Как ловят хакеров

Перед вами третья глава книги, в которой я расскажу, как ловят хакеров и самых разыскиваемых киберпреступников. Почему именно преступников? Все очень просто: на их примерах наглядно видно, как происходит деанонимизация − установление личности в сети, поэтому в данной части книги будут проанализированы причины арестов известных (и не очень известных) хакеров.

После просмотра американских фильмов многие читатели представляют себе процесс поимки хакеров как захватывающую спецоперацию в виртуальном пространстве, где идет война технологий, а ошибки происходят на уровне кода. Но в реальной жизни все немного иначе − все проще, и хакеров губят не ошибки в коде, а всем нам знакомую лень, потеря концентрации, наивность и глупость. Именно с искоренения этих недостатков вам и придется начать путь анонимной и безопасной работы в сети. Для большей достоверности сказанного предлагаю вашему вниманию несколько историй поимки хакеров и раскрытия киберпреступлений.

Миф

Хакеров губят ошибки в коде или использование против них суперсовременных технологий.

Реальность

К аресту большинства хакеров приводили всем нам знакомую лень, потеря концентрации, наивность и глупость.

Начнем с Джереми Хаммонда (Jeremy Hammond) − самого разыскиваемого агентами ФБР хакера, среди преступлений которого числится взлом компьютеров разведывательного агентства Stratfor.

Компания Stratfor основана в 1996 году и сегодня многими считается «вторым ЦРУ», а ее клиентами являются государство и крупнейшие корпорации. Джереми сумел добыть информацию о преступлениях со стороны Stratfor и частных военных подрядчиков, тесно сотрудничавших с американскими силовыми структурами.

Хаммонд стёр файлы с серверов Stratfor, скопировал письма и передал их Wikileaks. С банковских карточек клиентов Stratfor было сделано пожертвований на сумму более 700 тыс. USD, и в моих глазах его поступки находятся на грани преступления и подвига. Но американское правосудие не нашло в его деяниях ничего героического, и 15 ноября 2013 года 28-летний Джереми Хаммонд получил 10 лет тюрьмы и три года последующего надзора.

Нас же интересует вопрос: как ФБР удалось найти его, а главное − каким образом спецслужба добыла доказательства его вины? Узнать его личность смогли через завербованного члена хакерской группировки, по крайней мере эта версия распространена СМИ.

Вербовка − один из самых популярных методов спецслужб. Мне достоверно неизвестно, каким путем присходит процесс вербовки, но предполагаю, что находят самого глупого, ловят, и он работает за свою свободу, а кто-то, может, и за вознаграждение. К некоторым людям, с кем мы постоянно работаем, доверия всегда больше, нежели к посторонним с улицы.

Даже великие хакеры − всего лишь простые Homo Sapiens, и общение для них − одна из потребностей. Но не только хакерам и преступникам стоит опасаться разоблачения через сообщника. Всем нам стоит быть осторожнее при общении с людьми в сети: переписки имеют свойство сохраняться, и кто знает, когда и у кого они окажутся в будущем.

Совет

Общаясь в сети, пишите так, как будто вашу переписку уже читают представители спецслужб. Пожалуй, это лучший совет по защите электронных переписок.

Но одной деанонимизации − установления подлинной личности пользователя сети − мало. Чтобы привлечь киберпреступника к ответственности, нужно собрать доказательную базу − получить доступ к его данным, где хранится информация о совершенных им преступлениях.

Джереми Хаммонд − настоящий профессионал, и он, безусловно, шифровал свой диск. Вот только пароль к диску был "Chewy 123". Chewy − кличка его кошки. А поскольку агенты ФБР следили за ним, они, естественно, данную информацию знали и без особого труда подобрали пароль.

