id: Гость   вход   регистрация
текущее время 22:20 28/03/2024
создать
просмотр
редакции
ссылки

29.06 // Российскую разведку подвел WiFi


В обвинительном заключении, которое предъявлено прокурором южного Нью-Йорка арестованным по обвинению в шпионаже в пользу РФ, описаны технические детали их деятельности. Если верить документу, фигурантов дела подвело безграмотное использование стандартных протоколов беспроводной связи и наплевательское отношение к защите конфиденциальных данных.


Важнейшими уликами, на которых базируется обвинение, являются документальнозафиксированные факты передачи кодированной информации между компьютерамиобвиняемых и компьютерами представителей российской дипломатической миссии.


Важнейшими уликами, на которых базируется обвинение, являются документально зафиксированные факты передачи кодированной информации между компьютерами обвиняемых и компьютерами представителей российской дипломатической миссии.

MAC-адрес не изменили


В ходе задержания у обвиняемой Анны Чапман был изъят ноутбук, содержащий программы для шифрования данных, а также фрагменты зашифрованных файлов.


В обвинительном заключении описаны эпизоды обмена данными с использованием этого компьютера. Так, 20 января 2010 года произведена оперативная съемка контакта Анны Чапман с российским дипломатом. Анна работала с ноутбуком, сидя за столиком в кафе на перекрестке 47-й улицы и 5-й авеню в Нью-Йорке. На улице у кафе остановился автомобиль, в котором находился российский сотрудник.


Средствами радионаблюдения была зафиксирована работа беспроводной самоорганизующейся сети WiFi. На основе анализа MAC-адресов обвинение считает, что между компьютером Анны и компьютером российского дипломата происходила передача зашифрованных данных.


17 марта компьютер Анны Чапман был соединен в сеть с устройством, имеющим MAC-адрес, идентичный адресу компьютера российского дипломата из первого эпизода. На этот раз обмен данными Анна проводила из книжного магазина на Манхэттене. В документе описаны еще два случая обмена данными с использованием тех же MAC-адресов.


MAC-адрес глобально уникален и обычно зашит в аппаратуру, используемую для работы в беспроводных сетях. Любое WiFi-устройство имеет свой MAC-адрес, который программируется производителем в процессе изготовления. Однако при работе в любой распространенной операционной системе MAC-адрес можно изменить, так как значение, указанное через драйвер, имеет приоритет над зашитым адресом. MAC-адрес нельзя изменить программно только в некоторых классах оборудования (например, в приставках для IP-телевидения).

Историю браузера не почистили


В обвинительном заключении описан метод обмена зашифрованными сообщениями между фигурантами дела и московским центром ГРУ. Метод предполагал использование специальной программы, добавляющей данные в файл изображения или извлекающей данные из подобного файла.


Файл с добавленной кодированной информацией выглядит так же, как обычный графический файл, поэтому сам факт обмена данными может быть скрыт.


В ноутбуках обвиняемых обнаружены как ссылки на сайт, содержащий изображения с зашифрованными сообщениями, так и программа для работы с этими изображениями. Программа использует 27-значный ключ, что соответствует 216 бит. При этом использование любых криптоалгоритмов в США строго регламентировано (например, экспорт криптоалгоритмов с длиной ключа более 56 бит запрещен законом). Авторы обвинительного заключения считают, что программа, которую использовали шпионы, создана в Москве и ее использование на территории США незаконно.


Достаточно ли будет собранных ФБР улик для признания арестованных виновными, решит суд. Но уже ясно, что грамотная настройка сети, а также очистка истории браузера помогла бы сделать обвинительное заключение менее объемным.


Источник: http://www.infox.ru/hi-tech/te.....skuyu_razvyedk.phtml


 
На страницу: 1, 2, 3 След.
Комментарии [скрыть комментарии/форму]
— SATtva (30/06/2010 22:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Да, насколько помню, Дэниэл там же приводил решение проблемы.
— Гость (01/07/2010 13:39)   <#>
Они могли бы общаться и через Tor, но решили, что самые умные. Если они не могут раствориться среди ста тысяч пользователей Tor, то надо людей менять, а не технологии.
— unknown (01/07/2010 14:06)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Глубоким нелегалам лучше избегать использования не то что Tor, им лучше к примеру даже Linux на компьютеры не ставить. Прикидываться домохозяйками и обывателями и не высовываться. Это намного важнее.
— Гость (01/07/2010 14:18)   <#>
Если будут следить целево, то ничего не поможет, но если начали следить, значит на то есть основания, причём куда более серьёзные чем пользование Linux/шифрованием/Tor'ом, кои в ходу у тысяч пользователей инета. Если не можешь раствориться среди тысяч таких же подобных (за всеми ними точно не следят), значит, ошибся в выборе специальности. Именно это выше я имел в виду.
— unknown (01/07/2010 14:24, исправлен 01/07/2010 14:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Верно, поэтому они и использовали WiFi и пароли не прятали: напрасная трата усилий.


