- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
How is the anti-crime department working?
Tasks of the cybercrime department:
Although such good specialists work in this institution (blatant lies - most often crabs!), This does not mean that they should be engaged only in mega complex cases. For the most part, they have to do very dirty and obscene work for their professional competence.
For example, one of the citizens of the Russian Federation spoke negatively in the direction of one of the representatives of United Russia party at some forum devoted to political science. The next day, representatives of department K sent a letter to the administration of this resource asking them to delete this statement and generally close this topic on the forum. In response, the department "K" received a refusal from the site administration and in pursuit of a number of negative emotions about this letter. From department K, a series of threats rained down against the administration. In the end, the message was deleted and the topic with it, but in what ways it was achieved, and indeed - this is the work of ordinary operas and this does not apply to computer crimes.
Tactics and strategies of the department:
Operational events are a rather cumbersome topic, a lot of articles can be written about it and it is still impossible to describe everything, because they are constantly being improved and updated, just like the types of attacks and hacks are updated in the hacker world. To do this, I decided to describe some of the standard methods of operational measures.
Well, let's analyze, as they say, the foundation (any system has a foundation, in other words, the standard that the system should adhere to), this is what the standard of operational-search measures looks like:
The next day, smelling of cigarette smoke and a fume of beer, he raises his head from the table, the system administrator of the hacked site and notices that the logs are not in order and reveals the presence of unauthorized access to confidential site data. He quickly brews himself strong coffee, drinks a pill of anti-hangover and then anti-club, runs with bulging eyes with a report on breaking into his boss.
And now, from this moment, the malicious hunt for you begins! And then everything is according to the instructions - a statement is submitted to the local police department with a full description of the hack and attached logs on penetration and another crap. Well, of course, that the employee who accepted the application will not be engaged in this matter, since he does not have the appropriate skills and knowledge. The case is referred to a special department, which we have already learned about - this is Department “K”.
Now it begins First step - This is a survey of citizens who can help in the investigation and search for the offender. In our case, the site admin will be interviewed, they will find out through which hole the hack was made, from which ip-address the hack was made, and they will also ask who the hack was profitable for, whether there are suspicions of someone, or it’s a guest performer like you.
Second phase - This is to make inquiries about the criminal, or rather to process the received data from the first stage, roughly speaking, they will check your IP address in order to find out where, who is your provider. An ordinary citizen can do this using the WHOIS protocol.
WHOIS - This is an application-level network protocol based on the TCP protocol that hangs on port 43. The main application is to obtain registration information about the owners of domain names, IP addresses and autonomous systems.
So, after breaking through the IP address obtained in the logs of the hacked machine, they see in the line Country: USA - that is, the machine with this IP address is in the United States. And this is one of two options, either some kind of CIA devotee decided to break the administration site of the Moscow region, or this is a server - a normal proxy server. Well, the first option is unlikely, but all versions are still being developed, and they need to be checked. First, the IP address is punched through the public server database. If the IP address is clean, then there is a possibility that the server is recently crooked and a proxy is installed there. In this case, you can get by calling open ports. Yes, of course, proxies can also be set up not on a standard port such as 3128 or 8080, 80. But all the same, the services will be shown by the scanner and there are a bunch of other options on how to determine whether a proxy server is worth it or not, take my word for it, for the guys from Department "K" - this will not cause any difficulties.
Having learned that this is a proxy server that you brazenly used to penetrate the system, the K department is faced with the question of how to get information from that server about which IP address it was accessed at a given time. They have two ways, an official request from their colleagues in the United States, and if you get an answer, the case will develop much easier and the answer will be attached to the case. Or the second option, not legal. In the event that Department “K” receives a refusal in an official request, and it will be so, since there is no such agreement between our countries, then in order to advance the case it will be necessary to conduct unauthorized access to this server, again, the guys from Department “K "It’s not difficult, they are sitting there just for such purposes. But having received data from the server about your IP address, this will not be able to get to the point, but you are already embarking on development and it is at this point that you need to sit down on treason.
So, having learned your IP-address, it again makes its way through WHOIS and here it is already clearly visible that you are a comrade from Russia who lives, for example, in Moscow.
