Comrades, hackers and other antisocial, poorly educated personalities who are convinced that using all sorts of programs and proxies there with other nonsense, they will escape from deserved punishment. Today we’ll talk with you about your safety, and more precisely about those who hunt for you. We will talk about how the well-known Department "K" (Office "K") works, and, in particular, the Bureau of Special Technical Events (BSTM).
The fight against cybercrime today is no longer a myth, but a harsh reality. Long gone are the days when the security services did not know from which end to approach the network. Yes, of course, they did not go so far as to fully control cybercrime, so the number of cybercrimes is growing every day. But all these crimes are petty, and all serious crimes are not left without punishment. In our country, Office “K” monitors cybercrime.
Office “K” is a department of the Ministry of Internal Affairs of Russia, which fights against computer crimes and illicit trafficking in RES (electronic equipment) and STS, is a structural unit of the criminal police service of the Ministry of Internal Affairs, each constituent entity of the Russian Federation.
Management "K" is part of the BSTM Ministry of Internal Affairs of Russia and investigates crimes in the field of information technology, is the only open unit.
Department “K”, being part of the Central Internal Affairs Directorate of a constituent entity of the Russian Federation, detects, warns, suppresses and discloses crimes in the field of information technology, illicit trafficking in radio electronic equipment, special technical means of STS and child pornography.
MANAGEMENT TASKS “K”
* fight against violation of copyright and related rights (Article 146 of the Criminal Code, Article 7.12 of the Administrative Code);
* identification of illegal penetration into a computer network (Article 272 of the Criminal Code of the Russian Federation), the fight against distributors of malicious programs (Article 273 of the Criminal Code of the Russian Federation);
* identification of violations of the rules of operation of a computer, a computer system or their network (article 274 of the Criminal Code);
* identification of the use of fraudulent credit cards (Article 159 of the Criminal Code);
* the fight against the spread of pornography through the Internet and CDs (Article 242 of the Criminal Code).
* identification of illegal connection to telephone lines (Article 165 of the Criminal Code, Article 13.2 of the Administrative Code).
* fight against illicit trafficking in radio electronic and special technical equipment (STS), (Article 138 of the Criminal Code of the Russian Federation, Article 171 of the Criminal Code of the Russian Federation, Articles 14.1, 14.42 of the Administrative Code of the Russian Federation)
In such organizations, not some lameugas sit, but for the most part white and fluffy hackers and pretty hackers. White hackers are citizens who, at a young age, made some kind of computer hacking at the age of not older than 13 years old and fell into the clutches of the "K" department. They, in turn, hide the matter, not making it public and exercise total control over this young hacker, gradually training him for future work.
There are also special schools of the Ministry of Internal Affairs in computer security, they teach a slightly different method with respect to civilian educational institutions in the same specialty. The subjects are completely different, all the lessons are as close as possible to the present work, that is, what the employee of department “K” does daily.
In general, the recruitment to this institution is a delicate matter and not everyone can get there, although he almost put it right. Everyone can get there, only in which room, in the sky with a cage or in a warm, cozy office with a good computer and a mug of hot tea (coffee) on the table.
Although such good specialists work in this institution, this does not mean that they should deal only with mega-complex matters. For the most part, they have to do very dirty and indecent work for their professional competence. Here is one of the cases when one of the citizens of the Russian Federation spoke negatively in the direction of one of the representatives of United Russia, at some forum dedicated to political science. The next day, representatives of department “K” sent a letter to the administration of this resource asking them to delete this statement and generally close this topic on the forum.
In response, the department "K" received a refusal from the site administration and in pursuit of a number of negative emotions about this letter. From department "K" a series of threats rained down against the administration. In the end, the message was deleted and the topic with it, but in what ways it was achieved, and indeed - this is the work of ordinary operas and it is unlikely that this relates to computer crimes.
Well, I think, now it has become clear what department “K” is and what it does. Now let's talk about how they do their work, what strategies and tactics.
ACTIVITY
Operational events are a rather cumbersome topic, a lot of articles can be written about it and it is still impossible to describe everything, because they are constantly being improved and updated, just like the types of attacks and hacks are updated in the hacker world. For this, I decided to describe one of the standard methods of operational measures.
