Привет, господа, хакеры. Сегодня я хочу поговорить с вами о вашей безопасности, а точнее о тех, кто за вами охотится. Мы будем говорить о том, как работает всем известный Отдел «К».
Борьба с киберпреступностью в наши дни - уже далеко не миф, а суровая реальность. Уже давно прошли те времена, когда спецслужбы не знали с какого конца подступиться к сети. Да, конечно, они не дошли до того, чтобы полностью контролировать киберпреступность, поэтому число киберпреступлений, с каждым днем растет. Но все эти преступления мелочные, а все весомые преступления не остаются без наказанными. В нашей стране за кибер преступностью следит отдел "К".
Управление «К» - отдел МВД России, осуществляющий борьбу с компьютерными преступлениями и незаконным оборотом РЭС (радиоэлектронных средств) и СТС, является структурным подразделением службы криминальной милиции МВД, каждого субъекта Российской Федерации.
Управление «К», находясь в составе ГУВД субъекта РФ, выявляет, предупреждает, пресекает и раскрывает преступления в сфере информационных технологий, незаконного оборота РЭС, специальных технических средств СТС и детской (педофилии) порнографии.
Задачи управления «К»
В таких организациях сидят не какие-нибудь донные крабы, а в большей части белые хакеры. Белые хакеры (от англ. Black Hat) - это граждане, которые в юном возрасте совершили какой- нибудь компьютерный взлом в возрасте не старше 13 лет и попались в лапы отдела К. Они в свою очередь дело скрывают, не предавая огласке и осуществляют тотальный контроль за этим юным хакером, постепенно обучая его будущей работе. Также существуют спец-школы МВД по компьютерной безопасности, там обучают немного иным методом относительно гражданских учебных заведений по такой же специальности. Предметы совсем другие, все уроки максимально приближены к настоящей работе, то есть, тем чем занимается повседневно сотрудник отдела К. Вообще, вербовка в данное учреждение, дело тонкое и не каждый может попасть туда, хотя чуть-чуть не правильно выразился. Попасть туда может каждый, вот только в какое именно помещение, в небо с клеткой или теплый уютный офис с хорошим компьютером и кружкой горячего чая (кофе) на столе.
Хоть в данном учреждении работают такие хорошие специалисты (наглая ложь - чаще всего крабы!), это не означает, что они должны заниматься только мега сложными делами. По большей части им приходится выполнять очень грязную и непристойную работу для их профессиональной компетентности. Вот например, один из граждан РФ высказался негативно в сторону одного из представителей единоросов на каком-то форуме посвященный политологии. На следующий день, представители отдела К направили письмо администрации данного ресурса с просьбой удалить данное высказывание и вообще закрыть данную тему на форуме. В ответ отдел «К» получил отказ от администрации сайта и вдогонку ряд негативных эмоций по поводу данного письма. От отдела К в ответ посыпались ряд угроз в адрес администрации. В конце концов сообщение удалили и тему вместе с ним, но какими путями это было достигнуто, да и вообще - это работа рядовых оперов и это не касается компьютерных преступлений.
Ну, думаю, теперь стало понятно, что такое отдел К и чем он занимается. Теперь давайте поговорим о том, как они занимаются своей работой, какие стратегии и тактики.
МЕРОПРИЯТИЯ
Оперативные мероприятия - это довольно громоздкая тема, о ней можно написать кучу статей и все равно невозможно описать все, ведь они постоянно усовершенствуются и обновляются, так же как виды атак и взломов обновляются в хакерском мире. Для этого я решил описать какой-нибудь из стандартных методов оперативных мероприятий.
Ну, что же, давайте разберем, как говорится, фундамент (у любой системы есть фундамент, другими словами стандарт, которого должна придерживаться система), вот примерно так выглядет стандарт оперативно-розыскных мероприятий:
Итак, чтобы разобраться с каждым из этапов, нам нужно представить какую-нибудь реальную картину. Допустим, что ты, как обычно, путешествовал по интернету в поиске дырок и вдруг ломанули какой-то сайт, а оказалось, что это официальный сайт Администрации московской области. Вы сперва прокляли гугл из-за того, что он вывел вас на этот сайт, затем начали винить себя в том, что даже не прочитали описание сайта, а были увлечены больше описанием его ошибок
, а также прокляли себя за то, что слили базу данных с конфиденциальными данными. Потом моментально успокоились, когда вспомнили, о том ,что вы юзайте свежую анонимную проксю. Раслабившись, вы идете, ставите чай, достаете плюшки, чтобы сладко отметить победу и насладиться трофеями скаченными с сайта.