Да, ресурсы следящих всегда очень ограничены по охвату.


Им что, нужно было косить под гиков или интернет-активистов?
Для разведки консервативный подход — нормальная практика. Вот завтра найдут какую-нибудь мега-дыру в Tor (как уже было с Debian-OpenSSL с возможностью расшифровки трафика) и все нелегалы должны будут сматываться?

— Гость (01/07/2010 14:55)   <#>
есть основания, причём куда более серьёзные чем пользование Linux/шифрованием/Tor'ом, кои в ходу у тысяч пользователей инета
Вычисляют ведь по совокупности признаков. Пользование немассовыми системами (типа Tor) резко сужает круг поиска.
— Гость (02/07/2010 00:08)   <#>
Я пользуюсь Tor'ом уже много лет, никак того не скрывая. Почему ко мне до сих пор не пришли гости из ФБР? В наше время анекдот про "кто курил? я курил?" – это как раз о всяких радиоволонвых передатчиках. Если вы считаете, что Linux и Tor выделяют пользователя из массы, то что тогда говорить, если у него найдут специальный самодельный радиопередатчик? Радиолюбителем будет прикидываться? :) Даже не смешно.
— пирамиды_шары (02/07/2010 08:58)   <#>
Почему ко мне до сих пор не пришли гости из ФБР?

неуловимый Джо такой неуловимый..
— BrainSlug (02/07/2010 09:09)   профиль/связь   <#>
комментариев: 60   документов: 1   редакций: 1
Я пользуюсь Tor'ом уже много лет, никак того не скрывая. Почему ко мне до сих пор не пришли гости из ФБР?

Смею предположить, что ваша деятельность через Тор не грозит вам статьей за шпионаж или прочими неприятностями, следовательно, когда/если к вам прийдут, то вы без стеснения и боязни расскажете о своих анонимных похождениях, так? Те же, кто, мало того не хочет рассказывать, но и не хочет привлечь внимание, сильно и не однократно подумает, соединяться ли вообще через Тор.
Ибо взять "на карандаш" все Тор соединения может любой СОРМ, а вот проверять все картинки в потоке на избыток энтропии наваленной туда каким-нибудь steghide это уже другая, более сложная задача.
— unknown (02/07/2010 09:14)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Ахтунг! Шпионы в треде.
А если проверить некую группу лиц на подлинность происхождения документов, наличие родственников из-за границы, нахождение рядом с дипломатическими представителями (и представительствами) определённых стран, получение денег из подозрительных источников, общение с людьми, имеющими допуск к госсекретам (личные контакты ведь всё равно неизбежны)? И вдруг выяснить, что по странному совпадению все они используют Tor/GnuPG и качают обновления для навороченных Unix'ов, при этом работают не админами, программерами, экстремальными журналистами, правозащитниками и под профиль гиков не попадают?
Методы пеленгации передатчиков разработаны во времена первой мировой войны. Речь в данных случаях идёт скорее всего только об обычном бытовом приёмнике (передатчики — домыслы журналистов) с КВ-диапазоном, который можно купить в магазине, хотя это сейчас и редкость. Но если он куплен и спрятан в тумбочке и в момент покупки записей о покупателе не осталось, то о нём никто не знает, а использование Crypto/анонимности в сети светится в открытую и постоянно.

Простой пример поиска по совокупности данных: зная примерно район города, где человек живёт и где человек работает (по данным мобильников) получаем небольшую (порядка тысячи) группу подозреваемых, среди которых можно искать идентифицируемого.

