Как спецслужбы вычисляют хакеров по статистическим данным

Тема в разделе "Анонимность в сети", создана пользователем 4ERT, 25 дек 2016.

  1. 4ERT

    4ERT RICH-BOSS Команда форума Модератор форума VIP Внесен депозит 4000$

    Сообщения:
    856
    Баллы:
    18
    Выложила тему сюда, так как это очень важно и необходимо учитывать при построении своей анонимности в сети) Это пример оперативно-розыскных мероприятий спецслужб при использовании анонимайзера. В других случаях(будь то даже ТОР и ВПН) они поступают точно также, сравнивая время подключения и размер переданных данных.

    Статистические данные, как известно, отличаются тем что сам трафик не перехватывается. хранятся только IP адреса, время соединения, размер переданной информации в байтах и используемые протоколы.

    Для того,чтобы немного обезопасить себя от этого не сидите с дедиков и впн своей страны и используйте Whonix, где есть stream isolation(все приложения или даже одно будут ходить в сеть по разным портам). Защита от всего этого-это уже другая тема,расписывать не буду здесь).

    Ну и ,конечно же, для того, чтобы вас так начали искать тоже надо постараться
    Ну и как же вычисляют?))))
    А что до "исследовании статистики трафика" - я офигел с примера, как менты не получив данные с анонимайзера, не зная с какого провайдера требовать логи, просто на основе статистических данных магистральных провайдеров вычислили вымогателя. Судя по всему магистральные провайдеры хранят только статистику, а провайдер "последней мили" уже хранит и статистику и тексты и персонализацию (мак адрес, и если IP динамические, то время кто когда каким IP пользовался). Но видимо никто не хранит видео\звуки\Картинки ибо место не хватит.

    #############################################
    Пример
    Приведем пример, как при помощи статистики трафика можно получить ценную оперативную информацию.

    Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «/cdn-cgi/l/email-protection». Анонимайзер – это сервер электронной почты, который специально предназначен для сокрытия отправителя (подробнее об анонимайзерах – ниже, в параграфе «Анонимные ремейлеры»). Служебные заголовки сообщения не содержали никакой полезной информации. Логи анонимайзером не ведутся из принципа. (значит был запрос, но их послали) Для вычисления отправителя можно воспользоваться статистикой трафика. Для начала сделаем следующие предположения: отправитель находится в России, и он отправил свое сообщение на этот анонимайзер непосредственно, а fне через другой анонимайзер. При таких условиях можно попытаться вычислить отправителя.

    IPадрес анонимайзера «/cdn-cgi/l/email-protection» – 206.132.3.41. Письмо к потерпевшему пришло 20 января вечером. Значит, отправлено было, скорее всего, в этот же день, поскольку, хотя анонимайзер предусматривает задержку в доставке сообщений, но вводить слишком большую задержку бессмысленно. Будем искать в статистике российских магистральных операторов связи все обращения на IPадрес 206.132.3.41, совершенные в течение суток 20.01.07 по протоколу SMTP. Для просмотра статистики используем набор утилит «flow tools».

    Итак, для сначала, проверим, на какие IPадреса были обращения за нужную дату по протоколу TCP, на порт 25 (SMTP). Нижеприведенная команда берёт хранящуюся на сервере статистику (flowcat), отфильтровывает из нее протокол TCP (flowfilter r6), отфильтровывает трафик, направленный на порт 25 (flowfilter P 25), и агрегирует данные по IPадресу назначения (flowstat f8).

    В списке DSTадресов (адресов назначения) мы видим интересующий нас адрес 206.132.3.41(пятая строка снизу), причем на него зафиксировано 2 обращения (flow), всего 38 пакетов, 27995 байт. Такое небольшое количество пакетов за целые сутки неудивительно. Анонимайзерами пользуются нечасто, поскольку это хоть и относительно безопасно, но не слишком удобно.

    Выше мы запрашивали статистику за сутки. Поскольку статистика собирается с интервалом в 15 минут, поинтересуемся, в какой именно интервал времени в течение суток были зафиксированы эти обращения. Поищем их в каждом из четвертьчасовых файлов. То есть произведем поиск, аналогичный предыдущему, но не для всей суточной статистики, а для каждого из 15минутных интервалов .

