Anonimnost v informacijsko-komunikacijskih sistemih

Tokratni, nekoliko obsežnejši a sila zanimiv prispevek anonimnost.jpgtemelji na predavanju z naslovom Anonimnost - Tehnike zagotavljanja anonimnosti med napadalci, ki sem ga imel priložnost predstaviti leta 2007 na konferenci Infosek - Forum. A takrat predstavljene tehnike prikrivanja identitete v informacijsko-komunikacijskih sistemih (IKS) niso izgubile prav nič na svojem čaru in so danes še vedno uporabne ter uporabljene. Nekatere najučinkovitejše bomo tudi podrobneje spoznali.

Agenda

Najprej bomo poskušali vzpostaviti pojem anonimnosti v informacijskem in telekomunikacijskem omrežju in se vprašali zakaj je ta pomembna med napadalci oz. v splošnem kiber kriminalci, nadaljevali z bolj tehničnim delom s predstavitvijo nekaterih tehnik in metod zagotavljanja anonimnosti ter zaključili s predstavitvijo načinov sledenja, v kolikor je to sploh mogoče.

Zakaj anonimnost?

anon.jpgIzhajal bom iz citata v knjigi Nadzor in zasebnost v informacijski družbi, ki pravi: “[Hekerji] razumejo, da če ‘kriminal’ ne more biti povezan s telesom, le-to ne more biti kaznovano” (Thomas, 2000: 24). Pojem anonimnosti moramo razlikovati od pojma zasebnosti. Anonimnost pomeni nepoznavanje identitete opazovanega subjekta medtem, ko zasebnost pomeni poznavanje identitete a nepoznavanje vsebine, ki jo zasebnost varuje. Podatek, ki ga napadalci najbolj skrbno varujejo je podatek o njihovem izvoru – povezavi, točka iz katere se povežejo v IKS. Razkritje izvora navadno pomeni tudi razkritje njih samih. Zasebnost dosežemo oz. varujemo z varovanjem vsebine, anonimnost pa s prikrivanjem izvora komunikacije (lahko tudi izvora vsebine). V informacijskem omrežju bomo izvor definirali z IP naslovom, v telekomunikacijskem omrežju pa tako s telefonsko številko kot tudi z IP naslovom. Velja, da si je anonimnost v IKS težko zagotoviti, še težje ohranjati, a jo je zelo enostavno izgubiti (potrebna je le majhna nepazljivost).

Stopnje anonimnosti

online_ad_revenue_optimization_real_time_price_prediction_offers_new_opportunities_2_three_levels_of_optimization_id10072122_resize.jpgNevešči kiber kriminalci uporabljajo sredstva za doseganje anonimnosti nad katerimi nimajo nadzora. Uporabljajo jih zgolj kot sredstvo za prikrivanje njihovega pravega izvora. Psevdoanonimnost je primerna takorekoč le za dostopanje do omejenega izbora vsebin, saj je mogoče izvor vseeno locirati npr. s pregledom dnevniških zapisov v IKS. Sam bi v to kategorijo umestil omrežje Tor, ki sicer ponuja visoko mero anonimnosti a vseeno ne omogoča kiber kriminalcem nadzora nad členi v verigi. Spomnimo se primera vdora v spletno pošto Sarah Palin septembra leta 2008. Obtoženi David Kernell je sicer uporabljal posredniško HTTP storitev Ctunnel za prikrivanje svoje identitete a je lastnik storitve sodeloval z FBI in jim posredoval dnevniške zapise. V Sloveniji lahko povzamemo primer Xanez123, kjer je napadalec pri napadu uporabil ukraden Arnes račun, kar pa mu ni zagotovilo anonimnosti zaradi izvorne lastniške telefonske številke. Dober primer je tudi prikrivanje identitete (telefonske številke) v GSM omrežju kjer klicana oseba ne vidi telefonske številka klicatelja, a operater vseeno razpolaga z njo.
T.i. popolno anonimnost si kiber kriminalci lahko zagotovijo na več načinov. Z uporabo javno dostopih točk do IKS nad katerimi se ne izvaja nadzor, s krajo identitete ali z uporabo posredniških sistemov nad katerimi imajo popoln nadzor. V končnem velja, da bodo kiber kriminalci najpogosteje delovali z identiteto nekoga drugega čigar sledi lahko nato naknadno tudi popolnoma zabrišejo.

