+7 (922) 139-20-04
13.01.2017 12:45

Всё, что мы знаем о том, как ФБР взламывает людей

Последние новости предупреждают, что теперь у правительства есть больше полномочий, чтобы взломать ваш компьютер как в США, так и за пределами страны.

Виноваты в этом изменения, внесённые в процедуры федерального уголовного судопроизводства. Они существенно расширили список того, как и кого ФБР может взламывать совершенно законно. Но как и у АНБ, система взлома у ФБР не нова. На самом деле бюро уже на протяжении 20 лет исподтишка взламывает наши аккаунты.

Однако, это нельзя зарегистрировать, потому что, как правило, взлом происходит тайно. Поиск предоставляет разрешение на взлом, используя очень расплывчатые выражения, которые скрывают суть происходящего, поэтому адвокаты редко используют хакерские инструменты и техники в суде. Также не существует общественного учёта того, как часто правительство взламывает людей. Хотя каждый год федеральные судьи и судьи штатов должны предоставлять Конгрессу доклад о количестве и характере запросов на прослушивание людей, эти требования не распространяются на хакерские инструменты. В результате, нам очень мало известно о том, какие инструменты бюро и другие правоохранительные органы используют для вторжения в нашу жизнь и как оно это делает. Но иногда фрагменты информации всё-таки просачиваются в судебные дела и новости.

Рассмотрим несколько случаев, которые позволяют понять, как развивались методы компьютерного взлома ФБР на протяжении многих лет. Обратите внимание, что правительство позиционирует «хакерство» как несанкционированный доступ к данным в то время, как оно само делает это вполне законно. Оно предпочитает использовать термин «исследование удалённого доступа» или методика проведения следственных действий в компьютерных сетях. Но как бы она не называлась, эта деятельность становится всё более активной.

1998: Короткая, но драматичная жизнь Carnivore

Первым известным инструментом ФБР для наблюдения за компьютерами стал перехватчик трафика Carnivore («Хищник»), который был установлен на сетевых магистралях с разрешения интернет-провайдеров. Этот неудачно названный инструмент был специально создан для фильтрации и копирования метаданных и/или содержания сообщений с и на исследуемый объект. С 1998 года правительство воспользовалось им около 25 раз до того, как в 2000 года о нём стало известно в обществе, когда Earthlink не позволил ФБР установить инструмент на своей магистрали. Компания боялась, что перехватчик даст федералам беспрепятственный доступ ко всей информации клиентов. За всем этим последовали судебный процесс и слушания в Конгрессе, которые вызвали много споров и разногласий, сделав Carnivore громким делом того времени.

ФБР убедило Конгресс, что точные фильтры пропускают всё кроме целевых собираемых данных. Но название этого инструмента явно отрицало их слова, и в конечном счёте, независимый обзор обнаружил, что при неправильной настройке система может захватывать большие объёмы данных. Обозреватели также обнаружили, что у Carnivore слишком слабая защита, которая позволяет кому угодно менять настройки по своему желанию, но при этом не позволяет отследить, кто внёс эти изменения.

К 2005 году ФБР заменило Carnivore на коммерческие фильтры, но по-прежнему пользовалось инструментами, изготовленными по индивидуальному заказу, из семейства Carnivore. Но у всех этих инструментов по наблюдению за сетями была одна проблема, та же проблема, с которой правоохранительные органы сталкиваются по сей день — шифрование. Агенты ФБР могли скачивать любые данные, когда они пересекали различные сети, но, если данные были зашифрованы, они не могли их прочитать.

Но для этого достаточно внедрить программу для перехвата вводимой с клавиатуры информации (так называемый кейлоггер), предназначенную для обхода шифрования, перед взломом шифра.

1999: Как глава мафии помог ФБР создать систему наблюдения за компьютерами

В 1999 году глава Коза Ностры Никодемо Сальваторе Скарфо Мл. был первым подозреваемым в совершении уголовного преступления, вычисленный благодаря перехвату вводимой с клавиатуры информации. Скарфо использовал шифр для защиты своих сообщений, а ФБР использовало свою программу для выяснения ключа к его шифру. В отличие от современных кейлоггеров, которые можно устанавливать удалённо, в то время ФБР пришлось дважды проникнуть в офис Скарфо, чтобы установить программу, а потом забрать её, поскольку Скарфо пользовался подключением к интернету через модем, что не позволяло властям получить удалённый доступ к его компьютеру.

Однако, ФБР, вероятно, самовольно воспользовалось программой, потому что в дальнейшем Министерство юстиции выразило недовольство тем, что «ФБР рискнуло использовать секретную технику для недостаточно значимой цели».

