Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Деанонимизация пользователей VPN и proxy путем сопоставления соединений
Сопоставление соединений – это один из самых эффективных путей деанонимизации пользователей VPN и proxy, применяемых спецслужбами и правоохранительными органами по всему миру. Давайте представим ситуацию: вы сотрудник спецслужбы и разыскиваете опасного хакера. Все, что у вас есть,‒это его IP-адрес, с которого он месяц назад один раз заходил на сайт. Вроде бы отличная возможность вычислить пользователя по IP-адресу, точно известно, что хакер находится в одной с вами стране, но IP-адрес принадлежит VPN-сервису и размещен в Нидерландах.
Что делать? Первым делом вы отправляете запрос владельцу VPN с просьбой выдать данные о том, кто использовал такой-то IP-адрес в такое-то время. Предположим, владелец VPN игнорирует ваш запрос. В вашем арсенале остается набор вредоносного софта, которым можно заразить устройство хакера, но вот проблема – контакта с ним никакого нет. Хакер сделал свое дело и залег на дно, потому все методы активной деанонимизации бесполезны.
Что же делать? У вас есть система ОРМ (оперативно-розыскных мероприятий, в России это СОРМ), которая сканирует весь трафик всех пользователей, у вас есть провайдеры, которые по закону сохраняют данные об активности пользователей. Да, вы не можете расшифровать записанный VPN-трафик, но это вам и не нужно. Вам необходимо посмотреть, кто из жителей в интересующий промежуток времени устанавливал зашифрованное соединение с нужным вам VPN-сервером в Нидерландах. Если это популярный публичный VPN, таких пользователей может быть несколько, но их не может быть много. Пусть в нашем случае будет три человека. Установить, кто же из них хакер, уже не представляется сложной задачей, для этого используются стандартные практики расследования, не имеющие прямого отношения к вопросам анонимности и безопасности в сети.
Аналогичным способом можно деанонимизировать и пользователей proxy, а вот против пользователей Тор атака не пройдет, так как IP-адрес, к которому подключается пользователь Тор,‒это адрес входной ноды, а на выходе у него IP-адрес выходной ноды. Против пользователей Тор есть свои методы деанонимизации с использованием ОРМ, например тайминг-атака на мессенджер. Главная защита от атаки методом сопоставления соединений – использование цепочек, например Double (двойной) VPN или Double proxy, в этом случае подключаться вы будете к одному серверу, а на выходе у вас будет IP-адрес другого сервера. Совет Для защиты от атаки методом сопоставления соединений используйте связки серверов VPN и proxy. Знаю, что некоторые специалисты настраивают single (одинарный) VPN таким образом, чтобы на входе был один IP-адрес, а на выходе другой. Такая схема должна быть эффективна против атаки путем сопоставления соединений, но на практике я с подобными решениями не сталкивался.
Деанонимизация пользователей VPN и proxy через cookies
[Cookies – это файлы, которые сайт сохраняет на компьютере посетителя для узнавания пользователя, сбора статистики, сохранения персональных настроек и некоторых других задач. Мы будем подробно рассказывать о cookies и способах их удаления в рамках нашего курса, сейчас просто запомните, что есть сессионные cookies, которые удаляются вместе с закрытием браузера, и постоянные, которые сохраняются даже после закрытия браузера. Исключение составляют приватные режимы браузеров, в которых все cookies принудительно становятся сессионными.
Cookies вместе с историей браузера используются криминалистами при проведении криминалистического анализа компьютера, и бывают ситуации, когда пользователь, очистив историю, забывает удалить cookies, что приводит к восстановлению данных о его активности. Именно поэтому программа для противодействия криминалистическому анализу и несанкционированному физическому доступу к устройствам Panic Button, помимо очистки истории, удаляет еще cookies.
К слову, Panic Button удаляет также сохраненные вкладки, список избранных сайтов, кэш браузера, сохраненные пароли, но это уже другая история. Вы должны запомнить, что, если вы зайдете на сайт, например социальной сети, без авторизации, но ранее с этого же браузера вы авторизовались на нем, сайт сможет вас узнать по cookies. Если вы используете два аккаунта и при смене аккаунтов закрываете браузер и меняете IP-адрес, сайт сможет вас узнать при помощи cookies. Как же cookies приводят к деанонимизации пользователей VPN и proxy?
