Не проходит буквально ни одной недели, чтобы в Интернет-новостях не появилось сообщение об успешном задержании спецслужбами очередного компьютерного преступника. Причем, чаще всего речь идет не о бестолковых рассыльщиках троянов, а о достаточно грамотных и, если можно так сказать, профессиональных хакерах, наверняка, уделявших собственной безопасности не последнее место. Достаточно упомянуть Линн Хтуна из знаменитой группы «Fluffi Bunni» («Пушистый кролик») и членов интернациональной кракерской организация DrinkOrDie. Казалось бы, времена Митника давно прошли и пора бы уже сделать определенные выводы, касающиеся собственной безопасности. Так в чем же дело? За счет каких механизмов спецслужбам удается столь эффективно отслеживать и «уничтожать» информационных «преступников»? В каких лабиринтах мировой паутины затаилась скрытая угроза? Чего следует опасаться хакеру? Об этом сегодня мы и поговорим. Я детально проанализировал возможные ошибки и пути отлова хакеров на сегодняшний момент, результаты моих «исследований» лежат пред тобой. Но не исключено, что в чем-то я могу сильно ошибаться, т. к. точное заключение может дать только эксперт, который непосредственно «крутится» в сфере государственной безопасности, но от них мы никогда ни чего не узнаем.
Неуязвимость — это иллюзия
Совершив не один десяток взломов и не попавшись в руки правосудия у многих молодых хакеров возникает иллюзия собственной супер секьюрной безопасности. На самом деле, это объясняется только тем, что ты еще пока не понадобился «нужным» людям. Спецслужбы не будут предпринимать ни каких действий, пока не заподозрят в твоих деяниях угрозу национальной безопасности или пока не увидят у себя на столе заявление от пострадавших (не исключено также, что ты уже «ходишь» под колпаком, просто не догадываешься об этом ). Обычно, хакеру играет на руку, что большинство отхаканных не обращается «куда следует», а предпочитают промолчать и забыть о взломе. Например, кому охота связываться с федералами из-за какого-то там дефейса, или какой прикол админу сообщать начальству, что на его серверах хакеры пооткрывали себе шеллы — ему же в первую очередь и влетит, поэтому он по-тихому залатает дыры и сделает вид, что ничего не было. Многие компании не хотят заводить дело, т. к. бояться, что информация о взломе станет доступна общественности, а это может принести дополнительные убытки из-за подпорченной репутации. Нельзя также исключать наличие организаций, которые вообще ни при каких обстоятельствах не будут связываться со спецслужбами, т. к. сами имеют определенные грешки. Но так бывает не всегда и даже такое, по сути, мелкое хулиганство как дефейс может стать причиной преследования спецслужб. Например, действия группы Fluffi Bunni привлекли внимание ФБР после терактов 11 сентября, когда на множестве сайтов появились лозунги «Fluffi Bunni Goes Jihad» ("пушистый кролик идёт на джихад"). Это было расценено как протест против американской глобальной кампании по борьбе с терроризмом, т. е. по сути членов группы уровняли с террористами (а это уже не шуточные сроки).
Таким образом, можно выделить особую категорию хакерских проделок, которые ПОЧТИ всегда становятся работой спецслужб — это воровство, вымогательство, шпионаж и «наезд» на государственные сервера. Людей в штатском может привлечь и просто высокая хакерская активность, например, огромный список дефейсов на «хакерском» сайте. Обычно, общение со спецслужбами, в этом случае, ограничивается без инициативным обыском в квартире хакера или разговор «по душам» с ярко светящей в глаза лампой (немало таких историй можно почитать на хакерских сайтах, например, здесь: http://hangup.pisem.net, статья "Скучный шмон" и пр.). Надо полагать, что цель таких мер связана с профилактикой, т. е. показать хакеру, что он находится под контролем и пресечь возможные будущие, более тяжкие преступления. Если это так, то нужно только снять защитный экран с монитора перед нашими родными спецслужбами за заботу о подрастающем поколении.
