831

Как спецслужбы найдут тебя

Как спецслужбы найдут тебя Анонимность, Даркнет, Спецслужбы, ФСБ, Найти, Хакерство, Слежка, Большой брат, Длиннопост

Представьте себе ситуацию: вы сотрудник спецслужбы, и ваша задача – вычислить особо опасного преступника, занимающегося шантажом и появляющегося в сети периодически и только для передачи данных. Для преступной деятельности он завел отдельный ноутбук, из которого «вырезал» микрофон, колонки и камеру. Разумное решение, учитывая, что колонки тоже умеют слушать.

В качестве операционной системы он использует Tails, хотя для максимальной анонимности стоило бы взять Whonix. Так или иначе, весь трафик идет через Tor, он не доверяет VPN, да и для работы в Даркнете Tor ему все равно необходим.

Для общения он использует Jabber с PGP-шифрованием, он мог бы поставить и Телеграм, но это представитель старой школы преступников. Даже если у вас будет доступ к серверу Jabber, вы сможете получить лишь зашифрованные данные и IP-адреса Тор. Это бесполезная информация.

Преступник работает по принципу «молчание-золото», лишнего не скажет, ссылки или файла не откроет. Известно лишь, что он должен находиться в одной стране с вами. Казалось бы, шансов установить его личность нет, но это иллюзия, установить его личность можно несмотря на все принимаемые им меры.

Описанный случай идеален для применения тайминг-атаки по мессенджеру. Первым делом необходима программа, которая будет отслеживать и записывать все входы и выходы пользователя. Он появился в сети – система сразу отмечает у себя время, ушел – система записала время выхода.

Лог выглядит примерно так: таблица входов и выходов

Как спецслужбы найдут тебя Анонимность, Даркнет, Спецслужбы, ФСБ, Найти, Хакерство, Слежка, Большой брат, Длиннопост

Теперь на руках у вас есть лог его активности за несколько дней, пришло время воспользоваться системой ОРМ (оперативно-розыскных мероприятий). Подобные системы есть в распоряжении спецслужб большинства стран, в России это СОРМ. Нужно выяснить, кто в эти временные промежутки +/- 5 минут в вашей стране подключался к сети Tor.

Мы знаем, что цель, которую необходимо деанонимизировать, подключилась 22.04.2018 в 11:07 и отключилась в 12:30. В эти же временные точки (+/- 5 минут) на территории страны подключились к сети Tor и отключились от нее 3000 человек. Мы берем эти 3000 и смотрим, кто из них снова подключился в 14:17 и отключился в 16:54, как думаете, сколько человек останется?

Так, шаг за шагом, круг сужается, и в итоге вам удастся вычислить место выхода в сеть преступника. Чем чаще он заходит в сеть и чем меньше в это время других пользователей, тем быстрее сработает тайминг-атака.

Что может помешать проведению тайминг-атаки.
Постоянная смена точек выхода в сеть делает подобную атаку бессмысленной. Если же цель периодически меняет точки выхода, это может затруднить поиск, но является заранее допустимым вариантом и не способно запутать систему.

Мы надеемся, что наши читатели не относятся к разыскиваемым преступникам и им не придется кочевать из одного кафе с публичным Wi-Fi в другое. Однако вторым советом против тайминг-атаки стоит воспользоваться каждому. Речь идет об отключении на уровне мессенджера передачи информации о статусе либо установлении постоянного статуса «офлайн». Большинство мессенджеров предоставляют одну из подобных возможностей.

Вот так это выглядит в Телеграм:

Как спецслужбы найдут тебя Анонимность, Даркнет, Спецслужбы, ФСБ, Найти, Хакерство, Слежка, Большой брат, Длиннопост

Если в вашем мессенджере возможно скрыть данные о вашем статусе, скройте эту информацию.