They break through where you work, what you do, and a number of other necessary information. Further, they visit the provider and on some fictitious basis, such as your customers’ machines, send spam or are infected with viruses, they demand to provide logs for your person. And now, there are documents that during some other operational activities it was revealed that your IP-address from such-and-such a time was accessing the IP-address from which the site was hacked, but here it is freely attach to the case and this will serve against you in court.
Comes into play third stage - Now you are carefully monitoring your identity, they monitor what sites you visit, where, what you send, etc.
During these events, your personality will finally consolidate itself in a not very successful direction, since it is unlikely that you will stop going to forbidden sites, such as undeground, to break sites and cars.
And here he is fourth stage - this is an operational inspection, in other words, on the basis of all the data obtained during the search, you became the main suspect, and now it’s easy to authorize you to search your apartment and seize your system unit and all media such as flash drives, disks and some other compromising materials on you . They can also take all your notebooks, prints, magazines and a number of other paper media, which may contain something tasty for the investigation. And yet, they do not disdain to poke around in your trash can (not virtual, but real.) All documents from there are also seized, if understood.
All your junk is transported to the building of department “K”, where they will pull out information about where you were, what you did, what software was installed on your computer, whether it was counterfeit (in which case one more article will catch you) . So, they pull your hard drive out of the system and connect it to a device that only reads (this is done in case you decide to protect yourself and install a program that can format the hard drive).
Even if you formatted your hard one before the seizure, then again, it will not be difficult for the employees of department “K” to pull out the necessary information for the investigation. Even programs such as ChromeAnalysis (a program that shows what, where, when, where the owner of this computer went through the GoogleChrome browser), FoxAnalysis (shows the same thing as the ChromeAnalysis program only about the Firefox browser), Web Historian (a universal program for analyzing time browser files) - these programs will show all your travels around the world of the Internet, as well as help to create the correct report, all your locations in the protected part of the Moscow Region Administration site will be shown.
So, now you see that it is not difficult for the employees of Department “K” to pull information from your hard drive, which confirms the fact of hacking.
Fifth and sixth stages - this is to ensure that you have no options at all in court to otmazatsya. This option works for 70%, since you start calling friends, for example, hacker friend Vasya Pupkin and start telling: “Remember, I told you that the site broke? So today they came, they seized everything, etc. etc." (never do that). The recording of a telephone conversation is also attached to the case, and here you yourself are talking about the fact of hacking.
Seventh stage - this stage is put into effect if it was not possible to collect the evidence base in the previous stages. A person is being introduced into your social circle, you are posting all the necessary information and at the time of some hacking you are neatly packaged, and everything starts from the fourth stage.
Source: @odeepweb
Tasks of the cybercrime department:
- Fight against violation of copyright and related rights (Article 146 of the Criminal Code of the Russian Federation, Article 7.12 of the Administrative Code of the Russian Federation);
- Detection of illegal penetration into a computer network (Article 272 of the Criminal Code of the Russian Federation), combating the spread of malicious programs (Article 273 of the Criminal Code of the Russian Federation);
- Identification of violations of the rules of operation of a computer, computer system or their network (article 274 of the Criminal Code of the Russian Federation);
- Identification of the use of fraudulent credit cards (Article 159 of the Criminal Code of the Russian Federation);
- Combating the spread of pornography through the Internet and CDs (Article 242 of the Criminal Code of the Russian Federation).
- Detection of illegal connection to telephone lines (Article 165 of the Criminal Code of the Russian Federation, Article 13.2 of the Administrative Code of the Russian Federation).
- Combating the illicit trafficking of radio-electronic and special technical means (STS), (Article 138 of the Criminal Code of the Russian Federation, Article 171 of the Criminal Code of the Russian Federation, Articles 14.1, 14.42 of the Administrative Code of the Russian Federation)
Although such good specialists work in this institution (blatant lies - most often crabs!), This does not mean that they should be engaged only in mega complex cases. For the most part, they have to do very dirty and obscene work for their professional competence.
For example, one of the citizens of the Russian Federation spoke negatively in the direction of one of the representatives of United Russia party at some forum devoted to political science. The next day, representatives of department K sent a letter to the administration of this resource asking them to delete this statement and generally close this topic on the forum. In response, the department "K" received a refusal from the site administration and in pursuit of a number of negative emotions about this letter. From department K, a series of threats rained down against the administration. In the end, the message was deleted and the topic with it, but in what ways it was achieved, and indeed - this is the work of ordinary operas and this does not apply to computer crimes.