На следующий день, провонявшийся сигаретным дымом и перегаром от пива, поднимает свою голову от стола, системный администратор взломанного сайта и замечает, что логи не в порядке и выявляет присутствие несанкционированного доступа к конфиденциальным данным сайта. Он быстро заваривает себе крепкий кофе, выпивает таблетку анти-похмелина и следом анти-палицая, бежит с выпученными глазами с докладом о взломе своему начальнику.
И вот, именно с этого момента, начинается злостная охота за вами! А дальше все по инструкции - в местный отдел полиции подается заявление с полным описанием взлома и прикрепленными логами о проникновении и другой лабудой. Ну, естественно, что сотрудник, который принял заявления, не будет заниматься данным делом, так как не имеет соответствующих навыков, знаний. Дело передается в специальный отдел, о котором мы уже узнали — это Отдел «К».
Вот теперь начинается первый этап — это опрос граждан, которые могут помочь в расследовании и поиске преступника. В нашем случае будет опрошен админ сайта, узнают через какую дыру был произведен взлом, с какого ip-адреса был произведен взлом, а также поинтересуются кому был выгоден взлом, есть ли подозрения на кого-то, либо это гастролер типа тебя
.
Второй этап — это наведение справок о преступнике, точнее обработка полученных данных от первого этапа, грубо говоря, проверяют твой IP-Адрес, для того, чтобы узнать где, кто твой провайдер. Сделать это может и обычный гражданин с помощью протокола WHOIS.
WHOIS — это сетевой протокол прикладного уровня, базирующийся на протоколе TCP, висит на порту 43. Основное применение — получение регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем.
Итак, пробив IP-адрес полученный в логах взломанной машины, они видят в строке Country: USA - то есть машина с данным IP-адресом находится в США. А это один из двух вариантов, либо какой-то деверсант из ЦРУ решил ломануть сайт администрации московской области, либо это тсервер - обычный прокси сервер. Ну, первый вариант мало вероятен, но все же разрабатываются все версии, и они должны быть проверены. Сперва IP-адрес пробивают по базе данных паблик серверов. В случае если IP-адрес чистый,то есть вероятность, что сервер недавно похаканый и там установлен прокси. В этом случае можно обойтись прозвоном открытых портов. Да, конечно, proxy можно посадить и не на стандартный порт типа 3128 или 8080, 80. Но все равно сервисы будут показаны сканером да и есть куча других вариантов, как определить стоит ли прокси сервер или нет, поверьте мне на слово, для ребят из отдела «К» — это не вызовет никаких трудностей.
Узнав, что это прокси сервер, который вы нагло использовали для проникновения в систему,перед отделом «К» стоит вопрос, как вытащить информацию с того сервера о том, с какого IP-адреса заходили на данный сервер в определенное время. У них есть два пути, официальный запрос у своих коллег в США, и в случае получения ответа дело будет развиваться намного проще, и ответ будет прикреплен к делу. Либо второй вариант, не законный. В случае, если в официальном запросе отдел «К» получит отказ, а так оно и будет, так как между нашими странами нет такого соглашения, то для продвижения дела придется провести несанкционированный доступ в данный сервер, опять же сделать это ребятам из Отдела «К» не составит труда, именно для таких целей они там сидят. Но получив данные с сервера о вашем IP-адресе, это не удастя пришить к делу, зато вы уже беретесь в разработку и именно в этот момент нужно садиться на измену.
Итак, узнав ваш IP-адрес, он вновь пробивается через WHOIS и тут уже явно видно, что вы товарищ из России, который живет, например, в столице нашей Родины - г. Москва
. Пробивают, где ты работаешь, чем занимаешься, ну и ряд другой нужной информации. Далее, наведываются к провайдеру и на каком- нибудь вымышленном основании, типа машины ваших клиентов, рассылают спам или заражены вирусами, требуют предоставить логи по вашей персоне. И теперь, есть документы того, что в ходе каких-то иных оперативных мероприятий было выявлено, что ваш IP-адрес с такого-то по такое то время обращался к IP-адресу, с которого был произведен взлом сайта, а вот — это можно свободно прикреплять к делу и это послужит против вас в суде
.
