Пользователей онлайн: 296
Не зарегистрированы?
РегистрацияЭкспресс знакомства
Как найти поймать клеветника?
Добавлено: 2012-10-19 8:10
Статья из серии
Юридические аспекты некоторых видов деятельности в Интернете
Борьба с клеветой в интернете: можно ли поймать клеветника?
В сети интернет человек обладает высокой степенью анонимности. Он не оставляет никаких (кроме электронных) следов, а они далеко не всегда способны точно идентифицировать его. Эта особенность сети дает людям свободу, которой можно злоупотребить. Наибольшее количество таких злоупотреблений относится к случаям, которые закон определяет как "оскорбление чести и достоинства" и "клевета". Обычная ситуация: человек поссорился с кем-то или посчитал, что с ним несправедливо обошлись, и решил отомстить. Как? Лучше всего анонимно. Через интернет это сделать просто. Существует масса форумов и других специализированных ресурсов, на которых каждый желающий может размещать свою информацию. Что делать в этом случае пострадавшему?
Случай первый (простой). На интернет-сайте вы обнаружили порочащее вас выссказывание. В первую очередь рекомендуем обратиться к модератору сайта. Можно отправить ему сообщение, указав в нем, что сайт содержит ложную информацию, которую вы просите убрать. Не лишним будет напомнить, что клевета и оскорбление чести и достоинства гражданина являются наказуемыми деяниями и оставляя клеветнический текст на сайте, модератор невольно потверствует нарушителям.
Такой прием обычно срабатывает, но не всегда. Ваше сообщение может не доходить до получателя по причинам технического характера, модератор может отнестись к вашей просьбе небрежно, а кроме того ресурс может и вовсе не иметь модератора. В этом случае отправьте сообщение компании-провайдеру, которая предоставляет сайту хостинг. Текст сообщения все тот же: "такой-то сайт содержит такую-то информацию, которая является ложной" и т.д. Стоит заметить, что провайдером услуги под названием хостинг может быть иностранная компания. Это не должно вас смущать. Смело пишите о своих претензиях. Западные компании обычно даже охотнее отечественных идут в таких случаях навстречу, поскольку это может обернуться для них большими неприятностями.
Случай второй (сложный). Порочащие вас выссказывания размещены на множестве интернет-сайтов. Набирая свое полное имя в поисковой машине вы видите как одна за другой появляются проиндексированные поисковиком страницы с неприятной для вас информацией. В этом случае обращаться к каждому сайту может оказаться бесполезным - их слишком много и (или) их становится все больше и больше. Чтобы исправить такую ситуацию, необходимо остановить непосредственно клеветника, и здесь перед вами встанет можество проблем. Конечно, сперва необходимо идентифицировать клеветника или хотя-бы определить круг лиц, которые могли бы это сделать. Если это удалось оцените возможность уладить проблему путем переговоров. Возможно вы тоже несправедливо задели вашего недоброжелателя, и откровенный разговор с принесением взаимных извинений может все уладить. Это путь самый простой, но далеко не всегда действенный или приемлемый. Недоброжелатель может не идти на контакт, отрицать свою роль, просто не соглашаться с вашей просьбой.
Другой, более жесткий, путь - напомнить клеветнику о возможности привлечения его к ответственности. При этом желательно заручиться поддержкой адвоката, который бы юридически грамотно объяснил вашему недоброжелателю возможные правовые последствия его действий. "Обычному" человеку, который "не хочет неприятностей" этого скорее всего окажется достаточно.
К сожалению возможен еще и третий, самый неприятный для вас, путь развития событий: вы не можете даже предположить, кто является вашим недоброжелателем, либо возможные правовые последствия его не пугают, т.к. он полагает, что высокая степень его анонимности (как пользователя интернета) дает ему защищенность от правовых преследований. В этом случае придется вычислять недоброжелателя с помощью специальных технических средств и мероприятий, которые, к сожалению, не всегда могут привести к успеху. Здесь необходимо установить сразу две вещи: компьютер, с которого порочащая вас инфромация была передана на интернет-сайт, и человека, который это осуществил. И первое, и второе теоретически возможно. Компьютер при выходе в сеть интернет получает идентификационный номер (адрес), который должен быть зарегистрирован на посещаемом недоброжелателем сайте. То есть, если он передавал информацию на сайт, в системных журналах этого сайта должны остаться записи об этом. Возможные проблемы здесь могут быть связаны с тем, что сайт, а точнее провайдер, который обеспечивает хостинг этому сайту, может не хранить записи в системном журнале долго (или вообще не хранить) или отказываться их предоставить. То же самое и с идентификационным номером компьютера - он может быть один и тот же у большой группы машин и для точного определения компьютера придется обращаться к провайдеру. Все эти проблемы, хотя и решаемые теоретически, требуют большой работы и сотрудничества провайдеров. С частными лицами провайдеры скорее всего на сотрудничество не пойдут - придется привлекать специалистов и организовывать расследование, перспективы которого не ясны. Ведь недоброжелатель может отправлять порочащую вас информацию из интернет-кафе (каждый раз из другого), может пользоваться для выхода в интернет зарегистрированным на чужое имя мобильным телефоном, может посылать свою информацию через сайты-посредники (анонимизаторы) и т.д. Единственный путь здесь - попытаться угадать личность недоброжелателя и организовать за ним слежку. Все это теоретически возможно, но успех зависит от многих (в каждом конкретном случае - разных) факторов. Публикация подготовлена информационной службой сайта адвоката Э.А.Панкова
http://www.eduardpankov.ru/articles/article6.shtml
Юридические аспекты некоторых видов деятельности в Интернете
Борьба с клеветой в интернете: можно ли поймать клеветника?
В сети интернет человек обладает высокой степенью анонимности. Он не оставляет никаких (кроме электронных) следов, а они далеко не всегда способны точно идентифицировать его. Эта особенность сети дает людям свободу, которой можно злоупотребить. Наибольшее количество таких злоупотреблений относится к случаям, которые закон определяет как "оскорбление чести и достоинства" и "клевета". Обычная ситуация: человек поссорился с кем-то или посчитал, что с ним несправедливо обошлись, и решил отомстить. Как? Лучше всего анонимно. Через интернет это сделать просто. Существует масса форумов и других специализированных ресурсов, на которых каждый желающий может размещать свою информацию. Что делать в этом случае пострадавшему?
Случай первый (простой). На интернет-сайте вы обнаружили порочащее вас выссказывание. В первую очередь рекомендуем обратиться к модератору сайта. Можно отправить ему сообщение, указав в нем, что сайт содержит ложную информацию, которую вы просите убрать. Не лишним будет напомнить, что клевета и оскорбление чести и достоинства гражданина являются наказуемыми деяниями и оставляя клеветнический текст на сайте, модератор невольно потверствует нарушителям.
Такой прием обычно срабатывает, но не всегда. Ваше сообщение может не доходить до получателя по причинам технического характера, модератор может отнестись к вашей просьбе небрежно, а кроме того ресурс может и вовсе не иметь модератора. В этом случае отправьте сообщение компании-провайдеру, которая предоставляет сайту хостинг. Текст сообщения все тот же: "такой-то сайт содержит такую-то информацию, которая является ложной" и т.д. Стоит заметить, что провайдером услуги под названием хостинг может быть иностранная компания. Это не должно вас смущать. Смело пишите о своих претензиях. Западные компании обычно даже охотнее отечественных идут в таких случаях навстречу, поскольку это может обернуться для них большими неприятностями.
Случай второй (сложный). Порочащие вас выссказывания размещены на множестве интернет-сайтов. Набирая свое полное имя в поисковой машине вы видите как одна за другой появляются проиндексированные поисковиком страницы с неприятной для вас информацией. В этом случае обращаться к каждому сайту может оказаться бесполезным - их слишком много и (или) их становится все больше и больше. Чтобы исправить такую ситуацию, необходимо остановить непосредственно клеветника, и здесь перед вами встанет можество проблем. Конечно, сперва необходимо идентифицировать клеветника или хотя-бы определить круг лиц, которые могли бы это сделать. Если это удалось оцените возможность уладить проблему путем переговоров. Возможно вы тоже несправедливо задели вашего недоброжелателя, и откровенный разговор с принесением взаимных извинений может все уладить. Это путь самый простой, но далеко не всегда действенный или приемлемый. Недоброжелатель может не идти на контакт, отрицать свою роль, просто не соглашаться с вашей просьбой.