Эта тактика использовалась правоохранительными органами одной европейской страны для ловли хакеров. Хакеры обычно используют для общения и торговли многочисленные форумы, крупнейший из которых Hack Forums. В отличие от наркоторговцев и торговцев оружием, хакеры неохотно переходят в Deep Web, продолжая по старинке использовать форумы открытого Интернета. У форумов есть администраторы – те, кто обслуживают форум и поддерживают его работоспособность, за ними и охотились правоохранительные органы. После ареста администратору форума делалось предложение о тайном сотрудничестве в обмен на свободу, и, конечно, большинство арестованных выбирало свободу. После этого форум перенастраивался таким образом, чтобы проверять cookies у всех неавторизованных пользователей, записывать информацию об имеющихся у них на форуме аккаунтах и их текущие IP-адреса. Как это приводило к деанонимизации? Когда хакеры заходили на форум под своим аккаунтом, они использовали VPN или proxy, беспокоясь о своей анонимности, но когда они просто читали форум, то часто пренебрегали анонимностью, полагая, что в данный момент они никак не связаны со своим аккаунтом. Так их и ловили, и, согласно данным, имеющимся у меня, за два месяца таким образом смогли установить подлинные IP-адреса 20% хакеров подконтрольного правоохранительным органам форума. При этом обнаружить подобную слежку практически невозможно, так как сохранение и запрос cookies – это обычный процесс.
Думаю, вывод очевиден: всегда используйте VPN или proxy, даже если вы не авторизуетесь в данный момент на сайте. При использовании нескольких аккаунтов, помимо смены IP-адреса, не забывайте чистить cookies или используйте разные браузеры. Сайт, к счастью, не имеет возможности выяснить, какие cookies сохранены у вас в другом браузере.
Деанонимизация пользователей VPN и proxy через User agent и отпечатки браузера
Сразу хочу оговориться: в данной статье я использую «User agent» в качестве обобщенного термина для собираемой сайтами информации. Это хотя и не совсем верно с точки зрения терминологии, зато просто и понятно читателям. Я уже касался в курсе угрозы уникализации, и теперь пришло время рассмотреть практическое использование уникализации для деанонимизации. Многих неподкованных пользователей эта тема пугает своей сложностью, но на самом деле ничего сложного в ней нет.
Каждый из вас путешествует по сайтам и использует для этого специальное программное обеспечение, называемое браузером. Мы работаем с разными браузерами: кто-то с Chrome, кто-то с Safari, у кого-то Яндекс.Браузер, самые разумные используют Mozilla, ну а некоторые до сих пор Internet Explorer. Но даже если у трех человек один и тот же браузер, например Mozilla Firefox, один работает с операционной системы Windows, другой с macOS, а третий с Linux Mint. Один обновляет браузер вовремя, а другой до сих пор использует устаревшую версию, у одного язык браузера английский, у другого – русский. Сайту нужны сведения о вашем браузере: например, язык браузера, чтобы понять, какую версию мультиязычного сайта вам показать; разрешение, чтобы понять, мобильную или обычную версию сайта вам предоставить. Сайты могут видеть многое, даже ваше системное время, оно часто используется для простой проверки наличия VPN или proxy. Предположим, вы используете VPN и ваш IP-адрес указывает, что вы находитесь в славном городе Вашингтоне. А вот ваше системное время и русский язык браузера говорят, что вы, скорее, находитесь где-то в европейской части России. Посмотреть информацию о своем браузере вы можете по этой ссылке. И вот сайт получил информацию о вас: тип и версию браузера, тип операционной системы, язык, системное время, разрешение экрана и некоторую другую техническую информацию.
