Деанонимизация.

Деанонимизируем интернет-мошенников. Получение IP-адреса собеседника.

Представьте себе ситуацию: вы стали жертвой мошенника в интернете и хотите его наказать. Естественно, самым разумным решением будет написать заявление в полицию, но в полиции не способны найти преступника, например, по профилю в Телеграм. Телеграм данные пользователя правоохранительным органам не выдает, и может получиться замкнутый круг. Вам нужен IP-адрес мошенника, и я предлагаю получить его самостоятельно. Для этого достаточно, чтобы злоумышленник просто открыл вашу ссылку на изображение. Сервисов для получения IP-адреса через ссылку достаточно, в нашем материале мы используем один из них. Для создания ссылки-ловушки перейдите на этот сайт и укажите ссылку на изображение, которое хотите показать мошеннику. Дальше жмете Установить изображение и получаете ссылку, по которой надо перейти злоумышленнику. ловушка для получения IP Если вы хотите поймать мошенника, делайте ловушку качественной, вам потребуются навыки социальной инженерии и предложение-приманка. Можно, например, написать: «Я выслал вам деньги, вот фотографии чеков /ссылка/, всего 10 000 рублей, проверьте». Если мошенник обманом получил у вас только 5000, он заинтересуется, почему было отправлено больше и где отправленные деньги. Чеки об оплате выложите на хостинг картинок и используйте для ссылки на изображение при создании ловушки. Все должно быть максимально правдоподобно, чтобы мошенник не догадался, что ему устроили западню. Если вы опасаетесь осведомленности мошенника о подобных ловушках, можно замаскировать ссылку при помощи сервиса коротких ссылок, например bitly.

После передачи ссылки мошеннику и его перехода по ней на страницу появятся данные о переходе, включая точное время, IP-адрес, браузер и операционную систему. Вам надо периодически обновлять страницу для отслеживания результатов.

Хакер попался в ловушку Для получения информации об IP-адресе, перейдите по кнопке с изображением земного шара. Вам будет предложена информация по IP-адресу мошенника, но я бы не преувеличивал точность этих данных, потому как определяется регион регистрации IP-адреса, а не его текущее местонахождение. Однако имея IP-адрес, можно обращаться в правоохранительные органы с заявлением. Этот способ не сработает, если мошенник использует средства сокрытия IP-адреса, например VPN, proxy или Tor. Это станет видно при проверке IP-адреса: вместо интернет-провайдера там будет хостинг-провайдер, например, на картинке ниже это WORLDSTREAM. сведения об IP Конечно, правоохранительные органы могут отправить запрос хостингу или VPN-сервису, но на практике это происходит не часто и еще реже дает положительный результат.

Cross-device tracking. Деанонимизация пользователей Tor, VPN, proxy при помощи звуковых маячков.

Cross-device tracking – тип атак, представляющих возможность отслеживать пользователя параллельно через несколько устройств. Это давняя мечта маркетологов, однако не только маркетологам понравилась эта технология: она оказалась эффективной при деанонимизации киберпреступников, использующих для сокрытия подлинного IP-адреса Tor, VPN и proxy. В данной главе я расскажу о звуковых маячках – очень опасной атаке типа cross-device tracking, позволяющей деанонимизировать пользователей VPN, Tor или proxy, даже если последние все делают правильно. Вам не нужно лезть в дебри технических знаний, вы должны понять лишь принцип ее работы и методы защиты. Наверняка вы сталкивались с социологическими опросами, когда вам звонят домой и спрашивают, смотрит ли кто-нибудь сейчас телевизор и если да, уточняют, какой канал.

