How to cover up tracks (Part 5)

Как заметать следы (Часть 5)

"For ten years I seek the way back and now I forgot where I came from".
My favourite Chan saying.
"Десять лет я не мог найти дорогу назад, а теперь позабыл, откуда пришел".
Мое любимое чаньское изречение.
Using as reference the van Hauser "How to cover your tracks" translation into Russian, the problems of the users origination tracing, of the intermediate computer and side ISP proxies usage for the real origin disguise.

IV Advanced

IV Продвинутые техники

1. Preface

1. Предисловие

Once you installed your first sniffer and begin to hack worldwide then you should know and use these checks & techniques! Как только вы пустили свой первый перехватчик пакетов и приступили к взломам в глобальных сетях, вы должны научиться этим приемам и проводить эти проверки.
Use the tips presented here - otherwise your activity will be over soon. Применяйте изложенные здесь советы – иначе, ваша деятельность быстро закончится.

2. Prevent Tracing of any kind

2. Предотвращение любых трассировок

Sometimes your hacking will be noticed. Thats not a real problem - some of your sites will be down but who cares, there are enough out there to overtake. The very dangerous thing is when they try to trace you back to your origin - to deal with you - bust you! Временами ваши взломы не останутся незамеченными. На самом деле, проблема не в этом, какие-то сайты "повалятся", но, сколько еще предстоит преодолеть. Самое опасное, когда они попытаются проследить вас до местонахождения, далее иметь дело с вами – арестовать вас!
This short chapter will tell you every possiblity they have to trace you and what possibilities you have to prevent that. В этой короткой главе будет рассказано о каждой возможности для них вас отследить и о ваших возможностях это предотвратить.
Normally it should be no problem for the Admin to identify the system the hacker is coming from by either: checking the log entries; if the hacker was really lame, taking a look at the sniffer output the hacker installed and he's in too, any other audit software like loginlog, or even show all estrablished connections with "netstat" if the hacker is currently online - expect that they'll find out! Thats why you need a gateway server. Обычно администратор без проблем определяет систему, откуда пришел хакер: проверяя записи в журналах, (особенно, если хакер на деле "ламер"), просматривая выходные данные перехватчика пакетов, который инсталлировал взломщик, - в них будет информация и о нем тоже, используя любые утилиты для аудита, такие как "loginlog", просто просматривая все установленные соединения с помощью "netstat", если хакер сейчас в on-line - подумайте, что они там обнаружат!
That's why you need a gateway server. Вот почему вам необходим шлюзовой сервер.
A gateway server in between - what is it? Шлюзовой сервер как посредник – что это такое?
That's one of many many servers you have accounts on, which are absolutely boring systems and you have got root access on. You need the root access to alter the wtmp and lastlog files plus maybe some audit logs do nothing else on these machines! You should change the gateway servers on a regular basis, say every 1-2 weeks, and don't use them again for at least a month. With this behaviour it's unlikely that they will trace you back to your next point of origin : the hacking server. Это один из многочисленных серверов, где у вас заведены учетные записи, являющийся обыкновенной системой, к которой получен "корневой" доступ. Доступ к "корню" необходим для изменения файлов "WTMP" и "LASTLOG", возможно для поверхностного аудита журналов и не для чего более. Следует на постоянной основе менять шлюзовые сервера, на пример, через каждую одну-две недели, и не использовать их повторно, по меньшей мере, месяц. При такой вашей линии поведения, маловероятно, что они отследят ваш маршрут к самому началу или, хотя бы, до следующей точки подключения.