Как вы думаете, много ли найдется людей, у которых все эти данные совпадают? На самом деле, их не так мало, и по некоторым комбинациям может составлять миллионы. Естественно, ни о какой уникализации речи идти не может, только о сужении круга. Необходимы еще показатели, которые сделают данного посетителя сайта еще уникальнее, и вот тут в игру вступают отпечатки: Canvas, WebGl и audio fingerprint. В этом курсе у нас не одна глава будет посвящена этим отпечаткам, здесь скажу кратко. Canvas и WebGL – отпечатки, получаемые благодаря тому, что все наши браузеры обрабатывают 2D- и 3D-графику немного по-разному. В совокупности эти отпечатки обладают довольно высокой уникальностью. Посмотреть свой отпечаток Canvas вы можете тут, а WebGL – тут. Audio fingerprint – отпечаток, получаемый благодаря особенностям обработки звука. Посмотреть свой отпечаток можно по данной ссылке. Уникальность каждого отдельного отпечатка не так высока, если вы не используете какой-нибудь плагин для подмены Canvas или WebGL. Обычно такие плагины выдают абсолютно уникальное значение отпечатка, и вот в этом случае ваша уникальность становится стопроцентной. Сложно придумать что-то хуже использования подобного плагина. Но даже если вы не используете таких плагинов, когда ваши отпечатки складываются вместе, к ним добавляются иные данные браузера, и уникальность становится очень высокой, вплоть до 1-10 устройств во всем мире. Миф По отпечаткам можно вычислить пользователя. Реальность Отпечатки, как и User agent, в совокупности ведут лишь к уникализации, но никак не к вычислению (деанонимизации) пользователя. Итак, с помощью данных браузера и отпечатков мы уникализировали браузер пользователя, а как же происходит деанонимизация, иными словами, получение подлинного IP-адреса или сразу личности пользователя?
Представьте себе ситуацию: преступник покупает в интернет-магазине товар, расплатившись краденой картой. Магазин использует антифрод систему, которая собирает данные о покупателях, включая все их отпечатки. У владельца магазина на руках IP-адрес, который, естественно, не принадлежит пользователю (у подобного рода мошенников распространено проксирование трафика с использованием SSH-туннеля), и все данные его браузера, включая User agent и отпечатки. Во-первых, владелец магазина может добавить его в черный список, и преступник, не сменив отпечатки, более ничего не купит, а если он их сменит, современные антифрод системы обнаруживают такие подмены и ограничивают пользователей. Во-вторых, он может обратиться в правоохранительные органы. Представим, что владелец магазина потерял много денег и обращается к правоохранительным органам. За дело берется ФБР. Кибермошенничество уже давно стало их коньком, и много киберпреступников из разных стран мира посетили скамью американского суда. Из информации о преступнике есть IP-адрес сервера, через который он проксировал интернет-трафик. И первым делом они, безусловно, проверят, кто подключался к серверу. Часто мошенники используют купленные на черном рынке взломанные сервера и подключаются к ним через SSH. У ФБР есть контакт и с Интерполом, и со всеми ведущими хостинг- и интернет-провайдерами, а даже если нет, мало кто решится не ответить на их запрос. Киберпреступник, вероятно, использует несколько уровней защиты, подключаясь к конечному прокси через другой инструмент проксирования трафика. Это не вызовет проблем, просто займет немного больше времени. Киберпреступники из России, как правило, хорошо осведомлены о данных возможностях спецслужб и не переоценивают защиту, даваемую proxy и VPN. Потому используют мобильный интернет при помощи 4G-модемов и купленных без оформления на свои данные сим-карт, в результате в руках спецслужб оказывается лишь примерное место выхода киберпреступника в сеть. И здесь на помощь приходят отпечатки браузера. Вы, вероятно, ждете услышать, что берутся отпечатки браузера, оставленные преступником, и по ним он деанонимизируется?
Нет, это невозможно, как бы вас ни пугали отпечатками, они не столь опасны в этом случае. Однако они эффективны в другом случае. Например, мошенник имеет несколько аккаунтов в Google в одном браузере. С одного из них он шлет мошеннические письма, другой использует в личных целях. Это не обязательно должен быть Google, пусть это будет Facebook. И Google, и Facebook собирают отпечатки и используют их для поиска аккаунтов, зарегистрированных с одного устройства. Мошенник хорошо разбирается в вопросах безопасности, использует режим инкогнито для «грязных дел» и разные VPN. Но благодаря User agent и отпечаткам, система видит, что это один человек. Дальше его преступления ложатся в основу уголовного дела, и правоохранительные органы отправляют запрос условному Google с целью получить данные о пользователе, включая информацию, какие еще аккаунты у него есть.