Well, let's analyze, as they say, the foundation (there is a foundation to any system, in other words, the standard that the system should adhere to), this is what the standard of operational-search measures looks like:
1. Survey - a conversation with citizens who may be aware of facts, circumstances that are significant for the performance of tasks of operational-search activity
2. Inquiries.
3. Observation.
4. Operational inspection.
5. Control of mail, telegraph and other messages.
6. Listening to telephone conversations.
7. Operational implementation (employee input into development).
So, in order to deal with each of the stages, we need to present some real picture. Suppose that you, as usual, surf the Internet in search of holes and suddenly break a site, but it turns out that this is the official site of the Moscow Region Administration.
You first cursed Google because it brought you to this site, then you began to blame yourself for not even reading the description of the site, but were more interested in describing its errors, and also cursing yourself for leaking the database data with confidential data. And then they instantly calmed down when they remembered that you were using a fresh anonymous proxy. After relaxing, you go, put tea, take out buns to sweetly celebrate the victory and enjoy the trophies downloaded from the site.
The next day, smelling of cigarette smoke and a fume from beer, the system administrator of the hacked site raises his head from the table and notices that the logs are out of order and detects the presence of unauthorized access to confidential site data. He quickly brews himself strong coffee, drinks an anti-hangover pill and then an anti-policeman, runs with bulging eyes with a report on breaking into his boss.
And now, from this moment, the malicious hunt for you begins! And then everything is according to the instructions? a statement is submitted to the local police department with a full description of the hack and attached logs of penetration and other crap. Well, of course, that the employee who accepted the application will not be engaged in this matter, since he does not have the appropriate skills and knowledge. The case is referred to a special department, which we have already learned about - this is Department “K”.
Now the first stage begins - this is a survey of citizens who can help in the investigation and search for the offender. In our case, the admin of the site will be interviewed, they will find out through which hole the hack was made, from which ip-address the hack was made, and they will also be interested in who the hack was profitable for, whether there are suspicions of someone, or it’s a guest like you.
The second stage is to make inquiries about the criminal, or rather to process the received data from the first stage, roughly speaking, they will check your IP address in order to find out where, who is your provider. An ordinary citizen can do this using the WHOIS protocol.
WHOIS is a TCP-based network protocol for the application layer that hangs on port 43. The main use is to obtain registration information about the owners of domain names, IP addresses and autonomous systems. So, having broken the IP address obtained in the logs of the hacked machine, they see in the line Country: US - that is, the machine with this IP address is in the United States. And this is one of two options, either some kind of CIA devotee decided to break the administration site of the Moscow region, or this server is an ordinary proxy server.
Well, the first option is unlikely, but all versions are still being developed, and they need to be checked. First, the IP address is punched through the public server database. If the IP address is clean, then there is a possibility that the server is recently crooked and a proxy is installed there. In this case, you can get by calling open ports. Yes, of course, proxies can also be set up not on a standard port such as 3128 or 8080, 80. But all the same, the services will be shown by the scanner and there are a bunch of other options on how to determine whether a proxy server is worth it or not, take my word for it, for the guys from Department "K" - this will not cause any difficulties.
Having learned that this is a proxy server that you brazenly used to penetrate the system, the K department is faced with the question of how to get information from that server about which IP address it was accessed at a given time. They have two ways, an official request from their colleagues in the United States, and if you get an answer, the case will develop much easier and the answer will be attached to the case. Or the second option, not legal.
In the event that Department “K” receives a refusal in an official request, and it will be so, since there is no such agreement between our countries, then in order to advance the case it will be necessary to conduct unauthorized access to this server, again, the guys from Department “K "It’s not difficult, they are sitting there just for such purposes. But having received data from the server about your IP address, this will not be able to get to business, for that you are already taking up development and it is at this point that you need to sit down for treason.
TO BE CONTINUED.
The fight against cybercrime today is no longer a myth, but a harsh reality. Long gone are the days when the security services did not know from which end to approach the network. Yes, of course, they did not go so far as to fully control cybercrime, so the number of cybercrimes is growing every day. But all these crimes are petty, and all serious crimes are not left without punishment. In our country, Office “K” monitors cybercrime.
Office “K” is a department of the Ministry of Internal Affairs of Russia, which fights against computer crimes and illicit trafficking in RES (electronic equipment) and STS, is a structural unit of the criminal police service of the Ministry of Internal Affairs, each constituent entity of the Russian Federation.