Другой, более жесткий, путь - напомнить клеветнику о возможности привлечения его к ответственности. При этом желательно заручиться поддержкой адвоката, который бы юридически грамотно объяснил вашему недоброжелателю возможные правовые последствия его действий. "Обычному" человеку, который "не хочет неприятностей" этого скорее всего окажется достаточно.
К сожалению возможен еще и третий, самый неприятный для вас, путь развития событий: вы не можете даже предположить, кто является вашим недоброжелателем, либо возможные правовые последствия его не пугают, т.к. он полагает, что высокая степень его анонимности (как пользователя интернета) дает ему защищенность от правовых преследований. В этом случае придется вычислять недоброжелателя с помощью специальных технических средств и мероприятий, которые, к сожалению, не всегда могут привести к успеху. Здесь необходимо установить сразу две вещи: компьютер, с которого порочащая вас инфромация была передана на интернет-сайт, и человека, который это осуществил. И первое, и второе теоретически возможно. Компьютер при выходе в сеть интернет получает идентификационный номер (адрес), который должен быть зарегистрирован на посещаемом недоброжелателем сайте. То есть, если он передавал информацию на сайт, в системных журналах этого сайта должны остаться записи об этом. Возможные проблемы здесь могут быть связаны с тем, что сайт, а точнее провайдер, который обеспечивает хостинг этому сайту, может не хранить записи в системном журнале долго (или вообще не хранить) или отказываться их предоставить. То же самое и с идентификационным номером компьютера - он может быть один и тот же у большой группы машин и для точного определения компьютера придется обращаться к провайдеру. Все эти проблемы, хотя и решаемые теоретически, требуют большой работы и сотрудничества провайдеров. С частными лицами провайдеры скорее всего на сотрудничество не пойдут - придется привлекать специалистов и организовывать расследование, перспективы которого не ясны. Ведь недоброжелатель может отправлять порочащую вас информацию из интернет-кафе (каждый раз из другого), может пользоваться для выхода в интернет зарегистрированным на чужое имя мобильным телефоном, может посылать свою информацию через сайты-посредники (анонимизаторы) и т.д. Единственный путь здесь - попытаться угадать личность недоброжелателя и организовать за ним слежку. Все это теоретически возможно, но успех зависит от многих (в каждом конкретном случае - разных) факторов. Публикация подготовлена информационной службой сайта адвоката Э.А.Панкова
http://www.eduardpankov.ru/articles/article6.shtml
Добавлено: 2012-10-19 8:10
Как поймать хакера?
Где-то я читал, что для того, чтобы поймать хакера нужно самому быть хакером. Я считаю, что это несколько спорное утверждение, которое я хочу опровергнуть на примере моего недавнего поста «Защита DLE от невидимых ссылок». Эти мысли я хотел опубликовать еще сегодня вечером, но был вынужден отвлечься на гаденыша, который пиздит контент.
Как поймать хакера?
Вполне законный вопрос, который возникает перед каждым пострадавшим от взлома. Вокруг хакеров в Рунете возник некоторый ореол романтичности и благородства, ореол эдаких Робин Гудов, которые восстанавливают справедливость в пользу обиженных и угнетенных. Я считаю это неправильным, хотя допускаю, что среди них есть и честные и благородные, с единственной оговоркой это исключительные случаи, не заслуживающие внимания. В серой своей массе хакеры Рунета это такое же школоло, которое пиздит контент, использует грабберы, которые ради мимолетных копеек, перепадающих опять-таки случайным образом в их карман, доставляют людям лишние проблемы и неприятности.
Сегодня мы вернемся к нашему Зюзе, который вполне вероятно тоже является героем где-нибудь на юкозовском форуме, героем молодняка, мутным потоком, вливающегося в Рунет. Наш герой Зюзя потратил достаточное количество времени для того, чтобы залить шелл, скрипты, которые будут обрабатывать саповские ссылки, подтвердить свои права на сайт, пройти модерацию и, наконец, начать получать доход. Впрочем, с этой партии сайтов Зюзя доход так и не получил. На одном сайте, как мне сказали система своего кода не нашла, и он не прошел модерацию, а с другого он тоже ничего не получил, так как его вернули владельцу. Зюзю тоже можно назвать хакером, только похож ли он на благородного героя рыцарских романов? Похож ли наш Зюзя на бесстрашного Робин Гуда? Нет, скорее он похож на жалкого бомжа – воришку, которого взяли за жопу с поличным!
Как поймать хакера?
Да очень просто. Можно порыть логи, и вычислить IP бомженка, но скорее всего Зюзя «работал» через прокси, и IP злоумышленника нам ничего не даст. Мы пойдем другим путем. К сожалению, администрация сапы не банит аккаунты своих пользователей только на том основании, что они спиздили сайт. Администрация сапы не выступает арбитром, но с удовольствием делится данными злоумышленника, предоставляя возможность владельцам сайта самим найти воришку, и засунуть ему паяльник в жопу.
Имеем:
E-Mail: [email protected]
WMR кошелек: R345637857289
WMID 343826585889
Собственно для различного вида поиска, которым я занимался в свое время, вполне достаточно единственной зацепки. В принципе в этом процессе для меня были интересны сами поиски, и на самом деле достаточно было только кошелька, предоставленного администрацией sape. Но, давайте на минуту представим, что мы потеряли кошелек, и у нас есть только мыло. Пробив кошелька и мыла ничего особенного не дает. Все чистенькое и малозасвеченное, но если углубить поиски, то мы уже выйдем на след.
В 2008 году наш Зюзя засветился в одной из гостевой, причем засветил не, только мыло, но и сайт. В принципе можно предположить, что сайт сменил своего владельца, но так как спустя три года мы наблюдаем [email protected] у бомженка Зюзи, то можно сделать вывод, что сайт не продавался, так как вряд ли вместе с сайтом кому-то понадобится мыло на убогом mail.ru.
Где-то я читал, что для того, чтобы поймать хакера нужно самому быть хакером. Я считаю, что это несколько спорное утверждение, которое я хочу опровергнуть на примере моего недавнего поста «Защита DLE от невидимых ссылок». Эти мысли я хотел опубликовать еще сегодня вечером, но был вынужден отвлечься на гаденыша, который пиздит контент.
Как поймать хакера?
Вполне законный вопрос, который возникает перед каждым пострадавшим от взлома. Вокруг хакеров в Рунете возник некоторый ореол романтичности и благородства, ореол эдаких Робин Гудов, которые восстанавливают справедливость в пользу обиженных и угнетенных. Я считаю это неправильным, хотя допускаю, что среди них есть и честные и благородные, с единственной оговоркой это исключительные случаи, не заслуживающие внимания. В серой своей массе хакеры Рунета это такое же школоло, которое пиздит контент, использует грабберы, которые ради мимолетных копеек, перепадающих опять-таки случайным образом в их карман, доставляют людям лишние проблемы и неприятности.
Сегодня мы вернемся к нашему Зюзе, который вполне вероятно тоже является героем где-нибудь на юкозовском форуме, героем молодняка, мутным потоком, вливающегося в Рунет. Наш герой Зюзя потратил достаточное количество времени для того, чтобы залить шелл, скрипты, которые будут обрабатывать саповские ссылки, подтвердить свои права на сайт, пройти модерацию и, наконец, начать получать доход. Впрочем, с этой партии сайтов Зюзя доход так и не получил. На одном сайте, как мне сказали система своего кода не нашла, и он не прошел модерацию, а с другого он тоже ничего не получил, так как его вернули владельцу. Зюзю тоже можно назвать хакером, только похож ли он на благородного героя рыцарских романов? Похож ли наш Зюзя на бесстрашного Робин Гуда? Нет, скорее он похож на жалкого бомжа – воришку, которого взяли за жопу с поличным!
Как поймать хакера?
Да очень просто. Можно порыть логи, и вычислить IP бомженка, но скорее всего Зюзя «работал» через прокси, и IP злоумышленника нам ничего не даст. Мы пойдем другим путем. К сожалению, администрация сапы не банит аккаунты своих пользователей только на том основании, что они спиздили сайт. Администрация сапы не выступает арбитром, но с удовольствием делится данными злоумышленника, предоставляя возможность владельцам сайта самим найти воришку, и засунуть ему паяльник в жопу.