Дополнительным инструментом защиты от тайминг-атаки может стать прекращение включения мессенджера вместе с подключением к сети. Как вы можете понять из описания атаки, сверяется время входа/выхода в сеть и появление на связи/уход в офлайн в мессенджере. Допускается погрешность, но она не должна быть очень большой. Если цель атаки подключится к Tor и лишь спустя час запустит мессенджер, очень сложно будет связать вход в сеть и статус в мессенджере. Кроме этого, тайминг-атаки абсолютно бесполезны против анонимного мессенджера Bitmessage.

Найдены возможные дубликаты

+36
Вошел,
Вышел,
Вошел,
Вышел,
Вошел,
Вышел
Потом ФСБшник пошел покурить.
раскрыть ветку 1
+9
Иллюстрация к комментарию
+29

Хрень полнейшая . Какие в дыню мессенджеры?  Заходим на любой мморпг сервак и спокойно чатимся. линейка, ева, танки - да сб охренеет там что-то отслеживать, а уж тем более читать. Да японский энцефалограф, берем два бука с белым IP и через ссш пишем что хотим между собой. способов миллион, вот привязались к мессенджерам. При желании утюг с холодильником переписываться могут.

раскрыть ветку 10
+8

Сноуден давненько писал о работах АНБ в этом направлении (WоW, Second Life)

раскрыть ветку 1
+7

Про эти две не скажу, не играл, а вот с линейкой точно обломаются. Ибо:

1. Хз на каком сервере конкретно идет общение.

2. Класть свой мелкий и кустистый корейцы хотели на АНБ, ЦРУ, ФБР и береговую охрану.

3. Адские протоколы шифрования, да еще часто меняющиеся.

4. На этих игрушках большие бабки крутятся, если хоть одного геймера слить и об этом станет известно, потери колоссальные.

И потом - можно же зайти в какойнить майнкрафт и "нацарапать на стене неприличное слово".

+4

мы так в кс сервак создавали и болтали )

0

Можно ещё в гугл диске в одном файле переписываться. Это я так, чисто теоретически

раскрыть ветку 6
0

Гугл аккурат палит что у него там. Так что может и передать. Самый надежный способ, имхо, это использовать внутриигровую графику. Даже мыслей нет как такое спалить.

раскрыть ветку 5
+20

"Для преступной деятельности он завел отдельный ноутбук, из которого «вырезал» микрофон, колонки и камеру. Разумное решение, учитывая, что колонки тоже умеют слушать."


Слушать кого-то можно только после того, как его уже "вычислили". А статья, вроде, про то как вычислить.

раскрыть ветку 22
+9
Да хрен ты вычеслишь, если взять вай-фай антену, поселиться в муровейнике, на крыше 25этажки разместить антену, ищешь халявный вайфай в огромном радиусе, организовать с нее раздачу не размещая у себя в квартире, не нужно по кафехам ходить на камерах палиться, сиди себе спокойно, до тех пор, пока связь с оборудованием не пропадёт, тогда пора менять место дислокации.
раскрыть ветку 12
+5

Используют ещё цепочки прокси серверов в разных странах и левый модем с левой симкартой.

раскрыть ветку 7
-2

Вообще речь о совсем другом.

-5
Зима, минус 30 градусов, кругом снег и ты как Карлсон недобитый сидишь на крыше.
раскрыть ветку 2
ещё комментарии
0

слушать могут и заранее, всех и каждого

раскрыть ветку 3
+1

Чем?

Для того, чтобы слушать, каждому нужно троянскую программу засунуть в компьютер.

раскрыть ветку 2
0

Как доказать, что за этим ноутбуком сидел конкретный человек в конкретное время ?

раскрыть ветку 2
+1

паяльником

+1

Если ноутбук известен, то известен его хозяин. А дальше обыск, допрос, вещдоки, показания - ничего нанотехнологичного.

-4

Нынче слушают всех, если говорить о трафике.

раскрыть ветку 1
+5

Камера, колонки и микрофон никакого отношения к трафику не имеют.

+44

Прикольное чтиво. Только Автор сначала позиционирует читателя как "работника спецслужб", а затем уже как противоположную сторону. Палится с целью поста))
Чёта я не понял, зачем вычислять искомого пользователя по времени лог-ин -аут из 3000 других, если СС итак уже этого пользователя по каким-то данным пасет? В смысле - местоположение вычислить?