Management "K" is part of the BSTM Ministry of Internal Affairs of Russia and investigates crimes in the field of information technology, is the only open unit.
Department “K”, being part of the Central Internal Affairs Directorate of a constituent entity of the Russian Federation, detects, warns, suppresses and discloses crimes in the field of information technology, illicit trafficking in radio electronic equipment, special technical means of STS and child pornography.
MANAGEMENT TASKS “K”
* fight against violation of copyright and related rights (Article 146 of the Criminal Code, Article 7.12 of the Administrative Code);
* identification of illegal penetration into a computer network (Article 272 of the Criminal Code of the Russian Federation), the fight against distributors of malicious programs (Article 273 of the Criminal Code of the Russian Federation);
* identification of violations of the rules of operation of a computer, a computer system or their network (article 274 of the Criminal Code);
* identification of the use of fraudulent credit cards (Article 159 of the Criminal Code);
* the fight against the spread of pornography through the Internet and CDs (Article 242 of the Criminal Code).
* identification of illegal connection to telephone lines (Article 165 of the Criminal Code, Article 13.2 of the Administrative Code).
* fight against illicit trafficking in radio electronic and special technical equipment (STS), (Article 138 of the Criminal Code of the Russian Federation, Article 171 of the Criminal Code of the Russian Federation, Articles 14.1, 14.42 of the Administrative Code of the Russian Federation)
In such organizations, not some lameugas sit, but for the most part white and fluffy hackers and pretty hackers. White hackers are citizens who, at a young age, made some kind of computer hacking at the age of not older than 13 years old and fell into the clutches of the "K" department. They, in turn, hide the matter, not making it public and exercise total control over this young hacker, gradually training him for future work.
There are also special schools of the Ministry of Internal Affairs in computer security, they teach a slightly different method with respect to civilian educational institutions in the same specialty. The subjects are completely different, all the lessons are as close as possible to the present work, that is, what the employee of department “K” does daily.
In general, the recruitment to this institution is a delicate matter and not everyone can get there, although he almost put it right. Everyone can get there, only in which room, in the sky with a cage or in a warm, cozy office with a good computer and a mug of hot tea (coffee) on the table.
Although such good specialists work in this institution, this does not mean that they should deal only with mega-complex matters. For the most part, they have to do very dirty and indecent work for their professional competence. Here is one of the cases when one of the citizens of the Russian Federation spoke negatively in the direction of one of the representatives of United Russia, at some forum dedicated to political science. The next day, representatives of department “K” sent a letter to the administration of this resource asking them to delete this statement and generally close this topic on the forum.
In response, the department "K" received a refusal from the site administration and in pursuit of a number of negative emotions about this letter. From department "K" a series of threats rained down against the administration. In the end, the message was deleted and the topic with it, but in what ways it was achieved, and indeed - this is the work of ordinary operas and it is unlikely that this relates to computer crimes.
Well, I think, now it has become clear what department “K” is and what it does. Now let's talk about how they do their work, what strategies and tactics.
ACTIVITY
Operational events are a rather cumbersome topic, a lot of articles can be written about it and it is still impossible to describe everything, because they are constantly being improved and updated, just like the types of attacks and hacks are updated in the hacker world. For this, I decided to describe one of the standard methods of operational measures.
Well, let's analyze, as they say, the foundation (there is a foundation to any system, in other words, the standard that the system should adhere to), this is what the standard of operational-search measures looks like:
1. Survey - a conversation with citizens who may be aware of facts, circumstances that are significant for the performance of tasks of operational-search activity
2. Inquiries.
3. Observation.
4. Operational inspection.
5. Control of mail, telegraph and other messages.
6. Listening to telephone conversations.
7. Operational implementation (employee input into development).
So, in order to deal with each of the stages, we need to present some real picture. Suppose that you, as usual, surf the Internet in search of holes and suddenly break a site, but it turns out that this is the official site of the Moscow Region Administration.
You first cursed Google because it brought you to this site, then you began to blame yourself for not even reading the description of the site, but were more interested in describing its errors, and also cursing yourself for leaking the database data with confidential data. And then they instantly calmed down when they remembered that you were using a fresh anonymous proxy. After relaxing, you go, put tea, take out buns to sweetly celebrate the victory and enjoy the trophies downloaded from the site.