Имеем:
E-Mail: [email protected]
WMR кошелек: R345637857289
WMID 343826585889
Собственно для различного вида поиска, которым я занимался в свое время, вполне достаточно единственной зацепки. В принципе в этом процессе для меня были интересны сами поиски, и на самом деле достаточно было только кошелька, предоставленного администрацией sape. Но, давайте на минуту представим, что мы потеряли кошелек, и у нас есть только мыло. Пробив кошелька и мыла ничего особенного не дает. Все чистенькое и малозасвеченное, но если углубить поиски, то мы уже выйдем на след.
В 2008 году наш Зюзя засветился в одной из гостевой, причем засветил не, только мыло, но и сайт. В принципе можно предположить, что сайт сменил своего владельца, но так как спустя три года мы наблюдаем [email protected] у бомженка Зюзи, то можно сделать вывод, что сайт не продавался, так как вряд ли вместе с сайтом кому-то понадобится мыло на убогом mail.ru.
Добавлено: 2012-10-19 8:10
Сайтик здравствует и в настоящее время, хостится на Мажордомо, и у него даже 28 кило страниц в индексе Яндекса. Тем не менее, хотя worldradio.ru и приват персон, нам уже достаточно информации для того, чтобы привлечь Зюзю к ответственности. Почему? Наверняка Зюзя верифицировал свой аккаунт в РУ центре для того, чтобы исключить возможность потери неплохого домена с ТИЦками и историей. Но для полноты картины я вам продемонстрирую еще и реквизиты WM.
Видите внизу зеленую галочку контактного телефона? Это значит что, скорее всего Зюзя привязал свой кипер к enum. Во всяком случае, это реальный телефон реального человека, на который приходит смс. Фенита ля.
Ну а чтобы не плодить одинаковые посты, публикую данные бомжехакера из поста «Уверен, что на своем сайте зарабатываешь только ты?»
E-Mail: [email protected]
WMR кошелек: R428047394136
WMID: 351295741507
Видите внизу зеленую галочку контактного телефона? Это значит что, скорее всего Зюзя привязал свой кипер к enum. Во всяком случае, это реальный телефон реального человека, на который приходит смс. Фенита ля.
Ну а чтобы не плодить одинаковые посты, публикую данные бомжехакера из поста «Уверен, что на своем сайте зарабатываешь только ты?»
E-Mail: [email protected]
WMR кошелек: R428047394136
WMID: 351295741507
Добавлено: 2012-10-19 9:10
Вас мадам не Сергей звали в прошлой анкетной жизни?
Тот тоже много букФ написывал.
Тот тоже много букФ написывал.
Только с неповторимым мужчиной — хочется повторить..
Добавлено: 2012-10-19 9:10
Многие думают, что интернет анонимен, что в нем никого и ничего не видно. Я же заявляю, что в интернете найти преступника даже проще. Интернет годами хранит в себе разнообразную информацию, и следы бурной молодости, и ошибки прошлого остаются в нем навсегда. Что делать теперь с Зюзей решат владельцы. На самом деле не обязательно ждать решения арбитража, вполне достаточно иметь знакомых ментов, которые будут несказанно рады раскрутить еще одно хакерское дело. Ведь это благодарности, повышение по службе, и возможно звездочки на погоны. Для меня лично во всей этой истории непонятно одно: что побуждает человека, который имеет трехлетний сайт с вполне приличным содержанием опускаться до банального воровства…
С вами был я, а в следующей моей публикации, если мне не испортит настроение очередной гаденыш, который пиздит контент, мы будем ловить порномагната, который тоже опустился до взломов и нечестных правил игры.
http://webwm.net/2011/04/02/kak-pojmat-xakera/
С вами был я, а в следующей моей публикации, если мне не испортит настроение очередной гаденыш, который пиздит контент, мы будем ловить порномагната, который тоже опустился до взломов и нечестных правил игры.
http://webwm.net/2011/04/02/kak-pojmat-xakera/
Добавлено: 2012-10-19 9:10
Как поймать внутреннего злоумышленника на копировании файлов с конфиденциальной информацией?
К сожалению, сейчас довольно распространенной ситуацией является кража конфиденциальной информации собственными сотрудниками. Злоумышленник может получить доступ к файлам с конфиденциальной информацией с помощью различных способов. Можно подобрать пароль локального администратора, зачастую это сделать легко, так как хэш пароля локального администратора храниться на рабочей станции каждого сотрудника и его можно взломать с помощью программ, наподобие LCP (HTTP://WWW.LCPSOFT.COM). Можно воспользоваться эксплойтом для получения доступа к файловой системе удаленного компьютера. В конечном счете, злоумышленник просто скопирует по сети файлы с нашей конфиденциальной информацией.
Давайте рассмотрим, как можно отследить копирование подобной информации с помощью свободно распространяемых программных средств.
Фактически нам нужно осуществлять мониторинг исходящего сетевого трафика и регистрировать появление некоего признака, присущего нашим данным. Для мониторинга сети мы будем использовать свободно распространяемую систему обнаружения вторжений Snort (WWW.SNORT.ORG). Пусть конфиденциальная информация у нас хранится в документах MS Word, которые мы и “пометим”, включив строку “Confidential1234” (для того, чтобы злоумышленник ни о чем не догадался нужно использовать белый шрифт J или служебные поля файла).
1) После установки Snort (далее мы предполагаем, что установили его в директорию C:\Snort) мы создаем следующее правило для обнаружения факта передачи файла с нашим маркером:
alert tcp [наш IP адрес] any -> any any (msg:»Our secret file was stolen»; content:»confidential1234″; sid:777;)
Правило сохраняем в файле file.rules, который переносим в директорию C:\Snort\rules.
2) В конфигурационный файл C:\Snort\etc\snort.conf добавляем следующую строку
include $RULE_PATH/file.rules
Пример рабочего конфигурационного файла и правила для обнаружения факта копирования можно скачать отсюда[emoji]: HTTP:[/emoji]//WWW.ADOROFEEV.RU/DOWNLOADS/SNORT.ZIP.
3) Выводим перечень доступных сетевых интерфейсов и определяем номер того интерфейса, мониторинг которого мы будем осуществлять:
snort -W
4) Запускаем нашу систему обнаружения вторжений со следующими параметрами:
Snort –l C:\Snort\log –A fast –h [наш IP адрес] –h [наша подсеть/маска подсети] –с С:\Snort\etc\snort.conf –i [номер сетевого интерфейса]
5)
Теперь в случае копирования файла система обнаружения вторжений сделает запись в журнал (C:\Snort\log\alert.ids), подобную следующей:
02/05-12:01:34.842967 [**] [1:777:0] Our secret file was stolen [**] [Priority: 0] {TCP} 10.170.170.3:445 -> 10.170.170.2:2684
Из записи видно, когда и на какой адрес была осуществлена передача нашей конфиденциальной информации.
В сети можно найти разнообразные скрипты, которые позволят мгновенно оповестить службу информационной безопасности о факте копирования файла.
АЛЕКСАНДР ДОРОФЕЕВ (с)
http://adorofeev.ru/informacionnaya-bezopasnost/kak-poimat-hakera/
К сожалению, сейчас довольно распространенной ситуацией является кража конфиденциальной информации собственными сотрудниками. Злоумышленник может получить доступ к файлам с конфиденциальной информацией с помощью различных способов. Можно подобрать пароль локального администратора, зачастую это сделать легко, так как хэш пароля локального администратора храниться на рабочей станции каждого сотрудника и его можно взломать с помощью программ, наподобие LCP (HTTP://WWW.LCPSOFT.COM). Можно воспользоваться эксплойтом для получения доступа к файловой системе удаленного компьютера. В конечном счете, злоумышленник просто скопирует по сети файлы с нашей конфиденциальной информацией.
Давайте рассмотрим, как можно отследить копирование подобной информации с помощью свободно распространяемых программных средств.
Фактически нам нужно осуществлять мониторинг исходящего сетевого трафика и регистрировать появление некоего признака, присущего нашим данным. Для мониторинга сети мы будем использовать свободно распространяемую систему обнаружения вторжений Snort (WWW.SNORT.ORG). Пусть конфиденциальная информация у нас хранится в документах MS Word, которые мы и “пометим”, включив строку “Confidential1234” (для того, чтобы злоумышленник ни о чем не догадался нужно использовать белый шрифт J или служебные поля файла).
1) После установки Snort (далее мы предполагаем, что установили его в директорию C:\Snort) мы создаем следующее правило для обнаружения факта передачи файла с нашим маркером:
alert tcp [наш IP адрес] any -> any any (msg:»Our secret file was stolen»; content:»confidential1234″; sid:777;)
Правило сохраняем в файле file.rules, который переносим в директорию C:\Snort\rules.
