id: Гость   вход   регистрация
текущее время 06:53 19/03/2024
создать
просмотр
редакции
ссылки

29.06 // Российскую разведку подвел WiFi


В обвинительном заключении, которое предъявлено прокурором южного Нью-Йорка арестованным по обвинению в шпионаже в пользу РФ, описаны технические детали их деятельности. Если верить документу, фигурантов дела подвело безграмотное использование стандартных протоколов беспроводной связи и наплевательское отношение к защите конфиденциальных данных.


Важнейшими уликами, на которых базируется обвинение, являются документальнозафиксированные факты передачи кодированной информации между компьютерамиобвиняемых и компьютерами представителей российской дипломатической миссии.


Важнейшими уликами, на которых базируется обвинение, являются документально зафиксированные факты передачи кодированной информации между компьютерами обвиняемых и компьютерами представителей российской дипломатической миссии.

MAC-адрес не изменили


В ходе задержания у обвиняемой Анны Чапман был изъят ноутбук, содержащий программы для шифрования данных, а также фрагменты зашифрованных файлов.


В обвинительном заключении описаны эпизоды обмена данными с использованием этого компьютера. Так, 20 января 2010 года произведена оперативная съемка контакта Анны Чапман с российским дипломатом. Анна работала с ноутбуком, сидя за столиком в кафе на перекрестке 47-й улицы и 5-й авеню в Нью-Йорке. На улице у кафе остановился автомобиль, в котором находился российский сотрудник.


Средствами радионаблюдения была зафиксирована работа беспроводной самоорганизующейся сети WiFi. На основе анализа MAC-адресов обвинение считает, что между компьютером Анны и компьютером российского дипломата происходила передача зашифрованных данных.


17 марта компьютер Анны Чапман был соединен в сеть с устройством, имеющим MAC-адрес, идентичный адресу компьютера российского дипломата из первого эпизода. На этот раз обмен данными Анна проводила из книжного магазина на Манхэттене. В документе описаны еще два случая обмена данными с использованием тех же MAC-адресов.


MAC-адрес глобально уникален и обычно зашит в аппаратуру, используемую для работы в беспроводных сетях. Любое WiFi-устройство имеет свой MAC-адрес, который программируется производителем в процессе изготовления. Однако при работе в любой распространенной операционной системе MAC-адрес можно изменить, так как значение, указанное через драйвер, имеет приоритет над зашитым адресом. MAC-адрес нельзя изменить программно только в некоторых классах оборудования (например, в приставках для IP-телевидения).

Историю браузера не почистили


В обвинительном заключении описан метод обмена зашифрованными сообщениями между фигурантами дела и московским центром ГРУ. Метод предполагал использование специальной программы, добавляющей данные в файл изображения или извлекающей данные из подобного файла.


Файл с добавленной кодированной информацией выглядит так же, как обычный графический файл, поэтому сам факт обмена данными может быть скрыт.


В ноутбуках обвиняемых обнаружены как ссылки на сайт, содержащий изображения с зашифрованными сообщениями, так и программа для работы с этими изображениями. Программа использует 27-значный ключ, что соответствует 216 бит. При этом использование любых криптоалгоритмов в США строго регламентировано (например, экспорт криптоалгоритмов с длиной ключа более 56 бит запрещен законом). Авторы обвинительного заключения считают, что программа, которую использовали шпионы, создана в Москве и ее использование на территории США незаконно.


Достаточно ли будет собранных ФБР улик для признания арестованных виновными, решит суд. Но уже ясно, что грамотная настройка сети, а также очистка истории браузера помогла бы сделать обвинительное заключение менее объемным.


Источник: http://www.infox.ru/hi-tech/te.....skuyu_razvyedk.phtml


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— Гость (30/06/2010 00:16)   <#>
Так просто узнать MAC-адреса аппаратуры дипломатов?
— Гость (30/06/2010 00:56)   <#>
Совсем недавно шефа ЦРУ уволили за неимоверное количество косяков, если они так решили типа продемонстрировать бдительность, то у них да, проблемы.
— Гость (30/06/2010 03:20)   <#>
WiFi это отстой. Мне кажется, что использование лазерного передатчика было бы более безопасным.
— Гость (30/06/2010 08:58)   <#>
А вот интересно, почему они не используют Tor?
— unknown (30/06/2010 09:29, исправлен 30/06/2010 09:47)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Предлагаю ознакомиться с первоисточником всей этой шумихи в СМИ:
filehttp://cryptome.org/svr/usa-v-svr.zip


При том, что в самих официальных обвинительных актах тоже пропущено множество технических деталей или они умышленно написаны несколько поверхностным языком, возможно там также скрыты или искажены некоторые детали.


У нелегалов были проблемы с настройков WiFi, судя по перехваченным разговорам, они в этом деле чайники вобще и не могли его сами настроить, с кем-то там им приходилось консультироваться, возможно из-за этого им приходилось чаще напрямую являться в представительство России при ООН и устраивать личные встречи в разных других местах.