Telekomunikacijsko omrežje

old_phone.jpgV klasičnem analognem in digitalnem omrežju (PSTN, ISDN, DSL…) se za identifikacijo uporabnika uporablja enolično določena naročniška telefonska številka (CLIP), ki služi kot osnova za določitev klicatelja. V GSM in UMTS omrežju se za identifikacijo uporablja številka IMSI, ki je nato pri operaterju asociirana z naročnikom. Posebno obravnavo zasluži IP telefonija (VoIP) saj se za identifikacijo uporabnika uporablja SIP račun (za vsako transakcijo pa tudi IP naslov). Dejavnost manipuliranja s telekomunikacijskim omrežjem imenujemo ang. phone phreaking.

Klasično telefonsko omrežje

Začnimo s pregledom klasičnega analognega telefonske omrežja.untitled-1.jpg Telefonski priključki so preko parice povezani do razdelilne omarice in nato dalje vse do telefonske centrale. Fizičen dostop do parice omogoča zlorabo in prevzem identitete telefonskega priključka. Dostop do razdelilne omarice pa omogoča celo prevzem identitete poljubnega naročnika v tem razdvojišču. Pri oddaljenemu dostopu kiber kirminalci zlorabljajo slabo konfigurirane telekomunikacijske naprave, ki so priključene na omrežje. Bodisi so to manjše hišne privatne telefonske centrale (PBX - ang. private branch exchange) z vsaj dvema kanaloma (ISDN ima dva pogovorna kanala) ali druge naprave, ki omogočajo posredovanje klicev oz. t.i. dialout funkcionalnost. Klicatelj lahko z zlorabo takšne naprave izvaja klice z lažno identiteto in poleg tega še na tuj račun. Ne pozabimo tudi na telefonske govorilnice. Če te niso pod video nadzorom, omogočajo klicatelju sredstvo s katerim lahko izvajajo popolnoma anonimne klice.
Za signaliziranje v omrežju je danes večinoma v uporabi protokol SS7 (Signaling System No.7), ki postaja v zadnjem času čedalje bolj zanimiv za kiber kriminalce. Ker gre za zaprt protokol, ki ni bil nikoli dostopen izven konteksta certificiranih telekomunikacijskih naprav in še to samo operaterjem, obstaja opravičen sum, da je ranljiv. S pojavom odprtokodnih privatnih telefonskih central, postaja SS7 ob uporabi namenskih kartic PCI (npr. FXO/FXS) dostopen za raziskovanje tudi običajnim uporabnikom.

GSM/UMTS

mobile-evolution.gifS procesom kloniranja SIM kartic je možno izdelati SIM kartico z lažno številko IMSI in s tem prevzeti identiteto nekoga drugega. Zaščito v SIM karticah, ki so bile izdelane pred letom 2001 bi naj bilo dokaj enostavno razbiti, novejše kartice V2 pa imajo že vgrajene mehanizme, ki preprečujejo napad z uporabo grobe sile nad ključem Ki. Napadalec lahko še vedno odtuji mobilno napravo in jo uporabi za sprožanje klicev ali za dostop do podatkovnega omrežja.
V Sloveniji imamo za razliko od prenekaterih ostalih držav možnost nakupa predplačniških SIM kartic brez osebne identifikacije. To kiber kriminalcem omogoča, seveda ob uporabi te kartice v mobilniku, ki je uporabljen izključno v ta namen, anonimno klicanje. Ni skrivnost, da mobilni operaterji beležijo skozi triangulacijo podatek o lokaciji telefona, kiber kriminalci pa morajo biti pozorni tudi na to, kako napolnijo predplačniški račun. Nakup kartice s številko za polnjenje ne sme biti opravljen skozi bankomat ali drugo sredstvo, ki omogoča identifikacijo kupca. Telefon skupaj z IMSI oddaja številko IMEI (identifikacija mobilne naprave) zato je možno povezati uporabo različnih SIM kartic v istem mobilniku. Če je bila naprava prijavljena kot ukradena je možno preveriti tukaj.
Pri mnogih operaterjih je mogoče s predplačniško kartico dostopati tudi do podatkovnega omrežja (svetovnega spleta), skoraj vsak telefon pa omogoča tudi uporabo modema in preko AT ukazov klicanje oddaljenih telekomunikacijskih sistemov (modemov).