раскрыть ветку 10
+7

Вот я могу видеть аккаунт некого общественно-опасного @Meatloafaday, палить его. Но для меня не известно, что происходит на той стороне: может там группа боевиков его использует из разных точек мира, а может там одинокая фея-любительница секса на единорогах заходит с бесплатных вайфаев качать цп, так как денег на интернет нет. Ну и могу следить и наблюдать за внешними проявлениями дальше. А надо вычислить личность, взять под физическое наблюдение и тд.

раскрыть ветку 8
+1

про единорогов эт ты размечтался) про фею, впрочем, тоже.
То есть, по времени появления в сети профиля меня вычисляют среди реальных пользователей, потом находят, где я выхожу в сеть, и получают фотку? А если я профили буду каждый раз новые клепать? Они ждут Meatloafaday, а он давно уже не он :)

раскрыть ветку 1
-5

Автор пишет о telegram как о современной альтернативе jabber, но давно известно, что телеграм, это разработка спецслужб для слежки за шифрующимися, не даром телега регистрируется только на № телефона.

раскрыть ветку 5
ещё комментарии
+1
Они смотрят когда он в мессенджер зашёл просто
+37
1. Зачем шпиёну мессенджер?
2. Берешь анонимную симку, вставляешь её в чистый смартфон - имеешь мобильное, полностью анонимное подключение из разных точек города.
3. Идёшь в любое место с бесплатным WiFi, подключаешься оттуда.
4. Строишь цепочку из прокси или VPN серверов.
5. Для связи используешь тупо мусорные e-mail адреса по списку, причём, каждый раз новый.

Удачи в поисках.
раскрыть ветку 27
+9

И раз в 3 дня меняешь железяку - телефон/ноутбук. Или после каждого подключения

раскрыть ветку 25
+8

Зачем?

раскрыть ветку 24
+2

был пост о том, что вычислят по тому, как новые телефоны регистрируются на одной и той же базе + перемещения между базами.

+23

#Сраная реклама Bitmessage

раскрыть ветку 7
+2

хуя се, если так, то лютая нативка, я схавал... да и многие тоже.

раскрыть ветку 4
0

Я нет, вычеркните

раскрыть ветку 3
0
А чем его телега обидела?
раскрыть ветку 1
+1

Телегу хотят заблокировать, а ноунейм мессенджер - нет. Ну и раписали так что в конце коробочка. Хлопнулась именно на рекламе мессенджера

+23

> Статья об отслеживании киберпреступников
> Скрытие статуса в мессенджере
Это сейчас серьезно было?

раскрыть ветку 2
+10

Силовики - люди культурные. Увидят, что ты не хочешь, чтобы твои сессии отслеживали, и отслеживать не будут.

раскрыть ветку 1
+6

"Так, этот парень выставил статус не беспокоить... Леха, ты там маякни ОМОНу, пусть пока подождут"

+7

Все это залупа, для проведения подобных мероприятий нужно уже заранее идентифицировать цель. Предположим у нас есть только аккаунт в мессенджере и у нас есть тайминги входа - во-первых кто сказал что вход будет производиться одновременно с подключением к сети? Во-вторых - кто сказал что потенциальный преступник будет логиниться из одного и того же места. Если он идет на "дело", то куда вероятней съемные хаты, бесплатные вайфаи в кафе\библиотеках\учебных заведениях, естественно все это будет ныкаться через VPN, откуда никакой информации вы уже не достанете, и так далее. Тем более если речь идет о киберпреступнике, то вероятно что он будет вполне подкованным в подобных вопросах.

+13

О, великий СОРМ. Поясню что это такое - перед тем, как приступать к деятельности, оператор связи обязан установить оборудование СОРМ (Средства Оперативно-Розыскных Мероприятий). В добавок, провести канал до местного отдела за свой счет.