2) В конфигурационный файл C:\Snort\etc\snort.conf добавляем следующую строку
include $RULE_PATH/file.rules
Пример рабочего конфигурационного файла и правила для обнаружения факта копирования можно скачать отсюда[emoji]: HTTP:[/emoji]//WWW.ADOROFEEV.RU/DOWNLOADS/SNORT.ZIP.
3) Выводим перечень доступных сетевых интерфейсов и определяем номер того интерфейса, мониторинг которого мы будем осуществлять:
snort -W
4) Запускаем нашу систему обнаружения вторжений со следующими параметрами:
Snort –l C:\Snort\log –A fast –h [наш IP адрес] –h [наша подсеть/маска подсети] –с С:\Snort\etc\snort.conf –i [номер сетевого интерфейса]
5)
Теперь в случае копирования файла система обнаружения вторжений сделает запись в журнал (C:\Snort\log\alert.ids), подобную следующей:
02/05-12:01:34.842967 [**] [1:777:0] Our secret file was stolen [**] [Priority: 0] {TCP} 10.170.170.3:445 -> 10.170.170.2:2684
Из записи видно, когда и на какой адрес была осуществлена передача нашей конфиденциальной информации.
В сети можно найти разнообразные скрипты, которые позволят мгновенно оповестить службу информационной безопасности о факте копирования файла.
АЛЕКСАНДР ДОРОФЕЕВ (с)
http://adorofeev.ru/informacionnaya-bezopasnost/kak-poimat-hakera/
Добавлено: 2012-10-19 9:10
Трактат о том как ловят хакеров
"Параноик — это всего лишь человек, которому известны факты."
(с) Уильям С. Берроуз
Не проходит буквально ни одной недели, чтобы в Интернет-новостях не появилось сообщение об успешном задержании спецслужбами очередного компьютерного преступника. Причем, чаще всего речь идет не о бестолковых рассыльщиках троянов, а о достаточно грамотных и, если можно так сказать, профессиональных хакерах, наверняка, уделявших собственной безопасности не последнее место. Достаточно упомянуть Линн Хтуна из знаменитой группы «Fluffi Bunni» («Пушистый кролик») и членов интернациональной кракерской организация DrinkOrDie.
Казалось бы, времена Митника давно прошли и пора бы уже сделать определенные выводы, касающиеся собственной безопасности. Так в чем же дело? За счет каких механизмов спецслужбам удается столь эффективно отслеживать и «уничтожать» информационных «преступников»? В каких лабиринтах мировой паутины затаилась скрытая угроза? Чего следует опасаться хакеру? Об этом сегодня мы и поговорим. Я детально проанализировал возможные ошибки и пути отлова хакеров на сегодняшний момент, результаты моих «исследований» лежат пред тобой. Но не исключено, что в чем-то я могу сильно ошибаться, т. к. точное заключение может дать только эксперт, который непосредственно «крутится» в сфере государственной безопасности, но от них мы никогда ни чего не узнаем.
Неуязвимость — это иллюзия
Совершив не один десяток взломов и не попавшись в руки правосудия у многих молодых хакеров возникает иллюзия собственной супер секьюрной безопасности. На самом деле, это объясняется только тем, что ты еще пока не понадобился «нужным» людям. Спецслужбы не будут предпринимать ни каких действий, пока не заподозрят в твоих деяниях угрозу национальной безопасности или пока не увидят у себя на столе заявление от пострадавших (не исключено также, что ты уже «ходишь» под колпаком, просто не догадываешься об этом ). Обычно, хакеру играет на руку, что большинство отхаканных не обращается «куда следует», а предпочитают промолчать и забыть о взломе. Например, кому охота связываться с федералами из-за какого-то там дефейса, или какой прикол админу сообщать начальству, что на его серверах хакеры пооткрывали себе шеллы — ему же в первую очередь и влетит, поэтому он по-тихому залатает дыры и сделает вид, что ничего не было. Многие компании не хотят заводить дело, т. к. бояться, что информация о взломе станет доступна общественности, а это может принести дополнительные убытки из-за подпорченной репутации. Нельзя также исключать наличие организаций, которые вообще ни при каких обстоятельствах не будут связываться со спецслужбами, т. к. сами имеют определенные грешки. Но так бывает не всегда и даже такое, по сути, мелкое хулиганство как дефейс может стать причиной преследования спецслужб. Например, действия группы Fluffi Bunni привлекли внимание ФБР после терактов 11 сентября, когда на множестве сайтов появились лозунги «Fluffi Bunni Goes Jihad» ("пушистый кролик идёт на джихад"). Это было расценено как протест против американской глобальной кампании по борьбе с терроризмом, т. е. по сути членов группы уровняли с террористами (а это уже не шуточные сроки).
Таким образом, можно выделить особую категорию хакерских проделок, которые ПОЧТИ всегда становятся работой спецслужб — это воровство, вымогательство, шпионаж и «наезд» на государственные сервера. Людей в штатском может привлечь и просто высокая хакерская активность, например, огромный список дефейсов на «хакерском» сайте. Обычно, общение со спецслужбами, в этом случае, ограничивается без инициативным обыском в квартире хакера или разговор «по душам» с ярко светящей в глаза лампой (немало таких историй можно почитать на хакерских сайтах, например, здесь[emoji]: http:[/emoji]//hangup.pisem.net, статья "Скучный шмон" и пр.). Надо полагать, что цель таких мер связана с профилактикой, т. е. показать хакеру, что он находится под контролем и пресечь возможные будущие, более тяжкие преступления. Если это так, то нужно только снять защитный экран с монитора перед нашими родными спецслужбами за заботу о подрастающем поколении.
Вывод первый: профессионалы никогда не чувствуют себя в безопасности, паранойя — вечный спутник хакера.
Не существует "своих" и "чужих" спецслужб
Среди многих отечественных представителей андеграунда существует одно ошибочное убеждение, что если не трогать российские сервера, то за собственную безопасность можно вообще не бояться. Да, действительно, неурегулированные законы об экстрадиции хакеров из России, в большинстве случаев позволяют отечественным спецслужбам игнорировать просьбы о сотрудничестве своих зарубежных коллег и даже вступать с ними в конфронтацию. Широко известна история, когда следователь Игорь Ткач из Управления ФСБ чуть не возбудил уголовное дело против агента ФБР Майкла Шулера после ареста последними двух Челябинских хакеров Алексея Горшкова и Василия Иванова (с деталями дела можно ознакомиться в Интернете, в т. ч. и на нашем сайте). Но время не стоит на месте и однажды все может измениться, и тогда тебе напомнят все твои грешки, к тому же ты уже сейчас лишаешь себя возможности безбоязненного выезда за рубеж (не обязательно в США), т. к. тебя там уже могут ждать. Пример тому, недавняя история с 25-летним украинским хакером, который, был пойман в Бангкоке при содействии Таиландских и Американских спецслужб. Большинство хакеров xUSSR попадают в руки правосудия именно за пределами своей родины (примеров тому можно приводить много).
Вывод второй: профессионалы не проводят грань между российскими и зарубежными спецслужбами — спецслужбы всех стран одинаково опасны для хакера. Практика показывает, что иностранные спецслужбы представляют собой большую угрозу, т. к. уж очень сильно «там» не любят отечественных хакеров.
Схема хакерской атаки
Рассмотрим типичную схему хакерской атаки (взлом) в Интернете (см. рис. 1).
Рис.1. Схема хакерской атаки
Хакер выходит в сеть через обычного провайдера, затем через цепочку анонимных proxy к удаленному шеллу и уже с шелла проводит атаку. Шеллом обычно является захваченная (поrootанная) машина или скарженная на хостинге торгующего шеллами. В приведенном случае, задача шелла не анонимность, а обеспечение ресурсами, т. к. шелл обычно располагается на мощном сервере с приличным каналом. Конечно, эта не единственная схема: цепочку анонимных прокси может заменить цепочка из одних только шеллов или шелл, в схеме, вообще может отсутствовать, также прокси-сервера могут идти только от удаленного шелла до цели (это если хакер хочет сохранить шелл) и т. п. Непрофессионалы вообще ограничиваются единственным прокси. Кроме того, хакер может выходить в Интернет через локальную сеть (например, из Интернет-кафе). Но в данном контексте это все не существенно и приведенного рисунка достаточно чтобы рассмотреть большинство опасностей и слабых мест, которые могут подстерегать хакера в плане собственной безопасности.