Privatne telefonske centrale in VoIP

siemens2.jpgIn že smo se prebili do privatnih telefonskih central, tako klasičnih digitalnih (Iskratel, Siemens, Alcatel…) kot tudi novejših trendovskih in sila fleksibilnih ter poceni VoIP (npr. Asterisk PBX). Telefonske centrale beležijo, že za voljo evidentiranja stroškov, vse transakcije. Kiber kriminalci s priviligiranim dostopom lahko opravijo ali sprejmejo klic (transakcijo) pri čemer igra telefonska centrala le vlogo posredniškega IKS (npr. preusmeritev klica, ang. call forwarding) in nato izbrišejo nastavitve preusmeritve in dnevniške zapise. Pri operaterju je izhodni klic iz privatne telefonske centrale nato težje povezati z (istočasnim) dohodnim klicem, posebno v času večje obremenitve. Kiber kriminalcem ne bo tuje veriženje komunikacijskih sistemov (tudi skozi omrežja različnih operaterjev v različnih državah) skozi večkratno preusmeritev. V zlatih časih modre škatlice (ang. blue box) je Captain Crunch-u uspelo izvesti klic, ki je obkrožil svet, predno je zazvonil telefon ob njemu.
Z ukradenim SIP računom lahko kiber kriminalci izvajajo klice (ne samo govorne, ampak tudi podatkovne na oddaljene dialup sisteme s pomočjo gonilnikov, ki so na voljo npr. v paketu FaxVoIP) z identiteto lastnika računa a bo njihov izvorni IP naslov, v kolikor ne bodo poskrbeli za prikritje le tega (glej naslednje poglavje) zabeležen na SIP strežniku (oz. SIP prehodu). Kiber kriminalec si sicer lahko zagotovi priviligiran dostop na strežniku, kjer je nameščena VoIP telefonska centrala in pobriše vse transakcije a si s tem ne zagotovi popolne anonimnosti. Namreč SIP protokol uporablja za podatkovno komunikacijo protokol RTP, ki vzpostavi direktno povezavo med sodelujočimi v klicu (ne glede na število SIP prehodov in SIP posredniških strežnikov). V poštev pride zgolj uporaba kakšnih posredniški strežnikov SOCKS v5, ki pa pri mnogih odjemalcih VoIP niso podprti (recimo Ekiga jih ne podpira).
Kot že ime pove, temelji VoIP na IP protokolu kar pomeni, da imamo dejansko opraviti z informacijskim omrežjem. Pri napadih na telefonske centrale VoIP je torej med kiber kriminalci sila uporabno poznavanje metod in tehnik napadov na informacijsko-komunikacijske sisteme. Manipulacija takšnega omrežja je zagotovo lažja od klasičnega digitalnega telekomunikacijskega, saj je na svetovnem spletu na voljo bistveno več informacij o delovanju sistemov, vključno z vsemi protokoli, ki se uporabljajo in načini delovanja. Informacije o delovanju klasičnih telefonskih central so zelo težko dostopne nepooblaščenemu osebju. Poleg tega pa je najbolj razširjena telefonska centrala VoIP - Asterisk PBX, celo odprtokodna, kar pomeni da imamo na voljo njeno izvorno programsko kodo.

Prehodi GSM, sistemi za podaljšano izbiranje

cf100fx2-g.jpgTema je bila že predstavljena v enemu izmed obširnih prispevkov na tem blogu. Vseeno pa na hitro ponovimo dejstva:

  • Prehodi GSM so, če niso ustrezno kofigurirani, dostopni direktno s klicem na ustrezno telefonsko številko SIM kartice.
  • Prehodi GSM omogočajo, če so neustrezno konfigurirani, klicanje na poljubno telefonsko številko. Pri tem za klic uporabi ustrezen prosti kanal (lahko je to spet mobilno omrežje ali drugo glede na dialplan).
  • Sistem za podajšano izbiranje je storitev privatnih telefonskih central, ki omogoča klicanje telefonske številke glede na izbrano konfiguracijo, navadno brez omejitev na poljubno destinacijo.

