PDA

Просмотр полной версии : Статья "Безопасность - это миф?"


webbiz
19.10.2016, 22:35
Безопасность — это миф?

В этой статье я бы хотел порассуждать на условно простом языке о безопасности и о том, что только системный подход в этом вопросе может дать уверенность в том, что вас не поймают за ваши темные делишки. Системная безопасность — это не только изменение IP и правильный прием/отмыв денег. Это мониторинг новостей в этой сфере (чтение криминальных новостей с некоторыми деталями по поимке). Это постоянный контроль своих личных действий. Это понимание логики противоположной стороны - ставьте себя на место тех, кто будет вас искать и предпринимайте определенные противодействия заранее. И поймите — спецслужбы на сегодня не ограничены в своих возможностях (разве что только мозгами) и давно не гнушаются использовать неправомерные методы в процессе поиска и поимки.

Очень распространено мнение, что для сетевой безопасности достаточно использовать TOR. Что такое Тор, для тех кто не знает — это открытый софт, обеспечивающий анонимное сетевое соединение через цепочку прокси серверов. Подробнее здесь: https://ru.wikipedia.org/wiki/Tor

Считается, что юзеры Tор могут сохранять полную анонимность в Интернете. Но на самом деле Tор обеспечивает только доступ к закрытым ресурсам, к которым напрямую вы попасть со своего провайдера не можете из-за цензурной блокировки. Какой-то уровень анонимности конечно сохраняется и Tор дает больший уровень защиты, чем простой анонимизатор или браузерное дополнение-анонимизатор, но скорее только для тех, чьи персоны не интересуют спецслужбы. У вас, при использовании Тора, должно быть четкое понимание того, что одним только Тором вы не прикроетесь. Это «фиговый листок», который можно сдернуть при целенаправленной охоте за вами. Один из узлов цепочки Тор может быть подконтрольным спецслужбам - ходят слухи, что 60%+ выходных узлов Тор принадлежат спецслужбам США. Остальная часть видимо принадлежит спецслужбам других стран. :) Также сайт, на который вы будете выходить через Тор, может оказаться враждебным, содержащим в своем коде эксплоит к браузеру. Эксплоит — это программа, использующая уязвимости браузера для проведения атаки и деанонимизации юзера. Прошедшим летом проскочила новость, что ФБР засекретило специально разработанный и использованный эксплоит для браузера Тор, с помощью которого в 2015 году получило контроль над сайтом с детской порнографией и деанонимизировало посетителей этого сайта с последующим их арестом. И лично меня конечно это радует. Педофилия, продажа наркотиков, терроризм — это реальное зло, которое должно искореняться и те, кто занимается этой чернухой, должны понимать, что они точно не защищены, для них не существует 100% безопасности и к ним рано или поздно постучатся в дверь, а точнее ее выломают.

Но вернемся к «нашим баранам». Есть много других видов теневой деятельности, которые требуют безопасности и я точно знаю, что ее можно соблюсти, но для этого нужно быть постоянно сосредоточенным на этом вопросе. Продолжу «опускать» Тор. :)

Кто может лучше знать Тор, как не сами разработчики? Неоценимую помощь в раскрытии личностей юзеров анонимной сети оказывал бывший сотрудник Tor Project Мэтт Эдман. Именно он является разработчиком мощного софта, который использовался спецслужбами в расследованиях громких дел — это и поимка педофилов и расследование дел о торговле наркотиками через площадку Silk Road. На сегодня ФБР уже взяло на вооружение более современные технологии.

Я скажу больше. Любой специализированный софт, который специально сделан для анонимизации юзеров (и сделан не лично вами) — по умолчанию можно записывать в высокорисковое ПО. Почему? Потому что на месте спецслужб я бы и сделал такой «подставной» софт или сервис-ловушку для того, чтобы потом максимально упростить свою работу. Задумайтесь об этом. Если вы юзаете какой-нибудь специальный «анонимный» браузер, используете сервис VPN, то существует вероятность того, что все ваши действия уже логируются и собираются в поисковые базы «до поры до времени». Похоже на паранойю, скажете вы? Но как говорится — если у вас паранойя, то это не значит, что за вами никто не следит. ;)