Your Hacking Server - basis of all activity From these server you do begin hacking. Telnet (or better : remsh/rsh) to a gateway machine and then to the target. You need again root access to change the logs. You should change your hacking server every 2-4 weeks. Сервер, с которого вы атакуете, – основа для всей активности. С этого сервера и начинается хэк. Подключитесь по "telnet" (или лучше по "remsh/rsh") к машине, которая будет шлюзом и, затем, к цели для атаки. Вам снова понадобится доступ на уровне "корня" для изменения журналов протоколирования. Следует менять ваш атакующий сервер каждые две-четыре недели.
Your Bastian/Dialup server. This is the critical point. Once they can trace you back to your dialup machine you are already fried. A call to the police, a line trace and your computer hacking activity is history - and maybe the rest of your future too. Ваш опорный dialup-сервер - это самая критическая точка. Как только единожды будет отслежен маршрут к вашей dialup-машине – вы погибли. Звонок в полицию, трассировка линии и ваша хакерская деятельность уже вошла в историю, как, возможно, и остаток ваших дней.
You don't need root access on a bastion host. Since you only connect to it via modem there are no logs which must be changed. You should use a different account to log on the system every day, and try to use those which are seldom used. Don't modify the system in any way! You should've got at least 2 bastion host systems you can dialup to and switch between them every 1-2 month. У вас нет необходимости в корневом доступе к опорному компьютеру. Так как подключение к нему идет только через модем, то нет журналов регистрации активности, которые необходимо изменять. Следует, только, для входа в систему каждый день использовать разные учетные записи и пытаться входить по редко используемым.
Don't modify the system in any way! И ни в коем случае ничего не изменяйте в системе!
You should've got at least 2 bastion host systems you can dialup to and switch between them every 1-2 month. Заведите себе, как минимум, два опорных хоста, через которые вы подключаетесь по "dialup", и меняйте их каждые один-два месяца.
В простых случаях в Интернет для сокрытия своего реального IP-адреса (и местонахождения соответственно) чаще всего применяют прокси-сервера сторонних провайдеров.
Proxy-servers
Proxy-сервера
Прокси-сервер ("proxy" - дословно с английского: "заместитель", "доверенный агент") – это сервер, который часто называют шлюзом прикладного уровня, выступающий посредником между компьютерными системами, устанавливающим соединение между реальным клиентом и необходимым узлом.
Практически каждый И-нет провайдер создает для своих пользователей собственный прокси-сервер, который выступает в роли "кэша" ускоряющего доступ и загрузку. Хотя многие провайдеры, имеющие прокси-сервера, закрывают к ним публичный доступ, некоторые могут быть общедоступными для всех или почти всех. Не всякий провайдер захочет, чтобы его прокси пользовались сторонние, им неавторизованные пользователи. Но это вопрос больше этический.
Прокси бывают непрозрачными (анонимными), которые можно использовать для обеспечения приватности и ускорения работы в Интернет. Большинство прокси-серверов не обрезают "Cookies", не модифицируют (скрывают) поле "User-Agent", идентифицирующее браузер, а только заменяют IP-адрес реального клиента на свой собственный, что, тем не менее, позволяет скрыть свое истинное местонахождение. Большинство сторонних прокси прозрачны (не анонимны), т.е. добавляют к запросу поле, содержащее реальный IP-адрес. Их можно применять, например, для подключения к почтовым серверам с Web-интерфейсом с целью подмены своего IP, но нельзя использовать для сокрытия местонахождения на серьезном уровне (возможно раскрытие самого факта применения прокси и получение реального адреса). Тем не менее, их также используют для ускорения соединений. Прокси сервера при необходимости тестируют на анонимность.
