Анонимность VPN + SOCKS, Так ли безопасно?

Анонимность VPN + SOCKS, Так ли безопасно?
взято с exploit.in

Доброго времени форумчане!

Как некоторые из вас уже знают, я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics). Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.

Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.

Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).

Итак, как же вычисляют наивных хакеров, использующих VPN?

Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное - Solera. В Европе распространено оборудование Netwitness, в России - СОРМович (sormovich.ru), на Украине я встречался с Solera и E-Detective . Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!

А что же происходит в случае, если поверх VPN используется SOCKS?

Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос - как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.

Как спастись от подобного?

Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор). Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства (cybercop.in). Так что вывод, стоит ли доверять странам третьего мира, а также не ведущим логи сервисам - за вами. Прецендент уже были и я их видел.

(с) Mаil2k

на дедик надо заходить с впн? или с соксов?

VPN!

thanks

Автор пишет что у правоохранительных органов есть список соответствий диапазонов IP адресов VPN контор и если что они быстренько найдут кто предоставил вам VPN . А если ты его на дедике поднял . Отработал и логи все затер . Плюс к тому через Socks сервера свои сидел . А насчет связки VPN+Socks будет разбираться Интерпол . Тут кто-то милионы сливает ... ?
В конце повествования автор предлагает в качестве альтернативы VPN+Socks работать с системой Tor , которая уже не раз подвела своих клиентов , то это полный ...

Вывод конечно простой:
Не использовать не проверенных VPN и Socks контор. Везде и всегда затирать свое присутствие и побольше читать и знать о подобных вещах .

ob00m, как шифровать трафф с деда, как впн поднять я разобрался, но соль то в чём, трафф в открытом виде гониться...

ветераны, подскажите оптимальный метод обеспечения своей безопасности ?

смотря чем ты занимаешься, может тебе vpn+socks хватит, а может vpn+дедик+цепочка соксов+ноутбук+3g модем+левая симка и то для проведения одной транзакции, а потом все уничтожается.
И еще, помни, что главный гарант своей безопасности - ты сам!

goldeff я конечно лох калькуляторный,но если считается трафик ,то есть переданные -принятые пакеты,и затем сравниваются,почему бы одновременно не качать и аудио книги?(полезно ,как ни крути)
или тут другая систеиа подсчёта?

Насколько актуально использование DoubleVPN?
К примеру на .
Не сольют ли они потом меня ?

даблвпн какбэ вдвойне безопаснее, например один сервер в европе, а другой в азии, но и скорость соответственно падает существенно

посоветуйте с чистой репутацией, а также не оч дорогой DoubleVPN
спс

Народ есть вопрос. Как всёже поднять свой дабл VPN? Это реально. Вопрос как.

точно не скажу, но для этого надо 2 своих впна и в одном из них настроить переадресацию на другой

Can some1 translate in english pls

you need 2 of their vpn, in the first vpn set up redirect to the second vpn. connect to the first vpn.

значит лучше использовать пакистанские и т.д. впн? а для работы в другой стране просто брать сокс под ту стану? это не оч. сильно на скорости скажется?

Ну сейчас то картину приблезительно представляю но вот вопрос чють в другом если я подниму один VPN второй сервак подключу к нему и поднимая VPN настрою сервак на трансляцию пакетов в первое VPN соединение т.е. он и получается doblevpn. Вроде так?

отличная безопасность - это вайфай в магдональзе))
Сел, слил и свободен)))

Ну, ну а камер наблюдения в мак даке нет, захотят найдут при желании.