Что же делать? Попытайтесь не выделяться из толпы. Если вы используете VPN (а в сетевой безопасности это одна из главных необходимостей), то используйте платные крупные сервисы (из тех, кто заявляет, что не ведет логи, хоть это и не проверить), чтобы быть в «толпе», при этом не платите за год вперед, а постоянно заводите новый аккаунт как минимум раз в месяц, а лучше меняйте сервисы. Если вы будете юзать какой-нибудь полуприватный VPN сервис, активно рекламирующийся только на кардерских и хакерских бордах — вы увеличите риск попасть в специально расставленные «силки». Изучайте отзывы в сети и если название сервиса фигурирует в криминальной новости, как выдавшего логи — держитесь от такого сервиса подальше. Приведу один пример — HideMyAss — популярный британский VPN сервис, который выдал ФБР своего пользователя, взломавшего один сайт и новость об этом попала в сеть. Читайте правила/соглашения сервисов. Часто они даже не скрывают, что ведут логи или что по требованию правоохранительных органов могут выдать о вас информацию.

Если вам кто-то советует поднять свой собственный VPN сервер, чтобы кроме вас его больше никто не юзал, то это имеет смысл только в том случае, если сервер находится в абузоустойчивой зоне. Если нет — хостинг-провайдер выдаст всю инфу по запросу спецслужб. Даже если вы сами не будете вести логи на вашем сервере, логи у провайдера все равно будут содержать ваш IP, с которого вы коннектились к своему VPN серверу, а также логи, содержащие инфу начиная от вашего захода на сервис и оплату за него. Это и ваши IP/время и карта/кошель. Раскручивая дальше этот клубок — ниточки в конечном итоге могут привести к вам. Поэтому начинайте думать о безопасности НЕ непосредственно перед работой по какой-либо схеме, а с самого начала, еще с замысла и стартуйте только с «чистого листа». Постарайтесь сделать так, чтобы логические нити, которые умные следователи (представьте себе, такие тоже есть) будут раскручивать во все стороны, привели их в тупик.

Многие не думают об этом, но нужно очищать не только «грязные» деньги, но даже «чистые», личные деньги, чтобы «очистить» их от связи с вами к тому моменту, когда вы ими будете оплачивать тот или иной сервис, использующийся в вашей теневой схеме работы. Вы можете подумать — да это же просто, оплачу на обменник через терминал. И при этом забудете о том, что терминалы «вооружены» видеокамерами. И не подумаете о возможности того, что раскручивая обратные цепочки, можно выйти на владельца обменника, выяснив в каких банках и на каких счетах у него лежат деньги, заблокировать их с целью давления на владельца обменника и выжимания из него инфы по определенной транзакции. А на некоторых и не придется так сложно давить, только пуганут, как обменник выдаст логи, в которых будет и IP/время и откуда была сделана оплата. Далее найти терминал оплаты и выяснить, кто именно оплачивал, точнее получить лицо на виде — дело времени. Так что повторюсь — не забывайте мыть и «чистые» деньги и используйте для этого криптовалюту, к примеру тот же биткоин. Подход к мытью личных денег должен быть такой же, как при очистке «грязи».

Почему нужно начинать какую-либо теневую тему с «чистого листа»? Это можно уяснить, изучив разные публичные истории, связанные с громкими арестами. Например, история с теневым онлайн магазином в сети Tor - Silk Roads. В паблик попал отчет агента ФБР, который раскрыл часть процесса выяснения личности владельца этого шопа. Один из этапов расследования заключался в том, чтобы найти наиболее раннее упоминание о сайте Silk Roads. Обнаружилось самое первое упоминание на одном из сайтов любителей «магических грибов», содержащее следующую инфу:

«Я наткнулся на этот веб-сайт, который называется Silk Road. Это скрытый сервис Tor, он сообщает, что позволяет анонимно покупать и продавать онлайн что угодно. Я подумываю, не прикупить ли что-то там, но хотел бы знать, может здесь есть кто-то, кто слышал об этом и может дать какие-то рекомендации. Я нашел его на сайте «здесь адрес блога на Вордпресс», который, если у вас есть Tor-браузер, перенаправит вас на реальный сайт «здесь адрес шопа в Торе». Дайте знать что вы думаете…»

Это было единственное сообщение от одного юзера, что приводило к пониманию, что и единственной целью этого юзера являлось это реально тупое спам сообщение. Далее анализ привел на блог (с адресом шопа), ссылка на который присутствовала в этом сообщении. Согласно записям, полученным от Wordpress, аккаунт блога был зарегистрирован всего за 4 дня до появления этого спам сообщения. Аккаунт был заведен анонимно, судя по IP через Тор.