Позже Скарфо поставил под сомнение результаты слежку, аргументируя это тем, что федералам был необходим ордер на прослушку его сообщений, а результатов их наблюдения недостаточно. Его адвокаты запросили информацию о кейлоггере, но правительство настояло на том, что это секретная технология, используемая в интересах национальной безопасности. Этот же довод правительство использует и по сей день, чтобы сохранить с тайне свои инструменты и методы наблюдения.

2001: Волшебный фонарь

Дело Скарфо убедило федералов в необходимости разработки собственных хакерских инструментов, и в 2001 году журналисты пронюхали про «Волшебный фонарь» (Magic Lantern), кодовое название кейлоггера ФБР, который явно выходил за рамки того, что правительство использовало против Скарфо, поскольку его можно было установить удалённо.

Помимо отслеживания вводимой с клавиатуры информации этот новый инструмент сохранял историю просмотров вэб-страниц, имена пользователей и пароли, а также составлял список всех интернет-портов, открытых на компьютере. Его впервые использовали во время операции Trail Mix, расследования по делу защитников прав животных, которое проходило в 2002 и 2003 году. Как недавно выяснило издание New York Times, ФБР использовало этот инструмент, чтобы обойти шифр, который использовал один из подозреваемых. Хотя это  инструмент не упоминался в судебных документах, считается, что это был кейлоггер. «Это был первый раз, когда Министерство юстиции одобрило подобный перехват информации», — позже в 2005 году писал агент ФБР.

После того, как в 2001 году в СМИ просочились новости о «Волшебном фонаре», правительству удавалось хранить свои хакерские инструменты и техники в тайне на протяжении почти десяти лет.

2009: Наконец-то, появилась дополнительная информация

В 2009 году общественность получила более полное представление о взломе ФБР, когда издание WIRED получило кэш правительственных документов по запросу по Закону о свободе информации. Документы описывали инструмент наблюдения под названием CIPAV (Верификатор компьютерных и IP-адресов), созданный для сбора IP и MAC-адресов, инвентаризации всех открытых портов и программного обеспечения, а также для регистрации информации, имён пользователей, заходивших в систему, и URL последних страниц, открытых на устройстве. Все эти данные направлялись в ФБР через интернет. По-видимому, у CIPAV не было кейлоггера, и он не считывал содержание сообщений. Многие в сообществе специалистов по компьютерной безопасности считают, что CIPAV, который используется и по сей день, это другое название для «Волшебного фонаря» за минусом кейлоггера.

В 2004 году этот инструмент помог выявить вымогателя, который обрезал кабели телефонных и интернет компаний и требовал от них деньги за то, чтобы он прекратил. В 2007 году он использовался для разоблачения подростка, который слал по электронной почте угрозы о взрыве бомбы в одной из школ штата Вашингтон. Он использовался и во многих других делах, начиная от расследования дел хакеров до терроризма и шпионажа. Всё это делалось ради раскрытия IP-адреса тех, кто использует различные сервисы анонимизации, чтобы скрыть свою личность и местоположение.

Видимо, он был настолько популярным, что в 2002 году федеральный прокурор заявил, что он используется слишком часто. «Хотя этот метод, бесспорно, имеет большую ценность в определённых делах, — писал он. — Мы наблюдаем все признаки того, что некоторые агентства используют его без особой необходимости, вызывая ненужные правовые вопросы и подвергая его риску рассекречивания без компенсирующей это выгоды». Другими словами, чем чаще им пользуются, тем более вероятно, что адвокаты защиты о нём узнают и будут возражать против доказательств, собранных с его помощью.

2012: Вступление в хакерскую игру

Однако, хакерское наблюдение за целями (по одной за раз) было слишком затратным по времени, когда в деле было много подозреваемых. Поэтому в 2012 году правительство решило позаимствовать излюбленный трюк хакеров: теневые загрузки. Они предполагают использование шпионских программ на сайте, где обычно собираются подозреваемые, так чтобы заразились компьютеры всех посетителей сайта. Это стало излюбленной тактикой правительства для разоблачения посетителей ресурсов с детской порнографией, размещённых через скрытые сервисы Tor, доступ к которым можно получить только через анонимизирующий браузер Tor, скрывающий IP-адреса пользователей. Для заражения подозрительных компьютеров федералы сначала получали доступ к серверам, на которых размещались эти сайты, а потом ставили шпионскую программу на одну из страниц сайта.

Видимо, впервые они использовали теневые загрузки во время спецоперации «Торпедо» по разоблачению анонимных посетителей сайта детской порнографии, размещённого на сервере в Небраске в 2012 году.

