Продолжение шпионских страстей

A почему все так уперлись в шифрованный трафик? Дело им не ограничивается.

Во-1, уже упомянутая стеганография.
Во-2, просто взять в rar запароленный положить - и то задолбаются разламывать. Но главное тут даже не в стойкости (в конце концов внутрь архива можно шифровку положить), а в совершенной незаметности и неподозрительности всего этого - это ведь типичное дело в сети. Народ, вон, гигабайтами на ftp-серверы файлы льет, пойди разберись.
В-3, тоже упомянутые файлообменники. Этим тоже все подряд занимаются. А там можно так сделать, что и найти-то файл трудно будет. А если и найти, можно сделать, чтобы файл не отдавался кому не надо (вернее, качался бы мееедленно и соединение рвалось - тоже вполне типичная и не подозрительная сама по себе штука). Ну и в конце концов сам файл тоже, конечно, шифрованный. Или со стенографией.

Причем все это очень просто и не требует особых знаний.

Zeus, все эти варианты требуют достаточно высокого уровня компьютерной грамотности, и все твои варианты нормальны для тех у кого есть постоянный коннект. В РОССИИ ЭТО ЕЩЁ ПОКА НЕ ТИПИЧНО, А ЗНАЧИТ - ПРИВЛЕКАЕТ ВНИМАНИЕ...

Следующий раз 17 шрифтом и bold-ом выделю... :\

Vale] Вот и всё. Соответственно, выбор англичанами канала связи через "закладку" в конкретно наших условиях для меня выглядит вполне оправданным.
Меня гложут смутные сомнения (С) Иван Васильевич — почему ты думаешь, что у пользователя хватило грамотности использовать налодонник для передачи информации?

Глубоко начихать, как данные передаются. Они уже на этом налодоннике в зашифрованном виде. Эти данные можно передать просто как атачнутый файл на ящик из любого интернет кафе. Причем на российския ящик — тот же mail.ru — он уже зашифрован сильной криптографией. Здесь я отличий от камня вижу в пользу интернета.

Вопрос, который все пропускают мимо, и, на который Сергей и я пытаемся указать, состоит в том, что самая сложная часть задания — положить инфу на налодонник — остался за кадром. И здесь нет разницы ни для инета, ни для камня.

---

Vale] Zeus, все эти варианты требуют достаточно высокого уровня компьютерной грамотности, и все твои варианты нормальны для тех у кого есть постоянный коннект. В РОССИИ ЭТО ЕЩЁ ПОКА НЕ ТИПИЧНО, А ЗНАЧИТ - ПРИВЛЕКАЕТ ВНИМАНИЕ...

ИМХО, не прав. Ты опять путаешь грамотность и пользование. Наличие программки заменяет грамотность и понимание.

Что такое типично? Каков процент населения должен начать пользоваться, чтобы это стало типично. ИМХО, как только число людей превысит возможности контрразведки следить за всеми, так сразу и наступает "золотой век" "интернетных шпионов". Потому как сила системы определяется ее слабейшим звеном. Китай честно признался, что не может следить и в законном порядке прикрывает всякие выходы за рубеж. Франция честно сказала, что слабо раздолбать сильную криптографию и ввела закон о том, что использование сильной криптографии — уголовное преступление.

Вот! Только собрался написать про наладонник. Опередили. Мне изначально казалась странной мысль об использовании "супер-камня" для передачи информации. Что может быть проще, чем перекидывать информацию с наладонника на наладонник? Я лично юзаю уже полгода Асус730W (перешел с Палма). Инфраред, голубой зуб, Wi-Fi. Точек халявного доступа в Инет по Wi-Fi в Москве - пруд пруди. Или же блютус - пришел себе в Макдональдс (взял пару гамбургеров и пересылай инфу агенту, который в 10 метрах от тебя жареной картошкой давится. Или в театре - может же вражина под личиной посла демократии на "Князя Игоря"сходить?