Следующим упоминанием об этом шопе было сообщение на форуме, посвященном биткоину, от юзера с ТЕМ ЖЕ никнеймом, что и на первом форуме «грибников». Он пишет:
«Отличная дискуссия! Парни, у вас дофига классных идей. Кто-нибудь уже видел Silk Road? Это типа как анонимный amazon.com. Вряд ли у них есть героин, но они продают кучу всего другого интересного. Они просто используют вместе bitcoin и tor для проведения анонимных сделок. Это здесь — «здесь адрес шопа в Торе». Если кто не знаком с Tor, те могут зайти на «здесь первый адрес блога на вордпрессе» за инструкциями как получить доступ к сайту .onion. Дайте знать, парни, что вы думаете об этом.»

Два похожих рекламных сообщения было размещено с разницей в два дня, юзером с одним и тем же ником. Само построение фраз также говорит о том, что объявление давалось одним человеком. Далее поиск агента привел к третьему сообщению все от того же юзера, на форуме посвященном биткоину, в котором он пишет, что ищет IT профи в Bitcoin сообществе для найма в один проект, связанный с биткоин. В сообщении заинтересованным лицам предлагалось отправлять свои предложения на (и тут, внимание, барабанная дробь) — личный ящик в GMAIL!.После изучения публичного профиля на Google+ нашли его фото, соответствующего фото в личном профиле на LinkedIn. Его профиль на Google+ содержал и другие ссылки на другие сайты, которые логически связывали его виртуальную личность с реальной. К тому же выяснили, что физически проживал он рядом с интернет-кафе, из которого было установлено соединение с сервером, используемым для администрирования Silk Road. От компании Google были получены IP, с которых тот заходил на свой почтовый ящик. В этих IP нашли регулярно используемый IP, который был зарегистрирован на адрес, как потом выяснилось, друга владельца Silk Road. То, что они друзья — выяснили по ролику, выложенному в Ютубе. И т.д. и т.п.

Все расследование сюда вываливать не буду, достаточно даже этой информации, чтобы понять — личное с теневым бизнесом пересекать НЕЛЬЗЯ! И запомнить раз и навсегда — интернет это такая хитрая штука, которая запишет все ваши действия в нем - как в камне выбьет. Любая ваша ошибка в интернете может обернуться против вас даже по прошествии многих лет.

Технологии растут и дают все больше возможностей для определения вас по фото (привет социальным сетям), видео (привет вебкамерам, видеокамерам в общественных местах, банкоматам и терминалам), голосу (привет автоматически записываемым разговорам с поддержкой в банках и мобильных операторах). Даже по тексту могут проводить лингвистический анализ и распознавать автора. Заметьте, это все, можно сказать, виртуальная информация, к реальной, типа почерка, отпечатков пальцев и ДНК я даже не перехожу. Стало страшно? ;) Подумайте хорошо, действительно ли вы занимаетесь своим делом (или только планируете заниматься), понимаете что делаете и для чего, или вы случайный человек в теневом бизе, которому лучше жить под солнцем, чем в тюрьме?