    Упоминание искомого IPадреса нашлось в 2 из 96 файлов. Оказалось, что обращения происходили в интервале 9:309:45 и 14:3014:45, причем во втором случае было передано лишь 2 пакета, а этого недостаточно для полноценной SMTPсессии. Таким образом, все данные следует искать в файле, содержащем статистику за 9:309:45

    Выберем из полной статистики за указанный интервал те пакеты, которые относятся к интересующему нас анонимайзеру. Для этого вместо упорядочивания данных по IPадресу назначения, как в предыдущих случаях (flowstat f8), запросим полную статистику (flowprint) и выделим из нее утилитой «grep» те потоки, которые относятся к адресу анонимайзера 206.132.3.41.

    Мы видим, что у всех относящихся к делу пакетов один и тот же source адрес – 81.16.118.238. Это, скорее всего, и есть IPадрес отправителя. Переданный объем информации, 27899 байт, примерно соответствует (с учетом служебных заголовков и шифрования) длине сообщения, полученного потерпевшим, что косвенно подтверждает правильность нашего вывода.
  2. Vladsept28

    Vladsept28

    Сообщения:
    4
    Баллы:
    1
    Это просто бомба. Это так же как и с тор: вас могут вычислить, если взять время, когда вы запостили свое объявление о продаже закладок на каком-нибудь форуме даркнета, и сравнить это со списком сессий абонентов, где обратить внимание на два параметра: время сессии, и факт подключения к узлам ТОРа, список которых открыт для всех. Вашу вину это не докажет, но под подозрение попадете, а дальше дело за оперативными мероприятиями.
  3. Vinni37

    Vinni37

    Сообщения:
    9
    Баллы:
    1
    Рука лицо, хоть примерно кто ни то представляется как "в статистике российских магистральных операторов связи все обращения на IPадрес 206.132.3.41" с помощью элегантного движения рукой и утилиты flow-tools это провернуть?. Все так просто расписано что прям жуть. http://cs301203.userapi.com/v301203727/401f/m8Gb-jMAF-s.jpg
  4. /.e7z

    /.e7z

    Сообщения:
    144
    Баллы:
    16
    "grep "'206.132.3.41', 'tcp'" logfilemagprov"
  5. Vinni37

    Vinni37

    Сообщения:
    9
    Баллы:
    1
    Огонь вот Вы представляете как хранят логи магистральные провайдеры на магистральных коммутаторах? В текстовых файлах? А в связи с законом Яровой особенно. Так что статья выглядит как реферат на тему.
    P.S. Msk-IX пропускная способность 8 Тбит/с
  6. /.e7z

    /.e7z

    Сообщения:
    144
    Баллы:
    16
    Во-первых, в коммутаторах, при "прозрачной" настройке - логи не хранятся, а перенаправляются, во-вторых да, извините, но записываются логи в дампе, который как вы упомянули, "может именоваться как текстовый", просто с более сложной структурой, для читабельности которой использую фильтры.

    При всем этом хочу напомнить, что , запись идет не на ваши "8 Тбит/с", ввиду невозможности одновременной записи таких объемов информации. По этому, если бы вы немного ознакомились со стандартными протоколами, вы бы были в курсе, что без заполнения пакетом памяти на "коммутаторе" отправить его дальше не будет возможным ввиду отсутствия таких технологий. По этому в давние времена СОМР'а, еще тогда 1-го, было придумано подключать к матрице направления напряжения на плате коммутирующих устройств системы регистрирования верхнего заголовка пакета для последующей записи его на физическое или логическое пространство.

    UDP: Я так понимаю, вы живете в своем собственном мире, который ограничивается лишь вашими собственными знаниями.
    Вам напомнить шумиху, которая была при разоблачении PRISM'a и наличии у АНБ врезки в магистрали от ДЦ Гугл и Яхо?
    Это не говоря про тотальный контроль трафика во франции и систему логирования у региональных провайдеров.