The next day, smelling of cigarette smoke and a fume from beer, the system administrator of the hacked site raises his head from the table and notices that the logs are out of order and detects the presence of unauthorized access to confidential site data. He quickly brews himself strong coffee, drinks an anti-hangover pill and then an anti-policeman, runs with bulging eyes with a report on breaking into his boss.
And now, from this moment, the malicious hunt for you begins! And then everything is according to the instructions? a statement is submitted to the local police department with a full description of the hack and attached logs of penetration and other crap. Well, of course, that the employee who accepted the application will not be engaged in this matter, since he does not have the appropriate skills and knowledge. The case is referred to a special department, which we have already learned about - this is Department “K”.
Now the first stage begins - this is a survey of citizens who can help in the investigation and search for the offender. In our case, the admin of the site will be interviewed, they will find out through which hole the hack was made, from which ip-address the hack was made, and they will also be interested in who the hack was profitable for, whether there are suspicions of someone, or it’s a guest like you.
The second stage is to make inquiries about the criminal, or rather to process the received data from the first stage, roughly speaking, they will check your IP address in order to find out where, who is your provider. An ordinary citizen can do this using the WHOIS protocol.
WHOIS is a TCP-based network protocol for the application layer that hangs on port 43. The main use is to obtain registration information about the owners of domain names, IP addresses and autonomous systems. So, having broken the IP address obtained in the logs of the hacked machine, they see in the line Country: US - that is, the machine with this IP address is in the United States. And this is one of two options, either some kind of CIA devotee decided to break the administration site of the Moscow region, or this server is an ordinary proxy server.
Well, the first option is unlikely, but all versions are still being developed, and they need to be checked. First, the IP address is punched through the public server database. If the IP address is clean, then there is a possibility that the server is recently crooked and a proxy is installed there. In this case, you can get by calling open ports. Yes, of course, proxies can also be set up not on a standard port such as 3128 or 8080, 80. But all the same, the services will be shown by the scanner and there are a bunch of other options on how to determine whether a proxy server is worth it or not, take my word for it, for the guys from Department "K" - this will not cause any difficulties.
Having learned that this is a proxy server that you brazenly used to penetrate the system, the K department is faced with the question of how to get information from that server about which IP address it was accessed at a given time. They have two ways, an official request from their colleagues in the United States, and if you get an answer, the case will develop much easier and the answer will be attached to the case. Or the second option, not legal.
In the event that Department “K” receives a refusal in an official request, and it will be so, since there is no such agreement between our countries, then in order to advance the case it will be necessary to conduct unauthorized access to this server, again, the guys from Department “K "It’s not difficult, they are sitting there just for such purposes. But having received data from the server about your IP address, this will not be able to get to business, for that you are already taking up development and it is at this point that you need to sit down for treason.
TO BE CONTINUED.
Original message
Товарищи, хакеры и прочие антисоциальные, плохо воспитанно-образованные личности, которые убеждены в том, что используя всякие там программы и прокси с прочей ерундой, уйдут от заслуженного наказания. Сегодня поговорим с вами о вашей безопасности, а точнее о тех, кто за вами охотится. Мы будем говорить о том, как работает всеми известный Отдел «К» (Управление "К") и, в частности, Бюро специальных технических мероприятий (БСТМ).
Борьба с киберпреступностью в наши дни - уже далеко не миф, а суровая реальность. Уже давно прошли те времена, когда спецслужбы не знали с какого конца подступиться к сети. Да, конечно, они не дошли до того, чтобы полностью контролировать киберпреступность, поэтому число киберпреступлений, с каждым днем растет. Но все эти преступления мелочные, а все весомые преступления не остаются без наказанными. В нашей стране за киберпреступностью следит Управление "К".
Управление «К» отдел МВД России, осуществляющий борьбу с компьютерными преступлениями и незаконным оборотом РЭС (радиоэлектронных средств) и СТС, является структурным подразделением службы криминальной полиции МВД, каждого субъекта Российской Федерации.
Управление «К» входит в состав БСТМ МВД России и расследует преступления в сфере информационных технологий, является единственным открытым подразделением.
Отдел «К», находясь в составе ГУВД субъекта РФ, выявляет, предупреждает, пресекает и раскрывает преступления в сфере информационных технологий, незаконного оборота РЭС, специальных технических средств СТС и детской порнографии.