Вывод первый: профессионалы никогда не чувствуют себя в безопасности, паранойя — вечный спутник хакера.
Не существует "своих" и "чужих" спецслужб
Среди многих отечественных представителей андеграунда существует одно ошибочное убеждение, что если не трогать российские сервера, то за собственную безопасность можно вообще не бояться. Да, действительно, неурегулированные законы об экстрадиции хакеров из России, в большинстве случаев позволяют отечественным спецслужбам игнорировать просьбы о сотрудничестве своих зарубежных коллег и даже вступать с ними в конфронтацию. Широко известна история, когда следователь Игорь Ткач из Управления ФСБ чуть не возбудил уголовное дело против агента ФБР Майкла Шулера после ареста последними двух Челябинских хакеров Алексея Горшкова и Василия Иванова (с деталями дела можно ознакомиться в Интернете, в т. ч. и на нашем сайте). Но время не стоит на месте и однажды все может измениться, и тогда тебе напомнят все твои грешки, к тому же ты уже сейчас лишаешь себя возможности безбоязненного выезда за рубеж (не обязательно в США), т. к. тебя там уже могут ждать. Пример тому, недавняя история с 25-летним украинским хакером, который, был пойман в Бангкоке при содействии Таиландских и Американских спецслужб. Большинство хакеров xUSSR попадают в руки правосудия именно за пределами своей родины (примеров тому можно приводить много).
Вывод второй: профессионалы не проводят грань между российскими и зарубежными спецслужбами — спецслужбы всех стран одинаково опасны для хакера. Практика показывает, что иностранные спецслужбы представляют собой большую угрозу, т. к. уж очень сильно «там» не любят отечественных хакеров.
Схема хакерской атаки
Рассмотрим типичную схему хакерской атаки (взлом) в Интернете (см. рис. 1).
Рис.1. Схема хакерской атаки
Хакер выходит в сеть через обычного провайдера, затем через цепочку анонимных proxy к удаленному шеллу и уже с шелла проводит атаку. Шеллом обычно является захваченная (поrootанная) машина или скарженная на хостинге торгующего шеллами. В приведенном случае, задача шелла не анонимность, а обеспечение ресурсами, т. к. шелл обычно располагается на мощном сервере с приличным каналом. Конечно, эта не единственная схема: цепочку анонимных прокси может заменить цепочка из одних только шеллов или шелл, в схеме, вообще может отсутствовать, также прокси-сервера могут идти только от удаленного шелла до цели (это если хакер хочет сохранить шелл) и т. п. Непрофессионалы вообще ограничиваются единственным прокси. Кроме того, хакер может выходить в Интернет через локальную сеть (например, из Интернет-кафе). Но в данном контексте это все не существенно и приведенного рисунка достаточно чтобы рассмотреть большинство опасностей и слабых мест, которые могут подстерегать хакера в плане собственной безопасности.
Не все анонимные прокси одинаково анонимны
Начнем с середины — с proxy-серверов. Частенько можно услышать мнение, что если сидеть за цепочкой proxy, которые будут расположены в разных частях света, то это обеспечит практически 100% анонимность. При этом правда отмечается, что прокси имеют свойства вести логи и по логам, в принципе, можно восстановить всю цепочку. Уже одно это утверждение не дает 100% анонимности, т. к. если распутыванием займутся серьезные люди, то довести дело до конца у них есть все шансы, даже самых несговорчивых админов можно купить, запугать, хакнуть, наконец, сам proxy-сервер и выудить логи. Здесь главное время, т. к. логи имеют свойство удаляться, а прокси-сервера бесследно исчезать. Но это было бы пол беды, т. к. по неподтвержденным слухам большинство анонимных proxy принадлежат самим спецслужбам (!). Это логично, т. к. если кто-то хочет анонимности, значит, ему есть что скрывать, а если есть что скрывать, значит, это либо террорист, либо хакер (а для спецслужб некоторых стран это вообще одни и те же понятия). Отсюда должно быть понятно стремление федералов контролировать эти самые прокси-сервера. Да и как объяснить ТАКОЕ количество анонимных прокси в Интернете — ведь хоть убей не пойму, какая может быть выгода от этого их хозяевам. Если бесплатные почтовые службы или поисковые системы еще могут жить за счет рекламы, то кроме IP-адреса прокси-сервера, клиент совершенно ни чего не знает о последнем (если конечно proxy не анонимайзер). Кстати, этому есть и косвенные подтверждения, ни однократно были замечены случаи, когда анонимный прокси-сервер делал попытку подключиться к клиенту, например, на 139 порт (файервол это отлично фиксирует). Как ты думаешь, что может понадобиться АНОНИМНОМУ ПРОКСИ-СЕРВЕРУ на 139 порту?!