А что касается защиты информации на оборонных предприятиях, то золотой век первого отдела давно в прошлом. Неоднократно бесконтрольно шлялся по крупнейшим нашим предприятиям имея при себе мобилу с 1,3 мегапикселами, упомянутый КПК с такой же камерой и CF-картой на 4 гига, иногда при себе оказывалась флэшка на 2 гига. На предприятие я проходил и выходил с него без досмотра. Было бы другое воспитание - все бы сфотографировал и никто бы не заметил.

Stillet] Было бы другое воспитание - все бы сфотографировал и никто бы не заметил.
А Вы в след. раз попробуйте для эксперимента, если уж так уверены - а народ посмотрит, через сколько лет Вы об этом эксперименте сможете рассказать...

Что может быть проще, чем перекидывать информацию с наладонника на наладонник?

 

Точно! В одном вагоне метра, травмая или троллейбуса едут и коннектятся! Можно столько инфы передать...Ведь около камня от силы пять-десять минут на лавочке посидишь, один как перст -] заметный. А в транспорте водоворот людей, но при этом можно ехать вместе до часа (по Москве!)

Другое дело, что за всеми "дипломатами" слежка часто бывает чисто для профилактики. Несмотря на толпу пассажиров заметят в одном вагоне -] возьмут на заметку -] провал.

Хотя если скорость хор-р-рошая, может пройти и вариант, когда дипломатичекая машина проезжает рядом с троллейбусом и в это время пальмы коннектятся. И если саму передачу не засечешь и не запеленгуешь КОНКРЕТНОГО чела в толпе ЕДУЩЕГО троллейбуса -] сил не хватит за всеми дипломатами по городу гоняться с пеленгатором. А они ведь змеюки, могут и ложные "коннекты" устраивать, распыляя силы контррразведки.

Может быть "камень" такое мероприятие и есть?

Вообще говоря, меня терзают смутные сомнения (с) тоже, но в том, что данный камень вообще использовался именно для связи с агентами.
Как вам такая мысль, так метрах в сорока лежит кабель какой-нибудь интересный, и по оному кабелю интересная инфа текет. А камень пишет.
А как еще к кабелю этому подобраться?..Потом идет агент, снимает, и шлет на почтовый ящик ciamail из инет кафе =))

По этому поводу мне всегда вспоминается древняя история-анекдот.
Году так в 196* или 197* два студента МГУ решили проверить бдительность КГБ таким образом:
один садится на скамеечку у фонтана напротив Главного здания, рядом ставит сумку, через некоторое время подходит второй с такой же сумкой. Первый встаёт, берёт сумку второго, уходит. Второй соответственно уходит с сумкой первого. На следующий день обоих отчисляют.

По поводу места действия приходилось слышать несколько вариантов, но это не суть важно

Vale] Zeus, все эти варианты требуют достаточно высокого уровня компьютерной грамотности, и все твои варианты нормальны для тех у кого есть постоянный коннект. В РОССИИ ЭТО ЕЩЁ ПОКА НЕ ТИПИЧНО, А ЗНАЧИТ - ПРИВЛЕКАЕТ ВНИМАНИЕ...

]Следующий раз 17 шрифтом и bold-ом выделю... :\

Во-1, не надо нервничать. Во-2, думаю, ты ошибаешься. Объяснить, как пользоваться RAR-ом и обычной (любой!) почтой не сложнее, чем объяснить, как пользоваться наладонниковм. Я бы даже сказал, гораздо проще. Да и с любой программой-клиентом так же. Все равно первоначальные инструкции надо получать.

И постоянный коннект тут необязателен (я год пас eMule на модеме, скачав сотню гигабайт - без всякого интереса спецслужб, надо сказать ), да и не является это нетипичным - по крайней мере в Москве.

] год пас eMule на модеме]

Ну ты герой Я и не представлял себе, что так кто-то будет делать

]без всякого интереса спецслужб, надо сказать

Они тебе об этом доложили?

А вообще, интереснее всё же стат от реального провайдера. Неужели никто не может стат squid-а сбросить?