Lociranje telefonskih številk prehodov GSM je enostavno, če ni uporabljeno prikrivanje identitete. Telefonsko številko bo razkril klic iz privatne telefonske centrale na mobilno omrežje (glede na dialplan). Enako ne moremo trditi za sisteme za podaljšano izbiranje saj ti niso javni in so dostopni le preko posebne (interne) telefonske številke ali drugače.

Informacijsko omrežje

IP spoofing je sicer mogoč a je redko uporaben, saj bodo odgovori na zahteve posredovani na poneverjen IP naslov. Če kiber kriminalec nima dostopa do omrežnega vmesnika s tem IP naslovom, ne bo mogel pregledovati odgovorov. IP spoofing se največkrat uporablja pri anonimnem izčrpnem pregledovanju IKS (npr. naprednejše tehnike izčrpnega pregledovanja odprtih vrat, kjer so odgovori posredovani na nek drug IP naslov na katerem nato preverjamo sekvenčno številko paketov).
Je pa, kot že rečeno, za kiber kriminalce pri njihovem dejanju najpomembnejše prikrivanje njihovega izvora, ki ga določa IP naslov povezave. V informacijskem sistemu IP naslova izvora ne moremo kar izničiti, zato kiber kriminalci poskrbijo, da bo ta IP naslov karkoli razen njihov pravi. V nadaljevanju bomo spoznali kako to storijo.

Javno dostopne točke do IKS

cyber_cafe.jpg Cyber caffe-ji in ostale javno dostopne točke dostopa do svetovnega spleta že dolgo veljajo za vstopno točko do IKS, ki ne zahteva osebne identifikacije pri uporabi in tako omogočajo anonimno uporabo. Ker je gostota uporabe IKS v takšnih prostorih zelo velika, je edino sredstvo pri ugotavljanju uporabnika posnetek nadzorne kamere, če ta sploh obstaja. Pa še v tem primeru je identifikacija vprašljiva.
Javno dostopne točke najdemo še v hotelih, knjižnicah, raznih sejmih in še bi lahko naštevali.

SSH tunneling

ssh.jpgTuneliranje prometa skozi SSH je posebna tehnika, ki omogoča kiber kriminalcem uporabo IKS, na katerih imajo SSH dostop, ustvariti poljubno dolgo verigo pretoka podatkov skozi izbrana vrata TCP (s souporabo orodja netcat tudi UDP). Gre za storitev, ki je del strežnika SSH in jo je mogoče v nastavitvah tudi onemogočiti (AllowTcpForwarding no). Privzeto se tuneli ne logirajo! Logiranje zahtev po tunelih SSH je mogoče samo v debug načinu delovanja strežnika SSH ali z rahlo modifikacijo izvorne kode, za kar je potreben recompile. Skozi poljubno dolgo verigo tunelov SSH se je možno povezovati praktično na vse protokole (FTP, SSH, RDP, VNC…), po vrhu tega pa je povezava še kriptirana. Tunel SSH na strežniku server v sistemski lupini na oper. sistemu *unix ustvarimo z ukazom:

ssh user@server -L 2233:target:22

Uporabnik user se poveže na strežnik server na katerem ima račun. Ob povezavi se ustvari tunel TCP - odprejo se vrata TCP številka 2233 na lokalnem sistemu, ki povezujejo lokalni sistem s strežnikom server. Povezava na vrata TCP številka 2233 na lokalnem strežniku sproži povezavo do strežnika target skozi strežnik server (torej se uporabi njegov IP naslov pri povezavi), na vrata TCP številka 22 (privzeto strežnik SSH).

Strežnik SSH omogoča poleg statičnih vrat TCP tudi dinamična, kar “odklene” strežnik SSH v posredniški strežnik SOCKS.

ssh user@server -D 8080

Uporabnik user se poveže na strežnik server na katerem ima račun. Ob povezavi se ustvari tunel TCP - odprejo se vrata TCP številka 8080 na lokalnem sistemu, ki povezujejo lokalni sistem s strežnikom server. Povezava na vrata TCP številka 8080 na lokalnem strežniku sproži povezavo do poljubnih vrat TCP/UDP na poljuben naslov skozi strežnik server. Strežnik SOCKS se lahko uporabi v vsaki aplikaciji, ki podpira protokol SOCKS.