Tactics and strategies of the department:
Operational events are a rather cumbersome topic, a lot of articles can be written about it and it is still impossible to describe everything, because they are constantly being improved and updated, just like the types of attacks and hacks are updated in the hacker world. To do this, I decided to describe some of the standard methods of operational measures.
Well, let's analyze, as they say, the foundation (any system has a foundation, in other words, the standard that the system should adhere to), this is what the standard of operational-search measures looks like:
- A survey is a conversation with citizens who may be aware of facts, circumstances that are significant for the performance of tasks of operational-search activity.
- Inquiry.
- Observation.
- Operational inspection.
- Control of mail, telegraph and other messages.
- Listening to telephone conversations.
- Operational implementation (employee input into development).
The next day, smelling of cigarette smoke and a fume of beer, he raises his head from the table, the system administrator of the hacked site and notices that the logs are not in order and reveals the presence of unauthorized access to confidential site data. He quickly brews himself strong coffee, drinks a pill of anti-hangover and then anti-club, runs with bulging eyes with a report on breaking into his boss.
And now, from this moment, the malicious hunt for you begins! And then everything is according to the instructions - a statement is submitted to the local police department with a full description of the hack and attached logs on penetration and another crap. Well, of course, that the employee who accepted the application will not be engaged in this matter, since he does not have the appropriate skills and knowledge. The case is referred to a special department, which we have already learned about - this is Department “K”.
Now it begins First step - This is a survey of citizens who can help in the investigation and search for the offender. In our case, the site admin will be interviewed, they will find out through which hole the hack was made, from which ip-address the hack was made, and they will also ask who the hack was profitable for, whether there are suspicions of someone, or it’s a guest performer like you.
Second phase - This is to make inquiries about the criminal, or rather to process the received data from the first stage, roughly speaking, they will check your IP address in order to find out where, who is your provider. An ordinary citizen can do this using the WHOIS protocol.
WHOIS - This is an application-level network protocol based on the TCP protocol that hangs on port 43. The main application is to obtain registration information about the owners of domain names, IP addresses and autonomous systems.
So, after breaking through the IP address obtained in the logs of the hacked machine, they see in the line Country: USA - that is, the machine with this IP address is in the United States. And this is one of two options, either some kind of CIA devotee decided to break the administration site of the Moscow region, or this is a server - a normal proxy server. Well, the first option is unlikely, but all versions are still being developed, and they need to be checked. First, the IP address is punched through the public server database. If the IP address is clean, then there is a possibility that the server is recently crooked and a proxy is installed there. In this case, you can get by calling open ports. Yes, of course, proxies can also be set up not on a standard port such as 3128 or 8080, 80. But all the same, the services will be shown by the scanner and there are a bunch of other options on how to determine whether a proxy server is worth it or not, take my word for it, for the guys from Department "K" - this will not cause any difficulties.
Having learned that this is a proxy server that you brazenly used to penetrate the system, the K department is faced with the question of how to get information from that server about which IP address it was accessed at a given time. They have two ways, an official request from their colleagues in the United States, and if you get an answer, the case will develop much easier and the answer will be attached to the case. Or the second option, not legal. In the event that Department “K” receives a refusal in an official request, and it will be so, since there is no such agreement between our countries, then in order to advance the case it will be necessary to conduct unauthorized access to this server, again, the guys from Department “K "It’s not difficult, they are sitting there just for such purposes. But having received data from the server about your IP address, this will not be able to get to the point, but you are already embarking on development and it is at this point that you need to sit down on treason.
So, having learned your IP-address, it again makes its way through WHOIS and here it is already clearly visible that you are a comrade from Russia who lives, for example, in Moscow.
They break through where you work, what you do, and a number of other necessary information. Further, they visit the provider and on some fictitious basis, such as your customers’ machines, send spam or are infected with viruses, they demand to provide logs for your person. And now, there are documents that during some other operational activities it was revealed that your IP-address from such-and-such a time was accessing the IP-address from which the site was hacked, but here it is freely attach to the case and this will serve against you in court.
