Деанонимизация. Часть 1.

Tartuga

Интересующийся
ЗАБАНЕН
Регистрация
7/2/20
Сообщения
71
Репутация
200
Реакции
311
RUB
0
Сделок через гаранта
2
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Деанонимизируем интернет-мошенников. Получение IP-адреса собеседника.
Представьте себе ситуацию: вы стали жертвой мошенника в интернете и хотите его наказать. Естественно, самым разумным решением будет написать заявление в полицию, но в полиции не способны найти преступника, например, по профилю в Телеграм. Телеграм данные пользователя правоохранительным органам не выдает, и может получиться замкнутый круг. Вам нужен IP-адрес мошенника, и я предлагаю получить его самостоятельно. Для этого достаточно, чтобы злоумышленник просто открыл вашу ссылку на изображение. Сервисов для получения IP-адреса через ссылку достаточно, в нашем материале мы используем один из них. Для создания ссылки-ловушки перейдите на этот и укажите ссылку на изображение, которое хотите показать мошеннику. Дальше жмете Установить изображение и получаете ссылку, по которой надо перейти злоумышленнику. ловушка для получения IP Если вы хотите поймать мошенника, делайте ловушку качественной, вам потребуются навыки социальной инженерии и предложение-приманка. Можно, например, написать: «Я выслал вам деньги, вот фотографии чеков /ссылка/, всего 10 000 рублей, проверьте». Если мошенник обманом получил у вас только 5000, он заинтересуется, почему было отправлено больше и где отправленные деньги. Чеки об оплате выложите на хостинг картинок и используйте для ссылки на изображение при создании ловушки. Все должно быть максимально правдоподобно, чтобы мошенник не догадался, что ему устроили западню. Если вы опасаетесь осведомленности мошенника о подобных ловушках, можно замаскировать ссылку при помощи сервиса коротких ссылок, например bitly.
После передачи ссылки мошеннику и его перехода по ней на страницу появятся данные о переходе, включая точное время, IP-адрес, браузер и операционную систему. Вам надо периодически обновлять страницу для отслеживания результатов.
Хакер попался в ловушку Для получения информации об IP-адресе, перейдите по кнопке с изображением земного шара. Вам будет предложена информация по IP-адресу мошенника, но я бы не преувеличивал точность этих данных, потому как определяется регион регистрации IP-адреса, а не его текущее местонахождение. Однако имея IP-адрес, можно обращаться в правоохранительные органы с заявлением. Этот способ не сработает, если мошенник использует средства сокрытия IP-адреса, например VPN, proxy или Tor. Это станет видно при проверке IP-адреса: вместо интернет-провайдера там будет хостинг-провайдер, например, на картинке ниже это WORLDSTREAM. сведения об IP Конечно, правоохранительные органы могут отправить запрос хостингу или VPN-сервису, но на практике это происходит не часто и еще реже дает положительный результат.