ЗАДАЧИ УПРАВЛЕНИЯ «К»
* борьба с нарушением авторских и смежных прав (ст. 146 УК РФ,ст. 7.12 КоАП РФ);
* выявление незаконного проникновения в компьютерную сеть (ст. 272 УК РФ), борьба с распространителями вредоносных программ (ст. 273 УК РФ);
* выявление нарушений правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ);
* выявление использования подложных кредитных карт (ст. 159 УК РФ);
* борьба с распространением порнографии посредством сети Интернет и Компакт-дисков (ст. 242 УК РФ).
* выявление незаконного подключения к телефонным линиям (ст. 165 УК РФ, ст. 13.2 КоАП РФ).
* борьба с незаконным оборотом радиоэлектронных и специальных технических средств (СТС), (ст. 138 УК РФ, ст. 171 УК РФ, ст. 14.1, 14.42 КоАП РФ)
В таких организациях сидят не какие - нибудь ламерюги, а в большей части белые и пушистые хакеры и симпатичные хакерши. Белые хакеры - это граждане которые в юном возрасте совершили какой - нибудь компьютерный взлом в возрасте не старше 13 лет и попались в лапы отдела «К» . Они в свою очередь дело скрывают, не предавая огласке и осуществляют тотальный контроль за этим юным хакером, постепенно обучая его к будущей работе.
Также существуют спец - школы МВД по компьютерной безопасности, там обучают немного иным методом относительно гражданских учебных заведений по такой же специальности. Предметы совсем другие, все уроки максимально приближены к настоящей работе, то есть, тем чем занимается повседневно сотрудник отдела «К».
Вообще вербовка в данное учреждение, дело тонкое и не каждый может попасть туда, хотя чуть - чуть не правильно выразился. Попасть туда может каждый, вот только в какое именно помещение, в небо с клеткой или теплый уютный офис с хорошим компьютером и кружкой горячего чая (кофе) на столе.
Хоть в данном учреждении работают такие хорошие специалисты, это не означает, что они должны заниматься только мегасложными делами. В большей части им приходится выполнять очень грязную и непристойную работу для их профессиональной компетентности. Вот один из случаев, один из граждан РФ высказался негативно в сторону одного из представителей единороссов, на каком - то форуме посвященный политологии. На следующий день, представители отдела «К» направили письмо администрации данного ресурса с просьбой удалить данное высказывание и вообще закрыть данную тему на форуме.
В ответ отдел «К» получил отказ от администрации сайта и вдогонку ряд негативных эмоций по поводу данного письма. От отдела «К» в ответ посыпались ряд угроз в адрес администрации. В конце концов сообщение удалили и тему вместе с ним, но какими путями это было достигнуто, да и вообще - это работа рядовых оперов и врядли это касается компьютерных преступлений.
Ну, думаю, теперь стало понятно, что такое отдел «К» и чем он занимается. Теперь давайте поговорим о том, как они занимаются своей работой, какие стратегии и тактики.
МЕРОПРИЯТИЯ
Оперативные мероприятия - это довольно громоздкая тема, о ней можно написать кучу статей и все равно невозможно описать все, ведь они постоянно усовершенствуются и обновляются, так же, как виды атак и взломов обновляются в хакерском мире. Для этого я решил описать какой - нибудь из стандартных методов оперативных мероприятий.
Ну, что же, давайте разберем, как говорится, фундамент (к любой системы есть фундамент, другими словами стандарт, которого должна придерживаться система), вот примерно так выглядит стандарт оперативно-розыскных мероприятий:
1. Опрос - беседа с гражданами, которым могут быть известны факты, обстоятельства, значимые для выполнения задач оперативно-розыскной деятельности
2. Наведение справок.
3. Наблюдение.
4. Оперативный осмотр.
5. Контроль почтовых отправлений, телеграфных и иных сообщений.
6. Прослушивание телефонных переговоров.
7. Оперативное внедрение (ввод сотрудника в разработку).
Итак, чтобы разобраться с каждым из этапов, нам нужно представить какую - нибудь реальную картину. Допустим, что ты, как обычно, путешествовал по интернету в поиске дырок и вдруг ломанули какой - то сайт, а оказалось, что это официальный сайт Администрации московской области.