Для пеленгации WiFi и возможного дампа трафика агентами ФБР использована обычная коммерческая программа (название не указано).


Диски в домашних компьютерах были "запаролены", но не указано, что зашифрованы. Упоминаемый пароль из 27 символов агенты ФБР нашли на бумажке при скрытом обыске в жилище обвиняемых и сфотографировали. У второй группы пароль тоже был из 27 символов. Также они (ФБР) скрытно скопировали содержимое винчестеров. На винчестерах во втором случае была найдена программа для стегопереписки через изображения, к которой этот пароль/ключ подошёл. Далее была просмотрена история посещения браузера и данные перехвата почты/вэб-трафика,
по которым определён список сайтов-кандидатов на использование стегосвязи и ссылок, по которым они переходили с этих сайтов. Путём стегоанализа (не указано, был ли аналитический метод или просто подбор при знании пароля) были выявлены картинки на сайтах, к которым подошёл пароль с использованием найденной стегопрограммы. Сообщения "из центра", свидетельствующие о связях с СВР были из изображений извлечены и расшифрованы (за счёт знания пароля).


На винчестерах были также найдены черновики сообщений от предполагаемых агентов в центр (с вопросами типа, а можно спрятать сразу четыре файла в одну картинку?).


При обыске обнаружено также оборудование для приёма дальней радиосвязи (традиционный резервный сверханонимный и скрытный канал?) и отрывные блокноты со "случайно выглядящими цифрами" (ну ясное дело одноразовыми). Видео- и аудионаблюдение зафиксировало факты работы с этой аппаратурой. Источник передачи сообщений (центр) наверняка тоже был установлен, но об этом не сообщается (это дело АНБ, а не ФБР).


При этом использование любых криптоалгоритмов в США строго регламентировано (например, экспорт криптоалгоритмов с длиной ключа более 56 бит запрещен законом).

По большей части устарело и не совсем верно.


Авторы обвинительного заключения считают, что программа, которую использовали шпионы, создана в Москве и ее использование на территории США незаконно.

Там не так: только стегопрограмма оказалась неизвестной, предположительно по мнению федералов написанной в Москве и переданной через ещё там какой-то привезённый оттуда ноутбук или от представителей России на территории США.


Судя по всему, агенты ФБР выполняют расследование для суда, а большинство собранной по делу информации передаётся для анализа более секретным спецслужбам США и не будет никогда ни опубликовано, ни представлено на процессе, ни тем более получено оценок со стороны экспертов из спецслужб, особенно если достаточно вынести приговор только по второстепенным обвинениям.


Возможно дело специально сдали федералам для разглашения некоторых подробностей и показательного процесса, как само по себе незначительное и неинтересное контрразведке, но это уже из области всяких теорий заговора.

— unknown (30/06/2010 09:44)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Анонимность пользователя Tor и любых существующих систем анонимной связи в интернете может быть (относительно легко) раскрыта спецслужбами путём проведения атак глобального наблюдателя (или его частичной эмуляции). Этот вопрос возможно будет более подробно рассмотрен как будущее приложение к разделу Системы для анонимных коммуникаций, также как и концепт-проект от разработчиков Tor по созданию сети нового поколения с низкими задержками на базе Tor, устойчивой к глобальному наблюдателю, но в ближайшем времени перевод этих материалов не обещаю.

Кроме того, использование анонимных сетей привлекает внимание, если пользователь вызывает подозрение по ещё каким-то параметрам. Наконец, Tor не рассчитан на долговременную анонимность, возможно лет через 10-15 весь трафик даже за счёт сравнительно малой длины DH-ключей будет элементарно расшифрован, а для агентов, которые там прожили по двадцать лет требуются более консервативные и не такие экспериментальные и быстроменяющиеся виды связи.
— Гость (30/06/2010 11:13)   <#>
использование анонимных сетей привлекает внимание
Это, пожалуй, единственный весомый аргумент, поскольку Tor можно использовать не вместо, а вместе с остальными средствами.
— unknown (30/06/2010 11:21, исправлен 30/06/2010 11:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

2727 ≈ 2128, с точностью до порядка, не?


К тому же {qwertyuiopasdfghjklzxcvbnm} — это как раз 26 символов. Можно дополнить этот набор ещё каким-нибудь одним неслужебным символом с клавы (цифрой) и повторить выбор из множества случайным образом 27 раз — вот вам и 128-битный ключ.

— паразит (30/06/2010 14:29)   <#>
27 знаков * 8 бит_на_знак = 216 бит
— unknown (30/06/2010 14:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А, они их в шестнадцатеричном коде на бумажку значит записывали :)
— DDRTL2009 (30/06/2010 17:15)   профиль/связь   <#>
комментариев: 115   документов: 19   редакций: 17
столько сказочек прочитал на эту тему.интересно ,а в каких странах кроме США такие вот пары есть?
— SATtva (30/06/2010 18:34)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
На винчестерах были также найдены черновики сообщений от предполагаемых агентов в центр (с вопросами типа, а можно спрятать сразу четыре файла в одну картинку?).