На сайте http://w4news.host.sk/safety.htm можно прочитать следующую фразу:
«Возможно, proxy контролируются спецслужбами, поэтому рекомендуем использовать только те, которые расположены за пределами России (СНГ) и стран НАТО». Однако этот совет не может быть хорошим. Ведь, что мешает создать разветвленную сеть «анонимных» proxy-серверов по всему миру, например, российским спецслужбам? Ничего. Причем прокси-сервера можно располагать прямо в посольствах (наверняка там тусят свои админы). А, учитывая, что постоянное подключение к Интернету имеют около 140 стран, то создать рассредоточенную сеть обойдется в совсем небольшие деньги даже для России, а про USA я вообще молчу. А если эти прокси-сервера еще к тому же будут иметь приличную скорость и все возможности, типа SOCKS5? Ведь не секрет, что большинство хакеров отбирают proxy по скорости. Возможно также, что сеть прокси-серверов совместно используется спецслужбами всех стран, что-то вроде Интерпола. Но сдается мне, что, все-таки, большинство «анонимных» прокси-серверов принадлежат одной великой супер-державе, догадайся какой? Поэтому, наверное, не стоит расслабляться, если прокси из твоей цепочки расположены в Нигерии, Японии, Финляндии и т. д., т. к. вполне может случиться так, что они будут принадлежать одной спецслужбе.
Смотри как удобно в этом плане федералам (рис. 2).
Рис.2. Средний прокси не принадлежит спецслужбам
Даже если в цепочку попадает сервер, не принадлежащий им, то это не проблема, т. к. достаточно выяснить с какого из своих серверов к нему могло осуществляться подключение. Конечно, если в цепочке окажутся идущие подряд два и более чужих прокси-сервера, то тут придется договариваться с их админами (как это может делаться, смотри выше). Кстати, возможно именно контролирование большинства прокси в Интернете позволяет спецслужбам делать в считанные дни официальные заявления, о том, из какой страны осуществлялась хакерская атака или откуда пошло распространение вируса и т. д., причем вплоть до таких экзотических стран как Филиппины. Возможно также, что подконтрольные прокси в странах НАТО входят в систему Эшелон.
Что такое Эшелон?
Эшелон — американская сеть глобального электронного шпионажа. Эшелон может перехватывать информацию, передаваемую практически по любым каналам связи (спутниковым, цифровым) в любой точке планеты. Источниками информации служат Интернет, электронная почта, телефон, факс, телекс. Эшелон — включает в себя более ста спутников-шпионов, большое количество суперсовременных и мощных компьютеров, множество наземных станций, расположенных по всему миру, на которых работают десятки тысяч сотрудников — программисты, криптологи, математики, лингвисты... Принцип работы системы Эшелон приблизительно следующий: каналы связи постоянно сканируются сверхмощными компьютерами, если проходящее сообщение содержит ключевое слово, выражение или тембр голоса (например, голос Бин Ладена), которое входит в так называемый словарь Эшелона, то сообщение записывается. Словарь Эшелона содержит огромное количество ключевых «слов» на многих языках мира и постоянно обновляется.