Вы сперва прокляли гугл из-за того, что он вывел вас на этот сайт, затем начали винить себя в том, что даже не прочитали описание сайта, а были увлечены больше описанием его ошибок , а так же прокляли себя за то, что слили базу данных с конфиденциальными данными. А потом моментально успокоились, когда вспомнили, о том , что вы юзайте свежую анонимную проксю. Расслабившись, вы идете, ставите чай, достаете плюшки, чтобы сладко отметить победу и насладиться трофеями скаченных с сайта.
На следующий день, провонявшийся сигаретным дымом и перегаром от пива, поднимает свою голову от стола, системный администратор взломанного сайта и замечает, что логи не в порядки и выявляет присутствие несанкционированного доступа к конфиденциальным данным сайта. Он быстро заваривает себе крепкий кофе, выпивает таблетку анти-похмелина и следом анти-полицая, бежит с выпученными глазами с докладом о взломе своему начальнику.
И вот, именно с этого момента, начинается злостная охота за вами! А дальше все по инструкции? в местный отдел милиции подается заявление с полным описанием взлома и прикрепленными логами о проникновении и другой лабудой. Ну, естественно, что сотрудник, который принял заявления, не будет заниматься данным делом, так как не имеет соответствующих навыков, знаний. Дело передается в специальный отдел, о котором мы уже узнали - это Отдел «К».
Вот теперь начинается первый этап - это опрос граждан, которые могут помочь в расследовании и поиске преступника. В нашем случае будет опрошен админ сайта, узнают через какую дыру был произведен взлом, с какого ip-адреса был произведен взлом, а так же поинтересуются кому был выгоден взлом, есть ли подозрения на кого - то, либо это гастролер типа тебя.
Второй этап - это наведение справок о преступнике, точнее обработка полученных данных от первого этапа, грубо говоря, проверяют твой IP-адрес, для того, чтобы узнать где, кто твой провайдер. Сделать это может и обычный гражданин с помощью протокола WHOIS.
WHOIS - это сетевой протокол прикладного уровня, базирующийся на протоколе TCP, висит на порту 43. Основное применение - получение регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем. Итак, пробив IP-адрес полученный в логах взломанной машины, они видят в строке Country: US - то есть машина с данным IP-адресом находится в США. А это один из двух вариантов, либо какой-то деверсант из ЦРУ решил ломануть сайт администрации московской области, либо этот сервер - обычный прокси сервер.
Ну, первый вариант мало вероятен, но все же разрабатываются все версии, и они должны быть проверены. Сперва IP-адрес пробивают по базе данных паблик серверов. В случае если IP-адрес чистый,то есть вероятность, что сервер недавно похаканый и там установлен прокси. В этом случае можно обойтись прозвоном открытых портов. Да, конечно, proxy можно посадить и не на стандартный порт типа 3128 или 8080, 80. Но все равно сервисы будут показаны сканером да и есть куча других вариантов, как определить стоит ли прокси сервер или нет, поверьте мне на слово, для ребят из отдела «К» - это не вызовет никаких трудностей.
Узнав, что - это прокси сервер, который вы нагло использовали для проникновения в систему, перед отделом «К» стоит вопрос, как вытащить информацию с того сервера о том, с какого IP-адреса заходили на данный сервер в определенное время. У них есть два пути, официальный запрос у своих коллег в США, и в случае получения ответа дело будет развиваться намного проще, и ответ будет прикреплен к делу. Либо второй вариант, не законный.
В случае, если в официальном запросе отдел «К» получит отказ, а так оно и будет, так как между нашими странами нет такого соглашения, то для продвижения дела придется провести несанкционированный доступ в данный сервер, опять же сделать это ребятам из Отдела «К» не составит труда, именно для таких целей они там сидят. Но получив данные с сервера о вашем IP-адресе, это не удастся пришить к делу, за то вы уже беретесь в разработку и именно в этот момент нужно садиться на измену.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ.
Борьба с киберпреступностью в наши дни - уже далеко не миф, а суровая реальность. Уже давно прошли те времена, когда спецслужбы не знали с какого конца подступиться к сети. Да, конечно, они не дошли до того, чтобы полностью контролировать киберпреступность, поэтому число киберпреступлений, с каждым днем растет. Но все эти преступления мелочные, а все весомые преступления не остаются без наказанными. В нашей стране за киберпреступностью следит Управление "К".
Управление «К» отдел МВД России, осуществляющий борьбу с компьютерными преступлениями и незаконным оборотом РЭС (радиоэлектронных средств) и СТС, является структурным подразделением службы криминальной полиции МВД, каждого субъекта Российской Федерации.