Comes into play third stage - Now you are carefully monitoring your identity, they monitor what sites you visit, where, what you send, etc.
During these events, your personality will finally consolidate itself in a not very successful direction, since it is unlikely that you will stop going to forbidden sites, such as undeground, to break sites and cars.
And here he is fourth stage - this is an operational inspection, in other words, on the basis of all the data obtained during the search, you became the main suspect, and now it’s easy to authorize you to search your apartment and seize your system unit and all media such as flash drives, disks and some other compromising materials on you . They can also take all your notebooks, prints, magazines and a number of other paper media, which may contain something tasty for the investigation. And yet, they do not disdain to poke around in your trash can (not virtual, but real.) All documents from there are also seized, if understood.
All your junk is transported to the building of department “K”, where they will pull out information about where you were, what you did, what software was installed on your computer, whether it was counterfeit (in which case one more article will catch you) . So, they pull your hard drive out of the system and connect it to a device that only reads (this is done in case you decide to protect yourself and install a program that can format the hard drive).
Even if you formatted your hard one before the seizure, then again, it will not be difficult for the employees of department “K” to pull out the necessary information for the investigation. Even programs such as ChromeAnalysis (a program that shows what, where, when, where the owner of this computer went through the GoogleChrome browser), FoxAnalysis (shows the same thing as the ChromeAnalysis program only about the Firefox browser), Web Historian (a universal program for analyzing time browser files) - these programs will show all your travels around the world of the Internet, as well as help to create the correct report, all your locations in the protected part of the Moscow Region Administration site will be shown.
So, now you see that it is not difficult for the employees of Department “K” to pull information from your hard drive, which confirms the fact of hacking.
Fifth and sixth stages - this is to ensure that you have no options at all in court to otmazatsya. This option works for 70%, since you start calling friends, for example, hacker friend Vasya Pupkin and start telling: “Remember, I told you that the site broke? So today they came, they seized everything, etc. etc." (never do that). The recording of a telephone conversation is also attached to the case, and here you yourself are talking about the fact of hacking.
Seventh stage - this stage is put into effect if it was not possible to collect the evidence base in the previous stages. A person is being introduced into your social circle, you are posting all the necessary information and at the time of some hacking you are neatly packaged, and everything starts from the fourth stage.
Source: @odeepweb
Original message
Как устроен отдел по борьбе с киберпреступностью?
Задачи отдела по киберпреступности:
Хоть в данном учреждении работают такие хорошие специалисты (наглая ложь - чаще всего крабы!), это не означает, что они должны заниматься только мега сложными делами. По большей части им приходится выполнять очень грязную и непристойную работу для их профессиональной компетентности.
Вот например, один из граждан РФ высказался негативно в сторону одного из представителей единоросов на каком-то форуме посвященный политологии. На следующий день, представители отдела К направили письмо администрации данного ресурса с просьбой удалить данное высказывание и вообще закрыть данную тему на форуме. В ответ отдел «К» получил отказ от администрации сайта и вдогонку ряд негативных эмоций по поводу данного письма. От отдела К в ответ посыпались ряд угроз в адрес администрации. В конце концов сообщение удалили и тему вместе с ним, но какими путями это было достигнуто, да и вообще - это работа рядовых оперов и это не касается компьютерных преступлений.
Тактики и стратегии отдела:
Оперативные мероприятия - это довольно громоздкая тема, о ней можно написать кучу статей и все равно невозможно описать все, ведь они постоянно усовершенствуются и обновляются, так же как виды атак и взломов обновляются в хакерском мире. Для этого я решил описать какой-нибудь из стандартных методов оперативных мероприятий.
Ну, что же, давайте разберем, как говорится, фундамент (у любой системы есть фундамент, другими словами стандарт, которого должна придерживаться система), вот примерно так выглядет стандарт оперативно-розыскных мероприятий:
На следующий день, провонявшийся сигаретным дымом и перегаром от пива, поднимает свою голову от стола, системный администратор взломанного сайта и замечает, что логи не в порядке и выявляет присутствие несанкционированного доступа к конфиденциальным данным сайта. Он быстро заваривает себе крепкий кофе, выпивает таблетку анти-похмелина и следом анти-палицая, бежит с выпученными глазами с докладом о взломе своему начальнику.