Cross-device tracking. Деанонимизация пользователей Tor, VPN, proxy при помощи звуковых маячков.
Cross-device tracking – тип атак, представляющих возможность отслеживать пользователя параллельно через несколько устройств. Это давняя мечта маркетологов, однако не только маркетологам понравилась эта технология: она оказалась эффективной при деанонимизации киберпреступников, использующих для сокрытия подлинного IP-адреса Tor, VPN и proxy. В данной главе я расскажу о звуковых маячках – очень опасной атаке типа cross-device tracking, позволяющей деанонимизировать пользователей VPN, Tor или proxy, даже если последние все делают правильно. Вам не нужно лезть в дебри технических знаний, вы должны понять лишь принцип ее работы и методы защиты. Наверняка вы сталкивались с социологическими опросами, когда вам звонят домой и спрашивают, смотрит ли кто-нибудь сейчас телевизор и если да, уточняют, какой канал.
Таким образом обзванивается, например, 1000 человек и рассчитывается процентное соотношение. Это нужно каналам, чтобы, во-первых, понимать интересы аудитории, а во-вторых, охват – это важно для продажи рекламы. Важно это и маркетологам, чтобы точнее подбирать время заказа рекламы и оценивать объем просмотров заказанной рекламы. Однако этот способ получения данных дорог, имеет высокую погрешность и относительно малый охват. А представьте себе, что ваш голосовой помощник в телефоне, который, как вы наверняка могли убедиться, прекрасно понимает живую речь, будет прослушивать периметр и определять, какой канал вы сейчас смотрите. Для этого реклама на канале будет содержать фразы-маячки (например, будет звучать «реклама на Первом федеральном»), которые телефон ловит, а затем отсылает на сервер информацию, что сейчас вы смотрите определенный канал или слушаете такую-то радиостанцию. Это дешевая и эффективная технология, но инженеры хотят сделать ее еще совершеннее и использовать звуковые сигналы, которые не способен распознавать слуховой аппарат человека. Судя по выступлениям, инженеры неплохо преуспели в этом. Но мы не курс по маркетингу, и эта технология интересует нас исключительно как инструмент деанонимизации. Сайт открылся – и хакер спалился Представьте себя очень опасным хакером, которого разыскивает ФБР. Вы заходите на сайт-ловушку, подготовленный специально для вашей поимки. Это абсолютно безвредный сайт, никаких атак он производить не станет, это может быть даже страничка популярного сайта, владелец которого совместно с ФБР создаст ее для вас. Вы спокойно путешествуете по сайту, простой атакой вас не взломать, вы хорошо подумали о безопасности и используете Whonix. Это действительно очень хорошая защита от способов активной деанонимизации. И вот вы заходите на сайт и слышите звук, но ничего подозрительного и опасного не происходит. Даже если вы что-то заподозрите и закроете сайт, ничего уже не изменить. Этот звук слышит ваш телефон, и для него это сигнал.
Предположим, разработчик голосового помощника на вашем мобильном устройстве или одного из приложений, имеющих доступ к микрофону, сотрудничает с ФБР. Данные о получении сигнала будут незамедлительно переданы устройством на сервера вместе с координатами и IP-адресом. Да, на компьютере у вас стоит Whonix, но маловероятно, что и ваш телефон защищен столь же надежно. Вы все делали правильно, просто учли не все. Если вам когда-нибудь потребуется ноутбук с максимальной безопасностью, необходимо отключить звук, лучше паяльником, но можно и при помощи настроек. Мы уже давали подобную рекомендацию в главе о другой угрозе – прослушке через динамики и колонки. Совет При настройке максимальной анонимности отключите динамики, и лучше на уровне проводов. Второй совет вам понравится меньше: если вы Эдвард Сноуден и вас активно разыскивает ФБР, вам стоит отказаться от смартфона. Используйте простой кнопочный телефон либо специальный телефон, ориентированный на безопасность, с сильно ограниченным функционалом и списком установленных приложений. Это же касается и планшета. Совет Откажитесь от смартфона либо используйте специальные модели устройств, ориентированные на безопасность. А если вы простой пользователь и хотите настроить свою безопасность без необратимой потери звука, в главе о настройке браузера мы настроим ограничение воспроизведения звуков. Это хотя и базовая, но надежная защита от деанонимизации при помощи звуковых маячков.
Совет - Настройте ограничение воспроизведения звуков в браузере. Почему эта атака так эффективна Обычно деанонимизация предполагает получение подлинного IP-адреса, и из этой главы вы знаете, как не просто бывает по IP-адресу установить личность, особенно если киберпреступник находится в другой стране. В случае cross-device tracking телефон может отправить всю информацию на блюдечке: и координаты, и номер телефона, и контакты в адресной книге, и аккаунт Google/Apple, и историю звонков/СМС, и список используемых Wi-Fi – этого более чем достаточно для установления личности. А работает ли способ деанонимизации при помощи звуковых маячков Работает. По данной ссылке вы можете посмотреть демонстрацию деанонимизации пользователя Тор при помощи cross-device tracking, причем в данном случае используются не слышимые для человеческого уха звуки.

Тайминг-атака. Как спецслужбы деанонимизируют пользователей мессенджеров.
Представьте себе ситуацию: вы сотрудник спецслужбы, и ваша задача – вычислить особо опасного преступника, занимающегося шантажом и появляющегося в сети периодически и только для передачи данных. Для преступной деятельности он завел отдельный ноутбук, из которого «вырезал» микрофон, колонки и камеру. Разумное решение, учитывая, что колонки тоже умеют слушать.
В качестве операционной системы он использует Tails, хотя для максимальной анонимности стоило бы взять Whonix. Так или иначе, весь трафик идет через Tor, он не доверяет VPN, да и для работы в Даркнете Tor ему все равно необходим. Для общения он использует Jabber с PGP-шифрованием, он мог бы поставить и Телеграм, но это представитель старой школы преступников. Даже если у вас будет доступ к серверу Jabber, вы сможете получить лишь зашифрованные данные и IP-адреса Тор. Это бесполезная информация. Преступник работает по принципу «молчание-золото», лишнего не скажет, ссылки или файла не откроет. Известно лишь, что он должен находиться в одной стране с вами. Казалось бы, шансов установить его личность нет, но это иллюзия, установить его личность можно несмотря на все принимаемые им меры. Описанный случай идеален для применения тайминг-атаки по мессенджеру. Первым делом необходима программа, которая будет отслеживать и записывать все входы и выходы пользователя. Он появился в сети – система сразу отмечает у себя время, ушел – система записала время выхода. Лог выглядит примерно так:
866