Управление «К» входит в состав БСТМ МВД России и расследует преступления в сфере информационных технологий, является единственным открытым подразделением.
Отдел «К», находясь в составе ГУВД субъекта РФ, выявляет, предупреждает, пресекает и раскрывает преступления в сфере информационных технологий, незаконного оборота РЭС, специальных технических средств СТС и детской порнографии.
ЗАДАЧИ УПРАВЛЕНИЯ «К»
* борьба с нарушением авторских и смежных прав (ст. 146 УК РФ,ст. 7.12 КоАП РФ);
* выявление незаконного проникновения в компьютерную сеть (ст. 272 УК РФ), борьба с распространителями вредоносных программ (ст. 273 УК РФ);
* выявление нарушений правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК РФ);
* выявление использования подложных кредитных карт (ст. 159 УК РФ);
* борьба с распространением порнографии посредством сети Интернет и Компакт-дисков (ст. 242 УК РФ).
* выявление незаконного подключения к телефонным линиям (ст. 165 УК РФ, ст. 13.2 КоАП РФ).
* борьба с незаконным оборотом радиоэлектронных и специальных технических средств (СТС), (ст. 138 УК РФ, ст. 171 УК РФ, ст. 14.1, 14.42 КоАП РФ)
В таких организациях сидят не какие - нибудь ламерюги, а в большей части белые и пушистые хакеры и симпатичные хакерши. Белые хакеры - это граждане которые в юном возрасте совершили какой - нибудь компьютерный взлом в возрасте не старше 13 лет и попались в лапы отдела «К» . Они в свою очередь дело скрывают, не предавая огласке и осуществляют тотальный контроль за этим юным хакером, постепенно обучая его к будущей работе.
Также существуют спец - школы МВД по компьютерной безопасности, там обучают немного иным методом относительно гражданских учебных заведений по такой же специальности. Предметы совсем другие, все уроки максимально приближены к настоящей работе, то есть, тем чем занимается повседневно сотрудник отдела «К».
Вообще вербовка в данное учреждение, дело тонкое и не каждый может попасть туда, хотя чуть - чуть не правильно выразился. Попасть туда может каждый, вот только в какое именно помещение, в небо с клеткой или теплый уютный офис с хорошим компьютером и кружкой горячего чая (кофе) на столе.
Хоть в данном учреждении работают такие хорошие специалисты, это не означает, что они должны заниматься только мегасложными делами. В большей части им приходится выполнять очень грязную и непристойную работу для их профессиональной компетентности. Вот один из случаев, один из граждан РФ высказался негативно в сторону одного из представителей единороссов, на каком - то форуме посвященный политологии. На следующий день, представители отдела «К» направили письмо администрации данного ресурса с просьбой удалить данное высказывание и вообще закрыть данную тему на форуме.
В ответ отдел «К» получил отказ от администрации сайта и вдогонку ряд негативных эмоций по поводу данного письма. От отдела «К» в ответ посыпались ряд угроз в адрес администрации. В конце концов сообщение удалили и тему вместе с ним, но какими путями это было достигнуто, да и вообще - это работа рядовых оперов и врядли это касается компьютерных преступлений.
Ну, думаю, теперь стало понятно, что такое отдел «К» и чем он занимается. Теперь давайте поговорим о том, как они занимаются своей работой, какие стратегии и тактики.
МЕРОПРИЯТИЯ
Оперативные мероприятия - это довольно громоздкая тема, о ней можно написать кучу статей и все равно невозможно описать все, ведь они постоянно усовершенствуются и обновляются, так же, как виды атак и взломов обновляются в хакерском мире. Для этого я решил описать какой - нибудь из стандартных методов оперативных мероприятий.
Ну, что же, давайте разберем, как говорится, фундамент (к любой системы есть фундамент, другими словами стандарт, которого должна придерживаться система), вот примерно так выглядит стандарт оперативно-розыскных мероприятий:
1. Опрос - беседа с гражданами, которым могут быть известны факты, обстоятельства, значимые для выполнения задач оперативно-розыскной деятельности
2. Наведение справок.
3. Наблюдение.
4. Оперативный осмотр.
5. Контроль почтовых отправлений, телеграфных и иных сообщений.
6. Прослушивание телефонных переговоров.
7. Оперативное внедрение (ввод сотрудника в разработку).