Таким образом обзванивается, например, 1000 человек и рассчитывается процентное соотношение. Это нужно каналам, чтобы, во-первых, понимать интересы аудитории, а во-вторых, охват – это важно для продажи рекламы. Важно это и маркетологам, чтобы точнее подбирать время заказа рекламы и оценивать объем просмотров заказанной рекламы. Однако этот способ получения данных дорог, имеет высокую погрешность и относительно малый охват. А представьте себе, что ваш голосовой помощник в телефоне, который, как вы наверняка могли убедиться, прекрасно понимает живую речь, будет прослушивать периметр и определять, какой канал вы сейчас смотрите. Для этого реклама на канале будет содержать фразы-маячки (например, будет звучать «реклама на Первом федеральном»), которые телефон ловит, а затем отсылает на сервер информацию, что сейчас вы смотрите определенный канал или слушаете такую-то радиостанцию. Это дешевая и эффективная технология, но инженеры хотят сделать ее еще совершеннее и использовать звуковые сигналы, которые не способен распознавать слуховой аппарат человека. Судя по выступлениям, инженеры неплохо преуспели в этом. Но мы не курс по маркетингу, и эта технология интересует нас исключительно как инструмент деанонимизации. Сайт открылся – и хакер спалился Представьте себя очень опасным хакером, которого разыскивает ФБР. Вы заходите на сайт-ловушку, подготовленный специально для вашей поимки. Это абсолютно безвредный сайт, никаких атак он производить не станет, это может быть даже страничка популярного сайта, владелец которого совместно с ФБР создаст ее для вас. Вы спокойно путешествуете по сайту, простой атакой вас не взломать, вы хорошо подумали о безопасности и используете Whonix. Это действительно очень хорошая защита от способов активной деанонимизации. И вот вы заходите на сайт и слышите звук, но ничего подозрительного и опасного не происходит. Даже если вы что-то заподозрите и закроете сайт, ничего уже не изменить. Этот звук слышит ваш телефон, и для него это сигнал.

Предположим, разработчик голосового помощника на вашем мобильном устройстве или одного из приложений, имеющих доступ к микрофону, сотрудничает с ФБР. Данные о получении сигнала будут незамедлительно переданы устройством на сервера вместе с координатами и IP-адресом. Да, на компьютере у вас стоит Whonix, но маловероятно, что и ваш телефон защищен столь же надежно. Вы все делали правильно, просто учли не все. Если вам когда-нибудь потребуется ноутбук с максимальной безопасностью, необходимо отключить звук, лучше паяльником, но можно и при помощи настроек. Мы уже давали подобную рекомендацию в главе о другой угрозе – прослушке через динамики и колонки. Совет При настройке максимальной анонимности отключите динамики, и лучше на уровне проводов. Второй совет вам понравится меньше: если вы Эдвард Сноуден и вас активно разыскивает ФБР, вам стоит отказаться от смартфона. Используйте простой кнопочный телефон либо специальный телефон, ориентированный на безопасность, с сильно ограниченным функционалом и списком установленных приложений. Это же касается и планшета. Совет Откажитесь от смартфона либо используйте специальные модели устройств, ориентированные на безопасность. А если вы простой пользователь и хотите настроить свою безопасность без необратимой потери звука, в главе о настройке браузера мы настроим ограничение воспроизведения звуков. Это хотя и базовая, но надежная защита от деанонимизации при помощи звуковых маячков.

Совет - Настройте ограничение воспроизведения звуков в браузере. Почему эта атака так эффективна Обычно деанонимизация предполагает получение подлинного IP-адреса, и из этой главы вы знаете, как не просто бывает по IP-адресу установить личность, особенно если киберпреступник находится в другой стране. В случае cross-device tracking телефон может отправить всю информацию на блюдечке: и координаты, и номер телефона, и контакты в адресной книге, и аккаунт Google/Apple, и историю звонков/СМС, и список используемых Wi-Fi – этого более чем достаточно для установления личности. А работает ли способ деанонимизации при помощи звуковых маячков Работает. По данной ссылке вы можете посмотреть демонстрацию деанонимизации пользователя Тор при помощи cross-device tracking, причем в данном случае используются не слышимые для человеческого уха звуки.

Тайминг-атака. Как спецслужбы деанонимизируют пользователей мессенджеров.