В ход вступает третий этап — теперь производится тщательное наблюдение за вашей личностью, следят за тем, какие сайты посещаете, куда, что отправляете и т.д. Могут выставить даже наружку.
В ходе данных мероприятий ваша личность окончательно закрепит себя в не очень удачную сторону, так как вряд ли вы прекратите ходить по запрещенным сайтам, типа undeground, ломать сайты и машины.
И вот он четвертый этап — это оперативный осмотр, проще говоря, на основании всех данных полученных в ходе проведения розыскных мероприятий, вы стали главным подозреваемым, и теперь легко берется санкция на обыск вашей квартиры и изъятие вашего системника и всех носителей типа флешек, дисков и ряда другого компромата на вас. Так же могут взять все ваши записные книжки, распечатки, журналы и ряд других бумажных носителей, в которых может содержаться, что-то лакомое для следствия. Да и еще, они не побрезгают ковыряться в вашей мусорной корзине (не в виртуальной, а реальной.) все документы оттуда тоже изымаются при понятых.
Все твое барахло отвозится в здание отдела «К», где оттуда будут вытаскивать информацию, о том где ты был, что делал, какое ПО установлено у тебя на компьютере, не контрафактное ли оно (в случае чего еще одна статья тебе в догонку пойдет). (кул хацкеры не юзают незаконное ПО, запомните это
) Так вот, твой жесткий диск вытаскивают из системника и подключают к устройству, которое производит только чтение (это делается на тот случай, если вы решите обезопасить себя и поставили программу, которая может отформатировать жесткий диск).
Если даже вы отформатировали свой жесткий до изъятия, то опять же, для сотрудников отдела «К» не составит затруднения вытащить необходимую информацию для следствия. Даже такие программы как ChromeAnalysis (программа, которая показывает что, где, когда, куда заходил владелец данного компьютера через браузер GoogleChrome), FoxAnalysis(показывает то же самое что и програма ChromeAnalysis только про браузер Firefox), Web Historian (универсальная программа для анализа временных файлов браузера) — данные программы покажут все ваши путешествия по миру интернета, а так же, помогут создать правильный отчет, будут показаны все ваши нахождения в защищеной части сайта Администрации Московской области
.
Итак, теперь вы видите, что для сотрудников Отдела «К» не составит особого труда вытащить информацию из вашего жесткого диска, которая подтверждает факт взлома.
Пятый и шестой этапы - это для того, чтобы у вас на суде не было вообще никаких вариантов отмазаться. Данный вариант срабатывает на 70%, так как вы начинаете звонить знакомым, например, другу-хакеру Васе Пупкину и начинаете рассказывать: «Помнишь я тебе рассказывал, что сайт ломанул? Так вот сегодня приходили, все изъяли и т.д. и т.п.» (никогда так не делайте) Запись телефонного разговора также прикрепляется к делу, и тут вы уже сами говорите о факте взлома.
Седьмой этап — данный этап приводится в действие, если не удалось собрать доказательную базу в предыдущих этапах. Внедряется человек в ваш круг общения, вы выкладываете всю нужную ему инфу и на момент какого-нибудь взлома вас аккуратненько пакуют, и уже все начинается с четвертого этапа
.
Начиная с четвертого этапа, когда к вам в дом придут с обыском, вам не замедлительно нужно пойти на рынок и купить компакт диск с песней «Доля воровская» это вам очень пригодится в дальнейшем
. Ну, нужно же как-то себя поддержать, правильно?
