Безопасно ли использование Vpn + Socks?

Anton666

Местный
ЗАБАНЕН
Регистрация
27/10/15
Сообщения
396
Репутация
1.388
Реакции
1.493
RUB
0
Сделок через гаранта
5
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
<<... я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.

Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.

Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).

Итак, как же вычисляют наивных хакеров, использующих VPN?

Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное - Solera ( ). В Европе распространено оборудование Netwitness ( ), в России - СОРМович ( ), на Украине я встречался с Solera и E-Detective ( ). Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!

А что же происходит в случае, если поверх VPN используется SOCKS?

Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.

Как спастись от подобного?

Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор). Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства ( ). Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел>>.
 
<<... я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.

Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.

Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).

Итак, как же вычисляют наивных хакеров, использующих VPN?

Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное - Solera ( ). В Европе распространено оборудование Netwitness ( ), в России - СОРМович ( ), на Украине я встречался с Solera и E-Detective ( ). Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!

А что же происходит в случае, если поверх VPN используется SOCKS?

Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.

Как спастись от подобного?

Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор). Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства ( ). Так что вывод, стоит ли доверять странам "третьего мира", а также "не ведущим логи сервисам" - за вами. Прецендент уже были и я их видел>>.
Спасибо,очень познавательно!
Кстати, Тор в плане анонимности неуязвим?
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Спасибо,очень познавательно!
Кстати, Тор в плане анонимности неуязвим?
Мне кажется сейчас нет ни чего не уязвимого.
И как правильно написали в комментах к этому посту, что чем больше связок, чем больше ступеней, тем лучше.
Но тут почему-то не написал про дедики. впн + дедик + носок.
 
Мне кажется сейчас нет ни чего не уязвимого.
И как правильно написали в комментах к этому посту, что чем больше связок, чем больше ступеней, тем лучше.
Но тут почему-то не написал про дедики. впн + дедик + носок.
про браузеры забыл, через обычные браузеры( гугл, мозила) идет утечка реального айпи, даже если юзаешь впн, прокси.. Чтобы ты не юзал. А вообщем покупаешь симку ( левую) - левый модем-левый ноут-- тор- double vpn- можно даже через пару серваков впн прогонять и будет тебе счастье, только по скорости упадок будет)
 
Последнее редактирование:
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
отлично:good:
 
Скорее всего ты проколешся в реале! Сболтнешь лишнего, поймаешь случайно не того клиента. Если тебя не поймали у компа споличным, довольно сложно без паяльника натянуть статью. Об этом много писали уже. Тем более для того чтобы госбезопасность заинтересовалась это должен реально быть резонанс.
Из какого кол-ва дел было 4 случая? из 10, 50, 100, 1000?
4 из 100 одно а из 1000 другое)
Мы все тут сторонники повышенной охраны личных данных но не надо забывать, что в реале беспечность быстрее приводит к печальным результатам!
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Скорее всего ты проколешся в реале! Сболтнешь лишнего, поймаешь случайно не того клиента. Если тебя не поймали у компа споличным, довольно сложно без паяльника натянуть статью. Об этом много писали уже. Тем более для того чтобы госбезопасность заинтересовалась это должен реально быть резонанс.
Из какого кол-ва дел было 4 случая? из 10, 50, 100, 1000?
4 из 100 одно а из 1000 другое)
Мы все тут сторонники повышенной охраны личных данных но не надо забывать, что в реале беспечность быстрее приводит к печальным результатам!
Поэтому и надо с самого начала откладывать на хорошего адвоката и стараться все хранить на одной флешке, которую в случае чего можно сразу уничтожить.
 
Поэтому и надо с самого начала откладывать на хорошего адвоката и стараться все хранить на одной флешке, которую в случае чего можно сразу уничтожить.

Желательно с ним заранее познакомиться, Суть - чтобы он мог моментально прибыть и не заморачиваться с бумагами. Но мы то тут все порядоные и ведем обычное ощение))) так что нам и пережвать как бы не о чем)))
 
спасибо, ценная инфа
 
совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов
На сколько понял я, это самая главная фраза из всей статьи/поста..
И прям на ходу я придумал как это можно исправить (в теории)
Нам понадобится еще одна прослоечка.. ssh
но не просто ssh а с командой подключения ssh -o ForwardX11=yes [email protected]
далее что-то типа #start x11.... и к нам будут идти пакетики уже не самих данных а GUI отображения
и размеры и время будут разные.
Если не прав поправьте. Просто интересно.
 
Назад
Сверху Снизу