Как вы понимаете, они получат все аккаунты мошенника, включая личные, по которым его можно вычислить. Предложенный метод практически не работает против пользователей браузера Тор, хотя многие компании и пытаются их уникализировать, по моим сведениям, пока это получается у них весьма посредственно. Ну а главной защитой от данной угрозы является использование разных браузеров. В этом случае и User agent, и отпечатки браузера будут отличаться.
Деанонимизация пользователей Tor через файлы-приманки
Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. Особенности данной атаки – простота и эффективность против пользователей Tor браузеров. Создавать документы, способные деанонимизировать открывшего их, мы будем в рамках нашего курса, для этого не требуются особые навыки. Как создать ссылку для получения IP-адреса собеседника, мы говорили в этой главе. Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает. Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете». К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере. Уязвимости встречаются нечасто, но исключать их не стоит.
Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия. PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть. Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем. Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса. Остается направить запрос и получить подлинные данные – это не самая сложная задача.
Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec. Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал. Защититься от данного метода деанонимизации можно, открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.
Сопоставление соединений – это один из самых эффективных путей деанонимизации пользователей VPN и proxy, применяемых спецслужбами и правоохранительными органами по всему миру. Давайте представим ситуацию: вы сотрудник спецслужбы и разыскиваете опасного хакера. Все, что у вас есть,‒это его IP-адрес, с которого он месяц назад один раз заходил на сайт. Вроде бы отличная возможность вычислить пользователя по IP-адресу, точно известно, что хакер находится в одной с вами стране, но IP-адрес принадлежит VPN-сервису и размещен в Нидерландах.
Что делать? Первым делом вы отправляете запрос владельцу VPN с просьбой выдать данные о том, кто использовал такой-то IP-адрес в такое-то время. Предположим, владелец VPN игнорирует ваш запрос. В вашем арсенале остается набор вредоносного софта, которым можно заразить устройство хакера, но вот проблема – контакта с ним никакого нет. Хакер сделал свое дело и залег на дно, потому все методы активной деанонимизации бесполезны.
Что же делать? У вас есть система ОРМ (оперативно-розыскных мероприятий, в России это СОРМ), которая сканирует весь трафик всех пользователей, у вас есть провайдеры, которые по закону сохраняют данные об активности пользователей. Да, вы не можете расшифровать записанный VPN-трафик, но это вам и не нужно. Вам необходимо посмотреть, кто из жителей в интересующий промежуток времени устанавливал зашифрованное соединение с нужным вам VPN-сервером в Нидерландах. Если это популярный публичный VPN, таких пользователей может быть несколько, но их не может быть много. Пусть в нашем случае будет три человека. Установить, кто же из них хакер, уже не представляется сложной задачей, для этого используются стандартные практики расследования, не имеющие прямого отношения к вопросам анонимности и безопасности в сети.
Аналогичным способом можно деанонимизировать и пользователей proxy, а вот против пользователей Тор атака не пройдет, так как IP-адрес, к которому подключается пользователь Тор,‒это адрес входной ноды, а на выходе у него IP-адрес выходной ноды. Против пользователей Тор есть свои методы деанонимизации с использованием ОРМ, например тайминг-атака на мессенджер. Главная защита от атаки методом сопоставления соединений – использование цепочек, например Double (двойной) VPN или Double proxy, в этом случае подключаться вы будете к одному серверу, а на выходе у вас будет IP-адрес другого сервера. Совет Для защиты от атаки методом сопоставления соединений используйте связки серверов VPN и proxy. Знаю, что некоторые специалисты настраивают single (одинарный) VPN таким образом, чтобы на входе был один IP-адрес, а на выходе другой. Такая схема должна быть эффективна против атаки путем сопоставления соединений, но на практике я с подобными решениями не сталкивался.
Деанонимизация пользователей VPN и proxy через cookies
[Cookies – это файлы, которые сайт сохраняет на компьютере посетителя для узнавания пользователя, сбора статистики, сохранения персональных настроек и некоторых других задач. Мы будем подробно рассказывать о cookies и способах их удаления в рамках нашего курса, сейчас просто запомните, что есть сессионные cookies, которые удаляются вместе с закрытием браузера, и постоянные, которые сохраняются даже после закрытия браузера. Исключение составляют приватные режимы браузеров, в которых все cookies принудительно становятся сессионными.