И вот, именно с этого момента, начинается злостная охота за вами! А дальше все по инструкции - в местный отдел полиции подается заявление с полным описанием взлома и прикрепленными логами о проникновении и другой лабудой. Ну, естественно, что сотрудник, который принял заявления, не будет заниматься данным делом, так как не имеет соответствующих навыков, знаний. Дело передается в специальный отдел, о котором мы уже узнали — это Отдел «К».
Вот теперь начинается первый этап - это опрос граждан, которые могут помочь в расследовании и поиске преступника. В нашем случае будет опрошен админ сайта, узнают через какую дыру был произведен взлом, с какого ip-адреса был произведен взлом, а также поинтересуются кому был выгоден взлом, есть ли подозрения на кого-то, либо это гастролер типа тебя.
Второй этап - это наведение справок о преступнике, точнее обработка полученных данных от первого этапа, грубо говоря, проверяют твой IP-Адрес, для того, чтобы узнать где, кто твой провайдер. Сделать это может и обычный гражданин с помощью протокола WHOIS.
WHOIS — это сетевой протокол прикладного уровня, базирующийся на протоколе TCP, висит на порту 43. Основное применение — получение регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем.
Итак, пробив IP-адрес полученный в логах взломанной машины, они видят в строке Country: USA - то есть машина с данным IP-адресом находится в США. А это один из двух вариантов, либо какой-то деверсант из ЦРУ решил ломануть сайт администрации московской области, либо это сервер - обычный прокси сервер. Ну, первый вариант мало вероятен, но все же разрабатываются все версии, и они должны быть проверены. Сперва IP-адрес пробивают по базе данных паблик серверов. В случае если IP-адрес чистый, то есть вероятность, что сервер недавно похаканый и там установлен прокси. В этом случае можно обойтись прозвоном открытых портов. Да, конечно, proxy можно посадить и не на стандартный порт типа 3128 или 8080, 80. Но все равно сервисы будут показаны сканером да и есть куча других вариантов, как определить стоит ли прокси сервер или нет, поверьте мне на слово, для ребят из отдела «К» - это не вызовет никаких трудностей.
Узнав, что это прокси сервер, который вы нагло использовали для проникновения в систему,перед отделом «К» стоит вопрос, как вытащить информацию с того сервера о том, с какого IP-адреса заходили на данный сервер в определенное время. У них есть два пути, официальный запрос у своих коллег в США, и в случае получения ответа дело будет развиваться намного проще, и ответ будет прикреплен к делу. Либо второй вариант, не законный. В случае, если в официальном запросе отдел «К» получит отказ, а так оно и будет, так как между нашими странами нет такого соглашения, то для продвижения дела придется провести несанкционированный доступ в данный сервер, опять же сделать это ребятам из Отдела «К» не составит труда, именно для таких целей они там сидят. Но получив данные с сервера о вашем IP-адресе, это не удастя пришить к делу, зато вы уже беретесь в разработку и именно в этот момент нужно садиться на измену.
Итак, узнав ваш IP-адрес, он вновь пробивается через WHOIS и тут уже явно видно, что вы товарищ из России, который живет, например, в Москве.
Пробивают, где ты работаешь, чем занимаешься, ну и ряд другой нужной информации. Далее, наведываются к провайдеру и на каком- нибудь вымышленном основании, типа машины ваших клиентов, рассылают спам или заражены вирусами, требуют предоставить логи по вашей персоне. И теперь, есть документы того, что в ходе каких-то иных оперативных мероприятий было выявлено, что ваш IP-адрес с такого-то по такое то время обращался к IP-адресу, с которого был произведен взлом сайта, а вот - это можно свободно прикреплять к делу и это послужит против вас в суде.
В ход вступает третий этап - теперь производится тщательное наблюдение за вашей личностью, следят за тем, какие сайты посещаете, куда, что отправляете и т.д.
В ходе данных мероприятий ваша личность окончательно закрепит себя в не очень удачную сторону, так как вряд ли вы прекратите ходить по запрещенным сайтам, типа undeground, ломать сайты и машины.
