Исследование: использование сетевых методов расследования (NIT) для идентификации киберпреступников

НОВОСТИ
2018-12-04 13:52:22
0
3.7K

Сетевые исследовательские методы (Network Investigative Techniques - NIT) - это специальные формы инструментов цифрового правоприменения, которые позволяют правоохранительным органам (LEA) взламывать подозрительные компьютеры при помощи использования уязвимостей. NIT оказывают помощь в определении местонахождения и идентификации киберпреступников, действующих в Даркнете, где обычные следственные средства оказались бесполезными. Они играют значительную роль в исследованиях в области киберпреступности, а также в сфере национальной кибербезопасности. Однако раскрытие некоторых кодов NIT может значительно подорвать операции правоохранительных органов, основанные на этих кодах. Во многих федеральных делах уголовные обвиняемые пытались получить доступ к кодам NIT, и судам приходилось принимать решение, должны ли правоохранительные органы раскрывать этот код. Приоритет LEA в отношении конфиденциальности является довольно шатким, когда рассматривается право киберпреступных ответчиков на обнаружение информации для их защиты.

Недавно опубликованная статья Юридической школы Нью-Йоркского университета представила некоторую ценную информацию о НИТ и о том, как они использовались для осуждения лиц, совершивших федеральные преступления в сети TOR.

NIT и использование уязвимостей:

NIT - это специальная форма программного обеспечения, которая может контролировать доступ к подозрительному компьютеру посредством переопределения его функций безопасности. По сути, NIT - это вредоносное ПО или эксплойты, которые специально разработаны для использования этих технологических уязвимостей. Таким образом, NIT позволяют LEA получать доступ к подозрительным компьютерам, контролировать их и получать идентификационную информацию, хранящуюся на них, включая их IP-адреса, с помощью использования уязвимостей программного обеспечения.

Когда кто-то обнаруживает уязвимость, нет никакой гарантии того, что он один знает о ее существовании. Вероятность того, что другая сторона идентифицирует ее, увеличивается с каждым днем. Всякий раз, когда раскрывается уязвимость, разработчики программного обеспечения и антивирусные компании стараются оперативно исправить это. Следовательно, LEA должны обнаруживать и полагаться на уязвимости, которые не были идентифицированы или исправлены другими. Это чрезвычайно дорого - уязвимости могут стоить более 100 000 долларов, и даже самим ФБР иногда не хватает ресурсов, необходимых для развития эксплойтов. Таким образом, уязвимость обычно имеет ограниченный срок хранения, поскольку NIT становятся устаревшими после выявления и исправления уязвимости.

 Использование NIT для нацеливания и выявления преступников:

 В течение последних нескольких лет ФБР полагалось на NIT для выявления уязвимостей в TOR, чтобы они могли деанонизировать клиентов, использующих его. Эти NIT обходят работу TOR, чтобы идентифицировать реальные IP-адреса пользователей и исследователей точек для интернет-провайдеров пользователей и физических геолокаций. NIT состоит из четырех элементов:

1 - Генератор

2 - Эксплойт

3 - Полезная нагрузка

4 - Сервер регистрации

Генератор работает на скрытой службе TOR. Он генерирует уникальный идентификатор, чтобы связать его с посетителем веб-сайта и доставляет этот идентификатор с помощью эксплойта и полезной нагрузки на компьютер посетителя веб-сайта. Генератор позволяет ФБР отслеживать конкретные реализации NIT на компьютере. После того, как генератор передает элементы NIT компьютеру посетителя веб-сайта, эксплойт, представляющий фактический код, использующий уязвимость для переопределения и управления компьютерной системой, берет на себя управление TOR-браузером для загрузки и выполнения полезной нагрузки. Код полезной нагрузки запускается на целевом компьютере, выполняет поиск разрешенной информации и затем передает его в службу ведения журнала, запущенную на компьютере ФБР. Служба ведения журнала сохраняет информацию, собранную с компьютера, идентификатор, присвоенный кодом генератора, и IP-адрес целевого компьютера.

 Как только ФБР получает информацию через NIT, сразу появляется возможность использовать обычные методы расследования для определения местоположения целевых лиц. Как правило, IP-адрес компьютера, назначенный провайдером, показывает его местоположение. Используя общедоступную информацию, ФБР может идентифицировать провайдера, который предоставляет IP-адрес компьютера. Затем ФБР обслуживает административный вызов в Интернет-провайдере, чтобы идентифицировать имя и физический адрес клиента, связанного с IP-адресом. Это позволяет правоохранительным органам проводить наблюдение за целевыми помещениями и получать соответствующие ордера на обыск. Однако простого IP-адреса не всегда достаточно, чтобы идентифицировать преступника.

 Как ФБР использует NIT, чтобы вычислить киберпреступников?

 Мы рассмотрим несколько примеров:

 Рассмотрим пример Аарона МакГрата, управляющего тремя сайтами с детской порнографией: одним из его резиденции, а двумя другими со своей работы. IP-адрес, связанный с веб-сайтом, размещенным у его резиденции, был связан с женщиной, которая поделилась своим местом жительства. Только через физическое наблюдение за резиденцией, поиски аккаунтов в социальных сетях, и получение ордеров на обыск, ФБР смогло доказать вину МакГрата. ФБР выразило твердое убеждение в том, что НИТ представляют собой единственную методику расследования с разумной вероятностью обеспечения необходимых доказательств, чтобы доказать, что разумные сомнения не подтверждают реальное физическое местоположение и личность подозреваемых с использованием служб анонимизации, таких, как TOR, для совершения федеральных киберпреступлений.

 Какую идентифицирующую информацию предоставляет NIT для правоохранительных органов?

 Так как IP-адреса не являются исчерпывающей информацией для идентификации, NIT определяет больше, чем IP-адрес подозреваемого компьютера, чтобы ФБР вычислило именно необходимого им подозреваемого. Использование ФБР NIT в нескольких операциях против распространителей детской порнографии показывает, как они усовершенствовали свои методы с течением времени и как они теперь могут получать более конкретную идентифицирующую информацию.

 Например, при помощи NIT, используемом ФБР в Operation Torpedo, удалось получить IP-адрес подозреваемого компьютера, а также дату и время, когда NIT определил IP-адрес, «уникальный идентификатор сеанса», который веб-сайт обычно назначает гостевому компьютеру, и тип операционной системы, запущенной на компьютере подозреваемого. ФБР объяснило, почему каждая часть информации имеет важное значение для поимки подозреваемого - IP-адрес может быть связан с ISP и ISP-клиентом, идентификатор сеанса будет отличать данные одного компьютера от другого, а детали операционной системы помогут различать компьютер подозреваемого с других компьютеров, используя тот же ISP в тех же помещениях.

Чтобы быть вкурсе всех свежих новостей нашего сайта, подписывайтесь на наш телеграм канал https://t.me/joinchat/AAAAAEN6RYDtq2uLaMOeLQ

0
3.7K
Написать комментарий

Добавить комментарий