То, что я слегка зацепил — лишь малая часть того, на чем вас могут поймать. Продолжу «снимать покровы» и немного зацеплю финансовую сторону. :) Сейчас, когда говорят о финансовой безопасности, о мытье денег, то автоматически подразумевают использование биткоин. Бытует мнение, что это анонимная криптовалюта, обеспечивающая высокий уровень безопасности и анонимности. Отчасти это так, но только отчасти. С одной стороны транзакции анонимны, не привязаны к конкретным личностям (если забыть о том, что есть еще IP). С другой — в криптовалюте Биткоин (это является его особенностью) используется блокчейн — выстроенная по определенным правилам цепочка блоков транзакций. Блок транзакций — специальная структура для записи группы транзакций. База данных формируется как непрерывно растущая цепочка блоков с записями о всех транзакциях. Здесь я выделю слово ВСЕХ. Это круче, чем интернет. В базе сохраняются записи о ВСЕХ транзакциях, обо всем, что происходило ранее, какие были изменения, ни одной детали никогда не будет потеряно. Самое простое, что можно сделать, используя эту особенность, учитывая еще и «прозрачность» биткоина — увидеть след/движение денег. Достаточно знать номер кошелька, на который поступили биткоины, чтобы увидеть, куда они пошли дальше и что с ними потом происходило. Да, сами кошельки казалось бы анонимны, но можно установить связи между ними и затем, если деанонимизировать хотя бы одну из сторон (к примеру обменник) — можно, при большом желании и стечении обстоятельств, деанонимизировать и другую сторону. Не буду здесь углубляться в технические детали, чтобы не разжевывать инфу тем, кому не нужно об этом знать.

Что можно противопоставить этому? Использовать миксеры, цепочки разных кошельков и ЭПС и выводить с бирж, на которые сложно оказать давление с целью получения инфы о вас. Также не забывать про сетевую безопасность при любых операциях переводов биткоинов с одних кошелей на другие, менять IP, менять аккаунты, менять биржи, менять имейлы, менять все, что только можно поменять. Если вы будете ленивым, будете пользоваться одним акком на бирже, одним рабочим имейлом, то рано или поздно вы сделаете ошибку и следы от этой ошибки приведут к одному имейлу, который позволит связать разные операции и разные аккаунты, разные виртуальные личности, разные схемы работы - с одним человеком — с вами. Технический анализ собранной глобальной инфы может нарисовать картинку, которая упростит дальнейший поиск.

Пример контрмер, которые вы можете предпринимать. Используйте то знание, что следователи цепляются за малейшие зацепки. Упростите им работу - оставляйте эти зацепки специально! Заведите виртуальную личность, которая была бы похожа на реального. Пример - покупается аккаунт ВК реального юзера (ретрив, неактив). Если работаете в России - покупайте акк к примеру украинского юзера, обновите его. Сделайте там же почту. При использовании каких-то сервисов, где при регистрации нужно активировать через принятие смс - активируйте принимая смс на украинские номера (онлайн сервисы имеют такую возможность). Купите украинский дедик. При регистрации в сервисе, который попадет в дальнейшем под расследование, разок зайдите из под украинского дедика. С него же зайдите на остальные свои аккаунты - ВК, почта. Дальше работайте как обычно, с полной сетевой безопасностью, но периодически оставляйте ложные следы, ведущие в данном случае на Украину. В обменнике засветите украинский IP, регитесь на украинский имейл. Не используйте для этого прокси. Используйте только реальные дедики (к ним подключайтесь только под VPN другой страны). На форумах "болтаните лишнего" про ваше местоположение. Есть большая вероятность того, что если вы не "крупная птица" и увидят, что следы идут на Украину - могут забить на дальнейшее расследование из-за бесперспективности. Но даже если не забьют, в любом случае фейковые следы помогут увести следствие далеко от вашей реальной персоны.

Что-то далеко ушел, нужно заканчивать статейку, пока не растекся еще на 10 страниц :)

И все же, несмотря на то, что я озвучил выше, я считаю, что безопасность — это не миф. При системном подходе, анализе и контроле всех ваших действий и их цепочек, при изучении тематических статей, новостей, новых технологий, понимания логики в следственных и технологических процессах — можно выстроить собственную систему безопасной работы. При этом если постоянно менять свои схемы работы, шаблоны и алгоритмы, оставаться в тени, не жадничать, не переходить условные границы, т.*е. не беспредельничать, иметь принципы даже в занятиях теневым бизом — ваши шансы остаться на свободе вырастут в разы. Вас могут попросту не заметить, чего и нужно добиваться, это главный фактор безопасности!