Представьте себе ситуацию: вы сотрудник спецслужбы, и ваша задача – вычислить особо опасного преступника, занимающегося шантажом и появляющегося в сети периодически и только для передачи данных. Для преступной деятельности он завел отдельный ноутбук, из которого «вырезал» микрофон, колонки и камеру. Разумное решение, учитывая, что колонки тоже умеют слушать.

В качестве операционной системы он использует Tails, хотя для максимальной анонимности стоило бы взять Whonix. Так или иначе, весь трафик идет через Tor, он не доверяет VPN, да и для работы в Даркнете Tor ему все равно необходим. Для общения он использует Jabber с PGP-шифрованием, он мог бы поставить и Телеграм, но это представитель старой школы преступников. Даже если у вас будет доступ к серверу Jabber, вы сможете получить лишь зашифрованные данные и IP-адреса Тор. Это бесполезная информация. Преступник работает по принципу «молчание-золото», лишнего не скажет, ссылки или файла не откроет. Известно лишь, что он должен находиться в одной стране с вами. Казалось бы, шансов установить его личность нет, но это иллюзия, установить его личность можно несмотря на все принимаемые им меры. Описанный случай идеален для применения тайминг-атаки по мессенджеру. Первым делом необходима программа, которая будет отслеживать и записывать все входы и выходы пользователя. Он появился в сети – система сразу отмечает у себя время, ушел – система записала время выхода. Лог выглядит примерно так:

Теперь на руках у вас есть лог его активности за несколько дней, пришло время воспользоваться системой ОРМ (оперативно-розыскных мероприятий). Подобные системы есть в распоряжении спецслужб большинства стран, в России это СОРМ. Нужно выяснить, кто в эти временные промежутки +/- 5 минут в вашей стране подключался к сети Tor. Мы знаем, что цель, которую необходимо деанонимизировать, подключилась 22.04.2018 в 11:07 и отключилась в 12:30. В эти же временные точки (+/- 5 минут) на территории страны подключились к сети Tor и отключились от нее 3000 человек. Мы берем эти 3000 и смотрим, кто из них снова подключился в 14:17 и отключился в 16:54, как думаете, сколько человек останется? Так, шаг за шагом, круг сужается, и в итоге вам удастся вычислить место выхода в сеть преступника. Чем чаще он заходит в сеть и чем меньше в это время других пользователей, тем быстрее сработает тайминг-атака.

Что может помешать проведению тайминг-атаки Постоянная смена точек выхода в сеть делает подобную атаку бессмысленной. Если же цель периодически меняет точки выхода, это может затруднить поиск, но является заранее допустимым вариантом и не способно запутать систему. Мы надеемся, что наши читатели не относятся к разыскиваемым преступникам и им не придется кочевать из одного кафе с публичным Wi-Fi в другое. Однако вторым советом против тайминг-атаки стоит воспользоваться каждому. Речь идет об отключении на уровне мессенджера передачи информации о статусе либо установлении постоянного статуса «офлайн». Большинство мессенджеров предоставляют одну из подобных возможностей. Вот так это выглядит в Телеграм: Телеграм настройка сокрытия статуса

Деанонимизация пользователей VPN и proxy через сторонние сайты

Мы снова оказываемся в роли агентов и снова ловим хакера, из информации о котором у нас есть только IP-адрес. По IP-адресу найти точку выхода в интернет пустяковое дело, однако нам противостоит очень квалифицированный оппонент. Он не просто использует VPN, а цепочку VPN из 4-х серверов, где некоторые сервера расположены в офшорных странах у абузоустойчивых хостинг-провайдеров. Хорошо известно, что они игнорируют запросы. VPN он настроил самостоятельно, потому нет никакого посредника в виде VPN-сервиса, с которым часто можно договориться. Даже если VPN-сервис предлагает сервера по всему миру, компания обычно расположена в США или Европе и должна выполнять законы. Но даже если владелец зарегистрировал компанию в Коста-Рике, сам то он обычно сидит где-нибудь в России, Европе или США. И вообще этим ребятам нужны деньги и спокойная жизнь, а не проблемы. Для большинства из них анонимность ничего не стоит, это просто товар, а обидевшиеся представители спецслужбы, особенно спецслужбы Китая, России и США, могут создать очень много проблем бизнесу.