Немного отвлекусь и кратко расскажу, как обычно происходит подбор пароля. Первым делом специалисты проверят, не использовали ли вы один из нескольких десятков миллионов распространенных паролей (например, QwErTy1234567890), затем сформируют список, куда, в том числе войдут и ваш адрес, номера телефонов, фамилии, имена родственников, клички домашних животных, любимая команда, любимый певец, спортсмен, номер школы; после начнут проверять их, при помощи программы подставляя к ним различные данные.

Вы сильно ошибаетесь, если думаете, что девичья фамилия вашей матери и 123456 на конце − это надежный пароль. Кстати, кроме этого специалисты постараются выяснить ваши пароли к другим ресурсам и если увидят, что к одному из ресурсов в качестве пароля использовалась цитата Овидия, они проверят все его цитаты с различными дополнениями.

Внимание

Не используйте при создании паролей девичью фамилию матери, имя, свой адрес, название любимой команды, номер телефона, клички своих домашних животных. Либо они должны быть частью какого-нибудь очень сложного пароля, где вся нагрузка ляжет на остальную часть.

Пароли, их создание и хранение, способы их подбора и кражи − большой материал, который обязателен к изучению. Ему посвящена отдельная глава курса. Из предыдущей истории советую сделать еще один вывод: не надо нарушать законы там, где вы живете (а ещё лучше вообще не нарушайте их).

Эдвард Сноуден выдал миру секретов на несколько пожизненных сроков в США, но живет в России, и тут он едва ли не народный герой. Находись Джереми Хаммонд в России, где «второе ЦРУ» не любят, как и первое, он, вероятнее всего, был бы на свободе. Я ни на что не намекаю, просто рассуждения вслух. Кстати, в русскоязычном андеграунде повсеместно распространён запрет воровать там, где живешь.

Делается это не из какого-то патриотизма или жалости к соотечественникам, киберпреступники редко обременяют себя благородными идеями. Делается это исключительно ради безопасности, во избежание заведения уголовных дел на родине. Практическое применение запрета воровать там, где живешь, можно проследить на примере разработки вредоносного программного обеспечения.

Многие программы-вымогатели, разработанные русскоязычными программистами, попадая на компьютер жертвы, проверяют наличие русского языка среди языков, используемых операционной системой. Обнаруживая русский язык, они удаляют себя с компьютера, не причиняя никакого вреда жертве.

Совет

Анонимность и безопасность в сети начинаются с головы. Если вы не готовы думать, не тратьте время на чтение остатка курса, он вам не поможет.

Продолжим повествование историей из российских реалий. 31 июля 2013 года российский бизнесмен, владелец платежной системы " Chronopay" Павел Врублевский получил два с половиной года тюрьмы за организацию в 2011 году DDoS-атаки на интернет-ресурсы компании-конкурента «Ассист». Вследствие атаки была заблокирована возможность покупки билетов на сайте российской авиакомпании «Аэрофлот», так, по крайней мере, писали СМИ.

DDoS-атаки − различного типа атаки на вычислительные системы (например, сервера) с целью вывести их из строя или препятствовать нормальной работе. В настоящее время организация и осуществление DDoS-атак является уголовно наказуемым деянием в большинстве стран мира. В результате атаки «Аэрофлот» понес серьезные убытки и прекратил пользоваться услугами компании «Ассист».

Кроме этого, «Аэрофлотом» был подан иск на 194 млн руб. к «ВТБ-24», который через "Ассист" обеспечивал «Аэрофлоту» процессинг платежей. Возникает закономерный вопрос: как следствие при помощи ФСБ смогло найти и доказать вину Врублевского? Эта информация попала в прессу, и теперь мы можем проанализировать ее. Первый необдуманный шаг − использование Врублевским и его сообщниками мессенджера ICQ. ICQ принадлежит Mail.ru Group, чьё тесное сотрудничество с ФСБ давно ни для кого не секрет. ICQ далеко не безопасна, по крайней мере, без использования дополнительных инструментов шифрования.