Прокси-сервер может иметь ограничения по географическому признаку (точнее, по IP-адресам пользователей). Другими словами, не будет пускать пользователей определенных доменов. Это может быть связано с конъюнктурными соображениями конкретного провайдера, закрывающего доступ пользователей своего конкурента или по политическим мотивам бойкотирующего определенную страну или целый регион. Кстати, это хорошо просматривается для Беларуси. Не стану вдаваться в политику, каждый ответит сам на вопрос, почему это так, но поему опыту я сужу, что под "российским флагом" меня "принимали в гости" охотнее, и тем более я был "свой среди своих" с английским или американским IP. Это можно обойти, подключившись сначала к провайдеру с нейтральной географической принадлежностью (к туркам, корейцам или финнам), и "прорубив окно в Европу", далее переподключится к нужному серверу. Не всякий прокси пустит - посему поможет терпение и перебор вариантов "методом тыка".
Случается, что прокси закрывает доступ к определенным сайтам или определенному содержимому. Другими словами на "Yahoo" пожалуйста, а в "Мафию" - нет. Об этом тоже следует помнить "заготавливая впрок" десяток-другой проксей, тестируя их на проходимость.
Browsers
Браузера
Современные браузера имеют встроенную поддержку прокси.
В Internet Explorer 4.x для этого следует пройти по пунктам меню "View\ Internet Options...", далее страница блокнота "Connection". На групповой панели "Proxy server" пометить флажок "Access the Internet using proxy server" и в окнах редактирования "Address:" и "Port:" выставить нужные параметры. Для конфигурации прокси для каждого протокола в отдельности или блокировки его использования для некоторых адресов ("Do not use proxy server for addresses beginning with:"), по нажатии кнопки "Advanced..." доступен диалог точных настроек. Иногда провайдер предоставляет адрес для автоматической конфигурации браузера. Эта опция доступна на той же странице блокнота на группой панели "Automatic configuration" по нажатии кнопки "Configure...". После введения URL кнопка "Refresh" или перезапуск браузера. Для справки: такую возможность я видел только в прокси-серверах арабских стран.
В Netscape Navigator 4.x для этих целей следует пройти по пунктам меню "Edit\ Preferences...", далее узел дерева "Advanced", ветка "Proxies". После активизации ветки "Proxies" появляется группа переключателей, где выбор опции "Manual proxy configuration" дает доступ к кнопке "View" для вызова диалога настроек прокси-серверов, аналогично Explorer. Выбор опции "Automatic proxy configuration" дает доступ к окну редактирования "Configuration location (URL):" для введения адреса и кнопки "Reload" для немедленной активизации.
В браузере Opera для подключения к прокси необходимо пройти по меню "Preferences\ Proxy Servers...".
При настройках необходимо быть внимательным с протоколами. Использование одного прокси для всех протоколов – не лучший, а иногда, и ошибочный вариант. Большинство прокси обеспечивают работу только с "HTTP", реже с "FTP", и совсем несколько – с "Secure" (SSL), и использование одного прокси, не поддерживающего необходимый протокол, ни к чему не приведет – соединение пойдет на прямую минуя настройки.
На одном компьютере можно иметь до трех, и более, разных браузеров и каждый из них подключить к разным прокси. Тогда, на одном сайте (например, в чате) можно сфальсифицировать присутствие трех человек, вроде находящихся в "разных" местах. В этом был один из секретов моментального "клонирования" "Черного принца" на чате "Русской мафии". Эту методику я рекомендую любителям "ментального (виртуального) секса" и "психофашистам(ткам)" :).
Netscape Navigator, в отличие от Internet Explorer и Opera, позволяет поставить в цепь два прокси-сервера прямо в настройках. Для этого в поля ввода адреса необходимо ввести составной адрес вместе с номерами портов примерно такого вида:
"http://proxy1:Port1//http://proxy2:Port2". "Читаться" (проходиться) прокси будут слева направо, поэтому первый (слева) прокси может быть прозрачным, следующий необходимо ставить анонимный. Или для повышения уровня безопасности поставить в цепь два анонимных. "Совсем пугливым" можно рекомендовать после этого подключиться к анонимайзеру.
Anonymizer
Anonymizer