И вот он четвертый этап - это оперативный осмотр, проще говоря, на основании всех данных полученных в ходе проведения розыскных мероприятий, вы стали главным подозреваемым, и теперь легко берется санкция на обыск вашей квартиры и изъятие вашего системника и всех носителей типа флешек, дисков и ряда другого компромата на вас. Так же могут взять все ваши записные книжки, распечатки, журналы и ряд других бумажных носителей, в которых может содержаться, что-то лакомое для следствия. Да и еще, они не побрезгают ковыряться в вашей мусорной корзине (не в виртуальной, а реальной.) все документы оттуда тоже изымаются при понятых.
Все твое барахло отвозится в здание отдела «К», где оттуда будут вытаскивать информацию, о том где ты был, что делал, какое ПО установлено у тебя на компьютере, не контрафактное ли оно (в случае чего еще одна статья тебе в догонку пойдет). Так вот, твой жесткий диск вытаскивают из системника и подключают к устройству, которое производит только чтение (это делается на тот случай, если вы решите обезопасить себя и поставили программу, которая может отформатировать жесткий диск).
Если даже вы отформатировали свой жесткий до изъятия, то опять же, для сотрудников отдела «К» не составит затруднения вытащить необходимую информацию для следствия. Даже такие программы как ChromeAnalysis (программа, которая показывает что, где, когда, куда заходил владелец данного компьютера через браузер GoogleChrome), FoxAnalysis(показывает то же самое что и програма ChromeAnalysis только про браузер Firefox), Web Historian (универсальная программа для анализа временных файлов браузера) — данные программы покажут все ваши путешествия по миру интернета, а так же, помогут создать правильный отчет, будут показаны все ваши нахождения в защищеной части сайта Администрации Московской области.
Итак, теперь вы видите, что для сотрудников Отдела «К» не составит особого труда вытащить информацию из вашего жесткого диска, которая подтверждает факт взлома.
Пятый и шестой этапы - это для того, чтобы у вас на суде не было вообще никаких вариантов отмазаться. Данный вариант срабатывает на 70%, так как вы начинаете звонить знакомым, например, другу-хакеру Васе Пупкину и начинаете рассказывать: «Помнишь я тебе рассказывал, что сайт ломанул? Так вот сегодня приходили, все изъяли и т.д. и т.п.» (никогда так не делайте). Запись телефонного разговора также прикрепляется к делу, и тут вы уже сами говорите о факте взлома.
Седьмой этап — данный этап приводится в действие, если не удалось собрать доказательную базу в предыдущих этапах. Внедряется человек в ваш круг общения, вы выкладываете всю нужную ему инфу и на момент какого-нибудь взлома вас аккуратненько пакуют, и уже все начинается с четвертого этапа.
Источник: @odeepweb
Задачи отдела по киберпреступности:
- Борьба с нарушением авторских и смежных прав (ст. 146 УК РФ,ст. 7.12 КоАП РФ);
- Выявление незаконного проникновения в компьютерную сеть (ст. 272 УК РФ), борьба с распространителями вредоносных программ (ст. 273 УК РФ);
- Выявление нарушений правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ);
- Выявление использования подложных кредитных карт (ст. 159 УК РФ);
- Борьба с распространением порнографии посредством сети Интернет и Компакт-дисков (ст. 242 УК РФ).
- Выявление незаконного подключения к телефонным линиям (ст. 165 УК РФ, ст. 13.2 КоАП РФ).
- Борьба с незаконным оборотом радиоэлектронных и специальных технических средств (СТС), (ст. 138 УК РФ, ст. 171 УК РФ, ст. 14.1, 14.42 КоАП РФ)
Хоть в данном учреждении работают такие хорошие специалисты (наглая ложь - чаще всего крабы!), это не означает, что они должны заниматься только мега сложными делами. По большей части им приходится выполнять очень грязную и непристойную работу для их профессиональной компетентности.
Вот например, один из граждан РФ высказался негативно в сторону одного из представителей единоросов на каком-то форуме посвященный политологии. На следующий день, представители отдела К направили письмо администрации данного ресурса с просьбой удалить данное высказывание и вообще закрыть данную тему на форуме. В ответ отдел «К» получил отказ от администрации сайта и вдогонку ряд негативных эмоций по поводу данного письма. От отдела К в ответ посыпались ряд угроз в адрес администрации. В конце концов сообщение удалили и тему вместе с ним, но какими путями это было достигнуто, да и вообще - это работа рядовых оперов и это не касается компьютерных преступлений.
