Федеральная Служба Опасности

Согласно номенклатуре спецслужб США, информация бывает разного происхождения: из первых рук, из вторых, из третьих итп. Из первых (first party) - значит, секреты самой спецслужбы, из вторых (second-party) - переданная союзниками, из третьих - выкраденная у противника, из четвертых - выкраденная противником у его противника и переукраденная. На закрытом форуме АНБ (Агентство Национальной Безопасности, где Сноуден работал) задали вопрос: а из пятых рук информация попадается?

В ответ рассказали такую историю: Дело было давным давно, когда Северная Корея была еще совсем закрытым государством и американцам никак не удавалось закинуть туда удочки. Однако, рядом находится Южная Корея. Она сама по себе объект для Америки не очень интересный, но ведет крупные разведоперации против Севера. Решили пошуровать там. После некоторых усилий АНБ смогло залезть на компьютеры к южанам и изучить положение дел. Выяснилось, что Югу таки удалось посадить жучков на несколько северокорейских компьютеров. Американцы вычислили каналы передачи, это их конек, и сами начали втихую высасывать данные. Какова же была их радость, когда оказалось что часть затрояненных компов принадлежало разведке КНДР, как раз той части, которая занимается кибершпионажем...

Каталог шпионских жучков, закладок, лоадеров и прочей спецтехники от АНБ и Эдварда Сноудена. Почему-то многие издания публикуют только на небольшие выдержки.

Там же лежит удобный архив документов от Сноудена

В связи с недавним разоблачением Silk Road и Freedom Hosting, крупнейших сервисов в сети Tor, в голову приходит логичный вопрос: как? Учитывая, что от одного разоблачения до другого прошло менее двух недель, можно предположить, что есть какой-то общий метод. Предположим, что мы - суровые детективы из ФБР или даже NSA, и нам надо узнать, где хостится скрытый Tor сервис X. В нашем распоряжении куча машин, как своих, так и хакнутых, у нас есть доступ ко многочисленным роутерам, подводным кабелям, спутникам, заводам, газетам и пароходам. По ордеру или заросу через интерпол, мы можем распотрошить любой сервер в почти любой стране капиталистической демократии. Вобщем, власти дофига, главное правильно употребить. Какие варианты?

Тут я вспомнил интересный факт: незадолго до раскрытия и FH и SR подверглись ДДоСу. Совпадение? Спецназ кабель перерезал? Но Dread Pirate Roberts, хозяин SR, писал тогда, что его именно ДДоСят - да как-то хитроумно. Думаю, перерезанный кабель от флуда он отличил бы.

А теперь представим такой сценарий: мы, федеральное агенство, подозреваем, что сервис X на самом деле хостится на определенной машине или сетке. Посылаем туда лучи ДДоСа по открытому интернету и глядим - ну как, упал сервис? Если упал, то вот он наш клиент. Если не упал, ищем другую кандидатуру. Если список подозреваемых не слишком велик, то вполне осуществимо.

Иногда можно и без ДДоСа обойтись. Скажем, на компе кроме скрытого сервиса X бежит еще какой-то открытый сервис: веб сервер, публичная прокся итп. Тогда у открытого и секретного сервиса будут сильно коррелировать режимы работы. www.site.com упал - глядь, и X тоже упал. Тенденция, однако! Имея достаточно тенденций, адрес определить очень легко. Поэтому, кстати, нельзя поднимать скрытый сервис на VPS-ке - соседи могут запалить. И одновременно с Tor-ретранслятором (Tor Relay Node) тоже нельзя - какие ретрансляторы в каждый момент были активны всегда известно (обсуждение тут).

Как искать подозреваемых? Tor-сервисы, в отличие от простых клиентов, подключаются к Tor-у не случайным образом, а только через так называемые Ноды-Стражи (Guard Nodes) Алгоритмы Tor-а не тают статуса стража абы кому, только особо подобранным нодам. Но мы-то не абы кто, мы - супер-агенство с супер-датацентрами. У нас есть неплохой шанс протащить свой сервак в стражи, особенно если знать и использовать слабые места протокола. Искомый ип устанавливается через анализ трафика, по временным паттернам или тупо поочередным ДДоСом каждого подключенного адреса.

Если не удалось заделаться Стражем или не хочет сервис Х к нам подсоединяться, то попробуем определить какими Стражами сервис Х обычно пользуется, благо сервисы меняют себе Страж-нодов довольно редко (раз в месяц где-то). ДДоС и тут поможет - подключаем к сервису как можно больше клиентов, потом ДДоСим каждого возможного стража, поочередно или группами. Если страж угадан верно, то некоторые наши клиенты отвалятся. Стражей всего чуть более тысячи, за месяц уложимся легко. Стражам выписываем ордер на обыск или ставим их на прослушку, затем смотрим предыдущий абзац

Не знаю, так ли искали Шелковый Путь, но иметь ввиду подобные варианты стоит - и выбирать стражей с великой осторожностью. Tor, вроде, не очень дает настраивать алгоритм подбора стражей, но, как минимум, можно заблокировать исходящие соединения с неблагонадежными сетками. И очень внимательно следить за ДДоСами - кто знает, возможно это ищут вас.

Картинка


Update: Судя по утечкам из NSA, разведчики никого пока не ДДоСят. А может, Сноуден просто не украл документов про скрытые сервисы

Хакерская группа TeamPoison выложила на PasteBin емейлы-пароли более тысячи работников ООН:

http://pastebin.com/rfB0efDk

К сливу прилагается сумбурный патриотический-анти-капиталистический манифест, но он если коммунистам можно поклоняться поясу Богородицы, то почему бы американским националистам не выступать против Желтого Дьявола?

Как говорил Линус Торвальдс "С достаточным количеством народу любой баг лежит на поверхности" В наши бурные времена то же можено сказать и о секретах. Толпы детективов-любителей рыщат во всему интернету и при малейшей возможности тайное делают явным.

Вот совсем недавно промелькнуло две иллюстрации принципа:
(все фото кликабельны)

Случай 1
http://pocketnow.com/iphone/iphone-5-first-test-photo


Казалось бы, что может быть безобиднее суси? Смотрим на содержимое EXIF. На первый взгляд, тоже все в норме. Пишут, что снято с iPhone4, в обеденное время (11:52), внутри одного из корпуов фирмы Apple (судя по GPS-координатам). Ничего удивительно, картинка взята с фликровского аккаунта одного из эппловских инженеров (русского, кстати)

Но тут дотошные фанаты обратили внимание фокусное расстояние и диафрагму: 4.3mm f/2.4. Оказывается, iPhone 4 таких установок не позволяет, там 3.85mm f/2.8. Как понять?Напрашивается вывод - это вовсе не четвертый айфон был, а бета-версия пятого. А если так, то мы теперь знаем и, например, разрешение новой камеры - 3264x2448, или почти 8 мегапикселей.

Случай 2
http://cryptome.org/0004/cia-john/cia-john.htm

Этот снимок, наверное, видели все - Обама наблюдает за ликвидацией Осамы. Как и во всех официальных снимках из Белого Дома, каждый пиксел прошел суровую цензуру. Все лаптопы выключены, секретные документы перед Хиллари Клинтон тщательно замазаны. Где здесь может быть утечка?

Хозяин cryptome Джон Янг обратил внимание на заметку от Associated Press. Цитирую:



За кадром, говорите, остался? А вот если посмотреть внимательно, то на знаменитой фотографии с самого правого краю виден человек в черном пиджаке с желтым в клеточку галстуком. Этого человека с точно таким же галстуком мы видим на заднем плане рядом с Хилари Клинтон:


(Вот это же пресс-фото целиком)

В заметке от Associated Press упоминалось, что Джон-из-ЦРУ когда-то играл в баскетбол. И у этого господина рост гренадерский.
А вот тот же галстук стоит за директором ЦРУ Леоном Панетти


Дальше процесс пошел самотеком. Про находку проведали журналюги с Gawker, портреты расползлись по интернетам, ЦРУшника опознали его знакомые и, естественно, немедленно сообщили об этом журналу Observer.
В итоге достоянием гласности стало не только пристрастие к желтым галстукам, но имя, фамилия, адрес, места учебы и оценки в универе (аналитик был хорошистом). Правительству пришло немедленно секретить всю личную информацию, более-менее им это удалось - в открытой прессе остались лишь небольщие обрывки, как например эта фотография героя в молодые годы:

Викиликс жалуется на утечки Госдепу США.

Только что получил частным порядком от анонимного источника сообщение о новом повороте в судбье компании Chronopay. Судя по инфе, директор компании Павел Редаевич Врублевский на этот раз попал очень конкретно. ФСБ дало ход уголовному делу по ДДоСу компании "Ассист" и арестовало ботнетчика Энгеля. Тот во всем признался и сдал Хронопей. Врублевский якобы бежал за границу.

Инфа не проверена, но с первого взгляда похожа на правду. Источник подверждает сведения сканами с уголовного дела и письменного признания Энгеля.  На крутопе, у Игоря Гусева и у Брайана Кребса все тихо пока, ждем развития событий.

ЗЫ: Занятно, что кроме более-менее известных дел РедАя и сотоварищи (поддельные антивирусы, торговля контроллами через RX-promotion) источник вменяет ему еще и знаменитый ДДоС блога Навального и всего ЖЖ вместе с ним.  Что РедАй Навального любил, это понятно, но что до такой степени - это для меня новость. Если так, то интересно, а кто  заказывал? Что-то не похоже на личную инициативу.

ЗЗЫ: Заранее приношу извинения PR службе компании Chronopay. Обломитесь.

• В Госдуме РФ открылся секс-шоп.
• Хакеры украли базу данных тв-шоу X-Factor, содержащую личные данные участников, и выложили на торренты.
• Дипломные работы по компьютерной лингвистике: генератор репчины, распознаватель политической ориентации и парсер заказов для забегаловки.
• Ядерный взрыв в верхних слоях атмосферы и в космосе.

This entry was originally posted at http://malaya-zemlya.dreamwidth.org/7516.html. Please comment there using OpenID.

Ввиду непрекращиющихся попыток мировой закулисы вмешаться в деятельность ЖЖ, усиленмя ДДОС-атак и
непрекращающихся действий по проведению политики международного терроризма, а также чтоб застолбить никнейм, открыл на всякий случай журнал на dreamwidth.

This entry was originally posted at http://malaya-zemlya.dreamwidth.org/493.html. Please comment there using OpenID.

Ассанж, совместно с олигархом Александром Лебедевым, Михаилом Горбачевыи и Новой Газетой, обещают специальный выпуск, посвященный России.

Думаю, что имеются ввиду еще не выложеные донесения из посольства США в Москве. Поглядим - увидим. Вдруг расскажут, кто крышует Путина?