самая вкусная часть статьи:



topolmailer

Еще одним шагом следствия стал анализ интернет-трафика Артимовичей, для этого использовались программы Ufasoft Sniffer и WireShark (анализируют трафик в формате TCPDump). Таким образом были обнаружены факты установления защищенного соединения с двумя IP-адресами, принадлежащими американскому хостинг-провайдеру LayeredTech. На указанных адресах находилось приглашение для входа в панель управления программного обеспечения Topol-Mailer. Путем контекстного поиска в журналах трафика по слову «password» были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели.

Это значит, что весь трафик лица, поставленного на прослушку, не только анализируется, но еще и пишется в полном объеме в архив. Ололошеньки-лоло. Получается, что всякие прокси, гмыло, и прочие безопасные средства связи сливают еще на старте, не давая вообще никакой гарантии безопасности. Я так думаю, даже VPN-туннели можно в таком случае ставить под сомнение.

268534254


Кто-то тут недавно рассказывал, что
  • ФСБ не умеет интернет
  • Провайдеры посылают нахуй
  • СОРМ-2 не работает
Ню-ню. История с мейлом доказала, а эта – подтвердила очень простое правило собственной информационной безопасности: "Если отправляете что-то через интернет, считайте это уже по-умолчанию опубликованным и доступным.". Криптозащита сама по себе не является действенным средством, ведь сам факт ее использования это уже повод для постановки на карандаш.

Ну и в завершение банкета, многие провайдеры сейчас устанавливают системы DPI. Если кто забыл, DPI – это система глубокого анализа трафика, которая палит, куда и зачем ходит каждый пользователь. С одной стороны, с помощью нее можно заблокировать доступ к конкретной странице, а не ко всему сайту. С другой – это фактически полная прослушка трафика пользователя и автоматизированный анализ всей его деятельности в сети. Само собой, такая система будет состыкована с СОРМ-2, так что прослушивать конкретного человека станет еще легче.

Так и живем!



Если вы здесь первый раз, рекомендую добавить меня на других площадках:
Паблик вконтакте – http://vk.com/timantv
Уютный твиттер – https://twitter.com/camerakid
Фейсбук – https://www.facebook.com/ololohuilo

Если у вас есть жж, не забудьте добавить журнал в друзья. Чтобы сделать репост, нажмите на любую из этих кнопок:
Buy for 100 tokens
Buy promo for minimal price.
Comments 
19-янв-2013 10:16 pm
"Силовики не только читают вконтактик, аську и прочее, но и защищенный со всех сторон почту! Сервис Gmail тут вообще не исключение."
Не факт. К домену могла быть привязана доменная почта, которая хостится у провайдера, сл-но гмыло тут не при делах.

" Путем контекстного поиска в журналах трафика по слову «password» были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели."
пароль передавался в открытом виде? И где тут защищённое соединение?
VPN сам по себе технически не защищает, конечно. Можно SRC и DST в загогловке снять, но все нормальные люди уже 100000000 лет используют VPN over IPSec, с включением ESP и IPENCAP в обе стороны. Сняв такой траффик tcpdump'ом можно увидеть кучу всего (некоторые видят единорогов, радугу, МЛП и т.д.), кроме нужной инфы.

P.S.А Врублёвский со своим хронопэем должен был сидеть ещё 10 лет назад. Только совсееем за другое.
PP.S Статья полна лажи. Скорее всего пришли, забрали все девайсы от компа до утюга, прописали в торец, а потом сляпали красивую историю, как tcpdump снимал зашифрованный траффик.
22-янв-2013 12:39 pm
Не соглашусь, даже если статья преувеличивает некоторые моменты, про почту аську и все такое прочее - все верно.
Гмайл еще лет пять назад читали ЦПЭшники (уж не знаю как), а с недавних пор в уголовных делах фигурируют распечатки скайпа.

я думаю что из политических активистов про:
"VPN over IPSec, с включением ESP и IPENCAP в обе стороны"
знают 0,0001% в лучшем случае. Если вы могли бы написать или предложить к ознакомлению краткую инструкцию для всех свободных людей - было бы правильным.