Один из самых простых способов обеспечить "сокрытие следов" при путешествии по Интернету – это воспользоваться услугами сервера "Anonymizer" (www.anonymizer.com). После захода на этот сервер все, что необходимо, - это набирать адрес необходимой страницы в поле "анонимайзера" с подсказкой "http://" и нажимать кнопку "Go". Для тех, кто пользуется бесплатно, страницы будут выдаваться с 30-секундной задержкой.
Анонимайзер – это не просто анонимный прокси-сервер, который не только закрывает ваш реальный IP, но он закрывает от "Java" и "JavaScript", "Cookies", предоставляет свои дополнительные собственные сервисы такие, как: "URL Encryption" (шифрование адресов) и "Safe Cookies" (безопасные "булочки" - строки ассоциированные с конкретной страницей или сайтом). При доставке страницы он "перерабатывает" ее содержимое, заменяя простой URL (адрес) на составной, по схеме подобной следующей:
"http://anon.free.anonymizer.com/http://www.oocities.org/werebad/index.htm", и далее пропускает все через свои фильтры. Причем подвергаются фильтрации даже ссылки на графические файлы. Это видно также в поле браузера "Location". Бесплатно он работает только с протоколом "HTTP", анонимизация протоколов "HTTPS" и "FTP" бесплатно не предоставляется.
Для повышения уровня приватности анонимайзер можно задействовать одновременно с другими прокси.
Proxy vulnerability and security level
Уязвимости прокси и уровень безопасности
  1. Не все прокси не меняют поле идентификации браузера "User Agent", выдающее версию браузера и операционной системы. И которое, можно запросить запущенным из html-документа локально выполняющимся "JavaScript". Для повышения приватности следует отключить поддержку всех активных сценариев, как Ява, так и "Visual Basic Script".
  2. Большинство прокси, в отличие от аномайзеров, не блокируют работу с "Cookies". Поэтому для повышения уровня приватности необходимо или блокировать использование "Cookies" вообще, или специальными программами ставить на них фильтры.
  3. Java-applet или ActiveX, загруженные браузером, могут также пробить брешь в безопасности (например, после запроса "localhost"), ваш реальный IP-адрес. Другими словами, поддержку (загрузку) Java и ActiveX в браузере для повышения уровня безопасности также следует отключить.
  4. Прокси-сервер, работающий по HTTP протоколу, не анонимизирует работу по протоколу HTTPS для обращения к SSL-узлам. Для корректной работы необходимо поставить в настройке "Secure" ("Security") прокси-сервер работающий с этим протоколом. Ну и, разумеется, лучше использовать браузер с поддержкой 128-битного шифрования.
  5. Многие, даже большинство прокси не анонимны. Провайдер может со временем сделать свой анонимный прокси не анонимным. Поэтому время от времени или перед критической миссией прокси необходимо снова протестировать на анонимность.
В статье за отсутствием места, а честно сказать, и желания, я обошел стороной вопросы работы с "SOCKS" или подключением к "Wingate".
Real history
Реальная история
Действие происходило осенью 21 октября 1998 года на сайте "Русской мафии". Мне уже было давно пора уходить, я уже сделал то, что хотел, или, скорее, то, что было по моим силам. Меньше месяца оставалось до того момента, когда я навсегда покинул это "ристалище суетности". Я находился в чате и мирно беседовал, когда заметил двух пришельцев зашедших под никами: "Uri" и "Sirtaca". Первое время они вели себя мирно, но на всякий случай я засек, откуда они "вещают". Оба оказались с Днепропетровска, подключенные к одному и тому же провайдеру, у одного мне даже удалось установить адрес вплоть до номера дома. Но, как сказано в Дхаммападе: "Они порицают сидящего спокойно, они порицают многоречивого, и того, кто говорит в меру, порицают они. Нет ничего в мире, чтобы они не порицали", и, что-то вызвало неудовольствие в моей мирной беседе с девицами у пришельцев. В мой адрес посыпались угрозы и оскорбления. Мне было лень вступать в какую-либо полемику, и я продолжал беседу, игнорируя "flame" (дословно: "пламя",- в И-нет сленге означает "наезд", оскорбление), сбросив, "на всякий случай", поддержку "Javascript", "Java", "Cookies" и загрузку "ActiveX". "Суперагенты" "Uri" и "Sirtaca", "оскорбившись в лучших чувствах" "клятвенно заверили", что достанут меня и для этого "начали сканировать порты" сервера "Русской мафии". Радостно сообщив, что нашли открытый 21-й ftp-порт, они еще полчаса продолжали свое сканирование. Наконец, я обратил внимание на их суету: "Я подключился к Техасскому провайдеру в Эль-Пасо, после подключился к питерскому, на котором и висит мафия. Так, что сканите хоть до конца моих дней", - кинул я им, переключившись на анонимный прокси-сервер в Финляндии. Тогда, выдав пару комплиментов в мой адрес, мне предложили вступить в переговоры, выдав для этого номер моего ICQ. Я, естественно, отказался, зная уязвимость "этой игрушки для юзеров", дав им бросовый почтовый ящик на "hotmail". Мне пришло два письма: одно с оскорблениями, посланное через "remailer" (сервер анонимной рассылки), другое с реального "аккаунта" с предложением взломать "серьезную сетку". Но мне уже все это было не интересно, - через неделю я покинул страну, и "слился с фоном" грязных улиц "северной криминальной столицы".
Как-то мне понадобился сайт, содержащий редкую информацию по компьютерной безопасности, но при обращении я получал отказ, хотя "ping" показывал, что сервер работает. Мне удалось зайти на него только через прокси-сервер, размещенный в Мозамбике. Этот факт я до сих пор до конца не понял. По политическим, экономическим, личным или другим мотивам, администраторы Интернет-ресурсов могут ограничивать доступ пользователей с других регионов, или пользователей с определенным адресом (диапазоном адресов), принадлежность к которым в подавляющем большинстве случаев определяется по IP-адресу. Это подтверждается тем, что, заходив на одни и те же сервера "под разным флагом", я получал отличный content ("содержание"). Часто, западные сайты выдают больше информации для своих, ограничивая СНГ-вских пользователей. Когда-то меня позабавило рассматривать "Yahoo", с южнокорейским, немецким, японским или американским IP. Содержание сайта заметно менялось, особенно баннеры. Так что, прокси могут использоваться не только для сокрытия своего реального адреса, но и доступа к содержимому "для своих", эдакого варианта "служебного входа" только применительно к Интернет.
Note:
Замечание:
If you have got the possiblity to dialup different systems every day (f.e. due blueboxing) then do so. you don't need a hacking server then. Если у вас появилась возможность подключаться по "dialup", каждый раз, к новым системам (например, через "blue-box") так и поступайте. Тогда, для прикрытия, вам не нужен атакующий сервер.
Do bluebox/card your call or use an outdial or any other way. So even when they capture back your bastion host, they can't trace you (easily)... Используйте "blue-box", карточку или "outdial", или что-либо еще. Даже если они доберутся до опорного хоста, они не смогут оттрассировать вас дальше (что, в принципе, очень просто)...
For blueboxing you must be cautious, because Germany and the phone companies in the USA do have surveillance systems to detect blueboxers ... AT&T traces fake cred card users etc. Что касается применения "blue-box", то следует быть осторожным, потому что в Германии и США телефонные компании имеют системы слежения для детектирования, абонентов использующих "blue-box". ATT отслеживает пользователей поддельных кредитных карт и так далее.
Using a system in between to transfer your call does on the one side make tracine more difficult - but also exposes you to the rish being caught for using a pbx etc. It's up to you. Применение системы-посредника для перемаршрутизации ваших телефонных звонков, с одной стороны усложняет труд по трассировке, но, с другой, также увеличивает риск быть схваченным за применение "phone-box". Вопрос, как лучше поступить, остается на ваше усмотрение.
Note too that in f.e. Denmark all - all - calling data is saved! Even 10 years after your call they can prove that you logged on the dialup system which was used by a hacker... Для пометки еще один пример. В Дании все – все – данные о телефонных звонках сохраняются! И через десять лет после звонка они смогут доказать, что вы подключались к dialup-системе, которая использовалась хакером...
