- Регистрация
- 12.01.21
- Сообщения
- 28
- Реакции
- 17
- Репутация
- 0
Деанонимизация пользователей VPN и прокси через куки.
Cookies – это файлы, которые сайт сохраняет на компьютере посетителя для узнавания пользователя, сбора статистики, сохранения персональных настроек и некоторых других задач. Мы будем подробно рассказывать о cookies и способах их удаления в рамках нашего курса, сейчас просто запомните, что есть сессионные cookies, которые удаляются вместе с закрытием браузера, и постоянные, которые сохраняются даже после закрытия браузера. Исключение составляют приватные режимы браузеров, в которых все cookies принудительно становятся сессионными. Cookies вместе с историей браузера используются криминалистами при проведении криминалистического анализа компьютера, и бывают ситуации, когда пользователь, очистив историю, забывает удалить cookies, что приводит к восстановлению данных о его активности. Именно поэтому программа для противодействия криминалистическому анализу и несанкционированному физическому доступу к устройствам Panic Button, помимо очистки истории, удаляет еще cookies. К слову, Panic Button удаляет также сохраненные вкладки, список избранных сайтов, кэш браузера, сохраненные пароли, но это уже другая история. Вы должны запомнить, что, если вы зайдете на сайт, например социальной сети, без авторизации, но ранее с этого же браузера вы авторизовались на нем, сайт сможет вас узнать по cookies. Если вы используете два аккаунта и при смене аккаунтов закрываете браузер и меняете IP-адрес, сайт сможет вас узнать при помощи cookies. Как же cookies приводят к деанонимизации пользователей VPN и proxy? Эта тактика использовалась правоохранительными органами одной европейской страны для ловли хакеров. Хакеры обычно используют для общения и торговли многочисленные форумы, крупнейший из которых Hack Forums. В отличие от наркоторговцев и торговцев оружием, хакеры неохотно переходят в Deep Web, продолжая по старинке использовать форумы открытого Интернета. У форумов есть администраторы – те, кто обслуживают форум и поддерживают его работоспособность, за ними и охотились правоохранительные органы. После ареста администратору форума делалось предложение о тайном сотрудничестве в обмен на свободу, и, конечно, большинство арестованных выбирало свободу. После этого форум перенастраивался таким образом, чтобы проверять cookies у всех неавторизованных пользователей, записывать информацию об имеющихся у них на форуме аккаунтах и их текущие IP-адреса. Как это приводило к деанонимизации? Когда хакеры заходили на форум под своим аккаунтом, они использовали VPN или proxy, беспокоясь о своей анонимности, но когда они просто читали форум, то часто пренебрегали анонимностью, полагая, что в данный момент они никак не связаны со своим аккаунтом. Так их и ловили, и, согласно данным, имеющимся у меня, за два месяца таким образом смогли установить подлинные IP-адреса 20% хакеров подконтрольного правоохранительным органам форума. При этом обнаружить подобную слежку практически невозможно, так как сохранение и запрос cookies – это обычный процесс. Думаю, вывод очевиден: всегда используйте VPN или proxy, даже если вы не авторизуетесь в данный момент на сайте. При использовании нескольких аккаунтов, помимо смены IP-адреса, не забывайте чистить cookies или используйте разные браузеры. Сайт, к счастью, не имеет возможности выяснить, какие cookies сохранены у вас в другом браузере.
Деанонимизация пользователей ТОР через файлы-приманки.
Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. Особенности данной атаки – простота и эффективность против пользователей Tor браузеров. Создавать документы, способные деанонимизировать открывшего их, мы будем в рамках нашего курса, для этого не требуются особые навыки. Как создать ссылку для получения IP-адреса собеседника, мы говорили в этой главе. Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает. Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете». К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере. Уязвимости встречаются нечасто, но исключать их не стоит. Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия. PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть. Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем. Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса. Остается направить запрос и получить подлинные данные – это не самая сложная задача. Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec. Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал. Защититься от данного метода деанонимизации можно, открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.