Во-первых, все небольшие операторы с разрешения ФСБ пишут бумажку, что обязуются установить железку в ближайшее время, и не сразу ставят ее. Ну окей, мы же говорим о крупных.

А теперь о крупных. Сама железка последний раз представляла из себя чумодан с портом на 100 Мбит. Для понимания - у оператора среднего размера (на 100-200к абонентов) обычно стоит пара железок-маршрутизаторов с внутренней шиной 10-20 Гбит, как минимум. Они законопослушно втыкают в чумодан витуху и рапортуют, что всё готово. Сами они настройкой и обслуживанием СОРМ не занимаются, и не имеют доступа к ее внутреннему устройству.

20 Гбит - это 20 000 Мбит. Против 100 Мбит, которые железка может принять. Чтобы понять, что при этом происходит, ниже вам фотография из серверной.


В реальности пользоваться этим СОРМ не собирается большинство сотрудников. А умеют пользоваться еще меньше. В итоге когда им нужно получить информацию, они просто присылают ее по конкретному абоненту самому оператору связи, который и собирает трафик и информацию на своем оборудовании.
Иллюстрация к комментарию
раскрыть ветку 4
+5

Я слышал, краем уха, что уже меняют их на более мощные. И макс.трафик не постоянно идет. Но то что пользоваться ими могут 1-2 человека факт, да и то на сверхпользовательском уровне.

раскрыть ветку 3
+3

Допускаю, что могут менять. Но в реальности они по-прежнему подходят лишь для выборочной слежки за конкретным митингующим человеком. Операторское оборудование, которое способно просто "прокачивать" трафик в промышленных, стоит десятки, иногда сотни тысяч долларов. А если оно на таких скоростях должно еще и DPI уметь (т.е. разбирать трафик, анализировать его), то это на уровень выше. То есть расходы в ФСБ на такие вещи должны быть колоссальными.

раскрыть ветку 2
+9

Да-да-да, его никто просто так не выпасет, и никто никогда не найдет, правда ведь, товарищ майор?

А вообще, очень смешно читать такие очень "продвинутые" посты по тому, как уйти от внимания спецслужб, ибо вариантов найти человека - ооооочень много .

раскрыть ветку 1
+4
Достаточно не заниматься ничем таким, чтобы тебя пасли настолько строго. Торгуй себе тихонько спайсом, и никому не будешь нужен
+3

мог сразу начинать с последнего абзаца.

+3

Как много лишних букв. Но пару полезных советов дал :)

раскрыть ветку 3
+10

Это не было рекламой  мессенджера Bitmessage ?

раскрыть ветку 2
+7

Однозначно да. Типичный копирайтерский текст)))

0

А ну это, это я даже и не прочел :)

+3

Очень хорошо расписано в книге «киберпреступник номер один»

+2
Какая то реклама мэссенджера
+2
Это хорошо, если он использует только один канал по одной и той же схеме, но боюсь он просто заимеет несколько смартфонов и симок разных операторов и через самые примитивные впн или прокси будет слать шифрованную почту
+1

Чтобы дрочить спокойно на порнхаб хватит Тор в приватном окне?

раскрыть ветку 1
+1
Vpn
+1
Чата фигня каката...
Все знают (как минимум из детективных произведений) , что время всегда работает против преступника. Чем дольше "активная фаза", тем выше риск.
И множественность действий тоже работает против преступника. Лучше один раз купить десять пачек крысиного яда, чем обойти десять магазинов и в каждом купить по одной, образно говоря.
+1

Преступники не сидят онлайн без необходимости. Если в интернет отправляется гадость, её отправляют не с компьютера преступника, а с рандомного виртуального сервера из любой точки планеты. Сервер реагирует на расписание либо невинную кодовую фразу на любом из интернет-форумов.

+1
И весь этот гемморой, только из за того что вася пупкин, назвал главстерха, сказочным ....
+1

Как всегда прикалывают рассуждения теоретиков :( В жизни все совсем по другому...

раскрыть ветку 2
0

Можно поподробнее?