Тактики и стратегии отдела:
Оперативные мероприятия - это довольно громоздкая тема, о ней можно написать кучу статей и все равно невозможно описать все, ведь они постоянно усовершенствуются и обновляются, так же как виды атак и взломов обновляются в хакерском мире. Для этого я решил описать какой-нибудь из стандартных методов оперативных мероприятий.
Ну, что же, давайте разберем, как говорится, фундамент (у любой системы есть фундамент, другими словами стандарт, которого должна придерживаться система), вот примерно так выглядет стандарт оперативно-розыскных мероприятий:
- Опрос - беседа с гражданами, которым могут быть известны факты, обстоятельства, значимые для выполнения задач оперативно-розыскной деятельности.
- Наведение справок.
- Наблюдение.
- Оперативный осмотр.
- Контроль почтовых отправлений, телеграфных и иных сообщений.
- Прослушивание телефонных переговоров.
- Оперативное внедрение (ввод сотрудника в разработку).
На следующий день, провонявшийся сигаретным дымом и перегаром от пива, поднимает свою голову от стола, системный администратор взломанного сайта и замечает, что логи не в порядке и выявляет присутствие несанкционированного доступа к конфиденциальным данным сайта. Он быстро заваривает себе крепкий кофе, выпивает таблетку анти-похмелина и следом анти-палицая, бежит с выпученными глазами с докладом о взломе своему начальнику.
И вот, именно с этого момента, начинается злостная охота за вами! А дальше все по инструкции - в местный отдел полиции подается заявление с полным описанием взлома и прикрепленными логами о проникновении и другой лабудой. Ну, естественно, что сотрудник, который принял заявления, не будет заниматься данным делом, так как не имеет соответствующих навыков, знаний. Дело передается в специальный отдел, о котором мы уже узнали — это Отдел «К».
Вот теперь начинается первый этап - это опрос граждан, которые могут помочь в расследовании и поиске преступника. В нашем случае будет опрошен админ сайта, узнают через какую дыру был произведен взлом, с какого ip-адреса был произведен взлом, а также поинтересуются кому был выгоден взлом, есть ли подозрения на кого-то, либо это гастролер типа тебя.
Второй этап - это наведение справок о преступнике, точнее обработка полученных данных от первого этапа, грубо говоря, проверяют твой IP-Адрес, для того, чтобы узнать где, кто твой провайдер. Сделать это может и обычный гражданин с помощью протокола WHOIS.
WHOIS — это сетевой протокол прикладного уровня, базирующийся на протоколе TCP, висит на порту 43. Основное применение — получение регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем.
Итак, пробив IP-адрес полученный в логах взломанной машины, они видят в строке Country: USA - то есть машина с данным IP-адресом находится в США. А это один из двух вариантов, либо какой-то деверсант из ЦРУ решил ломануть сайт администрации московской области, либо это сервер - обычный прокси сервер. Ну, первый вариант мало вероятен, но все же разрабатываются все версии, и они должны быть проверены. Сперва IP-адрес пробивают по базе данных паблик серверов. В случае если IP-адрес чистый, то есть вероятность, что сервер недавно похаканый и там установлен прокси. В этом случае можно обойтись прозвоном открытых портов. Да, конечно, proxy можно посадить и не на стандартный порт типа 3128 или 8080, 80. Но все равно сервисы будут показаны сканером да и есть куча других вариантов, как определить стоит ли прокси сервер или нет, поверьте мне на слово, для ребят из отдела «К» - это не вызовет никаких трудностей.
Узнав, что это прокси сервер, который вы нагло использовали для проникновения в систему,перед отделом «К» стоит вопрос, как вытащить информацию с того сервера о том, с какого IP-адреса заходили на данный сервер в определенное время. У них есть два пути, официальный запрос у своих коллег в США, и в случае получения ответа дело будет развиваться намного проще, и ответ будет прикреплен к делу. Либо второй вариант, не законный. В случае, если в официальном запросе отдел «К» получит отказ, а так оно и будет, так как между нашими странами нет такого соглашения, то для продвижения дела придется провести несанкционированный доступ в данный сервер, опять же сделать это ребятам из Отдела «К» не составит труда, именно для таких целей они там сидят. Но получив данные с сервера о вашем IP-адресе, это не удастя пришить к делу, зато вы уже беретесь в разработку и именно в этот момент нужно садиться на измену.
