29.06 // Российскую разведку подвел WiFi
В обвинительном заключении, которое предъявлено прокурором южного Нью-Йорка арестованным по обвинению в шпионаже в пользу РФ, описаны технические детали их деятельности. Если верить документу, фигурантов дела подвело безграмотное использование стандартных протоколов беспроводной связи и наплевательское отношение к защите конфиденциальных данных.
Важнейшими уликами, на которых базируется обвинение, являются документальнозафиксированные факты передачи кодированной информации между компьютерамиобвиняемых и компьютерами представителей российской дипломатической миссии.
Важнейшими уликами, на которых базируется обвинение, являются документально зафиксированные факты передачи кодированной информации между компьютерами обвиняемых и компьютерами представителей российской дипломатической миссии.
MAC-адрес не изменили
В ходе задержания у обвиняемой Анны Чапман был изъят ноутбук, содержащий программы для шифрования данных, а также фрагменты зашифрованных файлов.
В обвинительном заключении описаны эпизоды обмена данными с использованием этого компьютера. Так, 20 января 2010 года произведена оперативная съемка контакта Анны Чапман с российским дипломатом. Анна работала с ноутбуком, сидя за столиком в кафе на перекрестке 47-й улицы и 5-й авеню в Нью-Йорке. На улице у кафе остановился автомобиль, в котором находился российский сотрудник.
Средствами радионаблюдения была зафиксирована работа беспроводной самоорганизующейся сети WiFi. На основе анализа MAC-адресов обвинение считает, что между компьютером Анны и компьютером российского дипломата происходила передача зашифрованных данных.
17 марта компьютер Анны Чапман был соединен в сеть с устройством, имеющим MAC-адрес, идентичный адресу компьютера российского дипломата из первого эпизода. На этот раз обмен данными Анна проводила из книжного магазина на Манхэттене. В документе описаны еще два случая обмена данными с использованием тех же MAC-адресов.
MAC-адрес глобально уникален и обычно зашит в аппаратуру, используемую для работы в беспроводных сетях. Любое WiFi-устройство имеет свой MAC-адрес, который программируется производителем в процессе изготовления. Однако при работе в любой распространенной операционной системе MAC-адрес можно изменить, так как значение, указанное через драйвер, имеет приоритет над зашитым адресом. MAC-адрес нельзя изменить программно только в некоторых классах оборудования (например, в приставках для IP-телевидения).
Историю браузера не почистили
В обвинительном заключении описан метод обмена зашифрованными сообщениями между фигурантами дела и московским центром ГРУ. Метод предполагал использование специальной программы, добавляющей данные в файл изображения или извлекающей данные из подобного файла.
Файл с добавленной кодированной информацией выглядит так же, как обычный графический файл, поэтому сам факт обмена данными может быть скрыт.
В ноутбуках обвиняемых обнаружены как ссылки на сайт, содержащий изображения с зашифрованными сообщениями, так и программа для работы с этими изображениями. Программа использует 27-значный ключ, что соответствует 216 бит. При этом использование любых криптоалгоритмов в США строго регламентировано (например, экспорт криптоалгоритмов с длиной ключа более 56 бит запрещен законом). Авторы обвинительного заключения считают, что программа, которую использовали шпионы, создана в Москве и ее использование на территории США незаконно.
Достаточно ли будет собранных ФБР улик для признания арестованных виновными, решит суд. Но уже ясно, что грамотная настройка сети, а также очистка истории браузера помогла бы сделать обвинительное заключение менее объемным.
Источник: http://www.infox.ru/hi-tech/te.....skuyu_razvyedk.phtml
комментариев: 9796 документов: 488 редакций: 5664
Предлагаю ознакомиться с первоисточником всей этой шумихи в СМИ:
http://cryptome.org/svr/usa-v-svr.zip
При том, что в самих официальных обвинительных актах тоже пропущено множество технических деталей или они умышленно написаны несколько поверхностным языком, возможно там также скрыты или искажены некоторые детали.