Не все анонимные прокси одинаково анонимны
Начнем с середины — с proxy-серверов. Частенько можно услышать мнение, что если сидеть за цепочкой proxy, которые будут расположены в разных частях света, то это обеспечит практически 100% анонимность. При этом правда отмечается, что прокси имеют свойства вести логи и по логам, в принципе, можно восстановить всю цепочку. Уже одно это утверждение не дает 100% анонимности, т. к. если распутыванием займутся серьезные люди, то довести дело до конца у них есть все шансы, даже самых несговорчивых админов можно купить, запугать, хакнуть, наконец, сам proxy-сервер и выудить логи. Здесь главное время, т. к. логи имеют свойство удаляться, а прокси-сервера бесследно исчезать. Но это было бы пол беды, т. к. по неподтвержденным слухам большинство анонимных proxy принадлежат самим спецслужбам (!). Это логично, т. к. если кто-то хочет анонимности, значит, ему есть что скрывать, а если есть что скрывать, значит, это либо террорист, либо хакер (а для спецслужб некоторых стран это вообще одни и те же понятия). Отсюда должно быть понятно стремление федералов контролировать эти самые прокси-сервера. Да и как объяснить ТАКОЕ количество анонимных прокси в Интернете — ведь хоть убей не пойму, какая может быть выгода от этого их хозяевам. Если бесплатные почтовые службы или поисковые системы еще могут жить за счет рекламы, то кроме IP-адреса прокси-сервера, клиент совершенно ни чего не знает о последнем (если конечно proxy не анонимайзер). Кстати, этому есть и косвенные подтверждения, ни однократно были замечены случаи, когда анонимный прокси-сервер делал попытку подключиться к клиенту, например, на 139 порт (файервол это отлично фиксирует). Как ты думаешь, что может понадобиться АНОНИМНОМУ ПРОКСИ-СЕРВЕРУ на 139 порту?!
На сайте http://w4news.host.sk/safety.htm можно прочитать следующую фразу:
«Возможно, proxy контролируются спецслужбами, поэтому рекомендуем использовать только те, которые расположены за пределами России (СНГ) и стран НАТО». Однако этот совет не может быть хорошим. Ведь, что мешает создать разветвленную сеть «анонимных» proxy-серверов по всему миру, например, российским спецслужбам? Ничего. Причем прокси-сервера можно располагать прямо в посольствах (наверняка там тусят свои админы). А, учитывая, что постоянное подключение к Интернету имеют около 140 стран, то создать рассредоточенную сеть обойдется в совсем небольшие деньги даже для России, а про USA я вообще молчу. А если эти прокси-сервера еще к тому же будут иметь приличную скорость и все возможности, типа SOCKS5? Ведь не секрет, что большинство хакеров отбирают proxy по скорости. Возможно также, что сеть прокси-серверов совместно используется спецслужбами всех стран, что-то вроде Интерпола. Но сдается мне, что, все-таки, большинство «анонимных» прокси-серверов принадлежат одной великой супер-державе, догадайся какой? Поэтому, наверное, не стоит расслабляться, если прокси из твоей цепочки расположены в Нигерии, Японии, Финляндии и т. д., т. к. вполне может случиться так, что они будут принадлежать одной спецслужбе.
Смотри как удобно в этом плане федералам (рис. 2).
Рис.2. Средний прокси не принадлежит спецслужбам
Даже если в цепочку попадает сервер, не принадлежащий им, то это не проблема, т. к. достаточно выяснить с какого из своих серверов к нему могло осуществляться подключение. Конечно, если в цепочке окажутся идущие подряд два и более чужих прокси-сервера, то тут придется договариваться с их админами (как это может делаться, смотри выше). Кстати, возможно именно контролирование большинства прокси в Интернете позволяет спецслужбам делать в считанные дни официальные заявления, о том, из какой страны осуществлялась хакерская атака или откуда пошло распространение вируса и т. д., причем вплоть до таких экзотических стран как Филиппины. Возможно также, что подконтрольные прокси в странах НАТО входят в систему Эшелон.
Что такое Эшелон?
Эшелон — американская сеть глобального электронного шпионажа. Эшелон может перехватывать информацию, передаваемую практически по любым каналам связи (спутниковым, цифровым) в любой точке планеты. Источниками информации служат Интернет, электронная почта, телефон, факс, телекс. Эшелон — включает в себя более ста спутников-шпионов, большое количество суперсовременных и мощных компьютеров, множество наземных станций, расположенных по всему миру, на которых работают десятки тысяч сотрудников — программисты, криптологи, математики, лингвисты... Принцип работы системы Эшелон приблизительно следующий: каналы связи постоянно сканируются сверхмощными компьютерами, если проходящее сообщение содержит ключевое слово, выражение или тембр голоса (например, голос Бин Ладена), которое входит в так называемый словарь Эшелона, то сообщение записывается. Словарь Эшелона содержит огромное количество ключевых «слов» на многих языках мира и постоянно обновляется.
Вывод третий: профессионалы не доверяют прокси.
Шеллы и горшочки меда
Именно из-за недоверия к анонимным прокси некоторые «продвинутые» хакеры предпочитают заменять их цепочкой шеллов. Однако и шеллы таят в себе немалые опасности. Если ты слышал о проекте Honeynet, то должен был уже давно понять, то, что я сейчас хочу сказать.
Что такое Honeynet?
Honeynet — сеть машин, специально предоставленная для взлома, для т. н. черных шляп, с целью анализа и изучения их техники. Сайт проекта: www.honeynet.org (на bugtraq.ru можно почитать некоторые переводы). Кроме того, с теми же целями используются и отдельные машины, которые называют honeypots (медовые горшочки).
Проекты Honeynet поддерживаются в основном энтузиастами, однако, было бы наивно полагать, что если это пришло в голову обычным специалистам по безопасности, то не могло придти в голову спецслужбам, которые получают деньги за изобретение подобных штучек. Вообще, подобная тактика с «подсадными утками» является коронным приемом федералов не только в сети. Главная трабла для хакера в том, что очень сложно отличить, является ли используемый им шелл медовым горшочком или полноценным шеллом. Так, в Honeynet предусмотрен даже случай захвата или отключения хакером отдельного сервера логов (syslog-сервера). Причем, не имеет значения, был ли захвачен шелл нестандартным способом или через поисковик по известной баге, напомню, что Honeynet строится на стандартных системах без всякого намека на снижение безопасности. Единственное, что может отличать настоящий шелл от медового горшка это ограничение на количество исходящих соединений (в Honeynet предлагается разрешение в 5-10 соединений), это делается с целью защиты от использования шелла для сканирования других систем, проведения DoS и т. д., хотя, в принципе, такие ограничения могут присутствовать и на обычной машине. Скарженному шеллу доверять не менее опасно, т. к., во-первых, неизвестно под чьим контролем находится хостинг, во-вторых, все действия могут логгироваться. Фейковые шеллы могут нести и косвенную опасность. Например, если в IRC у одного из участников установлен BNC на подобном шелле, то спецслужбам не составит особого труда читать все сообщения в чате, а значит, все участники канала попадают под удар (об этом, кстати, забавно написано в одном из материалов Honeynet).
Вывод четвертый: профессионалы не доверяют шеллам.
Подконтрольные провайдеры
В большинстве случаев спецслужбам удается установить IP-адрес хакера, но это ничего не значит, т. к. главная цель — узнать ФИО «преступника» и возможно дом. адрес. Здесь все упирается в провайдера, т. к. только провайдер может сказать, кому принадлежит IP, а в случае с DialUP — с какого телефона осуществлялось подключение. Если хакер находится в России, то российским спецслужбам в этом плане значительно проще (практически все отечественные провайдеры находятся под контролем российских спецслужб). Но не нужно считать, что иностранным спецслужбам вообще ни как не удастся установить твою личность. Если совершенный тобой хак будет достаточно серьезным, то не исключено, что спецслужбам обоих сторон удастся договориться. Если нет, то тебя будут вычислять по косвенным признакам. Например, если после совершенного взлома, ты, пользуясь одной и той же цепочкой прокси, заказываешь себе домой на amazon.com какой-нибудь стафф, то, в случае, если дело ведут американские спецслужбы, им не составит ни какого труда «надавить» на админов магазина, с требованием выдать твой адрес (в свете 11 сентября это вообще не проблема, достаточно объявить тебя террористом). Короче, пока в Интернете есть хоть немного личной информации о тебе, ее могут раскопать, способов для этого много и спецслужбы ими должны хорошо владеть (не забывай, что вполне реально хакнуть и самого провайдера). Не удивляйся тогда, если в аэропорту какого-нибудь Дублина к тебе подойдут люди в черном, наденут наручники и зачитают (или запинают) твои права.