Используйте в работе много виртуальных личностей и никогда не пересекайте их. Это как в дробном питании — ешьте часто, но понемногу, а общий вес еды за день все равно получится большой ;) При этом у вас не будет заворот кишок, как если бы вы решили съесть всю дневную еду одним махом :)


Теперь небольшая реклама (куда же без нее): для обычных теневиков у меня давно написан мануал, входящий в мой пак безопасных афер (http://fsell.is/showthread.php?t=22745), который позволяет понять и другие стороны безопасной и анонимной работы, которые не были озвучены в этой статье. Я считаю, что можно настроить 100% безопасную работу, при определенных условиях, о чем пишу в своем мануале. Также могу оказать расширенную консультационную поддержку по вашим собственным схемам работы — изучив их всесторонне и описав вам все узкие и опасные моменты, на которые обязательно стоит обратить внимание.

Всем спасибо за внимание и удачи! :)

(с) webbiz, написано для Fsell

Voroba
20.10.2016, 00:11
аж напугал)) а по теме - очень грамотно и интересно написано )

rtw2
20.10.2016, 00:39
чтобы быть в «толпе», при этом не платите за год вперед, а постоянно заводите новый аккаунт как минимум раз в месяц, а лучше меняйте сервисы.

реальный совет :good:

респект за статью. прочитал с удовольствием.

Solo88
20.10.2016, 00:50
Если возьмут конкретно за яйца админов, то никакая смена профилей тебе уже не поможет. Но! Это же будет нужно постараться так разозлить "охотников"! ;)

cancer
20.10.2016, 00:53
Интересно было почитать, спасибо - автору.
Полагаю, чтобы соблюдать все эти рекомендации, необходимо заниматься какой-то уж очень стремной деятельностью и на довольно высоком уровне.. - А, основная часть "теневого контингента", как я понял, - восьмиклашек в ВК разводят по-мелочи, да различных альфа-самцов на эро-сайтах (утрирую, конечно, - но суть такова).
А, интересует больше вот что; насколько охотно правоохранительные органы берутся работать по заявлениям потерпевших от интернет-мошенничества? Что говорит статистика, интересно?.. Т.е., например; юзер весь в анонимайзерах, дедиках, деньги делает, - но одно поступившее заявление - и ***да ему, или же все-таки известны прецеденты, когда заявление было, но никого не находили, или не искали вовсе (саму личность)?
И 2 вопрос; что Вы думаете о продукте "Psiphon" ? Вопрос не из разряда "надежен-не надежен" (с этим и так всё понятно), а о том, что - как по Вашему мнению; опасен/полезен, в чьей компетенции может быть этот анонимайзер и т.д.? (использую иногда ради удобства)
Спасибо.

rtw2
20.10.2016, 01:59
Если возьмут конкретно за яйца админов, то никакая смена профилей тебе уже не поможет. Но! Это же будет нужно постараться так разозлить "охотников"! ;)

с нетерпением жду твоей статьи, как разозлить "охотников".
не кто не говорит что применив полученные навыки, ты станешь неуязвимым, но время потраченое на твои поиски, можно потратить на то, чтоб свалить из страны...

webbiz
20.10.2016, 11:26
"насколько охотно правоохранительные органы берутся работать по заявлениям потерпевших от интернет-мошенничества? Что говорит статистика, интересно?"

cancer, у меня нет статистики, но зная некоторых "мозговитых" представителей, понимаю, что берут мягко говоря не охотно, т.к. уже и так завалены заявами и не знают, что с этим всем делать, тупо не хватает спецов с мозгами.

Конечно же те, кто по ВК и Авито стреляет по 500-1000 рублей - особо не будут интересовать. Только можно случайно попасть под раздачу, под очередную кампанию. Легко ловят обычно дураков, принимающих деньги на свои личные кошели/карты (и рассуждающие - а кому мы нужны). Нужно же периодически рапортовать наверх, что очередные мошенники по Авито задержаны, списав на них часть незакрытых дел, так что и мелочью не побрезгуют, если она сама лезет в руки.