Теперь на руках у вас есть лог его активности за несколько дней, пришло время воспользоваться системой ОРМ (оперативно-розыскных мероприятий). Подобные системы есть в распоряжении спецслужб большинства стран, в России это СОРМ. Нужно выяснить, кто в эти временные промежутки +/- 5 минут в вашей стране подключался к сети Tor. Мы знаем, что цель, которую необходимо деанонимизировать, подключилась 22.04.2018 в 11:07 и отключилась в 12:30. В эти же временные точки (+/- 5 минут) на территории страны подключились к сети Tor и отключились от нее 3000 человек. Мы берем эти 3000 и смотрим, кто из них снова подключился в 14:17 и отключился в 16:54, как думаете, сколько человек останется? Так, шаг за шагом, круг сужается, и в итоге вам удастся вычислить место выхода в сеть преступника. Чем чаще он заходит в сеть и чем меньше в это время других пользователей, тем быстрее сработает тайминг-атака.
Что может помешать проведению тайминг-атаки Постоянная смена точек выхода в сеть делает подобную атаку бессмысленной. Если же цель периодически меняет точки выхода, это может затруднить поиск, но является заранее допустимым вариантом и не способно запутать систему. Мы надеемся, что наши читатели не относятся к разыскиваемым преступникам и им не придется кочевать из одного кафе с публичным Wi-Fi в другое. Однако вторым советом против тайминг-атаки стоит воспользоваться каждому. Речь идет об отключении на уровне мессенджера передачи информации о статусе либо установлении постоянного статуса «офлайн». Большинство мессенджеров предоставляют одну из подобных возможностей. Вот так это выглядит в Телеграм: Телеграм настройка сокрытия статуса
867


868


Деанонимизация пользователей VPN и proxy через сторонние сайты
Мы снова оказываемся в роли агентов и снова ловим хакера, из информации о котором у нас есть только IP-адрес. По IP-адресу найти точку выхода в интернет пустяковое дело, однако нам противостоит очень квалифицированный оппонент. Он не просто использует VPN, а цепочку VPN из 4-х серверов, где некоторые сервера расположены в офшорных странах у абузоустойчивых хостинг-провайдеров. Хорошо известно, что они игнорируют запросы. VPN он настроил самостоятельно, потому нет никакого посредника в виде VPN-сервиса, с которым часто можно договориться. Даже если VPN-сервис предлагает сервера по всему миру, компания обычно расположена в США или Европе и должна выполнять законы. Но даже если владелец зарегистрировал компанию в Коста-Рике, сам то он обычно сидит где-нибудь в России, Европе или США. И вообще этим ребятам нужны деньги и спокойная жизнь, а не проблемы. Для большинства из них анонимность ничего не стоит, это просто товар, а обидевшиеся представители спецслужбы, особенно спецслужбы Китая, России и США, могут создать очень много проблем бизнесу.
Персональным VPN - разумный выбор, но персональным VPN наш хакер не ограничился, настроив по первому классу безопасность браузера. В частности он включил подмену Canvas Fingerprint, заблокировал технологии трекинга и строго ограничил выполнения скриптов. Этот браузер он использовал только для «работы», для личных дел он использовал другой браузер. Стоит ли уточнять, что с рабочего браузера он не посещал ни социальные сети, ни любые другие связанные с его реальными данными аккаунты. Как нам вычислить такого квалифицированного и продвинутого хакера? Мы берем IP-адрес его VPN и проверяем не использовался ли он для посещения социальных сетей и иных популярных сервисов за последний месяц. Представители социальных сетей отлично идут на контакт и оперативно выдают информацию. В нашем случае оказалось, что однажды хакер зашел с рабочего VPN на свою страничку в социальной сети. Это был уже другой браузер, но IP-адрес был тот же самый. Подобная оплошность произошла лишь однажды и всего на пару секунд, затем он заметил, что не отключил рабочий VPN, не сменил IP, но этих секунды было достаточно. Работа выполнена.
Некоторые мои коллеги полагают, что публичный VPN в таком случае спасает от установления личности, так как его используют много пользователей. Мне кажется это неверное рассуждение. Во-первых, большинство простых пользователей используют одиночный VPN, а не цепочку. Редкие VPN-сервисы предоставляют возможность использовать цепочку VPN-серверов и их сложно назвать массовыми. Ну а пользователя одиночного VPN очень легко вычислить методом сопоставления соединений, о котором я еще расскажу в отдельной главе. Одиночный VPN или proxy - не лучший выбор, если вам необходим высокий уровень анонимности. Во-вторых, даже если VPN очень популярен, он имеет множество IP-адресов, у крупных VPN-сервисов их десятки тысяч. Потому один IP-адрес будет использовать не так много пользователей, чтобы создать серьезные помехи.
Эффективными методами защиты от атаки по сторонним каналам остаются полный отказ от использования подобных сторонних сервисов, например, социальных сетей, либо строгая смена IP-адреса. Если бы хакер из нашей истории вел свои дела в Тор, а для личных целей использовал VPN, метод деанонимизации по сторонним каналам был бы бессилен.
 
  • Теги
    анонимность безопасность деанон деанонимизация
  • Сверху Снизу