Детский сад какой-то.

К тому же {qwertyuiopasdfghjklzxcvbnm} — это как раз 26 символов.

Плюс пробел = 27.
— unknown (30/06/2010 21:52)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Ну IMHO система коммуникации была продумана относительно адекватно и она примерно такая же у нелегальных (без дип. прикрытия) агентов разведслужб всех стран мира и тонны искромётного юмора и иронии по этому поводу по всему интернету и СМИ, включая западные, не очень уместны.

Предварительное обвинение показывает комплексную систему связи.

Самый надёжный канал связи какой? Коротковолновое радио, которое будет работать даже после ядерной войны на тысячи километров. Агенту достаточно иметь бытовой приёмник высокого класса (правда сейчас таких почти не выпускают, что несколько затрудняет маскировку) и знать морзянку (большей частью для военных, шпионов она всё ещё актуальна и останется таковой надолго) или декодировать помехоустойчивые цифровые радиосигналы, посылая их с приёмника на компьютер (что менее надёжно). Но так можно получать только очень короткие и не очень срочные сообщения в режиме односторонней связи "центр-агенты". Зато при такой связи принимающая сторона не просто абсолютно анонимна и ненаблюдаема, ненаблюдаем сам факт приёма (никто не анонсирует своё подключение к анонимной сети), ведь агент не подключается ни к какой сети коммуникации, а только слушает эфир, его местоположение неизвестно. Сообщения он получает короткие вида: "встречайтесь с такими-то людьми, зайдите на сайт такой-то".

Второй уровень: картинки-стего, получая разные адреса сайтов можно получать картинки и извлекать из них стегосообщения не привлекая внимания в интернете. Возможна и обратная связь с центром путём выкладывания картинок. Сообщения уже могуть быть больше (килобайты).

Третий уровень: нужно получить/передать много информации. WiFi. Никто в крупном городе весь WiFi не мониторит и не пеленгует, по крайней мере кратковременные сеансы связи. Там неизбежный бардак в эфире. Переданные файлы агентов — зашифрованы или сам канал.

Почему не использовали более продвинутые методы? Направленные ИК-лазеры (детектируются за счёт эффектов рассеивания, однозначно указывая направление, м.б. проблемы с настройкой), спутниковую связь (громоздко, сложно, трудно замаскировать). Логично использовать достаточно простые в использовании виды связи, для использования которых можно быстро купить всё необходимое в магазине бытовой техники (а не пытаться починить или ждать, пока пришлют на замену девайс из центра).

Почему допустили кучу ляпов? Гуманитарии скорее всего и ни разу не компьютерщики. В центре морзянку и язык когда-то выучили, а WiFi им придумали использовать для связи и передали стегопрограммы уже позже. Вот и накосячили. Не исключено, что ФБР совместно кроме перехвата трафика и дампов MAC-адресов и пеленгацию и другие технические мероприятия, но в обвинении о лишних секретных методиках могут умолчать. Зачем, если и так получили улики. Хотя пеленгацию коротких сеансов WiFi делать действительно в оперативных условиях нетривиально и смена MAC-адреса спасла бы героев. Но наверняка провалились они не на технической стороне дела. Чтобы собрать все эти улики нужно знать, за кем конкретно следить. Тут человеческий фактор. Может их сдал кто-то. А может в этой истории много фальсификации и искажения действительности, так что трудно сказать как на самом деле было.

Предварительное обвинение похоже преувеличивает одни детали и может скрывать технические подробности.
— SATtva (30/06/2010 22:00)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Но так можно получать только очень короткие и не очень срочные сообщения в режиме односторонней связи "центр-агенты". Зато при такой связи принимающая сторона не просто абсолютно анонимна и ненаблюдаема, ненаблюдаем сам факт приёма (никто не анонсирует своё подключение к анонимной сети), ведь агент не подключается ни к какой сети коммуникации, а только слушает эфир, его местоположение неизвестно.

Помнится, Дэниел Надь делился историей советских времён о гэбэшных фургончиках, разъезжавших по Будапешту и наводками пеленговавших, на какую волну настроены приёмники в домах горожан.

Но наверняка провалились они не на технической стороне дела. Чтобы собрать все эти улики нужно знать, за кем конкретно следить.

Справедливо.
— unknown (30/06/2010 22:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Старые приёмники давали достаточно сильное побочное излучение с гетеродинов. Эта история публиковалась где-то на сайтах по тематике прослушивания, но для оценки таких возможностей нужны специалисты по радиоделу. IMHO для неламповых приёмников это сейчас неактуально плюс возможно есть какие-то хитрости по развязке антенны через фильтр (не убивающий принимаемый сигнал) или что-то в этом роде.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3