А Вы в след. раз попробуйте для эксперимента, если уж так уверены - а народ посмотрит, через сколько лет Вы об этом эксперименте сможете рассказать...

 

Попробую. Вам, что в доказательство представить? фото чего?

А как вычислить носителя секретнов в автобусе? Ну, пасет Вася дипломата Джона, едет с ним в 1 автобусе. Но по лицам то он всех носителей секретов не знает. Как он узнает, кто с Джоном в одном автобусе ехал?

Угу. Тем более если дипломат не садится в этот троллейбус. Просто останавливается (или не спеша обгоняет) в своей машине рядом.

Попробую. Вам, что в доказательство представить? фото чего?

 

Ты что? :-0 Опаменайтеся пан! Ааz пошутил. Никогда никогда не пробуй воплотить сетевой флуд в реальные действия. Aaz не верит, так пусть сам лезет и проверяет.

Это мячта сетевых флудеров -] что кто-то будет действовать "по их указаниям", а они будут тока сидеть, кнопочки нажимать, а кто-то другой будет нести ответственность.

Я лично тебе верю, что ты можешь легко нащелкать архиинтересных фоток из архиинтересных мест.
Но при одном условии - без предварительной огласки. А твое сообщение в форуме - огласка и есть. Причем достаточно широкая. И вероятность того, что тебя поймают "с дымящимся писто... тьфу, телефоном" стала ГОРАЗДО выше.
И вполне могут раздуть дело до судимости. В лучшем случае мозги покомпостируют неск.дней и на учет возьмут. Оно тебе надо?

Ты что? :-0 Опаменайтеся пан! Aaz не верит, так пусть сам лезет и проверяет.
И вероятность того, что тебя поймают "с дымящимся писто... тьфу, телефоном" стала ГОРАЗДО выше.
И вполне могут раздуть дело до судимости. В лучшем случае мозги покомпостируют неск.дней и на учет возьмут. Оно тебе надо?

 

Спасибо! Вовремя остановил, а то я уже телефон расчехлил. .

Не собирался я на самом деле ничего снимать. Воспитан я в уважении к государству и к государственной тайне. А то что на оборонных предприятиях с секретностью бардак царит - факт. Как пример - на проходной висит список того, чего нельзя на завод проносить фото-видео и прочее копировальное оборудование. Я прохожу по разовому пропуску, на котором пометка - "только в сопровождении". Мало того, что меня не досматривают на предмет проноса аппаратуры шпиенской, так я еще и по заводу сам хожу, без сопровождения. Кстати, допуска к секретам у меня нет и никогда не было. А заводик ключевой по своему направлению. Может я в кабинет главного инженера "жучка" поставить иду?
Я к тому, что технологии могут быть любыми, а человеческий фактор со счетов скинуть не удастся никогда.

Флуд-флудом, но добраться до секретов не так уж сложно. Возьмем БАЗ. Секретный завод, чье название уже было секретом. Советские времена. Я, школьник, для урока черчения хотел почертить на кульмане. Батя провел меня на завод (без всякого разрешения на режимный обьект). Чертил у них в КБ (мог перефотографировать все, что угодно). Сводил на экскурсию в цех (ау, 1 отдел - я там по секретным машинам лазил). Рядом с цехом, кстати, был пролом в заборе, откуда несуны выкидывали нужные им в хозяйстве детали а заодно и входили-выходили, когда было лень переться через проходную. Короче, будь я шпионом - мог все разнюхать и даже вынести. Впрочем, это было не нужно: уже в Израиле я принес бате НАТОвскую книгу (взял в библиотеке) по советской технике с чертежами их продукции. Батя задумчиво посмотрел на чертежи, на год выпуска книги и сказал: знаеш, а ведь мы эту машину начали выпускать через несколько лет. Вот так вот: ворог печатал чертежи секретной машины еще до ее выпуска. Кстати, когда мы приехали в Израиль, спецслужбы опрашивали в аэропорту кто где работал. Батя честно сказал - какой завод, какие машины (а перед тем работал и на Уралвагонзаводе - производителе Т-72). Ему сказали, что хотят вызвать его на собеседование, ведь эти машины состоят на вооружении у арабов. Но так и не вызвали, передумали. Проверили в архивах и выяснили, что по этим машинам они и так все знают. Так что не так страшен КГБ, как его малюют. И 1 отдел, оказывается, и не подозревает, что у них под носом творится.