Вывод третий: профессионалы не доверяют прокси.
Шеллы и горшочки меда
Именно из-за недоверия к анонимным прокси некоторые «продвинутые» хакеры предпочитают заменять их цепочкой шеллов. Однако и шеллы таят в себе немалые опасности. Если ты слышал о проекте Honeynet, то должен был уже давно понять, то, что я сейчас хочу сказать.
Что такое Honeynet?
Honeynet — сеть машин, специально предоставленная для взлома, для т. н. черных шляп, с целью анализа и изучения их техники. Сайт проекта: www.honeynet.org (на bugtraq.ru можно почитать некоторые переводы). Кроме того, с теми же целями используются и отдельные машины, которые называют honeypots (медовые горшочки).
Проекты Honeynet поддерживаются в основном энтузиастами, однако, было бы наивно полагать, что если это пришло в голову обычным специалистам по безопасности, то не могло придти в голову спецслужбам, которые получают деньги за изобретение подобных штучек. Вообще, подобная тактика с «подсадными утками» является коронным приемом федералов не только в сети. Главная трабла для хакера в том, что очень сложно отличить, является ли используемый им шелл медовым горшочком или полноценным шеллом. Так, в Honeynet предусмотрен даже случай захвата или отключения хакером отдельного сервера логов (syslog-сервера). Причем, не имеет значения, был ли захвачен шелл нестандартным способом или через поисковик по известной баге, напомню, что Honeynet строится на стандартных системах без всякого намека на снижение безопасности. Единственное, что может отличать настоящий шелл от медового горшка это ограничение на количество исходящих соединений (в Honeynet предлагается разрешение в 5-10 соединений), это делается с целью защиты от использования шелла для сканирования других систем, проведения DoS и т. д., хотя, в принципе, такие ограничения могут присутствовать и на обычной машине. Скарженному шеллу доверять не менее опасно, т. к., во-первых, неизвестно под чьим контролем находится хостинг, во-вторых, все действия могут логгироваться. Фейковые шеллы могут нести и косвенную опасность. Например, если в IRC у одного из участников установлен BNC на подобном шелле, то спецслужбам не составит особого труда читать все сообщения в чате, а значит, все участники канала попадают под удар (об этом, кстати, забавно написано в одном из материалов Honeynet).
Вывод четвертый: профессионалы не доверяют шеллам.
Подконтрольные провайдеры
В большинстве случаев спецслужбам удается установить IP-адрес хакера, но это ничего не значит, т. к. главная цель — узнать ФИО «преступника» и возможно дом. адрес. Здесь все упирается в провайдера, т. к. только провайдер может сказать, кому принадлежит IP, а в случае с DialUP — с какого телефона осуществлялось подключение. Если хакер находится в России, то российским спецслужбам в этом плане значительно проще (практически все отечественные провайдеры находятся под контролем российских спецслужб). Но не нужно считать, что иностранным спецслужбам вообще ни как не удастся установить твою личность. Если совершенный тобой хак будет достаточно серьезным, то не исключено, что спецслужбам обоих сторон удастся договориться. Если нет, то тебя будут вычислять по косвенным признакам. Например, если после совершенного взлома, ты, пользуясь одной и той же цепочкой прокси, заказываешь себе домой на amazon.com какой-нибудь стафф, то, в случае, если дело ведут американские спецслужбы, им не составит ни какого труда «надавить» на админов магазина, с требованием выдать твой адрес (в свете 11 сентября это вообще не проблема, достаточно объявить тебя террористом). Короче, пока в Интернете есть хоть немного личной информации о тебе, ее могут раскопать, способов для этого много и спецслужбы ими должны хорошо владеть (не забывай, что вполне реально хакнуть и самого провайдера). Не удивляйся тогда, если в аэропорту какого-нибудь Дублина к тебе подойдут люди в черном, наденут наручники и зачитают (или запинают) твои права.