Безопасности телефонной связи я касался, хочу только еще раз всуе помянуть СОРМ. Под давлением писем с вопросами, как действовать, не нарушая "волчий закон", не атакуя ни из дома, ни от друзей, ни рабочего места я привожу эти элементарные соображения:
Можно заранее, за месяц-два, снять квартиру на подставное лицо, проверить хозяина (я сталкивался со случаями, когда моим друзьям пытались сдать квартиру люди находившиеся в серьезных неладах с законом), жильцов и окружающую территорию. Желательно, что "зиц-председатель" имел "убойную характеристику" в наркологическом или психоневрологическом диспансере, - тогда него показания "будут приниматься к рассмотрению, но не являться доказательством". Или снять гостиничный номер, заранее подготовив в Интернет контейнеры со всем необходимым, выехать в турпоездку в другую страну, захватив с собой ноутбук.
Хотя, с одной стороны, это напрямую касается хакеров и их методов (опыта) работы, но, с другой стороны, мне не хотелось бы превращать компьютерную прессу в место для публикаций инструкций по "обеспечению безопасности (конспирации) активных мероприятий". Последнее: приведенную выше информацию не стоит пытаться использовать против меня же, я давно работаю по более совершенным схемам и протоколам (алгоритмам). Я публикую, только то, что для меня не актуально, и не представляет никакой ценности.
Miscellaneous
Разное
If you want to run satan, iss, ypx, nfs filehandle guessing etc. then use a special server for this. don't use it to actually telnet/rlogin etc. to a target system, only use it for scanning. Connect to it as if it were a gateway server. Если вы решили использовать "satan", "iss", "ypx", или "nfs"-сканер файловых дескрипторов: запускайте их на сервере, специально выделенном для этого. Не используйте этот же сервер для реальных подключений по "telnet", "rlogin" и тому подобному к атакуемой системе, пусть он будет только для целей сканирования. Подключайтесь к нему, так же, как подключаетесь к шлюзовому серверу.
Tools are out there which binds to a specific port, and when a connection is established to this port, it's automatically opening a connection to another server some other just act like a shell on the system, so you do a "telnet" from this socket daemon too. Есть утилиты, которые, привязываясь к конкретному порту, после установки соединения с этим портом, автоматически открывают соединение с другим сервером, другие действуют подобно командной оболочке на системе, так что вы также делаете "telnet" с демона, обслуживающего этот сокет.
With such a program running you won't be written in any log except firewall logs. There are numerous programs out there which do that stuff for you. Запуская такую программу, вы не пишетесь ни в один журнал протоколирования активности, если только нет фаервола с его журналами регистрации. Много программ для вас могут сделать эту ерунду.
If possible, the hacking server and/or the gateway machine should be located in a foreign country! По возможности атакующий сервер и/ или шлюзовая машина должны находиться за рубежом!
Because if your breaking (attempt) was detected and your origin host identified then most admins will tend to give up to hunt after you. Even if the feds try to trace you through different countries it will delay them by at least 2-10 weeks... Потому как, если ваша попытка взлома будет обнаружена и ваш хост будет идентифицирован, большинство администраторов будут склонны прекратить охоту за вами. Даже если "легавые" попытаются трассировать вас через несколько стран, это задержит их как минимум на 2-10 недели...
Conclusion:
Заключение:
If you hack other stuff than univerisities then do it this way! Here is a small picture to help you ;-) Если вы ломаете еще какую-нибудь чушь, а не только университеты действуйте так! Далее вам маленькая картинка вам для помощи ;-)
Cover Up Picture

Publications Top Page Projects