ЗЫ. Насчет выноса документации... Как то батя возился с компоновкой кабины очередного БАЗа. На работе не успевал, и приносил домой чертежи. Да-да, те самые рулоны ватмана. Сейфа у нас не было. Чертежи лежали в зале, на столе. Причем я их не только видел, но сидел над ними и даже подсказал как решить одну проблему (там одна труба мешалась, и я догадался, как ее перекомпоновать, что бы все стало как следует).

А вообще, интереснее всё же стат от реального провайдера. Неужели никто не может стат squid-а сбросить?

 

А как ты применишь статистику его? Скажем, для того же мула или фтп? Или только https интересно?

---

Stillet] Спасибо! Вовремя остановил, а то я уже телефон расчехлил. .

Ну, так с расчехленным любой может — ты попробуй с зачехленным...

Stillet] Не собирался я на самом деле ничего снимать. Воспитан я в уважении к государству и к государственной тайне. А то что на оборонных предприятиях с секретностью бардак царит - факт. Как пример - на проходной висит список того, чего нельзя на завод проносить фото-видео и прочее копировальное оборудование. Я прохожу по разовому пропуску, на котором пометка - "только в сопровождении". Мало того, что меня не досматривают на предмет проноса аппаратуры шпиенской, так я еще и по заводу сам хожу, без сопровождения. Кстати, допуска к секретам у меня нет и никогда не было.

Я так, в свое время, по "Авроре" шастал. Только это было при СССР.

Stillet] А заводик ключевой по своему направлению. Может я в кабинет главного инженера "жучка" поставить иду?

А он может и рад бы был

Stillet] Я к тому, что технологии могут быть любыми, а человеческий фактор со счетов скинуть не удастся никогда.

Вот это точно. Причем, здесь в США примерно так же.

Интересно хотя бы только https.

А чтобы другой стат - так стат с шлюза нужен, а не от сквида.

Так самая главная задача - найти.
В Винде столько дыр, и умышленных и неумышленных, что посадить на нее (потом) следящую программу для специалиста трудностей не представляет.

Вот недавний WMF сплойт был там черт его знает сколько лет, и судя по всему, умышленно.

А кейлоггер - он и в Африке кейлоггер, и снимок экрана пришлет куда надо, и все записанное с клавиатуры. Универсального средства их обнаружения - нет.

---

Интересно хотя бы только https.

А чтобы другой стат - так стат с шлюза нужен, а не от сквида.

 

А никто разве никогда не слушал https с отравлением arp? Есть бесплатные программы которые это делают автоматически.

Для провайдера даже таких финтов ушами не надо, весь трафик все равно через них идет.

А кейлоггер - он и в Африке кейлоггер, и снимок экрана пришлет куда надо, и все записанное с клавиатуры. Универсального средства их обнаружения - нет.

 

Ну как минимум кейлоггер онаружится каким-нибудь Ad-aware или spybot по записи в реестре на предмет автозагрузки по запуску винды. А выслать на мыло что-то прихлопнется файрволом.

Ну как минимум кейлоггер онаружится каким-нибудь Ad-aware или spybot по записи в реестре на предмет автозагрузки по запуску винды. А выслать на мыло что-то прихлопнется файрволом.

 

НЕ ФАКТ. Достаточно написать программу установки посложнее немного.

Например не тупо прописываться в автозагрузку, а подменять своим загрузчиком одну из уже прописанных там программ. Или пройдясь по ее импортам, подменять ее диэлэль. Хотя лучше конечно то-же самое делать с уже существующим сервисом

Высылать на мыло тоже можно по-умному, не так сложно впрыснуться в память любой уже легально используемой почтовой программы.