Они вновь воспользовались этой тактикой в 2013 году с провайдером Freedom Hosting, который предоставлял своим пользователям анонимный доступ к сайтам, в том числе и с детской порнографией. В августе того года, когда ФБР захватило контроль над серверами Freedom Hosting, на всех сайтах компании появилась надпись «На техническом обслуживании» со скрытым встроенным кодом Javascript. Код использовал бреши в системе безопасности Firefox, чтобы заразить компьютеры и выявить их реальные IP-адреса. Однако, у них была одна тактическая проблема. На Freedom Hosting размещались не только сайты с детской порнографией, но и вполне законные ресурсы, пользователи которых также могли быть заражены. Неизвестно, сколько невинных людей подверглись заражению, потому что правительство не раскрывало информацию о том, как прошла операция.

ФБР и международные партнёры использовали похожую тактику в прошлом году для выявления более 4 тысяч компьютеров, принадлежащих членам или потенциальным членам сайта детской порнографии Playpen. В свою очередь, ФБР определило реальные IP-адреса более 1300 посетителей Playpen, из которых 137 человек были обвинены в совершении преступлений.

Основные вопросы остаются

Учитывая, сколько мы знаем о том, как правительство взламывает людей, остаётся ещё больше того, чего мы не знаем. Например, что именно правительство делает при помощи этих инструментов? Могут ли они только получить IP-адрес и информацию из реестра компьютера? Или они могут ещё больше вмешиваться в частную жизнь: например, включать веб-камеру, чтобы сфотографировать пользователя определённого компьютера, как они стремились делать в 2013? Как тестируются эти инструменты, чтобы убедиться, что они не наносят вреда компьютерам? Последнее особенно важно, поскольку теперь, согласно Правилу 41, они могут устанавливать эти инструменты на бот-сети жертв.

Должны ли следователи получать ордер на обыск для использования этих инструментов? Если да, то остаются ли шпионские инструменты в компьютере после окончания срока действия ордера или они сами удаляются через определённое время? Или для отключения и удаления этих программ требуется специальное решение правоохранительных органов? Как часто правительство пользуется уязвимостью «нулевого дня» и тайно устанавливает шпионское ПО в системы? И как долго они скрывают это от поставщиков программного обеспечения, чтобы они могли поставить заплату?

Министерство юстиции уже давно настаивает на том, что эти хакерские операции совершенно законны, проводятся по ордеру на обыск и под судебным надзором. Но даже операции, проведённые по разрешению суда, могут вызвать серьёзные вопросы. Одним из примеров является случай в 2007 году, когда подросток отправлял угрозы о взрыве бомбы. Чтобы инфицировать компьютер подозреваемого подростка, они заставили его скачать шпионский инструмент, разместив ссылку на вредоносное ПО в приватном чате подростка на MySpace. Ссылка вела на фиктивную статью о угрозах взрыва бомбы на Associated Press (AP).

В своих письменных показаниях ФБР так и не призналось, что хотело заманить подозреваемого при помощи новостной статьи. Это стало известно позже, когда EFF (Общественная организация, защищающая права и свободы личности в киберпространстве) получила электронные письма ФБР. AP обвинило бюро в подрыве доверия к изданию и распространении информации о том, что журналисты работают вместе с федералами. Была ещё одна проблема с тактикой — потенциальное распространение вредоносных программ. «Возможно, ФБР хотело использовать эту фальшивую историю как ловушку только для одного человека,- добавило AP в письме в Министерство юстиции.- Однако, этот человек мог легко сделать репост этой записи в социальные сети, распространяя её на тысячи людей под нашим именем, что, по существу, было правительственной дезинформацией».

Затем была операция с PlayPen, когда на протяжении двух недель правительство позволило людям, посещающим сайт, скачивать и делиться тысячами эксплуататорских изображений детей и почти подростков, нанося им ещё больше вреда.

«Возможно, общество захочет узнать, как ФБР определило, что сайт с детской порнографией должен работать именно две недели, учитывая то, что всё это позволяло ей ещё больше распространяться. Кто-то должен выполнять эти подсчёты,- заявила Элизабет Джох, профессор права в Калифорнийской университете в Дэйвисе, которая много пишет о методах, технологиях и системе наблюдения полиции.- Мы не знаем, как сделаны эти расчёты».

Непонятно, знает ли об этом Конгресс.

Вопросы, касающиеся того, насколько правоохранительные органы могут участвовать в преступных действиях и прикрываться тайными операциями, не новы в мире вне сети. «Сейчас этот вопрос ещё более актуален, потому что способы проведения онлайн-расследований становятся всё более сложными, но у нас по-прежнему слишком мало контроля над ними,- говорит она.- Но каким должен быть этот контроль, когда ФБР решает выдать себя за реальных людей или организации (в частности, средства массовой информации) и участвует в незаконной деятельности, которую она пытается остановить? Должны ли мы дать правоохранительным органам свободу? Вот в чём вопрос».


Источник:www.thatsmart.ru


Все статьи
Акции Скачать бесплатно
2013-2017, © Уральское бюро психологий DESIGN BY KIRILL E. VERTIPOROKH

позвоните мне

напишите мне

Отправить
 
Отмена