Но если вы будете целенаправленно и долго работать по какой-то схеме, которая начнет вам приносить сотни тысяч, миллионы, особенно если пострадавшие будут юрики, которые не поленятся написать заявы на вас и их объединят в одно общее дело - за вами однозначно начнут охоту и если не будете менять шаблоны работы, схемы, алгоритмы - есть большой шанс, что вас поймают, рано или поздно. А можно всего один раз "наступить не на ту ногу". Это же дело случая. А в безопасности на случай полагаться не стоит.

"что Вы думаете о продукте "Psiphon""
Любой сторонний продукт (исполняемый файл), который вы грузите себе на комп или устанавливаете в виде приложения на смартфон - может содержать в себе закладки и бэкдоры. Конкретно по этому продукту - на мой взгляд хорошо видны "уши" спецслужб США. Если его использовать, то только для доступа к заблокированным ресурсам, но не для работы. Тем более, если ставите на смартфон подобные приложения - представьте, какую информацию вы о себе можете слить? Все, что есть на смартфоне, включая ваше местоположение, также есть возможность подключиться к вашему смартфону удаленно и подсматривать/послушивать в прямом эфире. Но все конечно зависит от вашего рода деятельности и можете ли вы в принципе заинтересовать спецслужбы :)

Йокарный Бабай
24.10.2016, 17:20
Коль пошла такая пьянка, поделитесь хорошими (не пишущими) ВПН сервисами, по демократичным ценам, желательно.:blush:
Спасибо заранее)

webbiz
24.10.2016, 17:52
Йокарный Бабай, никто, кроме как самого владельца сервиса, НЕ может знать с уверенностью на 100% - пишет сервис VPN логи или нет. Поэтому по умолчанию предполагайте, что пишут ВСЕ и цепляйтесь к ним с "левого" инета, только НЕ с домашнего/рабочего. "Левым" источником инета может быть 3G/4G модем с сим картой, конечно же оформленной НЕ на вас. В этот же модем никогда НЕ должны вставляться "правые" сим карты и НЕ нужно покупать модем в салоне связи или крупном сетевом шопе лично. Включайте паранойю и предполагайте, что по серийному номеру модема (IMEI можно узнать у оператора связи), при сильном желании можно найти шоп, в котором он продавался, а по чеку узнать точное время продажи и найти видеозапись с вашим лицом. Так что меняйте модемы с частотой не менее, чем раз в месяц (частота зависит от вашего рода деятельности).
VPN не подскажу - это личный выбор каждого. Смотрите обзоры, читайте правила сервисов и чего они сами про себя говорят, а также читайте отзывы в сети и есть-ли о них какие-то упоминания в криминальных новостях.

cancer
24.10.2016, 18:43
"Левым" источником инета может быть 3G/4G модем с сим картой, конечно же оформленной НЕ на вас. В этот же модем никогда НЕ должны вставляться "правые" сим карты и НЕ нужно покупать модем в салоне связи или крупном сетевом шопе лично. Включайте паранойю и предполагайте, что по серийному номеру модема (IMEI можно узнать у оператора связи), при сильном желании можно найти шоп, в котором он продавался, а по чеку узнать точное время

Надо полагать, - это касается и мобильных WI-FI роутеров.

webbiz
24.10.2016, 18:49
cancer, конечно.

webbiz
13.11.2016, 09:44
Добавлю к статье еще один момент, еще одну "ложку" паранойи, без которой в теневых делах никак не обойтись.
Когда заказываете материал для работы (карты, коши, симки, оборудование и т.п.) - не забывайте о некоторой вероятности попасть под контроль, потому что селлерами вполне могут быть менты. Так что не стесняйтесь использовать дропов для приема посылок, разовые симки и телефоны, оплачивайте деньгами напрямую с вами не связанными. Нанять разводных дропов можно на авитоподобных сайтах в разделе поиска работы. Нанимать лучше не молодежь, а тех, кому за 40+, лучше женщин (не приезжих с азии, а имеющих постоянную прописку). Нанимать не на одноразовую работу, а расписывать легенду так, чтобы дроп думал, что его нанимают на постоянную работу, это добавит ответственности. Встречаться с дропом для забора посылок нужно используя методы конспирации, хорошо продумывая место встречи, чтобы не попасть под камеры, продумывать план отхода, не брать с собой личные телефоны, только разовый для контакта с дропом.