Персональным VPN - разумный выбор, но персональным VPN наш хакер не ограничился, настроив по первому классу безопасность браузера. В частности он включил подмену Canvas Fingerprint, заблокировал технологии трекинга и строго ограничил выполнения скриптов. Этот браузер он использовал только для «работы», для личных дел он использовал другой браузер. Стоит ли уточнять, что с рабочего браузера он не посещал ни социальные сети, ни любые другие связанные с его реальными данными аккаунты. Как нам вычислить такого квалифицированного и продвинутого хакера? Мы берем IP-адрес его VPN и проверяем не использовался ли он для посещения социальных сетей и иных популярных сервисов за последний месяц. Представители социальных сетей отлично идут на контакт и оперативно выдают информацию. В нашем случае оказалось, что однажды хакер зашел с рабочего VPN на свою страничку в социальной сети. Это был уже другой браузер, но IP-адрес был тот же самый. Подобная оплошность произошла лишь однажды и всего на пару секунд, затем он заметил, что не отключил рабочий VPN, не сменил IP, но этих секунды было достаточно. Работа выполнена.

Некоторые мои коллеги полагают, что публичный VPN в таком случае спасает от установления личности, так как его используют много пользователей. Мне кажется это неверное рассуждение. Во-первых, большинство простых пользователей используют одиночный VPN, а не цепочку. Редкие VPN-сервисы предоставляют возможность использовать цепочку VPN-серверов и их сложно назвать массовыми. Ну а пользователя одиночного VPN очень легко вычислить методом сопоставления соединений, о котором я еще расскажу в отдельной главе. Одиночный VPN или proxy - не лучший выбор, если вам необходим высокий уровень анонимности. Во-вторых, даже если VPN очень популярен, он имеет множество IP-адресов, у крупных VPN-сервисов их десятки тысяч. Потому один IP-адрес будет использовать не так много пользователей, чтобы создать серьезные помехи.

Эффективными методами защиты от атаки по сторонним каналам остаются полный отказ от использования подобных сторонних сервисов, например, социальных сетей, либо строгая смена IP-адреса. Если бы хакер из нашей истории вел свои дела в Тор, а для личных целей использовал VPN, метод деанонимизации по сторонним каналам был бы бессилен. При этом для деанонимизации пользователей Тор есть свои методы, о которых мы расскажем в рамках нашего курса.

Деанонимизация пользователей VPN и proxy путем сопоставления соединений

Сопоставление соединений – это один из самых эффективных путей деанонимизации пользователей VPN и proxy, применяемых спецслужбами и правоохранительными органами по всему миру. Давайте представим ситуацию: вы сотрудник спецслужбы и разыскиваете опасного хакера. Все, что у вас есть,‒это его IP-адрес, с которого он месяц назад один раз заходил на сайт. Вроде бы отличная возможность вычислить пользователя по IP-адресу, точно известно, что хакер находится в одной с вами стране, но IP-адрес принадлежит VPN-сервису и размещен в Нидерландах.

Что делать? Первым делом вы отправляете запрос владельцу VPN с просьбой выдать данные о том, кто использовал такой-то IP-адрес в такое-то время. Предположим, владелец VPN игнорирует ваш запрос. В вашем арсенале остается набор вредоносного софта, которым можно заразить устройство хакера, но вот проблема – контакта с ним никакого нет. Хакер сделал свое дело и залег на дно, потому все методы активной деанонимизации бесполезны.

Что же делать? У вас есть система ОРМ (оперативно-розыскных мероприятий, в России это СОРМ), которая сканирует весь трафик всех пользователей, у вас есть провайдеры, которые по закону сохраняют данные об активности пользователей. Да, вы не можете расшифровать записанный VPN-трафик, но это вам и не нужно. Вам необходимо посмотреть, кто из жителей в интересующий промежуток времени устанавливал зашифрованное соединение с нужным вам VPN-сервером в Нидерландах. Если это популярный публичный VPN, таких пользователей может быть несколько, но их не может быть много. Пусть в нашем случае будет три человека. Установить, кто же из них хакер, уже не представляется сложной задачей, для этого используются стандартные практики расследования, не имеющие прямого отношения к вопросам анонимности и безопасности в сети.