Как защититься? - для этого есть два варианта. Первый - радикальный — это не заниматься хакингом ВООБЩЕ. Второй, купить себе специальную финтиклюшку, которая вешается над жестким, и в случае чего, при нажатии соответствующей кнопочки на системнике, ваш жесткий диск сгорает и его уже никто не восстановит, а всякие удары молотком и т.д., это не решение, это все опять же восстанавливается в спец лабораториях. (лучше посмотрите на химические вещества, за взрывчатку могут пришить терроризм, а это совсем другая история)
Борьба с киберпреступностью в наши дни - уже далеко не миф, а суровая реальность. Уже давно прошли те времена, когда спецслужбы не знали с какого конца подступиться к сети. Да, конечно, они не дошли до того, чтобы полностью контролировать киберпреступность, поэтому число киберпреступлений, с каждым днем растет. Но все эти преступления мелочные, а все весомые преступления не остаются без наказанными. В нашей стране за кибер преступностью следит отдел "К".
Управление «К» - отдел МВД России, осуществляющий борьбу с компьютерными преступлениями и незаконным оборотом РЭС (радиоэлектронных средств) и СТС, является структурным подразделением службы криминальной милиции МВД, каждого субъекта Российской Федерации.
Управление «К», находясь в составе ГУВД субъекта РФ, выявляет, предупреждает, пресекает и раскрывает преступления в сфере информационных технологий, незаконного оборота РЭС, специальных технических средств СТС и детской (педофилии) порнографии.
Задачи управления «К»
В таких организациях сидят не какие-нибудь донные крабы, а в большей части белые хакеры. Белые хакеры (от англ. Black Hat) - это граждане, которые в юном возрасте совершили какой- нибудь компьютерный взлом в возрасте не старше 13 лет и попались в лапы отдела К. Они в свою очередь дело скрывают, не предавая огласке и осуществляют тотальный контроль за этим юным хакером, постепенно обучая его будущей работе. Также существуют спец-школы МВД по компьютерной безопасности, там обучают немного иным методом относительно гражданских учебных заведений по такой же специальности. Предметы совсем другие, все уроки максимально приближены к настоящей работе, то есть, тем чем занимается повседневно сотрудник отдела К. Вообще, вербовка в данное учреждение, дело тонкое и не каждый может попасть туда, хотя чуть-чуть не правильно выразился. Попасть туда может каждый, вот только в какое именно помещение, в небо с клеткой или теплый уютный офис с хорошим компьютером и кружкой горячего чая (кофе) на столе.
Хоть в данном учреждении работают такие хорошие специалисты (наглая ложь - чаще всего крабы!), это не означает, что они должны заниматься только мега сложными делами. По большей части им приходится выполнять очень грязную и непристойную работу для их профессиональной компетентности. Вот например, один из граждан РФ высказался негативно в сторону одного из представителей единоросов на каком-то форуме посвященный политологии. На следующий день, представители отдела К направили письмо администрации данного ресурса с просьбой удалить данное высказывание и вообще закрыть данную тему на форуме. В ответ отдел «К» получил отказ от администрации сайта и вдогонку ряд негативных эмоций по поводу данного письма. От отдела К в ответ посыпались ряд угроз в адрес администрации. В конце концов сообщение удалили и тему вместе с ним, но какими путями это было достигнуто, да и вообще - это работа рядовых оперов и это не касается компьютерных преступлений.
Ну, думаю, теперь стало понятно, что такое отдел К и чем он занимается. Теперь давайте поговорим о том, как они занимаются своей работой, какие стратегии и тактики.
МЕРОПРИЯТИЯ
Оперативные мероприятия - это довольно громоздкая тема, о ней можно написать кучу статей и все равно невозможно описать все, ведь они постоянно усовершенствуются и обновляются, так же как виды атак и взломов обновляются в хакерском мире. Для этого я решил описать какой-нибудь из стандартных методов оперативных мероприятий.
Ну, что же, давайте разберем, как говорится, фундамент (у любой системы есть фундамент, другими словами стандарт, которого должна придерживаться система), вот примерно так выглядет стандарт оперативно-розыскных мероприятий:
Итак, чтобы разобраться с каждым из этапов, нам нужно представить какую-нибудь реальную картину. Допустим, что ты, как обычно, путешествовал по интернету в поиске дырок и вдруг ломанули какой-то сайт, а оказалось, что это официальный сайт Администрации московской области. Вы сперва прокляли гугл из-за того, что он вывел вас на этот сайт, затем начали винить себя в том, что даже не прочитали описание сайта, а были увлечены больше описанием его ошибок
, а также прокляли себя за то, что слили базу данных с конфиденциальными данными. Потом моментально успокоились, когда вспомнили, о том ,что вы юзайте свежую анонимную проксю. Раслабившись, вы идете, ставите чай, достаете плюшки, чтобы сладко отметить победу и насладиться трофеями скаченными с сайта.