Cookies – это файлы, которые сайт сохраняет на компьютере посетителя для узнавания пользователя, сбора статистики, сохранения персональных настроек и некоторых других задач. Мы будем подробно рассказывать о cookies и способах их удаления в рамках нашего курса, сейчас просто запомните, что есть сессионные cookies, которые удаляются вместе с закрытием браузера, и постоянные, которые сохраняются даже после закрытия браузера. Исключение составляют приватные режимы браузеров, в которых все cookies принудительно становятся сессионными. Cookies вместе с историей браузера используются криминалистами при проведении криминалистического анализа компьютера, и бывают ситуации, когда пользователь, очистив историю, забывает удалить cookies, что приводит к восстановлению данных о его активности. Именно поэтому программа для противодействия криминалистическому анализу и несанкционированному физическому доступу к устройствам Panic Button, помимо очистки истории, удаляет еще cookies. К слову, Panic Button удаляет также сохраненные вкладки, список избранных сайтов, кэш браузера, сохраненные пароли, но это уже другая история. Вы должны запомнить, что, если вы зайдете на сайт, например социальной сети, без авторизации, но ранее с этого же браузера вы авторизовались на нем, сайт сможет вас узнать по cookies. Если вы используете два аккаунта и при смене аккаунтов закрываете браузер и меняете IP-адрес, сайт сможет вас узнать при помощи cookies. Как же cookies приводят к деанонимизации пользователей VPN и proxy? Эта тактика использовалась правоохранительными органами одной европейской страны для ловли хакеров. Хакеры обычно используют для общения и торговли многочисленные форумы, крупнейший из которых Hack Forums. В отличие от наркоторговцев и торговцев оружием, хакеры неохотно переходят в Deep Web, продолжая по старинке использовать форумы открытого Интернета. У форумов есть администраторы – те, кто обслуживают форум и поддерживают его работоспособность, за ними и охотились правоохранительные органы. После ареста администратору форума делалось предложение о тайном сотрудничестве в обмен на свободу, и, конечно, большинство арестованных выбирало свободу. После этого форум перенастраивался таким образом, чтобы проверять cookies у всех неавторизованных пользователей, записывать информацию об имеющихся у них на форуме аккаунтах и их текущие IP-адреса. Как это приводило к деанонимизации? Когда хакеры заходили на форум под своим аккаунтом, они использовали VPN или proxy, беспокоясь о своей анонимности, но когда они просто читали форум, то часто пренебрегали анонимностью, полагая, что в данный момент они никак не связаны со своим аккаунтом. Так их и ловили, и, согласно данным, имеющимся у меня, за два месяца таким образом смогли установить подлинные IP-адреса 20% хакеров подконтрольного правоохранительным органам форума. При этом обнаружить подобную слежку практически невозможно, так как сохранение и запрос cookies – это обычный процесс. Думаю, вывод очевиден: всегда используйте VPN или proxy, даже если вы не авторизуетесь в данный момент на сайте. При использовании нескольких аккаунтов, помимо смены IP-адреса, не забывайте чистить cookies или используйте разные браузеры. Сайт, к счастью, не имеет возможности выяснить, какие cookies сохранены у вас в другом браузере.
Деанонимизация пользователей ТОР через файлы-приманки.
Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. Особенности данной атаки – простота и эффективность против пользователей Tor браузеров. Создавать документы, способные деанонимизировать открывшего их, мы будем в рамках нашего курса, для этого не требуются особые навыки. Как создать ссылку для получения IP-адреса собеседника, мы говорили в этой главе. Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает. Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете». К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере. Уязвимости встречаются нечасто, но исключать их не стоит. Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия. PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть. Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем. Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса. Остается направить запрос и получить подлинные данные – это не самая сложная задача. Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec. Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал. Защититься от данного метода деанонимизации можно, открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.