Как спецслужбы вычисляют хакеров по статистическим данным

Сейчас я покажу вам пример оперативно-розыскных мероприятий спецслужб при использовании анонимайзера. В других случаях (будь то даже TOR и VPN) они поступают точно также, как я напишу ниже.

Статистические данные, как известно, отличаются тем, что сам трафик не перехватывается - хранятся только IP адреса, время соединения, размер переданной информации в байтах и используемые протоколы.

Для того, чтобы немного обезопасить себя от этого, не сидите с дедиков и впн своей страны и используйте Whonix, где есть Stream Isolation (все приложения или даже одно будут ходить в сеть по разным портам). Защита от всего этого - это уже другая тема, распишу как-нибудь в другой раз.

Ну и конечно же, для того, чтобы вас начали искать таким способом, это тоже надо постараться.

Исследование статистики трафика - ооочень полезная штука в правильных руках. Ниже вы увидите, как менты могут не получив данные с анонимайзера, не зная с какого провайдера требовать логи, просто на основе статистических данных магистральных провайдеров вычислили вымогателя. Судя по всему магистральные провайдеры хранят только статистику, а провайдер "последней мили" уже хранит и статистику, и тексты, и персонализацию (мак адрес, и если IP динамические, то и время кто, когда и каким IP пользовался). Но как бы там не двигался "Пакет Яровой", видимо никто все равно не хранит видео\звуки\картинки, ибо тупо не хватит места.

Пример

Приведем пример, как при помощи статистики трафика можно получить ценную оперативную информацию.

Потерпевшим было получено сообщение электронной почты, отправленное злоумышленником через анонимайзер «[email protected]». Анонимайзер – это сервер электронной почты, который специально предназначен для сокрытия отправителя. Служебные заголовки сообщения не содержали никакой полезной информации. Логи анонимайзером не ведутся из принципа. (значит был запрос, но их послали)

Для вычисления отправителя можно воспользоваться статистикой трафика. Для начала сделаем следующие предположения: отправитель находится в России, и он отправил свое сообщение непосредственно на этот анонимайзер, а не через другой. При таких условиях можно попытаться вычислить отправителя.

IP-адрес анонимайзера «[email protected]» – 0.0.0.0. Письмо к потерпевшему пришло 20 января вечером. Значит, отправлено было, скорее всего, в этот же день, поскольку, хотя анонимайзер предусматривает задержку в доставке сообщений, но вводить слишком большую задержку бессмысленно. Будем искать в статистике российских магистральных операторов связи все обращения на IP-адрес 0.0.0.0, совершенные в течение суток 20.01.07 по протоколу SMTP. Для просмотра статистики используем набор утилит «flow tools».

Итак, для начала, проверим, на какие IP-адреса были обращения за нужную дату по протоколу TCP, на порт 25 (SMTP). Нижеприведенная команда берёт хранящуюся на сервере статистику (flowcat), отфильтровывает из нее протокол TCP (flowfilter r6), отфильтровывает трафик, направленный на порт 25 (flowfilter P 25), и агрегирует данные по IPадресу назначения (flowstat f8).

В списке DST-адресов (адресов назначения) мы видим интересующий нас адрес 0.0.0.0, причем на него зафиксировано 2 обращения (flow), всего 38 пакетов, 27995 байт. Такое небольшое количество пакетов за целые сутки неудивительно. Анонимайзерами пользуются нечасто, поскольку это хоть и относительно безопасно, но не слишком удобно.

продолжение: http://telegra.ph/Kak-specsluzhby-vychislyayut-hakerov-po-statisticheskim-dannym-10-12