На следующий день, провонявшийся сигаретным дымом и перегаром от пива, поднимает свою голову от стола, системный администратор взломанного сайта и замечает, что логи не в порядке и выявляет присутствие несанкционированного доступа к конфиденциальным данным сайта. Он быстро заваривает себе крепкий кофе, выпивает таблетку анти-похмелина и следом анти-палицая, бежит с выпученными глазами с докладом о взломе своему начальнику.
И вот, именно с этого момента, начинается злостная охота за вами! А дальше все по инструкции - в местный отдел полиции подается заявление с полным описанием взлома и прикрепленными логами о проникновении и другой лабудой. Ну, естественно, что сотрудник, который принял заявления, не будет заниматься данным делом, так как не имеет соответствующих навыков, знаний. Дело передается в специальный отдел, о котором мы уже узнали — это Отдел «К».
Вот теперь начинается первый этап — это опрос граждан, которые могут помочь в расследовании и поиске преступника. В нашем случае будет опрошен админ сайта, узнают через какую дыру был произведен взлом, с какого ip-адреса был произведен взлом, а также поинтересуются кому был выгоден взлом, есть ли подозрения на кого-то, либо это гастролер типа тебя
.
Второй этап — это наведение справок о преступнике, точнее обработка полученных данных от первого этапа, грубо говоря, проверяют твой IP-Адрес, для того, чтобы узнать где, кто твой провайдер. Сделать это может и обычный гражданин с помощью протокола WHOIS.
WHOIS — это сетевой протокол прикладного уровня, базирующийся на протоколе TCP, висит на порту 43. Основное применение — получение регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем.
Итак, пробив IP-адрес полученный в логах взломанной машины, они видят в строке Country: USA - то есть машина с данным IP-адресом находится в США. А это один из двух вариантов, либо какой-то деверсант из ЦРУ решил ломануть сайт администрации московской области, либо это тсервер - обычный прокси сервер. Ну, первый вариант мало вероятен, но все же разрабатываются все версии, и они должны быть проверены. Сперва IP-адрес пробивают по базе данных паблик серверов. В случае если IP-адрес чистый,то есть вероятность, что сервер недавно похаканый и там установлен прокси. В этом случае можно обойтись прозвоном открытых портов. Да, конечно, proxy можно посадить и не на стандартный порт типа 3128 или 8080, 80. Но все равно сервисы будут показаны сканером да и есть куча других вариантов, как определить стоит ли прокси сервер или нет, поверьте мне на слово, для ребят из отдела «К» — это не вызовет никаких трудностей.
Узнав, что это прокси сервер, который вы нагло использовали для проникновения в систему,перед отделом «К» стоит вопрос, как вытащить информацию с того сервера о том, с какого IP-адреса заходили на данный сервер в определенное время. У них есть два пути, официальный запрос у своих коллег в США, и в случае получения ответа дело будет развиваться намного проще, и ответ будет прикреплен к делу. Либо второй вариант, не законный. В случае, если в официальном запросе отдел «К» получит отказ, а так оно и будет, так как между нашими странами нет такого соглашения, то для продвижения дела придется провести несанкционированный доступ в данный сервер, опять же сделать это ребятам из Отдела «К» не составит труда, именно для таких целей они там сидят. Но получив данные с сервера о вашем IP-адресе, это не удастя пришить к делу, зато вы уже беретесь в разработку и именно в этот момент нужно садиться на измену.
Итак, узнав ваш IP-адрес, он вновь пробивается через WHOIS и тут уже явно видно, что вы товарищ из России, который живет, например, в столице нашей Родины - г. Москва
. Пробивают, где ты работаешь, чем занимаешься, ну и ряд другой нужной информации. Далее, наведываются к провайдеру и на каком- нибудь вымышленном основании, типа машины ваших клиентов, рассылают спам или заражены вирусами, требуют предоставить логи по вашей персоне. И теперь, есть документы того, что в ходе каких-то иных оперативных мероприятий было выявлено, что ваш IP-адрес с такого-то по такое то время обращался к IP-адресу, с которого был произведен взлом сайта, а вот — это можно свободно прикреплять к делу и это послужит против вас в суде
.