Это в целом даже и не скрывается, вот пункт пользовательского соглашения с переводом из Википедии (данный пункт был актуален на дату описываемых событий): «Вы соглашаетесь, что, отправляя любой материал или информацию через какой-либо ICQ сервис, вы уступаете авторские и любые другие имущественные права на опубликованный материал или информацию.

В дальнейшем вы соглашаетесь, что ICQ Inc. имеет право использовать опубликованный материал или информацию в любом виде и с любой целью, включая, но не ограничиваясь, его публикацию и распространение.» Кроме этого, в ICQ масса уязвимостей, доступы к аккаунтам регулярно получают злоумышленники. У меня, естественно, возникает вопрос: ну какой человек в здравом уме будет пользоваться этим сервисом?!

Совет

Не пользуйтесь ICQ, этот мессенджер не обеспечивает должную защиту ваших переписок.

Кстати, согласно имеющейся в прессе информации, к этому же выводу пришел и Павел Врублевский, перейдя на использование XMPP (Jabber), но было уже поздно. Надо было сразу использовать XMPP (Jabber), и лучше с дополнительным PGP-шифрованием.

Отдельная глава нашей книги будет посвящена безопасному общению в сети, где мы расскажем о безопасных мессенджерах. Согласно публично доступным материалам, по решению суда сетевой трафик Павла Врублевского и других подозреваемых подвергался мониторингу и анализу.

Для анализа трафика использовались Ufasoft Sniffer и WireShark, был применен простой поиск в журналах трафика слова «password», в результате которого были найдены строки с логином и паролем к панели управления ботнетом. Ботнет (одно из определений) − сеть зараженных вирусом компьютеров, дистанционно управляемых из панели управления.

В основном зараженные компьютеры используются для рассылки спама, DDoS-атак, майнинга биткоинов. Мы в данной книге научим вас надежно шифровать интернет-трафик, защищая от перехвата и анализа, чистить журналы; более того, мы научим вас анализировать трафик, как это делают спецслужбы.

В рассмотренном выше случае владельцы ботнета просто не шифровали интернет-трафик! Мне до сих пор сложно поверить в это. Вся информация, имеющаяся о них в публичном доступе, говорит, что это настоящие профессионалы, и мне сложно объяснить подобную оплошность, может быть, врут СМИ.

Совет

Всегда шифруйте свой интернет-трафик, например, используя VPN. Это защитит вас от глубокого анализа интернет-трафика.

Но и это не все в деле Врублевского. Для расчетов с исполнителями использовалась платежная система "WebMoney", популярная в русскоязычном сегменте интернета. Данная система требует от пользователя идентификации и собирает о нем максимум информации, включая IP-адрес.

Эта информация, которая хранится длительное время, и была выдана правоохранительным органам. Все вышесказанное − не повод отказываться от использования платежных систем, просто не питайте иллюзий, что это анонимно. Они хранят о вас даже больше, чем вы способны вообразить. Кстати, надеюсь, вы ведь не верите, что Bitcoin анонимен?

Следующий случай наглядно демонстрирует, насколько важно, заботясь об анонимности и безопасности в сети, правильно подойти к выбору поставщика VPN. В апреле 2013 года Коди Кретсингер, член хакерской группировки LulzSec, известный под псевдонимом «Recursion», получил год тюрьмы с последующим домашним арестом и выполнением общественных работ сроком в 1000 часов.

Человек, участвовавший в хищении конфиденциальной информации с серверов Sony Pictures, безусловно, думал о своей анонимности и использовал VPN. Но... Единственное, он не смог предусмотреть, что VPN-сервис собирал и хранил информацию о нем, и по запросу передал ее спецслужбам.

К выбору VPN-сервиса надо подходить максимально серьезно, если вам действительно важна ваша анонимность. В нашем курсе целая глава посвящена выбору и настройке VPN; я расскажу о том, какой вред может нанести вам опрометчивый выбор VPN-сервиса, а также научу делать персональный VPN.

Совет

Выбирайте надежные VPN-сервисы или еще лучше поднимайте персональный VPN.