У нелегалов были проблемы с настройков WiFi, судя по перехваченным разговорам, они в этом деле чайники вобще и не могли его сами настроить, с кем-то там им приходилось консультироваться, возможно из-за этого им приходилось чаще напрямую являться в представительство России при ООН и устраивать личные встречи в разных других местах.
Для пеленгации WiFi и возможного дампа трафика агентами ФБР использована обычная коммерческая программа (название не указано).
Диски в домашних компьютерах были "запаролены", но не указано, что зашифрованы. Упоминаемый пароль из 27 символов агенты ФБР нашли на бумажке при скрытом обыске в жилище обвиняемых и сфотографировали. У второй группы пароль тоже был из 27 символов. Также они (ФБР) скрытно скопировали содержимое винчестеров. На винчестерах во втором случае была найдена программа для стегопереписки через изображения, к которой этот пароль/ключ подошёл. Далее была просмотрена история посещения браузера и данные перехвата почты/вэб-трафика,
по которым определён список сайтов-кандидатов на использование стегосвязи и ссылок, по которым они переходили с этих сайтов. Путём стегоанализа (не указано, был ли аналитический метод или просто подбор при знании пароля) были выявлены картинки на сайтах, к которым подошёл пароль с использованием найденной стегопрограммы. Сообщения "из центра", свидетельствующие о связях с СВР были из изображений извлечены и расшифрованы (за счёт знания пароля).
На винчестерах были также найдены черновики сообщений от предполагаемых агентов в центр (с вопросами типа, а можно спрятать сразу четыре файла в одну картинку?).
При обыске обнаружено также оборудование для приёма дальней радиосвязи (традиционный резервный сверханонимный и скрытный канал?) и отрывные блокноты со "случайно выглядящими цифрами" (ну ясное дело одноразовыми). Видео- и аудионаблюдение зафиксировало факты работы с этой аппаратурой. Источник передачи сообщений (центр) наверняка тоже был установлен, но об этом не сообщается (это дело АНБ, а не ФБР).
По большей части устарело и не совсем верно.
Там не так: только стегопрограмма оказалась неизвестной, предположительно по мнению федералов написанной в Москве и переданной через ещё там какой-то привезённый оттуда ноутбук или от представителей России на территории США.
Судя по всему, агенты ФБР выполняют расследование для суда, а большинство собранной по делу информации передаётся для анализа более секретным спецслужбам США и не будет никогда ни опубликовано, ни представлено на процессе, ни тем более получено оценок со стороны экспертов из спецслужб, особенно если достаточно вынести приговор только по второстепенным обвинениям.
Возможно дело специально сдали федералам для разглашения некоторых подробностей и показательного процесса, как само по себе незначительное и неинтересное контрразведке, но это уже из области всяких теорий заговора.
комментариев: 9796 документов: 488 редакций: 5664
Анонимность пользователя Tor и любых существующих систем анонимной связи в интернете может быть (относительно легко) раскрыта спецслужбами путём проведения атак глобального наблюдателя (или его частичной эмуляции). Этот вопрос возможно будет более подробно рассмотрен как будущее приложение к разделу Системы для анонимных коммуникаций, также как и концепт-проект от разработчиков Tor по созданию сети нового поколения с низкими задержками на базе Tor, устойчивой к глобальному наблюдателю, но в ближайшем времени перевод этих материалов не обещаю.
Кроме того, использование анонимных сетей привлекает внимание, если пользователь вызывает подозрение по ещё каким-то параметрам. Наконец, Tor не рассчитан на долговременную анонимность, возможно лет через 10-15 весь трафик даже за счёт сравнительно малой длины DH-ключей будет элементарно расшифрован, а для агентов, которые там прожили по двадцать лет требуются более консервативные и не такие экспериментальные и быстроменяющиеся виды связи.
