Сокрытие следов незаконной деятельности – задача весьма нетривиальная и подойти к ее решению можно по-разному. К примеру, нежелательные лог-файлы и журналы различных сервисов можно как шифровать, так и полностью удалять. По сути, это два кардинальных метода, потому что не стоит исключать возможность создания скриптов, которые, например, очищают определенные участки лог-файлов и тем самым не дают гарантии надежности своей работы по ряду причин (запрет демона на изменение его лог-файлов во время его работы и т.п.).
К последнему обзору появились первые комментарии с просьбой проанализировать схему, использующуюся в работе. Ну что же, буду стараться публиковать интересные анализы интересных схем.
Какой ужжас ((((и никуда никуда нам не деться от этого…….. А ежели с прокси отправляю письма с мыла зарегистрированного другим челом , какая вероятность что меня попалят?
(оригинальный текст без изменений)
Для начала разберитесь, что собой представляет собой используемый Вами прокси-сервер:
1) Вероятность ведения лог-файлов (пожалуй, самый значимый пункт), если сервер поставлен и настроен своими руками, то двигаемся дальше по списку.
2) Соединение с сервером исключительно по защищенному каналу. Обязательное шифрование трафика на пути к серверу в целях исключения перехвата и последующего исследования. В случае веб – использование SSL.
3) Использование одного прокси-сервера напрямую чревато последствиями в случае попадания «под колпак». Один сервер проще мониторить, получив к нему доступ со всеми вытекающими…
4) Существуют различные техники определение IP человека, скрывающегося за прокси-сервером. Из наиболее эффективной, по моему мнению и опыту – это использование утилиты Decloak (decloak.net) от создателей Metsploit Framework.
Методы, которые использует программа:
-традиционный вызов функции на языке JAVA; если у пользователя установлен Quick Time, то путем загрузки специального параметра аплет попытается насильно вынудить браузер жертвы открыть «direct» соединение;
-метод прогрузки Word-документа с его авто-открытием, при котором незаметно со стороннего ресурса будет подкачена картинка. Это поможет обойти прокси и спалить реальный DNS-сервер пользователя;
-установка прямого соединения при обращении к Flash-приложению;
-если у пользователя установлен iTunes, который регистрирует в системе новый протокол обращений «itms», то хитреца можно заставить открыть свой плеер и установить прямое соединение с заданным URL.
Думаю, в будущем я обязательно остановлюсь на этой утилите подробнее.
Перейдем к тонкостям используемого почтового ящика.
В зависимости от представителя услуг электронной почты (а точнее, от его лояльности), законный владелец почтового ящика при появившихся подозрениях может подать жалобу в службу поддержки. Дальнейшие действия зависят от службы: от банального возврата ящика законному владельцу до слежки за его использованием в целях выведения злоумышленника на чистую воду.
Введение: зачем это нужно?
Компьютеризация населения сделала заметный вклад в повседневную деятельность среднестатистического человека. Для кого-то информационные технологии стали средством получения стабильного дохода, зачастую не совсем законного, а для кого-то и совсем незаконного (простите за каламбур). Цель данного материала состоит не в описании каких-то сложных схем сокрытия факта своей деятельности от налоговой инспекции и не в предоставлении инструкции по исключению встречи с правоохранительными органами. Если читателю есть что скрывать, данный обзор подскажет как лучше организовать процесс сокрытия, в зависимости от ситуации.
Схемы, представленные в обзоре, представляют собой некую базу, на основе которой можно строить свои методики.
Среди людей, занимающихся незаконной деятельностью в сфере информационных технологий, распространена методика сокрытия конфиденциальных данных и манипуляций с ними с помощью виртуальных машин. Концепция виртуализации операционной системы подразумевает создание песочницы для приложений, работающих в ее окружении. Теоретически: гостевая ОС не должна оставлять следов в основной ОС и манипулировать ее данными. Именно это подталкивает многих взломщиков работать исключительно в рамках виртуальной машины.
В данном посте я рассмотрю некоторые каналы утечки данных из гостевой системы в основную, чтобы показать: степень конфиденциальности – весьма относительная метрика.
Russian Business Network (она же «Российская Бизнес-сеть») – санкт-петербургская хостинговая компания, по сообщениям СМИ, занимающаяся предоставлением абузоустойчивых площадок для спамеров, кардеров, адалт-проектов (в том числе детская порнография), фишинг сайтов, и прочих проектов, имеющих запрещенный контент или приносящих незаконную прибыль их владельцам.