В ход вступает третий этап — теперь производится тщательное наблюдение за вашей личностью, следят за тем, какие сайты посещаете, куда, что отправляете и т.д. Могут выставить даже наружку.
В ходе данных мероприятий ваша личность окончательно закрепит себя в не очень удачную сторону, так как вряд ли вы прекратите ходить по запрещенным сайтам, типа undeground, ломать сайты и машины.
И вот он четвертый этап — это оперативный осмотр, проще говоря, на основании всех данных полученных в ходе проведения розыскных мероприятий, вы стали главным подозреваемым, и теперь легко берется санкция на обыск вашей квартиры и изъятие вашего системника и всех носителей типа флешек, дисков и ряда другого компромата на вас. Так же могут взять все ваши записные книжки, распечатки, журналы и ряд других бумажных носителей, в которых может содержаться, что-то лакомое для следствия. Да и еще, они не побрезгают ковыряться в вашей мусорной корзине (не в виртуальной, а реальной.) все документы оттуда тоже изымаются при понятых.
Все твое барахло отвозится в здание отдела «К», где оттуда будут вытаскивать информацию, о том где ты был, что делал, какое ПО установлено у тебя на компьютере, не контрафактное ли оно (в случае чего еще одна статья тебе в догонку пойдет). (кул хацкеры не юзают незаконное ПО, запомните это
) Так вот, твой жесткий диск вытаскивают из системника и подключают к устройству, которое производит только чтение (это делается на тот случай, если вы решите обезопасить себя и поставили программу, которая может отформатировать жесткий диск).
Если даже вы отформатировали свой жесткий до изъятия, то опять же, для сотрудников отдела «К» не составит затруднения вытащить необходимую информацию для следствия. Даже такие программы как ChromeAnalysis (программа, которая показывает что, где, когда, куда заходил владелец данного компьютера через браузер GoogleChrome), FoxAnalysis(показывает то же самое что и програма ChromeAnalysis только про браузер Firefox), Web Historian (универсальная программа для анализа временных файлов браузера) — данные программы покажут все ваши путешествия по миру интернета, а так же, помогут создать правильный отчет, будут показаны все ваши нахождения в защищеной части сайта Администрации Московской области
.
Итак, теперь вы видите, что для сотрудников Отдела «К» не составит особого труда вытащить информацию из вашего жесткого диска, которая подтверждает факт взлома.
Пятый и шестой этапы - это для того, чтобы у вас на суде не было вообще никаких вариантов отмазаться. Данный вариант срабатывает на 70%, так как вы начинаете звонить знакомым, например, другу-хакеру Васе Пупкину и начинаете рассказывать: «Помнишь я тебе рассказывал, что сайт ломанул? Так вот сегодня приходили, все изъяли и т.д. и т.п.» (никогда так не делайте) Запись телефонного разговора также прикрепляется к делу, и тут вы уже сами говорите о факте взлома.
Седьмой этап — данный этап приводится в действие, если не удалось собрать доказательную базу в предыдущих этапах. Внедряется человек в ваш круг общения, вы выкладываете всю нужную ему инфу и на момент какого-нибудь взлома вас аккуратненько пакуют, и уже все начинается с четвертого этапа
.
Начиная с четвертого этапа, когда к вам в дом придут с обыском, вам не замедлительно нужно пойти на рынок и купить компакт диск с песней «Доля воровская» это вам очень пригодится в дальнейшем
. Ну, нужно же как-то себя поддержать, правильно?
Как защититься? - для этого есть два варианта. Первый - радикальный — это не заниматься хакингом ВООБЩЕ. Второй, купить себе специальную финтиклюшку, которая вешается над жестким, и в случае чего, при нажатии соответствующей кнопочки на системнике, ваш жесткий диск сгорает и его уже никто не восстановит, а всякие удары молотком и т.д., это не решение, это все опять же восстанавливается в спец лабораториях. (лучше посмотрите на химические вещества, за взрывчатку могут пришить терроризм, а это совсем другая история)