22-янв-2013 06:25 pm
" про почту аську и все такое прочее - все верно.
Гмайл еще лет пять назад читали ЦПЭшники (уж не знаю как), а с недавних пор в уголовных делах фигурируют распечатки скайпа."
Аська передаёт логин-пароль практически в открытую, её и перехватить проще. Правда, если логи не хранить, то это ничего и не даст. Ну, знают он логин-пароль от аськи.. и что... Для относительно безопасной переписки лучше всего использовать jabber.

http://jabberworld.info/%D0%9F%D0%B5%D1%80%D0%B5%D1%85%D0%BE%D0%B4_%D1%81_ICQ_%D0%BD%D0%B0_Jabber

Гмыло работает по безопасному соединению, протоколу https. Его бесполезно снифферить, т.е перехватывать. Но если в распоряжении служб оказывается сам компьютер подозреваемого, то в 90% пароль либо сохранён в браузере в настройках, либо хранится в cookies. Чтобы избежать подобного прокола, необходимо
1 - использовать отдельный пароль для почты, который должен содержать не менее 10-12 символов, включая заглавные буквы, строчные буквы, цифры и символы верхнего регистра. По кр. мере гугл их поддерживает.
2 - убрать сохранение паролей из настроек браузера. Любых паролей, вообще. Тренируем память и каждый раз вводим пароль. Так же убираем сохранение пароля из настроек всяких гаджетов, типа смартфонов, планшетов и т.д. Да, неудобно, зато шанс того, что забрав телефон спецслужбы получат доступ к почте и переписке снижается.
Скайп. С недавнего времени, точнее с год-два-три или давнее, в скайпе есть замечательная дыра, которая позволяет угнать аккаунт, зная лишь электронную почту пациента. Говорят, что её вроде бы исправили. Но вне зависимости от этого, сам процесс переговоров тоже зашифрован, т.е. его перехват так же бесполезен. Однако, скайп хранил логи переговоров (текстовые) на компьютере пациента, что вкупе с запомнненым логином и паролем опять даёт широкое поле для деятельности. Плюс, что немаловажно - скайп поддерживает мультилогин, т.е. под одним логином с разных устройств могут сидеть разные люди и сообщения будут приходить обоим. Ну и трояны в виде кейлоггеров тоже никто не отменял.
Таким образом необходимо для скайпа
1 - сменить пароль. Если есть подозрения, то лучше сменить логин, зарегистрировав пользователя на безопасную почту, про которую пока никто не знает. И вообще никому её не давать :) и не сохранять на компе.
2 - поставить платную хорошую антивирусную программу. Тут советы давать сложно, поскольку если спецслужбы захотят подвесить трояна, то не факт, что антивирь его определит. Есть мнение, что сигнатуры таких программ вносятся в исключения в антивирусные базы. ФСБ договорилось, короче... Это конечно паранойя, но ...
Рейтинг антивирей тут http://www.anti-malware.ru/tests_history
Согласно ему, самый лучший антивирь - Касперский. На втором месте - Др.Веб. На третьем - Microsoft Security Essential входящий в комплект лицензионной винды. Лично я пользуюсь им:), ибо он бесплатен.
Ну и вообще - есть вариант для параноиков. Ставим виртуальную машину, к примеру - virtualbox. В неё ставим любимую ОС и уже оттуда ведём всю переписку, общение и т.д.
Если начинают стучать в дверь, то удаляем её полностью и у нас - чистый компутер. :). Конечно, удалённый файл можно восстановить, поэтому желательно хранить её на внешнем диске, который можно быстро загадить ненужным большим файлом, чтобы переписать сектора.
VPN через IPSec со всеми плюшками - стандартная организация впн-соединения. Я её упомянул лишь как иллюстрацию к тому, что прослушивать впн траффик - долго, дорого и бесперспективно.
23-янв-2013 11:15 pm
как вам такая связка например, бронебойная будет?
Виртуальная ОС на закриптованном пространстве диска и связь через VPN с постоянной проверкой на трояны и вирусы хорошей какой то прогой?
24-янв-2013 05:25 am
Чтоб усилить - на закриптованном пространстве в облачном сервисе. :) Заходить через rdp в режиме FIPS140-1 ENCRYPTION (выставляется в настройках RDP).
А вообще зачем нужен впн-то? Virtual private networks - обычно используют для логического объединения нескольких подсетей в одну сеть.
Сделать так, чтобы провайдер не читал траффик?
Для этого вполне хватит использования TorProject www.torproject.org и связки почта + pgp.
Truecrypt поддерживает массу приятнейших возможностей. Например - шифрование системного раздела или диска :).
http://wiki.mvtom.ru/index.php/TrueCrypt
Поэтому можно попробовать зашифровать и свою ось. Сам не делал :) но инструкции d truecrypt достаточно внятные.