Аналогичным способом можно деанонимизировать и пользователей proxy, а вот против пользователей Тор атака не пройдет, так как IP-адрес, к которому подключается пользователь Тор,‒это адрес входной ноды, а на выходе у него IP-адрес выходной ноды. Против пользователей Тор есть свои методы деанонимизации с использованием ОРМ, например тайминг-атака на мессенджер. Главная защита от атаки методом сопоставления соединений – использование цепочек, например Double (двойной) VPN или Double proxy, в этом случае подключаться вы будете к одному серверу, а на выходе у вас будет IP-адрес другого сервера. Совет Для защиты от атаки методом сопоставления соединений используйте связки серверов VPN и proxy. Знаю, что некоторые специалисты настраивают single (одинарный) VPN таким образом, чтобы на входе был один IP-адрес, а на выходе другой. Такая схема должна быть эффективна против атаки путем сопоставления соединений, но на практике я с подобными решениями не сталкивался.

Деанонимизация пользователей VPN и proxy через cookies

[Cookies – это файлы, которые сайт сохраняет на компьютере посетителя для узнавания пользователя, сбора статистики, сохранения персональных настроек и некоторых других задач. Мы будем подробно рассказывать о cookies и способах их удаления в рамках нашего курса, сейчас просто запомните, что есть сессионные cookies, которые удаляются вместе с закрытием браузера, и постоянные, которые сохраняются даже после закрытия браузера. Исключение составляют приватные режимы браузеров, в которых все cookies принудительно становятся сессионными.

Cookies вместе с историей браузера используются криминалистами при проведении криминалистического анализа компьютера, и бывают ситуации, когда пользователь, очистив историю, забывает удалить cookies, что приводит к восстановлению данных о его активности. Именно поэтому программа для противодействия криминалистическому анализу и несанкционированному физическому доступу к устройствам Panic Button, помимо очистки истории, удаляет еще cookies.

К слову, Panic Button удаляет также сохраненные вкладки, список избранных сайтов, кэш браузера, сохраненные пароли, но это уже другая история. Вы должны запомнить, что, если вы зайдете на сайт, например социальной сети, без авторизации, но ранее с этого же браузера вы авторизовались на нем, сайт сможет вас узнать по cookies. Если вы используете два аккаунта и при смене аккаунтов закрываете браузер и меняете IP-адрес, сайт сможет вас узнать при помощи cookies. Как же cookies приводят к деанонимизации пользователей VPN и proxy?

Эта тактика использовалась правоохранительными органами одной европейской страны для ловли хакеров. Хакеры обычно используют для общения и торговли многочисленные форумы, крупнейший из которых Hack Forums. В отличие от наркоторговцев и торговцев оружием, хакеры неохотно переходят в Deep Web, продолжая по старинке использовать форумы открытого Интернета. У форумов есть администраторы – те, кто обслуживают форум и поддерживают его работоспособность, за ними и охотились правоохранительные органы. После ареста администратору форума делалось предложение о тайном сотрудничестве в обмен на свободу, и, конечно, большинство арестованных выбирало свободу. После этого форум перенастраивался таким образом, чтобы проверять cookies у всех неавторизованных пользователей, записывать информацию об имеющихся у них на форуме аккаунтах и их текущие IP-адреса. Как это приводило к деанонимизации? Когда хакеры заходили на форум под своим аккаунтом, они использовали VPN или proxy, беспокоясь о своей анонимности, но когда они просто читали форум, то часто пренебрегали анонимностью, полагая, что в данный момент они никак не связаны со своим аккаунтом. Так их и ловили, и, согласно данным, имеющимся у меня, за два месяца таким образом смогли установить подлинные IP-адреса 20% хакеров подконтрольного правоохранительным органам форума. При этом обнаружить подобную слежку практически невозможно, так как сохранение и запрос cookies – это обычный процесс.