Windows uporabniki lahko isto dosežejo z nastavitvami v orodju PuTTy:

putty1.gifputty2.gif

Posredniški strežniki - proxy

HTTP proxy strežnik nam omogoča prikrivanje večine (ali vseh) podatkov o našem računalniku in povezavi, do katerih lahko dostopa strežnik s katerim pridemo v stik (skozi HTTP protokol). Ti podatki so med drugim: geografski izvor naše povezave (določen iz IP naslova), najpomembneje - naša identikacija (IP naslov), nameščen operacijski sistem, vrsta in različica spletnega brskalnika itd. Proxy strežniki, ki jih ločimo na transparentne in “prave anonimne” nam omogočajo, da se naši podatki do strežnika, ki ga obiščemo ne pošljejo ampak se nadomestijo s podatki proxy strežnika. Te podatke lahko ponekod tudi poljubno nastavimo. Transparentni proxy strežniki ne zagotavljajo anonimnosti in omogočajo zgolj to, da lahko dostopamo do spletnih strani, do katerih drugače ne moremo ali smemo zaradi notranjega ali zunanjega nadzora omrežja. Pravim anonimnim proxy strežnikom kiber kriminalci pravijo tudi elite proxy. Nivo anonimnosti pri proxy strežnikih je enostavno preveriti s pomočjo spletnih storitev, ki nam prikažejo zbrane podatke v HTTP “glavi”. Podatek v “glavi”, ki dejansko loči transparentne od pravih anonimnimih proxy strežnikov, je X-Forwarded-For, ki razkrije odjemalčev naslov, drugače javi neznano (unknown). Strežnik zazna, da je HTTP zahteva prišla skozi HTTP proxy, če je prisoten vsaj eden izmed parametrov v “glavi”: Via, Forwarded, X-Forwarded-For in Client-ip.
Proxy strežnike vseh tipov je mogoče najti v dnevno osveženih seznamih (2) na svetovnem spletu. Čeprav so nekateri proxy strežniki označeni kot elite, kiber kriminalci ne morejo zagotovo vedeti, komu pravzaprav ta posredniški strežnik pripada ter če se na njemu shranjujejo dnevniški zapisi uporabe. Na spletu lahko zasledimo opozorila, da vladne organizacije v ZDA rade same postavljajo proxy strežnike s pomočjo katerih bi prestregle nedovoljene aktivnosti nasedlih kiber kriminalcev. Vseeno pa so uporabni za vmesne člene v verigi proxy strežnikov (posebno, če se uporablja protokol HTTPS), ki jo lahko zgradimo z uporabo namenskih orodij, npr. SocksChain ali FreeCap.
Kiber kriminalci bodo zaradi vse te negotovosti radi na “zasežene” strežnike sami namestili (začasni) HTTP proxy strežnik, ki ga nato uporabljajo pri brskanju po spletu. Nastavijo ga tako, da ne beleži dnevnika uporabe in ne uporablja privzetih vrat. Delovanje lahko omejijo tudi samo na svoj izvorni IP naslov, kar pa je rizično dejanje, saj s tem razkrijejo svoj izvor v primeru, da si upravitelj sistema ogleda konfiguracijsko datoteko. Svoj izvor pa ne razkrijejo, če uporabljajo veriženje in tako omejitev na izvorni IP naslov nastavijo na vse, razen na prvi strežnik v verigi.

Brezžična omrežja WiFi

wifi_logo.jpgS prodorom brezžičnih omrežij v domove navadnih uporabnikov se je odprla nova priložnost za kiber kriminalce. Skozi vojne vožje (ang. war-driving) poiščejo ranljive vstopne točke, se nanj priklopijo in tako prevzamejo identiteto spletne povezave izbranega ponudnika, izvedejo napad in izginejo. Izsleditev takega napadalca je skoraj nemogoča. Navadni uporabniki na svojem računalniku skoraj zagotovo ne beležijo dnevnika dostopov do njihovega brezžičnega umerjevalnika, prav tako ne prestrezajo prometa. Če že beležijo dnevnik dostopov, bodo zabeležili le čas in MAC naslov brezžičnega vmesnika napadalca, ki pa ga je možno enostavno poneveriti. Brezžični usmerjevalniki hranijo zgodovino dostopov skupaj z MAC naslovom, a le za določen čas (do ponovnega zagona?). Iz MAC naslova je možno identificirati proizvajalca, kar bi približno identificiralo recimo mobilne naprave (te imajo svoj MAC), težje pa bi določili prenosnike saj ti pogosto uporabljajo omrežni vmesnik kakšnega drugega proizvajalca.