Есть еще одна опасность, о которой почему-то многие Х забывают — речь идет о СОРМ (см. рис 3).
Рис.3. Государство следит за твоими проделками в сети
Что такое СОРМ?
СОРМ расшифровывается как «система оперативно-розыскных мероприятий», подразделяется на две системы: СОРМ-1 и СОРМ-2. Первая предназначена для контроля телефонной связи, вторая анализирует Интернет-трафик. В соответствии с документами, Интернет-провайдер на свои деньги был обязан установить оборудование, программы и выделенную линию для местного отделения ФСБ, а также провести обучение сотрудников. Все это позволяет последним отслеживать, перехватывать и прерывать связь любого клиента этого провайдера. На данный момент практически все российские провайдеры провели данные работы. Принцип функционирования СОРМ-2 похож на принцип работы Эшелона, т. е. подобным образом происходит обработка и накопление информации по ключевым словам. Системы подобные СОРМ существуют во многих других странах, например, в США — это Carnivore. Более подробную информацию об оборудовании и принципах работы СОРМ, можно посмотреть, например, здесь[emoji]: http:[/emoji]//www.loniis.ru:8101/RUS/produc...s/sorm2001.zip.
Если ты уже скомпрометирован, то не составит особого труда настроить эту систему на постоянное слежение за тобой. Здесь хочу отметить: меня просто умиляют люди, которые пересылают в открытом виде или в простых архивах — троянов, вирей, червей и прочий вредоносный стафф. Сейчас многие провайдеры (про бесплатные почтовые службы я вообще молчу) устанавливают антивирусы, поэтому без всяких СОРМ тебя можно повязать, статьи 272, 273 могут обеспечить зажигательный отдых в местах не столь отдаленных до 3 лет + штраф.
Вывод пятый: профессионалам, которые ни когда не хакали из одного и того же места, в обязательном порядке использовали АнтиАОН и пересылали любую компрометирующую информацию в зашифрованном виде, удавалось на неопределенное время оттягивать свое пребывание на свободе.
Засланцы
Есть еще один род опасности, о котором многие, в частности, молодые дефейсеры, даже не задумываются — это засланцы от федералов. Представь, ты общаешься в чате, обсуждаешь предстоящие или совершенные взломы, радуешься жизни, а в это время один из участников, причем которого все считают за своего, бережно сохраняет логи и пересылает их на доклад вышестоящему начальству. Затем вы собираетесь в реале, бухаете, оттягиваетесь, а в это время неизвестный человек, который уже заранее знал о вашей встрече, делает снимки скрытой камерой и т. д. Я, думаю, ты понял, куда я клоню. Стать своим в российских т. н. «хакерских» тусах совсем не сложно, достаточно похвастаться парочкой дефейсов и тебе откроются самые приватные базары. В зарубежных сложнее, нужно сделать что-то существенное, чтобы на тебя обратили хоть немного внимания (но для спецслужб это не должно быть проблемой). Засланцы внедрены во многие преступные группировки, шпионы работают на секретных предприятиях иностранных государств, доносчики следят за высокопоставленными лицами... было бы странно, если бы спецслужбы не догадались внедрить своих людей и в хакерское сообщество. Возможно, многие, кто сейчас отдыхает на нарах, ломают голову: «В чем же была моя ошибка? Как меня смогли повязать?» и даже не думают, что тот прикольный чел в IRC, с которым они вместе рутили не один десяток машин является самым настоящим двуличным засланцем.
Вывод последний: профессионалы объединяются в команды и ведут приватные разговоры только с теми, в ком уверены на все 100% (обычно, гарантией является долгое личное знакомство в реал лайф).
Слово в заключении
Заметь, в статье не было никаких прямых рекомендаций, советов и пр., никто не читал тебе проповеди, не отговаривал от совершения черных дел и уж тем более не толкал на преступления. Статья рассчитана на думающих людей, надеюсь, ты относишься к их числу.
(c) forum.hackersoft.ru
"Параноик — это всего лишь человек, которому известны факты."
(с) Уильям С. Берроуз
Не проходит буквально ни одной недели, чтобы в Интернет-новостях не появилось сообщение об успешном задержании спецслужбами очередного компьютерного преступника. Причем, чаще всего речь идет не о бестолковых рассыльщиках троянов, а о достаточно грамотных и, если можно так сказать, профессиональных хакерах, наверняка, уделявших собственной безопасности не последнее место. Достаточно упомянуть Линн Хтуна из знаменитой группы «Fluffi Bunni» («Пушистый кролик») и членов интернациональной кракерской организация DrinkOrDie.
Казалось бы, времена Митника давно прошли и пора бы уже сделать определенные выводы, касающиеся собственной безопасности. Так в чем же дело? За счет каких механизмов спецслужбам удается столь эффективно отслеживать и «уничтожать» информационных «преступников»? В каких лабиринтах мировой паутины затаилась скрытая угроза? Чего следует опасаться хакеру? Об этом сегодня мы и поговорим. Я детально проанализировал возможные ошибки и пути отлова хакеров на сегодняшний момент, результаты моих «исследований» лежат пред тобой. Но не исключено, что в чем-то я могу сильно ошибаться, т. к. точное заключение может дать только эксперт, который непосредственно «крутится» в сфере государственной безопасности, но от них мы никогда ни чего не узнаем.
Неуязвимость — это иллюзия
Совершив не один десяток взломов и не попавшись в руки правосудия у многих молодых хакеров возникает иллюзия собственной супер секьюрной безопасности. На самом деле, это объясняется только тем, что ты еще пока не понадобился «нужным» людям. Спецслужбы не будут предпринимать ни каких действий, пока не заподозрят в твоих деяниях угрозу национальной безопасности или пока не увидят у себя на столе заявление от пострадавших (не исключено также, что ты уже «ходишь» под колпаком, просто не догадываешься об этом ). Обычно, хакеру играет на руку, что большинство отхаканных не обращается «куда следует», а предпочитают промолчать и забыть о взломе. Например, кому охота связываться с федералами из-за какого-то там дефейса, или какой прикол админу сообщать начальству, что на его серверах хакеры пооткрывали себе шеллы — ему же в первую очередь и влетит, поэтому он по-тихому залатает дыры и сделает вид, что ничего не было. Многие компании не хотят заводить дело, т. к. бояться, что информация о взломе станет доступна общественности, а это может принести дополнительные убытки из-за подпорченной репутации. Нельзя также исключать наличие организаций, которые вообще ни при каких обстоятельствах не будут связываться со спецслужбами, т. к. сами имеют определенные грешки. Но так бывает не всегда и даже такое, по сути, мелкое хулиганство как дефейс может стать причиной преследования спецслужб. Например, действия группы Fluffi Bunni привлекли внимание ФБР после терактов 11 сентября, когда на множестве сайтов появились лозунги «Fluffi Bunni Goes Jihad» ("пушистый кролик идёт на джихад"). Это было расценено как протест против американской глобальной кампании по борьбе с терроризмом, т. е. по сути членов группы уровняли с террористами (а это уже не шуточные сроки).
Таким образом, можно выделить особую категорию хакерских проделок, которые ПОЧТИ всегда становятся работой спецслужб — это воровство, вымогательство, шпионаж и «наезд» на государственные сервера. Людей в штатском может привлечь и просто высокая хакерская активность, например, огромный список дефейсов на «хакерском» сайте. Обычно, общение со спецслужбами, в этом случае, ограничивается без инициативным обыском в квартире хакера или разговор «по душам» с ярко светящей в глаза лампой (немало таких историй можно почитать на хакерских сайтах, например, здесь[emoji]: http:[/emoji]//hangup.pisem.net, статья "Скучный шмон" и пр.). Надо полагать, что цель таких мер связана с профилактикой, т. е. показать хакеру, что он находится под контролем и пресечь возможные будущие, более тяжкие преступления. Если это так, то нужно только снять защитный экран с монитора перед нашими родными спецслужбами за заботу о подрастающем поколении.