Думаю, вывод очевиден: всегда используйте VPN или proxy, даже если вы не авторизуетесь в данный момент на сайте. При использовании нескольких аккаунтов, помимо смены IP-адреса, не забывайте чистить cookies или используйте разные браузеры. Сайт, к счастью, не имеет возможности выяснить, какие cookies сохранены у вас в другом браузере.

Деанонимизация пользователей VPN и proxy через User agent и отпечатки браузера

Сразу хочу оговориться: в данной статье я использую «User agent» в качестве обобщенного термина для собираемой сайтами информации. Это хотя и не совсем верно с точки зрения терминологии, зато просто и понятно читателям. Я уже касался в курсе угрозы уникализации, и теперь пришло время рассмотреть практическое использование уникализации для деанонимизации. Многих неподкованных пользователей эта тема пугает своей сложностью, но на самом деле ничего сложного в ней нет.

Каждый из вас путешествует по сайтам и использует для этого специальное программное обеспечение, называемое браузером. Мы работаем с разными браузерами: кто-то с Chrome, кто-то с Safari, у кого-то Яндекс.Браузер, самые разумные используют Mozilla, ну а некоторые до сих пор Internet Explorer. Но даже если у трех человек один и тот же браузер, например Mozilla Firefox, один работает с операционной системы Windows, другой с macOS, а третий с Linux Mint. Один обновляет браузер вовремя, а другой до сих пор использует устаревшую версию, у одного язык браузера английский, у другого – русский. Сайту нужны сведения о вашем браузере: например, язык браузера, чтобы понять, какую версию мультиязычного сайта вам показать; разрешение, чтобы понять, мобильную или обычную версию сайта вам предоставить. Сайты могут видеть многое, даже ваше системное время, оно часто используется для простой проверки наличия VPN или proxy. Предположим, вы используете VPN и ваш IP-адрес указывает, что вы находитесь в славном городе Вашингтоне. А вот ваше системное время и русский язык браузера говорят, что вы, скорее, находитесь где-то в европейской части России. Посмотреть информацию о своем браузере вы можете по этой ссылке. И вот сайт получил информацию о вас: тип и версию браузера, тип операционной системы, язык, системное время, разрешение экрана и некоторую другую техническую информацию.

Как вы думаете, много ли найдется людей, у которых все эти данные совпадают? На самом деле, их не так мало, и по некоторым комбинациям может составлять миллионы. Естественно, ни о какой уникализации речи идти не может, только о сужении круга. Необходимы еще показатели, которые сделают данного посетителя сайта еще уникальнее, и вот тут в игру вступают отпечатки: Canvas, WebGl и audio fingerprint. В этом курсе у нас не одна глава будет посвящена этим отпечаткам, здесь скажу кратко. Canvas и WebGL – отпечатки, получаемые благодаря тому, что все наши браузеры обрабатывают 2D- и 3D-графику немного по-разному. В совокупности эти отпечатки обладают довольно высокой уникальностью. Посмотреть свой отпечаток Canvas вы можете тут, а WebGL – тут. Audio fingerprint – отпечаток, получаемый благодаря особенностям обработки звука. Посмотреть свой отпечаток можно по данной ссылке. Уникальность каждого отдельного отпечатка не так высока, если вы не используете какой-нибудь плагин для подмены Canvas или WebGL. Обычно такие плагины выдают абсолютно уникальное значение отпечатка, и вот в этом случае ваша уникальность становится стопроцентной. Сложно придумать что-то хуже использования подобного плагина. Но даже если вы не используете таких плагинов, когда ваши отпечатки складываются вместе, к ним добавляются иные данные браузера, и уникальность становится очень высокой, вплоть до 1-10 устройств во всем мире. Миф По отпечаткам можно вычислить пользователя. Реальность Отпечатки, как и User agent, в совокупности ведут лишь к уникализации, но никак не к вычислению (деанонимизации) пользователя. Итак, с помощью данных браузера и отпечатков мы уникализировали браузер пользователя, а как же происходит деанонимизация, иными словами, получение подлинного IP-адреса или сразу личности пользователя?