комментариев: 9796 документов: 488 редакций: 5664
2727 ≈ 2128, с точностью до порядка, не?
К тому же {qwertyuiopasdfghjklzxcvbnm} — это как раз 26 символов. Можно дополнить этот набор ещё каким-нибудь одним неслужебным символом с клавы (цифрой) и повторить выбор из множества случайным образом 27 раз — вот вам и 128-битный ключ.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 115 документов: 19 редакций: 17
комментариев: 11558 документов: 1036 редакций: 4118
Детский сад какой-то.
Плюс пробел = 27.
комментариев: 9796 документов: 488 редакций: 5664
Предварительное обвинение показывает комплексную систему связи.
Самый надёжный канал связи какой? Коротковолновое радио, которое будет работать даже после ядерной войны на тысячи километров. Агенту достаточно иметь бытовой приёмник высокого класса (правда сейчас таких почти не выпускают, что несколько затрудняет маскировку) и знать морзянку (большей частью для военных, шпионов она всё ещё актуальна и останется таковой надолго) или декодировать помехоустойчивые цифровые радиосигналы, посылая их с приёмника на компьютер (что менее надёжно). Но так можно получать только очень короткие и не очень срочные сообщения в режиме односторонней связи "центр-агенты". Зато при такой связи принимающая сторона не просто абсолютно анонимна и ненаблюдаема, ненаблюдаем сам факт приёма (никто не анонсирует своё подключение к анонимной сети), ведь агент не подключается ни к какой сети коммуникации, а только слушает эфир, его местоположение неизвестно. Сообщения он получает короткие вида: "встречайтесь с такими-то людьми, зайдите на сайт такой-то".
Второй уровень: картинки-стего, получая разные адреса сайтов можно получать картинки и извлекать из них стегосообщения не привлекая внимания в интернете. Возможна и обратная связь с центром путём выкладывания картинок. Сообщения уже могуть быть больше (килобайты).
Третий уровень: нужно получить/передать много информации. WiFi. Никто в крупном городе весь WiFi не мониторит и не пеленгует, по крайней мере кратковременные сеансы связи. Там неизбежный бардак в эфире. Переданные файлы агентов — зашифрованы или сам канал.
Почему не использовали более продвинутые методы? Направленные ИК-лазеры (детектируются за счёт эффектов рассеивания, однозначно указывая направление, м.б. проблемы с настройкой), спутниковую связь (громоздко, сложно, трудно замаскировать). Логично использовать достаточно простые в использовании виды связи, для использования которых можно быстро купить всё необходимое в магазине бытовой техники (а не пытаться починить или ждать, пока пришлют на замену девайс из центра).
Почему допустили кучу ляпов? Гуманитарии скорее всего и ни разу не компьютерщики. В центре морзянку и язык когда-то выучили, а WiFi им придумали использовать для связи и передали стегопрограммы уже позже. Вот и накосячили. Не исключено, что ФБР совместно кроме перехвата трафика и дампов MAC-адресов и пеленгацию и другие технические мероприятия, но в обвинении о лишних секретных методиках могут умолчать. Зачем, если и так получили улики. Хотя пеленгацию коротких сеансов WiFi делать действительно в оперативных условиях нетривиально и смена MAC-адреса спасла бы героев. Но наверняка провалились они не на технической стороне дела. Чтобы собрать все эти улики нужно знать, за кем конкретно следить. Тут человеческий фактор. Может их сдал кто-то. А может в этой истории много фальсификации и искажения действительности, так что трудно сказать как на самом деле было.
Предварительное обвинение похоже преувеличивает одни детали и может скрывать технические подробности.
комментариев: 11558 документов: 1036 редакций: 4118
Помнится, Дэниел Надь делился историей советских времён о гэбэшных фургончиках, разъезжавших по Будапешту и наводками пеленговавших, на какую волну настроены приёмники в домах горожан.
Справедливо.
комментариев: 9796 документов: 488 редакций: 5664