Итак, чтобы разобраться с каждым из этапов, нам нужно представить какую - нибудь реальную картину. Допустим, что ты, как обычно, путешествовал по интернету в поиске дырок и вдруг ломанули какой - то сайт, а оказалось, что это официальный сайт Администрации московской области.
Вы сперва прокляли гугл из-за того, что он вывел вас на этот сайт, затем начали винить себя в том, что даже не прочитали описание сайта, а были увлечены больше описанием его ошибок , а так же прокляли себя за то, что слили базу данных с конфиденциальными данными. А потом моментально успокоились, когда вспомнили, о том , что вы юзайте свежую анонимную проксю. Расслабившись, вы идете, ставите чай, достаете плюшки, чтобы сладко отметить победу и насладиться трофеями скаченных с сайта.
На следующий день, провонявшийся сигаретным дымом и перегаром от пива, поднимает свою голову от стола, системный администратор взломанного сайта и замечает, что логи не в порядки и выявляет присутствие несанкционированного доступа к конфиденциальным данным сайта. Он быстро заваривает себе крепкий кофе, выпивает таблетку анти-похмелина и следом анти-полицая, бежит с выпученными глазами с докладом о взломе своему начальнику.
И вот, именно с этого момента, начинается злостная охота за вами! А дальше все по инструкции? в местный отдел милиции подается заявление с полным описанием взлома и прикрепленными логами о проникновении и другой лабудой. Ну, естественно, что сотрудник, который принял заявления, не будет заниматься данным делом, так как не имеет соответствующих навыков, знаний. Дело передается в специальный отдел, о котором мы уже узнали - это Отдел «К».
Вот теперь начинается первый этап - это опрос граждан, которые могут помочь в расследовании и поиске преступника. В нашем случае будет опрошен админ сайта, узнают через какую дыру был произведен взлом, с какого ip-адреса был произведен взлом, а так же поинтересуются кому был выгоден взлом, есть ли подозрения на кого - то, либо это гастролер типа тебя.
Второй этап - это наведение справок о преступнике, точнее обработка полученных данных от первого этапа, грубо говоря, проверяют твой IP-адрес, для того, чтобы узнать где, кто твой провайдер. Сделать это может и обычный гражданин с помощью протокола WHOIS.
WHOIS - это сетевой протокол прикладного уровня, базирующийся на протоколе TCP, висит на порту 43. Основное применение - получение регистрационных данных о владельцах доменных имен, IP-адресов и автономных систем. Итак, пробив IP-адрес полученный в логах взломанной машины, они видят в строке Country: US - то есть машина с данным IP-адресом находится в США. А это один из двух вариантов, либо какой-то деверсант из ЦРУ решил ломануть сайт администрации московской области, либо этот сервер - обычный прокси сервер.
Ну, первый вариант мало вероятен, но все же разрабатываются все версии, и они должны быть проверены. Сперва IP-адрес пробивают по базе данных паблик серверов. В случае если IP-адрес чистый,то есть вероятность, что сервер недавно похаканый и там установлен прокси. В этом случае можно обойтись прозвоном открытых портов. Да, конечно, proxy можно посадить и не на стандартный порт типа 3128 или 8080, 80. Но все равно сервисы будут показаны сканером да и есть куча других вариантов, как определить стоит ли прокси сервер или нет, поверьте мне на слово, для ребят из отдела «К» - это не вызовет никаких трудностей.
Узнав, что - это прокси сервер, который вы нагло использовали для проникновения в систему, перед отделом «К» стоит вопрос, как вытащить информацию с того сервера о том, с какого IP-адреса заходили на данный сервер в определенное время. У них есть два пути, официальный запрос у своих коллег в США, и в случае получения ответа дело будет развиваться намного проще, и ответ будет прикреплен к делу. Либо второй вариант, не законный.
В случае, если в официальном запросе отдел «К» получит отказ, а так оно и будет, так как между нашими странами нет такого соглашения, то для продвижения дела придется провести несанкционированный доступ в данный сервер, опять же сделать это ребятам из Отдела «К» не составит труда, именно для таких целей они там сидят. Но получив данные с сервера о вашем IP-адресе, это не удастся пришить к делу, за то вы уже беретесь в разработку и именно в этот момент нужно садиться на измену.
ПРОДОЛЖЕНИЕ СЛЕДУЕТ.