раскрыть ветку 1
0

Смешно начинается с тайлс, вхоникс и тора. Автор забыл еще кали для комплекта приплести. Ах да, еще биткойн.

+1
Спасибо, а я думаю как этот козёл на меня выходит)
0

В жизни думаю все проще, один раз забыл включить vpn, либо он отвалился, случайно спалил свои реальные данные и все.

0

Первым делом необходима программа, которая будет отслеживать и записывать все входы и выходы пользователя.

что это за программа? и как она отслеживает входы и выходы из сети, если юзер сидит скрывая статус в сети(невидим)?

0
Вся схема рушится при включении vpn до tor' а. При этом vpn сервис из не дружественной страны.
0

Рабочий интерфейс сорм на компьютерах управления К

Иллюстрация к комментарию
0
I2p. Там нет адресов, нечего и вычислять. Но любая протечка в ванильный тырнет грозит деаноном.
0
Чем то на алгоритм артмани смахивает
0

Прям как игру через ArtMoney ломать, поискал, отсеял...

0
Спасибо, товарищ майор
0

ну зашел кто-то анонимный в Тор и что дальше? ну знаем мы время входа - откуда мы знаем кто это? у нас есть 3000 входов в Тор и так каждый час. бред какой-то

0

Вся эта история с IT похода на вооружение. Намного дешевле создать наступательное оружие, чем оборонительное. Хакать всегда проще, чем защищать. Соответственно и ловить таких очень сложно. а толковых - практически невозможно. Только если сам где-то лоханется, пресловутый человеческий фактор.

0
Я также в Diablo ll экспу ломал через артмани, тот-же принцип.
0
Я бы выкинул все гаджеты,уехал в то место на карте где еще не был,не каким бы образом не ассоциировал себя с социальными сетями ,со своими страницами, по телефону просил бы общаться других, камеры на улице могут видимо распознать, поэтому придумал ,что то с внешностью .Если есть машина и сигнализация завязана на жсм и спутник ,такая машина не для меня.
раскрыть ветку 1
+1

Джунгли-хуюнгли... Меня нашли, и вас найдут!

Иллюстрация к комментарию
0

Хуй вы теперь меня вычислите

Иллюстрация к комментарию
раскрыть ветку 1
0

Так и запишем, потенциальный террорист, а возможно даже на митинги ходит.

0
Нифуя ее понял, но очень интересно
0

Не секрет что все провайдеры сейчас ведут логи, у каждого компьютера есть свой уникальный мак адрес, конфигурация ОС и прочие параметры по железу. Все сводится к тому что бы вычислить с какого места выходил в инет преступник в последний раз, если общественное или мобильная сеть то по уличным камерам можно найти его, по биллингу сотового -сопоставить все номера которые были поблизости с преступником.

раскрыть ветку 2
+8

свой уникальный мак адрес, конфигурация ОС и прочие параметры по железу

Это называется fingerprinting и довольно легко обходится. Даже средства автоматизации есть, которые виртуальную машину и браузер каждый раз изменяют.

Про мак-адрес - даже не смешно в 2019. Про камеры - в крупных городах может прокатить, если есть довольно продолжительная история подключений, нужно будет на множестве видеозаписей мест, прилегающих к предположительным местам подключения искать одни и те же лица. Если человек сидит, например, в такси и осуществляет подключение из автомобиля на ходу - опять же, отследить нельзя.

раскрыть ветку 1
+1

К тому же записи с городских камер не хранятся вечно, а через определенное время затираются.

0

А если зайти в tor один раз и не выходить?

Ваш логер включен после входа, значит его он записать не сможет

раскрыть ветку 1
0

Тогда надо, что бы НЕБЫЛО НИИДИНОГО РОЗРЫВААА!!1

-14

Нахуя нужна эта информация законопослушным гражданам?

раскрыть ветку 18
+11

Человек - создание любопытное.

+6
Сегодня ты можешь смотреть порно, а завтра это станет незаконным
ещё комментарии
ещё комментарии
Похожие посты
Возможно, вас заинтересуют другие посты по тегам: