Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
Sign in to follow this  
mr.save

Как ищут киберпреступников.

Recommended Posts

Сетевые исследовательские методы (Network Investigative Techniques - NIT) - это специальные формы инструментов цифрового правоприменения, которые позволяют правоохранительным органам (LEA) взламывать подозрительные компьютеры при помощи использования уязвимостей. NIT оказывают помощь в определении местонахождения и идентификации киберпреступников, действующих в Даркнете, где обычные следственные средства оказались бесполезными. Они играют значительную роль в исследованиях в области киберпреступности, а также в сфере национальной кибербезопасности. Однако раскрытие некоторых кодов NIT может значительно подорвать операции правоохранительных органов, основанные на этих кодах. Во многих федеральных делах уголовные обвиняемые пытались получить доступ к кодам NIT, и судам приходилось принимать решение, должны ли правоохранительные органы раскрывать этот код. Приоритет LEA в отношении конфиденциальности является довольно шатким, когда рассматривается право киберпреступных ответчиков на обнаружение информации для их защиты.

Недавно опубликованная статья Юридической школы Нью-Йоркского университета представила некоторую ценную информацию о НИТ и о том, как они использовались для осуждения лиц, совершивших федеральные преступления в сети TOR.

NIT и использование уязвимостей:

 

NIT - это специальная форма программного обеспечения, которая может контролировать доступ к подозрительному компьютеру посредством переопределения его функций безопасности. По сути, NIT - это вредоносное ПО или эксплойты, которые специально разработаны для использования этих технологических уязвимостей. Таким образом, NIT позволяют LEA получать доступ к подозрительным компьютерам, контролировать их и получать идентификационную информацию, хранящуюся на них, включая их IP-адреса, с помощью использования уязвимостей программного обеспечения.

Когда кто-то обнаруживает уязвимость, нет никакой гарантии того, что он один знает о ее существовании. Вероятность того, что другая сторона идентифицирует ее, увеличивается с каждым днем. Всякий раз, когда раскрывается уязвимость, разработчики программного обеспечения и антивирусные компании стараются оперативно исправить это. Следовательно, LEA должны обнаруживать и полагаться на уязвимости, которые не были идентифицированы или исправлены другими. Это чрезвычайно дорого - уязвимости могут стоить более 100 000 долларов, и даже самим ФБР иногда не хватает ресурсов, необходимых для развития эксплойтов. Таким образом, уязвимость обычно имеет ограниченный срок хранения, поскольку NIT становятся устаревшими после выявления и исправления уязвимости.

Использование NIT для нацеливания и выявления преступников:

 

В течение последних нескольких лет ФБР полагалось на NIT для выявления уязвимостей в TOR, чтобы они могли деанонизировать клиентов, использующих его. Эти NIT обходят работу TOR, чтобы идентифицировать реальные IP-адреса пользователей и исследователей точек для интернет-провайдеров пользователей и физических геолокаций. NIT состоит из четырех элементов:

1 - Генератор

2 - Эксплойт

3 - Полезная нагрузка

4 - Сервер регистрации

Генератор работает на скрытой службе TOR. Он генерирует уникальный идентификатор, чтобы связать его с посетителем веб-сайта и доставляет этот идентификатор с помощью эксплойта и полезной нагрузки на компьютер посетителя веб-сайта. Генератор позволяет ФБР отслеживать конкретные реализации NIT на компьютере. После того, как генератор передает элементы NIT компьютеру посетителя веб-сайта, эксплойт, представляющий фактический код, использующий уязвимость для переопределения и управления компьютерной системой, берет на себя управление TOR-браузером для загрузки и выполнения полезной нагрузки. Код полезной нагрузки запускается на целевом компьютере, выполняет поиск разрешенной информации и затем передает его в службу ведения журнала, запущенную на компьютере ФБР. Служба ведения журнала сохраняет информацию, собранную с компьютера, идентификатор, присвоенный кодом генератора, и IP-адрес целевого компьютера.

Как только ФБР получает информацию через NIT, сразу появляется возможность использовать обычные методы расследования для определения местоположения целевых лиц. Как правило, IP-адрес компьютера, назначенный провайдером, показывает его местоположение. Используя общедоступную информацию, ФБР может идентифицировать провайдера, который предоставляет IP-адрес компьютера. Затем ФБР обслуживает административный вызов в Интернет-провайдере, чтобы идентифицировать имя и физический адрес клиента, связанного с IP-адресом. Это позволяет правоохранительным органам проводить наблюдение за целевыми помещениями и получать соответствующие ордера на обыск. Однако простого IP-адреса не всегда достаточно, чтобы идентифицировать преступника.

Как ФБР использует NIT, чтобы вычислить киберпреступников?

 

Мы рассмотрим несколько примеров:

Рассмотрим пример Аарона МакГрата, управляющего тремя сайтами с детской порнографией: одним из его резиденции, а двумя другими со своей работы. IP-адрес, связанный с веб-сайтом, размещенным у его резиденции, был связан с женщиной, которая поделилась своим местом жительства. Только через физическое наблюдение за резиденцией, поиски аккаунтов в социальных сетях, и получение ордеров на обыск, ФБР смогло доказать вину МакГрата. ФБР выразило твердое убеждение в том, что НИТ представляют собой единственную методику расследования с разумной вероятностью обеспечения необходимых доказательств, чтобы доказать, что разумные сомнения не подтверждают реальное физическое местоположение и личность подозреваемых с использованием служб анонимизации, таких, как TOR, для совершения федеральных киберпреступлений.

Какую идентифицирующую информацию предоставляет NIT для правоохранительных органов?

 

Так как IP-адреса не являются исчерпывающей информацией для идентификации, NIT определяет больше, чем IP-адрес подозреваемого компьютера, чтобы ФБР вычислило именно необходимого им подозреваемого. Использование ФБР NIT в нескольких операциях против распространителей детской порнографии показывает, как они усовершенствовали свои методы с течением времени и как они теперь могут получать более конкретную идентифицирующую информацию.

Например, при помощи NIT, используемом ФБР в Operation Torpedo, удалось получить IP-адрес подозреваемого компьютера, а также дату и время, когда NIT определил IP-адрес, «уникальный идентификатор сеанса», который веб-сайт обычно назначает гостевому компьютеру, и тип операционной системы, запущенной на компьютере подозреваемого. ФБР объяснило, почему каждая часть информации имеет важное значение для поимки подозреваемого - IP-адрес может быть связан с ISP и ISP-клиентом, идентификатор сеанса будет отличать данные одного компьютера от другого, а детали операционной системы помогут различать компьютер подозреваемого с других компьютеров, используя тот же ISP в тех же помещениях.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...