Как ловят хакеров?

Всем привет любители анонимности, сегодня мы рассмотрим как специалисты защищают веб ресурсы и как они расследуют хакерские атаки на них.

В начале замечу, что сетевая форензика, это комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничество, поиска уязвимостей и других инцидентов в сетевой инфраструктуре компаний.

Начинается сетевая форензика с того, что во всех крупных компаниях, весь сетевой трафик проходит через специальный шлюз. К этому шлюзу подключено специальное оборудование, которая предназначена для записи и аналитики всего входящего и исходящего трафика компаний.

Для удобства назовем его "главный сетевой монитор"

На этом же оборудований в автоматическом режиме отслеживаются нестандартные действия пользователей, сравниваются эти действия с попытками взлома других компаний, а обо всех случаях незамедлительно сообщается специалистам по компьютерной безопасности.

К примеру:

Вы просканировали сервера компаний, на открытые и закрытые порты, а данные об этих действиях и с какого IP они были произведены, будут автоматически записаны в базу.

Так же, в случае если после подобных операций, компанию будет нанесен ущерб и если они пожалуются в специальные органы, все эти данные будут прикреплены к делу и могут послужить доказательствами в суде.

И если будет установлена связь, между вашим IP адресом и произошедшим инцидентом, то за вами могут придти веселые дяди в черных масках)

Однако, вы можете замаскировать ваш трафик посредством того же сервиса Тор.

Тут следует заметить, что все выходные ноты тора и исходящий с них трафик легко обнаруживается. Будет замечено что с выходной ноты тора, в сторону серверов компаний какие либо действия. Об этом будет доложено соответствующему специалисту, а при необходимости данный трафик будет заблокирован. Более того, если данная атака все таки прошла, то следует напомнить, что большинство выходных ноты тора, контролируются спецслужбами правительства.

А имея подконтрольную выходную ноту, они могут определить и подлинный источник трафика.

Однако вы можете сказать, что в довесах к тору, вы используете VPN, тут тоже есть нюансы.

Во-первых, все коммерческие сервисы ведут "логи"

Даже те которые очень пытаются убедить вас, что якобы не раскрывают ничего о своих пользователях. Нагло врут.

И в случае запроса от внутренних органов, выдадут все данные. Более того, если инцидент был достаточно серьезен, то в целях ускорения оперативно-розыскной деятельности, данный сервер может быть попросту взломан сотрудниками внутренних дел и необходимые данные будут получены.

Однако вы можете сказать, что вы сами подняли свой VPN-сервер и надежно его защитили. На что я вам отвечу, что сервер стоит в Data центре компаний и ни что не мешает получить к нему физический доступ.

Ну и наконец, вы скажете что используете публичный Wi-Fi или Wi-Fi соседа.

Здесь я замечу что если до этого дойдет, вы-практически пойманы.

Роутеры так же могут вести логи и записывать Mac-адресы подключенных устройств.

Даже при смене их, они знают время подключения каждого устройства и время обращения к определенным IP адресам.

А имея эти данные и сопоставив их с данными системой "безопасный город" (все камеры наблюдения в городе) можно вычислить личность предполагаемого преступника. Так же хотелось бы сказать, что данная система очень сильно упрощена и в ней присутствуют такие элементы как:

• Тип прикладного протокола
• Тип протокола транспортного уровня
• Порт источника и МА-коды в случае мобильной связи
• Биометрические идентификаторы
• Скорость движение мыши
• Скорость набора текста и еще множество других идентификаторов, которые могут рассказать о личности злоумышленника.

Более того, стоит обратить внимание на систему "СОРМ" (сорм) - который является главным помощником отдела "К"

И тут у вас могут появиться вопросы, как же тогда все эти хакеры взламывают сервера крупных компаний, получают доступ к конфиденциальной информаций? На что вам я могу ответить тем, что не все компаний задумываются о своей информационной безопасности и предпочитают экономить свой бюджет на крупном-сетевом мониторинге.

Так же, талантливые специалисты знакомы со всеми системами, оперативно-розыскной деятельности и в частности сетевой форензики. А по тому, периодически меняют свое географическое местоположение, как и меняют устройства предназначенные под подобные цели.

Так же, серьезные операций зачастую, планируются годами и в их реализаций в качестве скрытия источника трафика зачастую, используются крупные "Ботнет" сети.

А так же, следует заметить, что крупные компаний настолько хорошо защищены из внешней среды, что намного легче произвести атаку из внутренний, посредством СИ.

Но это уже другая тема