Trojanski konji in ostalo

Nepazljivi uporabniki svetovnega spleta lahko hitro postanejo tarča grožnjam, ki pretijo nanje za vsakim klikom. Neuporaba protivirusnih orodij, obiskovanje nepreverjenih spletnih mest ter prenos in zaganjanje nepreverjenih zagonskih datotek kaj hitro botrujejo okuženemu sistemu. Z okužbo s trojanskim konjem postane sistem del večje mreže (botnet), ki so lahko zlorabljeni za različne namene: razpošiljanje spam pošte (mail/spam relay), DDOS napade, proxy strežnik ipd. Med zelo razširjenimi je Zeus Trojan, ki je namenjen predvsem prestrezanju avtentikacijskih podatkov, napadalci pa ga lahko uporabijo tudi kot posrednik za povezovanje na druge oddaljene sisteme. Sam poznam primer, ko so nekomu zasegli osebni računalnik po prijavi nedovoljenih aktivostih z njegovega IP naslova. Izkazalo se je, da je bil sistem uporabnika okužen z nekim trojanskim konjem. V tem primeru uporabnik ni odgovarjal za dejanja, ki jih je preko njegovega sistema izvajal napadalec. Kaj pa če napadalec zavestno okuži enega izmed svojih sistemov in nato z istega sistema izvaja napade, nato pa se zgovarja, da je bil njegov sistem zlorabljen zaradi okužbe, ki je to dopuščala? Davno je že tega ko so bili aktualni Sub7, BackOrifice in podobni trojanski konji, ki so ravno tako omogočali uporabo okuženega sistema za povezovanje na druge oddaljene sisteme.

Potem so tu še storitve, ki ponujajo anonimnost proti plačilu. Predvsem gre tu za privatne VPN povezave. Kiber kriminalci zasežejo ali najamejo strežnike širom sveta in nanje namestijo posredniške sisteme, ki jih nato tržijo. Če vzamemo za primer spletno stran Cash Paradise, ki ponuja programe izobraževanja o spletnih prevarah, lahko zasledimo kot del vsakega paketa tudi DoubleVPN for security in network.

Združevanje telekomunikacijskega in informacijskega omrežja

Najzahtevnejša in najučinkovitejša metoda, ki jo lahko kiber kriminalci uporabijo je dostop do IKS skozi večje število posredniških sistemov, ki so med seboj povezani skozi tako telekomunikacijsko kot tudi informacijsko omrežje.

Spodnja slika prikazuje eno izmed možnosti vzpostavitve povezave do tarče z uporabo telekomunikacijskega in informacijskega omrežja.


anonimnost2.jpg

1. Napadalec vstopi v svetovni splet skozi nezaščiteno brezžično točko, ki jo je lociral s pomočjo vojne vožnje.

2. Od tod vzpostavi preko protokola telnet vzvratno povezavo na enega izmed modemov znotraj modem pool na Cisco usmerjevalniku. Tehnika se imenuje Reverse telnet session to a modem, modemi pa so običajno dostopni na vratih številka 2001 in dalje. Dostop je zaščiten z avtentikacijo.

3. Napadalec sedaj z ukazom AT sproži klicanje sistema za podaljšano izbiranje do interne telefonske številke neke privatne telefonske centrale na kateri je nastavljena preusmeritev klica.

4. Klic je preusmerjen na še en Cisco usmerjevalnik, ki omogoča klicni dostop. Tukaj predpostavimo, da račun, ki si ga lasti napadalec ne prikliče PPP načina ob vstopu v sistem ampak ponudi lupino IOS.