Да и софтовые файрволы обходятся.

A почему все так уперлись в шифрованный трафик? Дело им не ограничивается.

Во-1, уже упомянутая стеганография.
Во-2, просто взять в rar запароленный положить - и то задолбаются разламывать. Но главное тут даже не в стойкости (в конце концов внутрь архива можно шифровку положить), а в совершенной незаметности и неподозрительности всего этого - это ведь типичное дело в сети. Народ, вон, гигабайтами на ftp-серверы файлы льет, пойди разберись.
В-3, тоже упомянутые файлообменники. Этим тоже все подряд занимаются. А там можно так сделать, что и найти-то файл трудно будет. А если и найти, можно сделать, чтобы файл не отдавался кому не надо (вернее, качался бы мееедленно и соединение рвалось - тоже вполне типичная и не подозрительная сама по себе штука). Ну и в конце концов сам файл тоже, конечно, шифрованный. Или со стенографией.

Причем все это очень просто и не требует особых знаний.

 

Хренотень!

Алгоритмы стеганографии достаточно оставляют следов в файле. Поскольку в файл вносятся лишние биты - статистически это не сложно определить - в смысле - того, что файл БЫЛ пропущен через Стеганографа - конечно - чем меньше вносится доп. данных тем сложнее выявить - но оценки говорят о 1-4 бита на 1 Мбт - тогда сложно.
РАРовские файлы легко определяются по характерному рисунку сжатия - дальше просто повышенное внимание и доп. обработка.
И потом - по площадям - почти не работают - вернее работают по - ну скажем по группе Айпишников или если есть оперативные данные по абонентам - в том числе и по абонентам созданным для редкого использования.
Кстати есть прога - которая блокирует доступ если за компом сидит не "родной" - просто статистически набирает данные как пользователь набирает на клаве, перерывы между нажатиями... - и т.п.
Вот такой принцип.

Например не тупо прописываться в автозагрузку, а подменять своим загрузчиком одну из уже прописанных там программ.

 

И отхватить несовпадение контрольной суммы программы и как следствие крик файрволла (Kerio, что у меня стоит, такие вещи отслеживает) или антивируса, что программа была изменена?

Высылать на мыло тоже можно по-умному, не так сложно впрыснуться в память любой уже легально используемой почтовой программы.

 

Вот это мне не совсем понятно. Ну вот у меня почтовая программа даже не запущена. Или даже пусть открыта. Как с её помощью что-то отослать?

И отхватить несовпадение контрольной суммы программы и как следствие крик файрволла (Kerio, что у меня стоит, такие вещи отслеживает) или антивируса, что программа была изменена?

 

Ну согласитесь что все можно сделать, если очень нужно (и есть время и средства).

Вот это мне не совсем понятно. Ну вот у меня почтовая программа даже не запущена. Или даже пусть открыта. Как с её помощью что-то отослать?

 

Какие-то программы все равно должны быть разрешены. Да и скрытый канал можно организовать совершенно по разному. Вон люди и свои стаки пишут, и все что угодно.

TbMA] Так самая главная задача - найти.

Не только.

TbMA] В Винде столько дыр, и умышленных и неумышленных, что посадить на нее (потом) следящую программу для специалиста трудностей не представляет.


На нормально заплатанную систему. Уменьши рыбу. Это все-таки труд и немалы.

TbMA] Вот недавний WMF сплойт был там черт его знает сколько лет, и судя по всему, умышленно.

А какие показатели, что умышленно? ИМХО, как раз от "большого ума" — не сделали, как требовал стандарт, а решели еще что-то умное добавить.

TbMA] А кейлоггер - он и в Африке кейлоггер, и снимок экрана пришлет куда надо, и все записанное с клавиатуры. Универсального средства их обнаружения - нет.

Ну понятно, только надо человека сначала найти, потом залезть на его комп. А так я скажу, дайте мне шипчики с иголачками, да нужной химии, да самого шпиона и я его расколю почти 100%. Осталось дело за малым — шпиона поймать.