Cookies вместе с историей браузера используются криминалистами при проведении криминалистического анализа компьютера, и бывают ситуации, когда пользователь, очистив историю, забывает удалить cookies, что приводит к восстановлению данных о его активности. Именно поэтому программа для противодействия криминалистическому анализу и несанкционированному физическому доступу к устройствам Panic Button, помимо очистки истории, удаляет еще cookies.
К слову, Panic Button удаляет также сохраненные вкладки, список избранных сайтов, кэш браузера, сохраненные пароли, но это уже другая история. Вы должны запомнить, что, если вы зайдете на сайт, например социальной сети, без авторизации, но ранее с этого же браузера вы авторизовались на нем, сайт сможет вас узнать по cookies. Если вы используете два аккаунта и при смене аккаунтов закрываете браузер и меняете IP-адрес, сайт сможет вас узнать при помощи cookies. Как же cookies приводят к деанонимизации пользователей VPN и proxy?
Эта тактика использовалась правоохранительными органами одной европейской страны для ловли хакеров. Хакеры обычно используют для общения и торговли многочисленные форумы, крупнейший из которых Hack Forums. В отличие от наркоторговцев и торговцев оружием, хакеры неохотно переходят в Deep Web, продолжая по старинке использовать форумы открытого Интернета. У форумов есть администраторы – те, кто обслуживают форум и поддерживают его работоспособность, за ними и охотились правоохранительные органы. После ареста администратору форума делалось предложение о тайном сотрудничестве в обмен на свободу, и, конечно, большинство арестованных выбирало свободу. После этого форум перенастраивался таким образом, чтобы проверять cookies у всех неавторизованных пользователей, записывать информацию об имеющихся у них на форуме аккаунтах и их текущие IP-адреса. Как это приводило к деанонимизации? Когда хакеры заходили на форум под своим аккаунтом, они использовали VPN или proxy, беспокоясь о своей анонимности, но когда они просто читали форум, то часто пренебрегали анонимностью, полагая, что в данный момент они никак не связаны со своим аккаунтом. Так их и ловили, и, согласно данным, имеющимся у меня, за два месяца таким образом смогли установить подлинные IP-адреса 20% хакеров подконтрольного правоохранительным органам форума. При этом обнаружить подобную слежку практически невозможно, так как сохранение и запрос cookies – это обычный процесс.
Думаю, вывод очевиден: всегда используйте VPN или proxy, даже если вы не авторизуетесь в данный момент на сайте. При использовании нескольких аккаунтов, помимо смены IP-адреса, не забывайте чистить cookies или используйте разные браузеры. Сайт, к счастью, не имеет возможности выяснить, какие cookies сохранены у вас в другом браузере.
Деанонимизация пользователей VPN и proxy через User agent и отпечатки браузера
Сразу хочу оговориться: в данной статье я использую «User agent» в качестве обобщенного термина для собираемой сайтами информации. Это хотя и не совсем верно с точки зрения терминологии, зато просто и понятно читателям. Я уже касался в курсе угрозы уникализации, и теперь пришло время рассмотреть практическое использование уникализации для деанонимизации. Многих неподкованных пользователей эта тема пугает своей сложностью, но на самом деле ничего сложного в ней нет.
Каждый из вас путешествует по сайтам и использует для этого специальное программное обеспечение, называемое браузером. Мы работаем с разными браузерами: кто-то с Chrome, кто-то с Safari, у кого-то Яндекс.Браузер, самые разумные используют Mozilla, ну а некоторые до сих пор Internet Explorer. Но даже если у трех человек один и тот же браузер, например Mozilla Firefox, один работает с операционной системы Windows, другой с macOS, а третий с Linux Mint. Один обновляет браузер вовремя, а другой до сих пор использует устаревшую версию, у одного язык браузера английский, у другого – русский. Сайту нужны сведения о вашем браузере: например, язык браузера, чтобы понять, какую версию мультиязычного сайта вам показать; разрешение, чтобы понять, мобильную или обычную версию сайта вам предоставить. Сайты могут видеть многое, даже ваше системное время, оно часто используется для простой проверки наличия VPN или proxy. Предположим, вы используете VPN и ваш IP-адрес указывает, что вы находитесь в славном городе Вашингтоне. А вот ваше системное время и русский язык браузера говорят, что вы, скорее, находитесь где-то в европейской части России. Посмотреть информацию о своем браузере вы можете по этой ссылке. И вот сайт получил информацию о вас: тип и версию браузера, тип операционной системы, язык, системное время, разрешение экрана и некоторую другую техническую информацию.