Представьте себе ситуацию: преступник покупает в интернет-магазине товар, расплатившись краденой картой. Магазин использует антифрод систему, которая собирает данные о покупателях, включая все их отпечатки. У владельца магазина на руках IP-адрес, который, естественно, не принадлежит пользователю (у подобного рода мошенников распространено проксирование трафика с использованием SSH-туннеля), и все данные его браузера, включая User agent и отпечатки. Во-первых, владелец магазина может добавить его в черный список, и преступник, не сменив отпечатки, более ничего не купит, а если он их сменит, современные антифрод системы обнаруживают такие подмены и ограничивают пользователей. Во-вторых, он может обратиться в правоохранительные органы. Представим, что владелец магазина потерял много денег и обращается к правоохранительным органам. За дело берется ФБР. Кибермошенничество уже давно стало их коньком, и много киберпреступников из разных стран мира посетили скамью американского суда. Из информации о преступнике есть IP-адрес сервера, через который он проксировал интернет-трафик. И первым делом они, безусловно, проверят, кто подключался к серверу. Часто мошенники используют купленные на черном рынке взломанные сервера и подключаются к ним через SSH. У ФБР есть контакт и с Интерполом, и со всеми ведущими хостинг- и интернет-провайдерами, а даже если нет, мало кто решится не ответить на их запрос. Киберпреступник, вероятно, использует несколько уровней защиты, подключаясь к конечному прокси через другой инструмент проксирования трафика. Это не вызовет проблем, просто займет немного больше времени. Киберпреступники из России, как правило, хорошо осведомлены о данных возможностях спецслужб и не переоценивают защиту, даваемую proxy и VPN. Потому используют мобильный интернет при помощи 4G-модемов и купленных без оформления на свои данные сим-карт, в результате в руках спецслужб оказывается лишь примерное место выхода киберпреступника в сеть. И здесь на помощь приходят отпечатки браузера. Вы, вероятно, ждете услышать, что берутся отпечатки браузера, оставленные преступником, и по ним он деанонимизируется?

Нет, это невозможно, как бы вас ни пугали отпечатками, они не столь опасны в этом случае. Однако они эффективны в другом случае. Например, мошенник имеет несколько аккаунтов в Google в одном браузере. С одного из них он шлет мошеннические письма, другой использует в личных целях. Это не обязательно должен быть Google, пусть это будет Facebook. И Google, и Facebook собирают отпечатки и используют их для поиска аккаунтов, зарегистрированных с одного устройства. Мошенник хорошо разбирается в вопросах безопасности, использует режим инкогнито для «грязных дел» и разные VPN. Но благодаря User agent и отпечаткам, система видит, что это один человек. Дальше его преступления ложатся в основу уголовного дела, и правоохранительные органы отправляют запрос условному Google с целью получить данные о пользователе, включая информацию, какие еще аккаунты у него есть.

Как вы понимаете, они получат все аккаунты мошенника, включая личные, по которым его можно вычислить. Предложенный метод практически не работает против пользователей браузера Тор, хотя многие компании и пытаются их уникализировать, по моим сведениям, пока это получается у них весьма посредственно. Ну а главной защитой от данной угрозы является использование разных браузеров. В этом случае и User agent, и отпечатки браузера будут отличаться.

Деанонимизация пользователей Tor через файлы-приманки

Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. Особенности данной атаки – простота и эффективность против пользователей Tor браузеров. Создавать документы, способные деанонимизировать открывшего их, мы будем в рамках нашего курса, для этого не требуются особые навыки. Как создать ссылку для получения IP-адреса собеседника, мы говорили в этой главе. Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает. Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете». К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере. Уязвимости встречаются нечасто, но исключать их не стоит.

Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия. PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть. Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем. Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса. Остается направить запрос и получить подлинные данные – это не самая сложная задача.

Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec. Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал. Защититься от данного метода деанонимизации можно, открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.