29.06 // Российскую разведку подвел WiFi
В обвинительном заключении, которое предъявлено прокурором южного Нью-Йорка арестованным по обвинению в шпионаже в пользу РФ, описаны технические детали их деятельности. Если верить документу, фигурантов дела подвело безграмотное использование стандартных протоколов беспроводной связи и наплевательское отношение к защите конфиденциальных данных.
Важнейшими уликами, на которых базируется обвинение, являются документальнозафиксированные факты передачи кодированной информации между компьютерамиобвиняемых и компьютерами представителей российской дипломатической миссии.
Важнейшими уликами, на которых базируется обвинение, являются документально зафиксированные факты передачи кодированной информации между компьютерами обвиняемых и компьютерами представителей российской дипломатической миссии.
MAC-адрес не изменили
В ходе задержания у обвиняемой Анны Чапман был изъят ноутбук, содержащий программы для шифрования данных, а также фрагменты зашифрованных файлов.
В обвинительном заключении описаны эпизоды обмена данными с использованием этого компьютера. Так, 20 января 2010 года произведена оперативная съемка контакта Анны Чапман с российским дипломатом. Анна работала с ноутбуком, сидя за столиком в кафе на перекрестке 47-й улицы и 5-й авеню в Нью-Йорке. На улице у кафе остановился автомобиль, в котором находился российский сотрудник.
Средствами радионаблюдения была зафиксирована работа беспроводной самоорганизующейся сети WiFi. На основе анализа MAC-адресов обвинение считает, что между компьютером Анны и компьютером российского дипломата происходила передача зашифрованных данных.
17 марта компьютер Анны Чапман был соединен в сеть с устройством, имеющим MAC-адрес, идентичный адресу компьютера российского дипломата из первого эпизода. На этот раз обмен данными Анна проводила из книжного магазина на Манхэттене. В документе описаны еще два случая обмена данными с использованием тех же MAC-адресов.
MAC-адрес глобально уникален и обычно зашит в аппаратуру, используемую для работы в беспроводных сетях. Любое WiFi-устройство имеет свой MAC-адрес, который программируется производителем в процессе изготовления. Однако при работе в любой распространенной операционной системе MAC-адрес можно изменить, так как значение, указанное через драйвер, имеет приоритет над зашитым адресом. MAC-адрес нельзя изменить программно только в некоторых классах оборудования (например, в приставках для IP-телевидения).
Историю браузера не почистили
В обвинительном заключении описан метод обмена зашифрованными сообщениями между фигурантами дела и московским центром ГРУ. Метод предполагал использование специальной программы, добавляющей данные в файл изображения или извлекающей данные из подобного файла.
Файл с добавленной кодированной информацией выглядит так же, как обычный графический файл, поэтому сам факт обмена данными может быть скрыт.
В ноутбуках обвиняемых обнаружены как ссылки на сайт, содержащий изображения с зашифрованными сообщениями, так и программа для работы с этими изображениями. Программа использует 27-значный ключ, что соответствует 216 бит. При этом использование любых криптоалгоритмов в США строго регламентировано (например, экспорт криптоалгоритмов с длиной ключа более 56 бит запрещен законом). Авторы обвинительного заключения считают, что программа, которую использовали шпионы, создана в Москве и ее использование на территории США незаконно.
Достаточно ли будет собранных ФБР улик для признания арестованных виновными, решит суд. Но уже ясно, что грамотная настройка сети, а также очистка истории браузера помогла бы сделать обвинительное заключение менее объемным.
Источник: http://www.infox.ru/hi-tech/te.....skuyu_razvyedk.phtml
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Верно, поэтому они и использовали WiFi и пароли не прятали: напрасная трата усилий.
Да, ресурсы следящих всегда очень ограничены по охвату.
Им что, нужно было косить под гиков или интернет-активистов?
Для разведки консервативный подход — нормальная практика. Вот завтра найдут какую-нибудь мега-дыру в Tor (как уже было с Debian-OpenSSL с возможностью расшифровки трафика) и все нелегалы должны будут сматываться?
неуловимый Джо такой неуловимый..