24-янв-2013 07:23 pm
- Сделать так, чтобы провайдер не читал траффик? Для этого вполне хватит использования TorProject

Хм. Но ведь траффик попадает на узел системы Тор уже от твоего провайдера...
И СОРМ 2 очевидно схватывает.
24-янв-2013 08:15 pm
Да, от провайдера. Но он идёт закрытый. Там используется система асимметричного шифрования (открытый ключ) по протоколу TSL.
COPM-2 их схватывает, но чтобы прожевать нужна масса усилий. Например, надо узнать ключ первого тор-сервера и перехватить трафик. Т.к. тор перестраивает цепочку тор-роутеров через каждые 10 минут (настраивается), то замена родного узла фальшивым ничего не даст, однако сам тор-трафик у провайдера будет виден и пров будет знать, что этот клиент использует тор.
Хотя технически можно обрабатывать тафик на лету, а если оба конца соединения под контролем, то задача упрощается, но при этом дико падает скорость соединения.
Меня тут пролечили на счёт практики сертификатов https. Всё плачевнее, чем я предполагал. Нет, взломать трафик нельзя, но можно подменить сертификат, надавив на удостоверяющий центр сертификации. Т.е. CA, они же Certification authority, они же центры сертификации могут выдать поддельный сертификат. Про саму возможность я знал, я не знал, что CA на это идут.
Вот старая статья на эту тему.
https://www.pgpru.com/biblioteka/statji/certifiedlies
22-янв-2013 06:26 pm - всё не влезло :)
Если кратенько резюмировать, то
1 - используйте различные сложные пароли для различных сервисов. Нельзя использовать один и тот же пароль для кучи служб (хотя это и удобно). Пароль вида vpupkin123 - плохая идея. Пароль вида VvXz,L@))! уже лучше. Используйте мнемонические пароли для запоминания.
К примеру, есть строчка:
Гнев, о богиня, воспой Ахиллеса, Пелеева сына.
Наберём её в транслите:
Uytd j ,jubyz djcgjq F[bkktcf> Gtkttdf csyf/
Возьмём от каждого слова по первому символу:
Uj,dFGc - неплохо, но хочется усилить. Можно заменить F на 4, используя ассоциацию four - 4. В результате - Uj<D4Gc. Добавим в начале 20 в верхнем регистре и в конце 13 - в нижнем. @)Uj<d4Gc13. Нормальный криптостойкий пароль, который подобрать невозможно. Понятное дело, что строчку, которую я привёл использовать уже нельзя, но Гомер был очень многопишущим писателем. 2 - не сохраняйте пароль нигде. Никогда. У устройств на Андроиде есть неприятный момент - для синхронизации они требую аккаунт и пароль, чтобы собирать почту. Либо откажитесь от приёма почты через Андроид, либо используйте другой, не основной аккаунт для регистрации. 3 - пользуйтесь антивирусами. 600р в год - небольшая сумма для оплаты. 4 - для хранения компрометирующей информации используйте TrueCrypt. Генерация пароля для него - как в пункте 1. 5 - к сожалению, всё вышеперечисленное бессильно против терморектального криптоанализа. Хотя truecrypt позволяет сделать 2 области, одну фейковую, вторую нормальную и вторую спрятать. А в случае силовых методов расколоться про фейковую - там можно хранить всякий хлам. Кратко не получилось :).
25-янв-2013 07:17 am
Силовиков столько не наберётся , чтобы всех просматривать и прослушивать . Здесь с одной стороны , работают стукачи из вашего же окружения , с другой стороны Microsoft поставляет инфу в органы всех стран , кстати google хвастался о своём сборе досье на каждого , да и по словам текстов ведётся анализ электронный , а в органы , только выдаётся сигнал . Так что здесь спецам не особо нагружаться приходится и в малом их количестве . Да и спецы не чисты бывают на руку и язык , собирают сведения с криминальными целями и друзьям могут разбалтывать ( не все , конечно ). За каждым ведётся кратковременный анализ , если ничего подозрительного не замечают или ничего ценного для себя лично , то проверка прекращается . А так бы и маньякам бы не дали действовать и террористам . А попал на "перо" , считай , что и твои фразы будут считать шифровками , даже , теряя напрасно время .
7-фев-2013 07:37 pm
Ребята, да не было никакого СОРМА: http://dmitryart1985.livejournal.com/7634.html
29-апр-2013 01:21 am
Таким образом были обнаружены факты установления защищенного соединения с двумя IP-адресами, принадлежащими американскому хостинг-провайдеру LayeredTech. На указанных адресах находилось приглашение для входа в панель управления программного обеспечения Topol-Mailer. Путем контекстного поиска в журналах трафика по слову «password» были найдены строки с логином и паролем, которые успешно подошли для входа в обе панели.


Я не понял.. Так что, выходит, если я захожу на сайт через протокол HTTPS, ввожу логин и пароль, то данные перехватываются провайдером? Разьве запрос не шифруется браузером ДО отправления на сервер?

И ещё мне не ясно, к чему ваш постер "1st proxy is mine".


Edited at 2013-04-29 01:38 (UTC)
This page was loaded окт 14 2019, 6:54 am GMT.