    Разве им что-то мешает вести такие записи и передавать их в контролирующие инстанции?
  7. Soyler

    Soyler

    Сообщения:
    720
    Баллы:
    16
    Менты вычисляют? - Менты могли бы вычислять! если бы не были такие ленивые жопы.
  8. 4ERT

    4ERT RICH-BOSS Команда форума Модератор форума VIP Внесен депозит 4000$

    Сообщения:
    856
    Баллы:
    18
    Ну им тоже для отчетности нужны какие то дела, что они не просто так сидят)
  9. Soyler

    Soyler

    Сообщения:
    720
    Баллы:
    16
    Для нашей "интернет полиции" на все похуй, как и на отчеты, там уже свои схемы у них :D
    Я ещё не разу не слышал, чтобы какого то бедного парня, который заказал себе телефон за 300 долларов с чужой карты посадили или хотя бы надругались)
    У меня знакомые вбивают на себя товара на 100К в месяц уже годами и им збс.

    я и сам себе заказываю все что хочу, хули бесплатно не брать)
    прямо на свой адрес и шлю, а параноики платят бабки дропам)

    Сейчас в тумбочке телефон за 200-300$, достался по сути бесплатно
  10. 4ERT

    4ERT RICH-BOSS Команда форума Модератор форума VIP Внесен депозит 4000$

    Сообщения:
    856
    Баллы:
    18
    Ну мне говорили, что садят. Слышала примеры. Поаккуратнее. Если в стране не берут, то из другой могут экстрадировать
  11. Soyler

    Soyler

    Сообщения:
    720
    Баллы:
    16
    Я думаю такое пишут только те, кто ни разу на себя не бил :)
    Кто в теме - знают. Спрашивать нужно дядек, которые годами в теме, а не людей, которым бабушка твердит шобы не взламывали вк )
    Это смех и не больше ;D
  12. 4ERT

    4ERT RICH-BOSS Команда форума Модератор форума VIP Внесен депозит 4000$

    Сообщения:
    856
    Баллы:
    18
    Ты не знаешь с какими людьми я общаюсь) И с органов такое слышала и от кардеров бывалых
  13. Soyler

    Soyler

    Сообщения:
    720
    Баллы:
    16
    Ну если ты о сумах выше 2К$, то там не скажу ничего.
    Я же по маленьким, до 300 )
  14. TOP4ik

    TOP4ik

    Сообщения:
    104
    Баллы:
    16
    Короче,все что я отправляю,все это отслеживается, ни тор,ни впн,ни чего не поможет?
  15. 4ERT

    4ERT RICH-BOSS Команда форума Модератор форума VIP Внесен депозит 4000$

    Сообщения:
    856
    Баллы:
    18
    Дело не в отправлении) Отследить могут таким способом, если тобой серьезно заинтересовались и на крупные суммы. А так тор и впн шифруют все, что ты отправляешь
  16. TOP4ik

    TOP4ik

    Сообщения:
    104
    Баллы:
    16
    Ну так это я понял что все шифрует,а если например речь зайдет о весомой сумме,то можно как то оградить себя от вычисления по шифрования?
    Может и глупый вопрос,но спрошу
  17. 4ERT

    4ERT RICH-BOSS Команда форума Модератор форума VIP Внесен депозит 4000$

    Сообщения:
    856
    Баллы:
    18
    ну если речь о миллионе, то стоит задуматься) а если меньше, то использовать цепочки впн-тор и запретить куки. Все в разделе анонимность у нас есть об этом)
  18. The Man Who Sold the World

    The Man Who Sold the World

    Сообщения:
    639
    Баллы:
    16
    Репосты и комментарии контролировать.
  19. TOP4ik

    TOP4ik

    Сообщения:
    104
    Баллы:
    16
    Благодарю за ответ
  20. Vultur

    Vultur RICH-BOSS Команда форума Модератор форума Внесен депозит 500$

    Сообщения:
    792
    Баллы:
    18
    Работа ведется только с левых вещей, от которых после потребуется избавиться.
    Левая мобила б/у, левая симка, левый ноут, в конце чужой wifi. На самом ноуте, аналогично, тор-впн, от величины суммы уже стоит заморачиваться с цепочками. По окончанию дел, Все сжечь в посадке.
    Это самый простой рецепт, остальное уже зависит от твоей смекалки.

Поделиться этой страницей

Top