TbMA] А никто разве никогда не слушал https с отравлением arp? Есть бесплатные программы которые это делают автоматически.

А причем здесь ARP? Что он тебе даст? Про мои МАС адреса за пределами моего раутера уже никто ничего не знает. Извини, но ARP это уровня 2, а https это уже уровня 5, по крайне мере — что там внизу и не особо важно.


TbMA] Для провайдера даже таких финтов ушами не надо, весь трафик все равно через них идет.

И что? Как он узнает, какой этот трафик надо смотреть, а какой нет. Пупок развяжется. Все ISP c приличными каналами стонут, что не могут трафик хранить. Демос, насколько я знаю, просто сказал ФСБ (после этого закона о том, что провайдеры должны обеспечивать техникой для отбора), что они отберут и перенаправят весь трафик, а вот анализировать и хранить те будут сами. После чего вопрос о всеобщем перехвате и анализе трафика был снят.

---

TbMA] НЕ ФАКТ. Достаточно написать программу установки посложнее немного.

Ну можно и свои программки писать. Мы такое делали, загружается как один из первых драйверов и проверяет, что сидит в памяти на уровне ядра первым во всех цепочках.

TbMA] Например не тупо прописываться в автозагрузку, а подменять своим загрузчиком одну из уже прописанных там программ. Или пройдясь по ее импортам, подменять ее диэлэль. Хотя лучше конечно то-же самое делать с уже существующим сервисом

А какая разница? У многих систем системы реального анализа работают на уровне ядра в реальном (а не виртуальном) режиме. И получают доступ к файлам напрямую, проверяя живые. Они очень быстро находят отклонения.

TbMA] Высылать на мыло тоже можно по-умному, не так сложно впрыснуться в память любой уже легально используемой почтовой программы.

Это, если есть какой-нибудь эксплоит. А, если бит исполнения стоит, то это намного труднее сделать.

TbMA] Да и софтовые файрволы обходятся.
Обходятся, только не это не просто — взял и сделал.

---

TbMA] Ну согласитесь что все можно сделать, если очень нужно (и есть время и средства).

А вот тут я полностью согласен. Только их, как правило, ни у кого нет в достаточном количестве.

Какие-то программы все равно должны быть разрешены. Да и скрытый канал можно организовать совершенно по разному. Вон люди и свои стаки пишут, и все что угодно.

Это, если комп напрямую подсоединен к инету. Иначе немного сложнее.

---

sicom] Хренотень!

Пардон, это у Вас хренотень.

sicom] Алгоритмы стеганографии достаточно оставляют следов в файле. Поскольку в файл вносятся лишние биты - статистически это не сложно определить - в смысле - того, что файл БЫЛ пропущен через Стеганографа - конечно - чем меньше вносится доп. данных тем сложнее выявить - но оценки говорят о 1-4 бита на 1 Мбт - тогда сложно.

Это, если есть исходный или знаете образец. А иначе труба. Тот же шум матрицы этими алгоритмами легко обнаруживается. Хорошие программы под него и маскируются.

sicom] РАРовские файлы легко определяются по характерному рисунку сжатия - дальше просто повышенное внимание и доп. обработка.

Не надо сжимать, надо запомнить. Тогда только заголовок. А файл уже зашифрован.

sicom] И потом - по площадям - почти не работают - вернее работают по - ну скажем по группе Айпишников или если есть оперативные данные по абонентам - в том числе и по абонентам созданным для редкого использования.

Никто так не делает. Это уже давно пройденый этап. Канал как раз делают широко используемым, а когда ничего нет, то гоняют мусор, чтоб статистически не отличить.

sicom] Кстати есть прога - которая блокирует доступ если за компом сидит не "родной" - просто статистически набирает данные как пользователь набирает на клаве, перерывы между нажатиями... - и т.п.

Это к чему? Какое отношение возможные методы аутенфикации имеют к передаче данных? Или это на тему того, что тем, кто будет устанавливать keylogger навредить?

sicom] Вот такой принцип.

Какой?