Как вы думаете, много ли найдется людей, у которых все эти данные совпадают? На самом деле, их не так мало, и по некоторым комбинациям может составлять миллионы. Естественно, ни о какой уникализации речи идти не может, только о сужении круга. Необходимы еще показатели, которые сделают данного посетителя сайта еще уникальнее, и вот тут в игру вступают отпечатки: Canvas, WebGl и audio fingerprint. В этом курсе у нас не одна глава будет посвящена этим отпечаткам, здесь скажу кратко. Canvas и WebGL – отпечатки, получаемые благодаря тому, что все наши браузеры обрабатывают 2D- и 3D-графику немного по-разному. В совокупности эти отпечатки обладают довольно высокой уникальностью. Посмотреть свой отпечаток Canvas вы можете тут, а WebGL – тут. Audio fingerprint – отпечаток, получаемый благодаря особенностям обработки звука. Посмотреть свой отпечаток можно по данной ссылке. Уникальность каждого отдельного отпечатка не так высока, если вы не используете какой-нибудь плагин для подмены Canvas или WebGL. Обычно такие плагины выдают абсолютно уникальное значение отпечатка, и вот в этом случае ваша уникальность становится стопроцентной. Сложно придумать что-то хуже использования подобного плагина. Но даже если вы не используете таких плагинов, когда ваши отпечатки складываются вместе, к ним добавляются иные данные браузера, и уникальность становится очень высокой, вплоть до 1-10 устройств во всем мире. Миф По отпечаткам можно вычислить пользователя. Реальность Отпечатки, как и User agent, в совокупности ведут лишь к уникализации, но никак не к вычислению (деанонимизации) пользователя. Итак, с помощью данных браузера и отпечатков мы уникализировали браузер пользователя, а как же происходит деанонимизация, иными словами, получение подлинного IP-адреса или сразу личности пользователя?
Представьте себе ситуацию: преступник покупает в интернет-магазине товар, расплатившись краденой картой. Магазин использует антифрод систему, которая собирает данные о покупателях, включая все их отпечатки. У владельца магазина на руках IP-адрес, который, естественно, не принадлежит пользователю (у подобного рода мошенников распространено проксирование трафика с использованием SSH-туннеля), и все данные его браузера, включая User agent и отпечатки. Во-первых, владелец магазина может добавить его в черный список, и преступник, не сменив отпечатки, более ничего не купит, а если он их сменит, современные антифрод системы обнаруживают такие подмены и ограничивают пользователей. Во-вторых, он может обратиться в правоохранительные органы. Представим, что владелец магазина потерял много денег и обращается к правоохранительным органам. За дело берется ФБР. Кибермошенничество уже давно стало их коньком, и много киберпреступников из разных стран мира посетили скамью американского суда. Из информации о преступнике есть IP-адрес сервера, через который он проксировал интернет-трафик. И первым делом они, безусловно, проверят, кто подключался к серверу. Часто мошенники используют купленные на черном рынке взломанные сервера и подключаются к ним через SSH. У ФБР есть контакт и с Интерполом, и со всеми ведущими хостинг- и интернет-провайдерами, а даже если нет, мало кто решится не ответить на их запрос. Киберпреступник, вероятно, использует несколько уровней защиты, подключаясь к конечному прокси через другой инструмент проксирования трафика. Это не вызовет проблем, просто займет немного больше времени. Киберпреступники из России, как правило, хорошо осведомлены о данных возможностях спецслужб и не переоценивают защиту, даваемую proxy и VPN. Потому используют мобильный интернет при помощи 4G-модемов и купленных без оформления на свои данные сим-карт, в результате в руках спецслужб оказывается лишь примерное место выхода киберпреступника в сеть. И здесь на помощь приходят отпечатки браузера. Вы, вероятно, ждете услышать, что берутся отпечатки браузера, оставленные преступником, и по ним он деанонимизируется?