Также по имени и точной дате рождения. Чем больше признаков (приметы, привычки, особенности), тем уже круг. Правда этот метод ограничен из-за false positive/false negative и ошибочных (не)включений людей в (другое, ошибочное) множество.
— Гость (02/07/2010 12:58)   <#>
Смею предположить, что ваша деятельность через Тор не грозит вам статьей за шпионаж или прочими неприятностями, следовательно, когда/если к вам прийдут, то вы без стеснения и боязни расскажете о своих анонимных похождениях, так?
Те, кому не грозят неприятности, сеть Tor, как правило, не используют :)

Те же, кто, мало того не хочет рассказывать, но и не хочет привлечь внимание, сильно и не однократно подумает, соединяться ли вообще через Тор.
В наше время очень распространены VPN-сети, их используют, в том числе, корпоративные пользователи, чтобы работать из дому с информацией. Можно пользоваться "корпоративным bridge-узлом" для входа в Tor или ещё много чем. Способов маскировки здесь масса. Допустим, заходит Вася на https-сайт в какой-то стране, и пишет в личку админу – даже Tor не нужен.

подлинность происхождения документов
их подделывать не обязательно
наличие родственников из-за границы
Русских Вань за бугром миллионы
нахождение рядом с дипломатическими представителями (и представительствами) определённых стран
проживание в столице?)
получение денег из подозрительных источников
это уже ближе к выделению, но... можно устроиться на работу/учёбу, чтобы не палиться ...
И вдруг выяснить, что по странному совпадению все они используют Tor/GnuPG и качают обновления для навороченных Unix'ов, при этом работают не админами, программерами, экстремальными журналистами, правозащитниками и под профиль гиков не попадают?
Под профиль гиков может попасть кто угодно – хоть школота, хоть студенты, хоть домохозяйки-любители. Мало ли у кого какое хобби (если некто спортом занимается, то это не значит, что готовится к нападению).

ЗЫ я не говорю, что не стоит маскировать Tor, но доходить до радиоприёмников – это уже слишком.

ЗЗЫ Когда обсуждается анонимность, имеется в виду анонимность от всех и вся. Шпионы – не тот случай – за их спиной есть целая страна, которая "гарантированно не сдаст", и способов передать информацию по какому-то распространённому шифрованному протоколу на специально созданные сайты в той стране – миллионы. Посещение каких-то сайтов в другое стране тоже не вызывает подозрений, раз национальность и страна происхождения известны.
— Гость (02/07/2010 13:28)   <#>
Посещение каких-то сайтов в другое стране тоже не вызывает подозрений, раз национальность и страна происхождения известны.
Слишком усложненно для новостного случая, при вероятно поддельной национальности и страны прибытия.
— Гость (02/07/2010 13:36)   <#>
доходить до радиоприёмников – это уже слишком
А чем плохи радиоприёмники? Ещё вариант – односторонний спутниковый интернет. Вещает сразу на огромную территорию. А тарелки в европах на каждом шагу.
— AITNEM (04/07/2010 19:45)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 8
SATtva:
Помнится, Дэниел Надь делился историей советских времён о гэбэшных фургончиках, разъезжавших по Будапешту и наводками пеленговавших, на какую волну настроены приёмники в домах горожан.

unknown:
Старые приёмники давали достаточно сильное побочное излучение с гетеродинов. Эта история публиковалась где-то на сайтах по тематике прослушивания, но для оценки таких возможностей нужны специалисты по радиоделу. IMHO для неламповых приёмников это сейчас неактуально плюс возможно есть какие-то хитрости по развязке антенны через фильтр (не убивающий принимаемый сигнал) или что-то в этом роде.

На сколько мне известно, хотя специалистом по радиоделу себя называть никак не могу, даже на выключенном приемнике будь то, КВ, УКВ, ДВ можно приблизительно на крутой аппаратуре понять на какую частоту он настроен. Если иметь умный излучатель, можно связаться с его контуром а значит вступить в связи и по "искажениям" пролезть дальше и врубиться на что там там настроен КПЕ или РПЕ.

Хотелось бы еще добавить к этой болтовне что если Homo sapiens слабо представляет аспекты современных сетей, OS, криптографии, брандмауэров, маршрутизации и т.д... то есть не компьютерщик то как мне кажется достойного уровня защиты ему достичь не удастся, не имея определенно навыка работы и представления о том как что работает и какие модели угроз его могут подстерегать.
— Гость (04/07/2010 20:27)   <#>
... то как мне кажется достойного уровня защиты ему достичь не удастся
Исходя из тех образов, которые создают ТВ и доступная информация в инете, рзаведчик/шпион – одна из сложнейших специальностей, куда идёт очень суровый отбор, и проходит лишь сильнейшие из сильнейших. Примерно так – и с обучением в Академии/ИКСИ. Если такие учебные заведения теперь уже не могут готовить специалистов высшей квалификации, то это лишь ещё один признак того, куда мы все катимся.
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3