Вывод первый: профессионалы никогда не чувствуют себя в безопасности, паранойя — вечный спутник хакера.
Не существует "своих" и "чужих" спецслужб
Среди многих отечественных представителей андеграунда существует одно ошибочное убеждение, что если не трогать российские сервера, то за собственную безопасность можно вообще не бояться. Да, действительно, неурегулированные законы об экстрадиции хакеров из России, в большинстве случаев позволяют отечественным спецслужбам игнорировать просьбы о сотрудничестве своих зарубежных коллег и даже вступать с ними в конфронтацию. Широко известна история, когда следователь Игорь Ткач из Управления ФСБ чуть не возбудил уголовное дело против агента ФБР Майкла Шулера после ареста последними двух Челябинских хакеров Алексея Горшкова и Василия Иванова (с деталями дела можно ознакомиться в Интернете, в т. ч. и на нашем сайте). Но время не стоит на месте и однажды все может измениться, и тогда тебе напомнят все твои грешки, к тому же ты уже сейчас лишаешь себя возможности безбоязненного выезда за рубеж (не обязательно в США), т. к. тебя там уже могут ждать. Пример тому, недавняя история с 25-летним украинским хакером, который, был пойман в Бангкоке при содействии Таиландских и Американских спецслужб. Большинство хакеров xUSSR попадают в руки правосудия именно за пределами своей родины (примеров тому можно приводить много).
Вывод второй: профессионалы не проводят грань между российскими и зарубежными спецслужбами — спецслужбы всех стран одинаково опасны для хакера. Практика показывает, что иностранные спецслужбы представляют собой большую угрозу, т. к. уж очень сильно «там» не любят отечественных хакеров.
Схема хакерской атаки
Рассмотрим типичную схему хакерской атаки (взлом) в Интернете (см. рис. 1).
Рис.1. Схема хакерской атаки
Хакер выходит в сеть через обычного провайдера, затем через цепочку анонимных proxy к удаленному шеллу и уже с шелла проводит атаку. Шеллом обычно является захваченная (поrootанная) машина или скарженная на хостинге торгующего шеллами. В приведенном случае, задача шелла не анонимность, а обеспечение ресурсами, т. к. шелл обычно располагается на мощном сервере с приличным каналом. Конечно, эта не единственная схема: цепочку анонимных прокси может заменить цепочка из одних только шеллов или шелл, в схеме, вообще может отсутствовать, также прокси-сервера могут идти только от удаленного шелла до цели (это если хакер хочет сохранить шелл) и т. п. Непрофессионалы вообще ограничиваются единственным прокси. Кроме того, хакер может выходить в Интернет через локальную сеть (например, из Интернет-кафе). Но в данном контексте это все не существенно и приведенного рисунка достаточно чтобы рассмотреть большинство опасностей и слабых мест, которые могут подстерегать хакера в плане собственной безопасности.
Не все анонимные прокси одинаково анонимны
Начнем с середины — с proxy-серверов. Частенько можно услышать мнение, что если сидеть за цепочкой proxy, которые будут расположены в разных частях света, то это обеспечит практически 100% анонимность. При этом правда отмечается, что прокси имеют свойства вести логи и по логам, в принципе, можно восстановить всю цепочку. Уже одно это утверждение не дает 100% анонимности, т. к. если распутыванием займутся серьезные люди, то довести дело до конца у них есть все шансы, даже самых несговорчивых админов можно купить, запугать, хакнуть, наконец, сам proxy-сервер и выудить логи. Здесь главное время, т. к. логи имеют свойство удаляться, а прокси-сервера бесследно исчезать. Но это было бы пол беды, т. к. по неподтвержденным слухам большинство анонимных proxy принадлежат самим спецслужбам (!). Это логично, т. к. если кто-то хочет анонимности, значит, ему есть что скрывать, а если есть что скрывать, значит, это либо террорист, либо хакер (а для спецслужб некоторых стран это вообще одни и те же понятия). Отсюда должно быть понятно стремление федералов контролировать эти самые прокси-сервера. Да и как объяснить ТАКОЕ количество анонимных прокси в Интернете — ведь хоть убей не пойму, какая может быть выгода от этого их хозяевам. Если бесплатные почтовые службы или поисковые системы еще могут жить за счет рекламы, то кроме IP-адреса прокси-сервера, клиент совершенно ни чего не знает о последнем (если конечно proxy не анонимайзер). Кстати, этому есть и косвенные подтверждения, ни однократно были замечены случаи, когда анонимный прокси-сервер делал попытку подключиться к клиенту, например, на 139 порт (файервол это отлично фиксирует). Как ты думаешь, что может понадобиться АНОНИМНОМУ ПРОКСИ-СЕРВЕРУ на 139 порту?!
На сайте http://w4news.host.sk/safety.htm можно прочитать следующую фразу:
«Возможно, proxy контролируются спецслужбами, поэтому рекомендуем использовать только те, которые расположены за пределами России (СНГ) и стран НАТО». Однако этот совет не может быть хорошим. Ведь, что мешает создать разветвленную сеть «анонимных» proxy-серверов по всему миру, например, российским спецслужбам? Ничего. Причем прокси-сервера можно располагать прямо в посольствах (наверняка там тусят свои админы). А, учитывая, что постоянное подключение к Интернету имеют около 140 стран, то создать рассредоточенную сеть обойдется в совсем небольшие деньги даже для России, а про USA я вообще молчу. А если эти прокси-сервера еще к тому же будут иметь приличную скорость и все возможности, типа SOCKS5? Ведь не секрет, что большинство хакеров отбирают proxy по скорости. Возможно также, что сеть прокси-серверов совместно используется спецслужбами всех стран, что-то вроде Интерпола. Но сдается мне, что, все-таки, большинство «анонимных» прокси-серверов принадлежат одной великой супер-державе, догадайся какой? Поэтому, наверное, не стоит расслабляться, если прокси из твоей цепочки расположены в Нигерии, Японии, Финляндии и т. д., т. к. вполне может случиться так, что они будут принадлежать одной спецслужбе.
Смотри как удобно в этом плане федералам (рис. 2).
Рис.2. Средний прокси не принадлежит спецслужбам
Даже если в цепочку попадает сервер, не принадлежащий им, то это не проблема, т. к. достаточно выяснить с какого из своих серверов к нему могло осуществляться подключение. Конечно, если в цепочке окажутся идущие подряд два и более чужих прокси-сервера, то тут придется договариваться с их админами (как это может делаться, смотри выше). Кстати, возможно именно контролирование большинства прокси в Интернете позволяет спецслужбам делать в считанные дни официальные заявления, о том, из какой страны осуществлялась хакерская атака или откуда пошло распространение вируса и т. д., причем вплоть до таких экзотических стран как Филиппины. Возможно также, что подконтрольные прокси в странах НАТО входят в систему Эшелон.
Что такое Эшелон?
Эшелон — американская сеть глобального электронного шпионажа. Эшелон может перехватывать информацию, передаваемую практически по любым каналам связи (спутниковым, цифровым) в любой точке планеты. Источниками информации служат Интернет, электронная почта, телефон, факс, телекс. Эшелон — включает в себя более ста спутников-шпионов, большое количество суперсовременных и мощных компьютеров, множество наземных станций, расположенных по всему миру, на которых работают десятки тысяч сотрудников — программисты, криптологи, математики, лингвисты... Принцип работы системы Эшелон приблизительно следующий: каналы связи постоянно сканируются сверхмощными компьютерами, если проходящее сообщение содержит ключевое слово, выражение или тембр голоса (например, голос Бин Ладена), которое входит в так называемый словарь Эшелона, то сообщение записывается. Словарь Эшелона содержит огромное количество ключевых «слов» на многих языках мира и постоянно обновляется.
Вывод третий: профессионалы не доверяют прокси.
Шеллы и горшочки меда
Именно из-за недоверия к анонимным прокси некоторые «продвинутые» хакеры предпочитают заменять их цепочкой шеллов. Однако и шеллы таят в себе немалые опасности. Если ты слышал о проекте Honeynet, то должен был уже давно понять, то, что я сейчас хочу сказать.
Что такое Honeynet?
Honeynet — сеть машин, специально предоставленная для взлома, для т. н. черных шляп, с целью анализа и изучения их техники. Сайт проекта: www.honeynet.org (на bugtraq.ru можно почитать некоторые переводы). Кроме того, с теми же целями используются и отдельные машины, которые называют honeypots (медовые горшочки).