Итак, узнав ваш IP-адрес, он вновь пробивается через WHOIS и тут уже явно видно, что вы товарищ из России, который живет, например, в Москве.
Пробивают, где ты работаешь, чем занимаешься, ну и ряд другой нужной информации. Далее, наведываются к провайдеру и на каком- нибудь вымышленном основании, типа машины ваших клиентов, рассылают спам или заражены вирусами, требуют предоставить логи по вашей персоне. И теперь, есть документы того, что в ходе каких-то иных оперативных мероприятий было выявлено, что ваш IP-адрес с такого-то по такое то время обращался к IP-адресу, с которого был произведен взлом сайта, а вот - это можно свободно прикреплять к делу и это послужит против вас в суде.
В ход вступает третий этап - теперь производится тщательное наблюдение за вашей личностью, следят за тем, какие сайты посещаете, куда, что отправляете и т.д.
В ходе данных мероприятий ваша личность окончательно закрепит себя в не очень удачную сторону, так как вряд ли вы прекратите ходить по запрещенным сайтам, типа undeground, ломать сайты и машины.
И вот он четвертый этап - это оперативный осмотр, проще говоря, на основании всех данных полученных в ходе проведения розыскных мероприятий, вы стали главным подозреваемым, и теперь легко берется санкция на обыск вашей квартиры и изъятие вашего системника и всех носителей типа флешек, дисков и ряда другого компромата на вас. Так же могут взять все ваши записные книжки, распечатки, журналы и ряд других бумажных носителей, в которых может содержаться, что-то лакомое для следствия. Да и еще, они не побрезгают ковыряться в вашей мусорной корзине (не в виртуальной, а реальной.) все документы оттуда тоже изымаются при понятых.
Все твое барахло отвозится в здание отдела «К», где оттуда будут вытаскивать информацию, о том где ты был, что делал, какое ПО установлено у тебя на компьютере, не контрафактное ли оно (в случае чего еще одна статья тебе в догонку пойдет). Так вот, твой жесткий диск вытаскивают из системника и подключают к устройству, которое производит только чтение (это делается на тот случай, если вы решите обезопасить себя и поставили программу, которая может отформатировать жесткий диск).
Если даже вы отформатировали свой жесткий до изъятия, то опять же, для сотрудников отдела «К» не составит затруднения вытащить необходимую информацию для следствия. Даже такие программы как ChromeAnalysis (программа, которая показывает что, где, когда, куда заходил владелец данного компьютера через браузер GoogleChrome), FoxAnalysis(показывает то же самое что и програма ChromeAnalysis только про браузер Firefox), Web Historian (универсальная программа для анализа временных файлов браузера) — данные программы покажут все ваши путешествия по миру интернета, а так же, помогут создать правильный отчет, будут показаны все ваши нахождения в защищеной части сайта Администрации Московской области.
Итак, теперь вы видите, что для сотрудников Отдела «К» не составит особого труда вытащить информацию из вашего жесткого диска, которая подтверждает факт взлома.
Пятый и шестой этапы - это для того, чтобы у вас на суде не было вообще никаких вариантов отмазаться. Данный вариант срабатывает на 70%, так как вы начинаете звонить знакомым, например, другу-хакеру Васе Пупкину и начинаете рассказывать: «Помнишь я тебе рассказывал, что сайт ломанул? Так вот сегодня приходили, все изъяли и т.д. и т.п.» (никогда так не делайте). Запись телефонного разговора также прикрепляется к делу, и тут вы уже сами говорите о факте взлома.
Седьмой этап — данный этап приводится в действие, если не удалось собрать доказательную базу в предыдущих этапах. Внедряется человек в ваш круг общения, вы выкладываете всю нужную ему инфу и на момент какого-нибудь взлома вас аккуратненько пакуют, и уже все начинается с четвертого этапа.
Источник: @odeepweb