Нет, это невозможно, как бы вас ни пугали отпечатками, они не столь опасны в этом случае. Однако они эффективны в другом случае. Например, мошенник имеет несколько аккаунтов в Google в одном браузере. С одного из них он шлет мошеннические письма, другой использует в личных целях. Это не обязательно должен быть Google, пусть это будет Facebook. И Google, и Facebook собирают отпечатки и используют их для поиска аккаунтов, зарегистрированных с одного устройства. Мошенник хорошо разбирается в вопросах безопасности, использует режим инкогнито для «грязных дел» и разные VPN. Но благодаря User agent и отпечаткам, система видит, что это один человек. Дальше его преступления ложатся в основу уголовного дела, и правоохранительные органы отправляют запрос условному Google с целью получить данные о пользователе, включая информацию, какие еще аккаунты у него есть.
Как вы понимаете, они получат все аккаунты мошенника, включая личные, по которым его можно вычислить. Предложенный метод практически не работает против пользователей браузера Тор, хотя многие компании и пытаются их уникализировать, по моим сведениям, пока это получается у них весьма посредственно. Ну а главной защитой от данной угрозы является использование разных браузеров. В этом случае и User agent, и отпечатки браузера будут отличаться.
Деанонимизация пользователей Tor через файлы-приманки
Какой бы банальной и очевидной не казалась вам эта атака, с ее помощью удалось вычислить огромное количество киберпреступников. Особенности данной атаки – простота и эффективность против пользователей Tor браузеров. Создавать документы, способные деанонимизировать открывшего их, мы будем в рамках нашего курса, для этого не требуются особые навыки. Как создать ссылку для получения IP-адреса собеседника, мы говорили в этой главе. Tor дает максимальную анонимность среди всех инструментов для сокрытия своего подлинного IP-адреса. Если пользователя VPN или proxy можно вычислить благодаря запросам, сопоставлению соединений, через сторонние сайты и другими методами, то в случае с Tor это все не работает. Обычно киберпреступник ставит себе Tor браузер и сразу получает высочайший уровень анонимности «в пакете». К его деанонимизации может привести только его глупость, допущенная ошибка, очень сложная в реализации атака (вроде Cross-device tracking) либо уязвимость в Tor сети или Tor браузере. Уязвимости встречаются нечасто, но исключать их не стоит.
Так, благодаря одной из уязвимостей были деанонимизированы и арестованы более 900 посетителей сайта с детской порнографией PlayPen. Все они использовали Tor, но это не спасло педофилов от ФБР и правосудия. PlayPen, скорее, исключение из правил, и киберпреступники, используя Tor, чувствуют себя в безопасности. Но вот киберпреступник сталкивается с документом Word (или PDF), который ему прислали и который в его интересах открыть. Он качает его, проверяет на Virustotal и запускает на виртуальной машине. Документ не проявляет никакой вредоносной активности, он только соединяется с сервером и тем самым отправляет на него IP-адрес киберпреступника. Виртуальная машина по умолчанию не блокирует соединения, а анонимность Tor браузера распространяется только на сайты, открываемые в нем. Даже если киберпреступник использует VPN и настроил его так, что соединения в обход него невозможны, в руках правоохранительных органов окажется IP-адрес коммерческого VPN-сервиса. Остается направить запрос и получить подлинные данные – это не самая сложная задача.
Таким образом были вычислены многие известные хакеры, включая Коди Кретсингера из хакерской группировки LulzSec. Для соединения с сервером необходимо открытие файла-приманки на компьютере жертвы, простое скачивание не приведет к результату. Еще раз обращаю внимание, что с высокой вероятностью всевозможные проверки файла сочтут приманку безопасной, в целом такой она и является: соединение с сервером – это не вредоносный функционал. Защититься от данного метода деанонимизации можно, открывая подобные документы в виртуальной операционной системе Whonix. Whonix исключает соединения в обход сети Tor. Если файл открывается в песочнице, необходимо убедиться, что песочница предотвращает все внешние соединения открываемых в ней объектов. Либо можно полностью отказаться от открытия у себя на компьютере каких-либо файлов.