комментариев: 60 документов: 1 редакций: 1
Смею предположить, что ваша деятельность через Тор не грозит вам статьей за шпионаж или прочими неприятностями, следовательно, когда/если к вам прийдут, то вы без стеснения и боязни расскажете о своих анонимных похождениях, так? Те же, кто, мало того не хочет рассказывать, но и не хочет привлечь внимание, сильно и не однократно подумает, соединяться ли вообще через Тор.
Ибо взять "на карандаш" все Тор соединения может любой СОРМ, а вот проверять все картинки в потоке на избыток энтропии наваленной туда каким-нибудь steghide это уже другая, более сложная задача.
комментариев: 9796 документов: 488 редакций: 5664
Ахтунг! Шпионы в треде.
А если проверить некую группу лиц на подлинность происхождения документов, наличие родственников из-за границы, нахождение рядом с дипломатическими представителями (и представительствами) определённых стран, получение денег из подозрительных источников, общение с людьми, имеющими допуск к госсекретам (личные контакты ведь всё равно неизбежны)? И вдруг выяснить, что по странному совпадению все они используют Tor/GnuPG и качают обновления для навороченных Unix'ов, при этом работают не админами, программерами, экстремальными журналистами, правозащитниками и под профиль гиков не попадают?
Методы пеленгации передатчиков разработаны во времена первой мировой войны. Речь в данных случаях идёт скорее всего только об обычном бытовом приёмнике (передатчики — домыслы журналистов) с КВ-диапазоном, который можно купить в магазине, хотя это сейчас и редкость. Но если он куплен и спрятан в тумбочке и в момент покупки записей о покупателе не осталось, то о нём никто не знает, а использование Crypto/анонимности в сети светится в открытую и постоянно.
Простой пример поиска по совокупности данных: зная примерно район города, где человек живёт и где человек работает (по данным мобильников) получаем небольшую (порядка тысячи) группу подозреваемых, среди которых можно искать идентифицируемого.
Также по имени и точной дате рождения. Чем больше признаков (приметы, привычки, особенности), тем уже круг. Правда этот метод ограничен из-за false positive/false negative и ошибочных (не)включений людей в (другое, ошибочное) множество.
В наше время очень распространены VPN-сети, их используют, в том числе, корпоративные пользователи, чтобы работать из дому с информацией. Можно пользоваться "корпоративным bridge-узлом" для входа в Tor или ещё много чем. Способов маскировки здесь масса. Допустим, заходит Вася на https-сайт в какой-то стране, и пишет в личку админу – даже Tor не нужен.
их подделывать не обязательно Русских Вань за бугром миллионы проживание в столице?) это уже ближе к выделению, но... можно устроиться на работу/учёбу, чтобы не палиться ... Под профиль гиков может попасть кто угодно – хоть школота, хоть студенты, хоть домохозяйки-любители. Мало ли у кого какое хобби (если некто спортом занимается, то это не значит, что готовится к нападению).
ЗЫ я не говорю, что не стоит маскировать Tor, но доходить до радиоприёмников – это уже слишком.
ЗЗЫ Когда обсуждается анонимность, имеется в виду анонимность от всех и вся. Шпионы – не тот случай – за их спиной есть целая страна, которая "гарантированно не сдаст", и способов передать информацию по какому-то распространённому шифрованному протоколу на специально созданные сайты в той стране – миллионы. Посещение каких-то сайтов в другое стране тоже не вызывает подозрений, раз национальность и страна происхождения известны.
комментариев: 3 документов: 1 редакций: 8
На сколько мне известно, хотя специалистом по радиоделу себя называть никак не могу, даже на выключенном приемнике будь то, КВ, УКВ, ДВ можно приблизительно на крутой аппаратуре понять на какую частоту он настроен. Если иметь умный излучатель, можно связаться с его контуром а значит вступить в связи и по "искажениям" пролезть дальше и врубиться на что там там настроен КПЕ или РПЕ.
Хотелось бы еще добавить к этой болтовне что если Homo sapiens слабо представляет аспекты современных сетей, OS, криптографии, брандмауэров, маршрутизации и т.д... то есть не компьютерщик то как мне кажется достойного уровня защиты ему достичь не удастся, не имея определенно навыка работы и представления о том как что работает и какие модели угроз его могут подстерегать.