Проекты Honeynet поддерживаются в основном энтузиастами, однако, было бы наивно полагать, что если это пришло в голову обычным специалистам по безопасности, то не могло придти в голову спецслужбам, которые получают деньги за изобретение подобных штучек. Вообще, подобная тактика с «подсадными утками» является коронным приемом федералов не только в сети. Главная трабла для хакера в том, что очень сложно отличить, является ли используемый им шелл медовым горшочком или полноценным шеллом. Так, в Honeynet предусмотрен даже случай захвата или отключения хакером отдельного сервера логов (syslog-сервера). Причем, не имеет значения, был ли захвачен шелл нестандартным способом или через поисковик по известной баге, напомню, что Honeynet строится на стандартных системах без всякого намека на снижение безопасности. Единственное, что может отличать настоящий шелл от медового горшка это ограничение на количество исходящих соединений (в Honeynet предлагается разрешение в 5-10 соединений), это делается с целью защиты от использования шелла для сканирования других систем, проведения DoS и т. д., хотя, в принципе, такие ограничения могут присутствовать и на обычной машине. Скарженному шеллу доверять не менее опасно, т. к., во-первых, неизвестно под чьим контролем находится хостинг, во-вторых, все действия могут логгироваться. Фейковые шеллы могут нести и косвенную опасность. Например, если в IRC у одного из участников установлен BNC на подобном шелле, то спецслужбам не составит особого труда читать все сообщения в чате, а значит, все участники канала попадают под удар (об этом, кстати, забавно написано в одном из материалов Honeynet).
Вывод четвертый: профессионалы не доверяют шеллам.
Подконтрольные провайдеры
В большинстве случаев спецслужбам удается установить IP-адрес хакера, но это ничего не значит, т. к. главная цель — узнать ФИО «преступника» и возможно дом. адрес. Здесь все упирается в провайдера, т. к. только провайдер может сказать, кому принадлежит IP, а в случае с DialUP — с какого телефона осуществлялось подключение. Если хакер находится в России, то российским спецслужбам в этом плане значительно проще (практически все отечественные провайдеры находятся под контролем российских спецслужб). Но не нужно считать, что иностранным спецслужбам вообще ни как не удастся установить твою личность. Если совершенный тобой хак будет достаточно серьезным, то не исключено, что спецслужбам обоих сторон удастся договориться. Если нет, то тебя будут вычислять по косвенным признакам. Например, если после совершенного взлома, ты, пользуясь одной и той же цепочкой прокси, заказываешь себе домой на amazon.com какой-нибудь стафф, то, в случае, если дело ведут американские спецслужбы, им не составит ни какого труда «надавить» на админов магазина, с требованием выдать твой адрес (в свете 11 сентября это вообще не проблема, достаточно объявить тебя террористом). Короче, пока в Интернете есть хоть немного личной информации о тебе, ее могут раскопать, способов для этого много и спецслужбы ими должны хорошо владеть (не забывай, что вполне реально хакнуть и самого провайдера). Не удивляйся тогда, если в аэропорту какого-нибудь Дублина к тебе подойдут люди в черном, наденут наручники и зачитают (или запинают) твои права.
Есть еще одна опасность, о которой почему-то многие Х забывают — речь идет о СОРМ (см. рис 3).
Рис.3. Государство следит за твоими проделками в сети
Что такое СОРМ?
СОРМ расшифровывается как «система оперативно-розыскных мероприятий», подразделяется на две системы: СОРМ-1 и СОРМ-2. Первая предназначена для контроля телефонной связи, вторая анализирует Интернет-трафик. В соответствии с документами, Интернет-провайдер на свои деньги был обязан установить оборудование, программы и выделенную линию для местного отделения ФСБ, а также провести обучение сотрудников. Все это позволяет последним отслеживать, перехватывать и прерывать связь любого клиента этого провайдера. На данный момент практически все российские провайдеры провели данные работы. Принцип функционирования СОРМ-2 похож на принцип работы Эшелона, т. е. подобным образом происходит обработка и накопление информации по ключевым словам. Системы подобные СОРМ существуют во многих других странах, например, в США — это Carnivore. Более подробную информацию об оборудовании и принципах работы СОРМ, можно посмотреть, например, здесь[emoji]: http:[/emoji]//www.loniis.ru:8101/RUS/produc...s/sorm2001.zip.
Если ты уже скомпрометирован, то не составит особого труда настроить эту систему на постоянное слежение за тобой. Здесь хочу отметить: меня просто умиляют люди, которые пересылают в открытом виде или в простых архивах — троянов, вирей, червей и прочий вредоносный стафф. Сейчас многие провайдеры (про бесплатные почтовые службы я вообще молчу) устанавливают антивирусы, поэтому без всяких СОРМ тебя можно повязать, статьи 272, 273 могут обеспечить зажигательный отдых в местах не столь отдаленных до 3 лет + штраф.
Вывод пятый: профессионалам, которые ни когда не хакали из одного и того же места, в обязательном порядке использовали АнтиАОН и пересылали любую компрометирующую информацию в зашифрованном виде, удавалось на неопределенное время оттягивать свое пребывание на свободе.
Засланцы
Есть еще один род опасности, о котором многие, в частности, молодые дефейсеры, даже не задумываются — это засланцы от федералов. Представь, ты общаешься в чате, обсуждаешь предстоящие или совершенные взломы, радуешься жизни, а в это время один из участников, причем которого все считают за своего, бережно сохраняет логи и пересылает их на доклад вышестоящему начальству. Затем вы собираетесь в реале, бухаете, оттягиваетесь, а в это время неизвестный человек, который уже заранее знал о вашей встрече, делает снимки скрытой камерой и т. д. Я, думаю, ты понял, куда я клоню. Стать своим в российских т. н. «хакерских» тусах совсем не сложно, достаточно похвастаться парочкой дефейсов и тебе откроются самые приватные базары. В зарубежных сложнее, нужно сделать что-то существенное, чтобы на тебя обратили хоть немного внимания (но для спецслужб это не должно быть проблемой). Засланцы внедрены во многие преступные группировки, шпионы работают на секретных предприятиях иностранных государств, доносчики следят за высокопоставленными лицами... было бы странно, если бы спецслужбы не догадались внедрить своих людей и в хакерское сообщество. Возможно, многие, кто сейчас отдыхает на нарах, ломают голову: «В чем же была моя ошибка? Как меня смогли повязать?» и даже не думают, что тот прикольный чел в IRC, с которым они вместе рутили не один десяток машин является самым настоящим двуличным засланцем.
Вывод последний: профессионалы объединяются в команды и ведут приватные разговоры только с теми, в ком уверены на все 100% (обычно, гарантией является долгое личное знакомство в реал лайф).
Слово в заключении
Заметь, в статье не было никаких прямых рекомендаций, советов и пр., никто не читал тебе проповеди, не отговаривал от совершения черных дел и уж тем более не толкал на преступления. Статья рассчитана на думающих людей, надеюсь, ты относишься к их числу.
(c) forum.hackersoft.ru
Добавлено: 2012-10-19 9:10
Не понимаю для кого эти партянки капируете Мисс?(Биби)
Только с неповторимым мужчиной — хочется повторить..
Добавлено: 2012-10-19 9:10
Элли, Вам бы книжки писать, или информационный портал открыть! А нельзя тут на форуме суть выразить покороче как-то? А то посты уж сильно на выдержки из диссертации смахивают. Хотя спасибо, конечно, за информацию...
Добавлено: 2012-10-19 9:10 ( Ред. 2012-10-19 9:10 )
да дафига ума не надо всю Википедию сюда перетащил за каким то-к хреном не пойму
Только с неповторимым мужчиной — хочется повторить..
Добавлено: 2012-10-19 10:10
АвторОля Изюменка ОленькаНе понимаю для кого эти партянки капируете Мисс?(Биби)
Добавлено: 2012-10-19 10:10
АвторOliaTransiЭлли, Вам бы книжки писать, или информационный портал открыть! А нельзя тут на форуме суть выразить покороче как-то? А то посты уж сильно на выдержки из диссертации смахивают. Хотя спасибо, конечно, за информацию...
Добавлено: 2012-10-19 10:10
АвторЭлли.Кому надо, тот поймет
Сачком под ГЭС-ом что ли ловят
Только с неповторимым мужчиной — хочется повторить..
- В начало форума
- Разговор по душам
- Как найти поймать клеветника?