5. Napadalec se sedaj z uporabo protokola SSH poveže na oddaljeni strežnik in od tod še dalje do sistema na katerem hrani vsa napadalska orodja in prične izvajati napad.

Ne pozabimo, da napadalec izbriše dnevniške zapise na sistemih, kjer poseduje upraviteljski dostop.

Sledenje povezavam

Problematični so napadalci, ki obvladajo veliko različnih tehnologij in znajo del vsake zlorabiti za doseganje določene stopnje anonimnosti. Če si pogledamo primer, kjer si napadalec najprej zagotovi anonimnost v telekomunikacijskem omrežju in nato še v informacijskem ali celo preklaplja med obema, je takšnega napadalca izredno težko izslediti. Sledenje je težavno, saj se mora med ponorom in izvorom menjati sledilna metoda. Takega napadalca lahko izsledimo zgolj v pričakovanju, da pri vsakem napadu uporablja isto pot, ki jo postavimo pod drobnogled vnaprej.
Primeri, kjer kiber kriminalci uporabljajo za prikrivanje svojega izvora le sisteme, ki nudijo t.i. psevdoanonimnost, hitro najdejo svojo mesto v medijih. Redkeje pa se navaja primere, kjer so kiber kriminalci uporabljali zapletenejše načine prikrivanja identete a so jih kljub temu izsledili. Na spletu bomo našli precejšnje število strani z navodili o doseganju anonimnosti a v končnem velja, da je za doseg tega cilja potrebno veliko znanja in (neupravičen) dostop do IKS.

Prepričan sem, da sem zaradi nepoznavanja vseh tehnik in metod doseganja anonimnosti v IKS, tudi kakšno izmed njih izpustil.

UPDATE 02/04/2011
Bralec me je opozoril na uporabo DNS strežnikov, ki lahko, če hranijo dnevniški zapis, pripomorejo k lociranju kiber kriminalcev. Podatke z dnevniških zapisov npr. spletnega strežnika in DNS strežnika je možno časovno uskladiti in sklepati o pravem IP naslovu izvora (ki v dnevniških zapisih spletnega strežnika najverjetneje pripada proxy strežniku). Ne pozabimo, proxy strežnik ne nudi možnosti posredovanja povpraševanj iz DNS (DNS query)!

Comments 8

  1. Mojca wrote:

    Zelo zanimiv prispevek in uporaben. Sama se do zdaj še nisem spuščala v čiste globine delovanja SSH-ja, sem se pa dosti ukvarjala z zasebnostjo na internetu. Zanima me pa naslednje, ce lahko pomagas.

    Kaj pa anonimnost v e-bančništvu in varovalni postopki pred vdori hekerjev v serverje oziroma do samih uporabnikov te aplikacije?

    Hvala ti :>

    Objavljeno 03 Mar 2011 at 1:47 pm
  2. Gorazd wrote:

    To je že tema za kakšen drug prispevek, na tvoje vprašanje pa je skoraj nemogoče na kratko odgovoriti. Pri e-bančništvu bodo napadalci uporabili avtentikacijske podatke drugih in opravili prenose sredstev na tuje račune in nato spet dalje na druge (zlorabljene) račune. Daljša kot je veriga, težje je sredstva povrniti. Če opravijo nakazilo na Western Union, pa lahko sredstva že dvignejo predno jih uspe banka povrniti. Serverje na bankah napadalci redkeje napadajo, raje uporabnike saj so veliko lažja tarča.

    Objavljeno 03 Mar 2011 at 1:53 pm
  3. Mojca wrote:

    Gorazd, hvala za odgovor. Vem, da je na moje vprašanje težko na kratko odgovoriti :> glede na to, da je to na nek nacin povezano z temo moje magisterske naloge, iscem povezave in razne podrobnosti. Glede na to, da je pomanjkanje literature zelo veliko. Ok, zdej sem čisto odbluzila stran.

    Hvala:>

    Objavljeno 03 Mar 2011 at 7:53 pm
  4. Matija wrote:

    Gorazd, zanimiv, predvsem pa prijeten članek za branje. Všeč mi je tvoj interdisciplinarni pristop (npr. celovita obravnava prikrivanja identitete med telefonijo in medmrežjem). Tak pristop je, na tako širokem področju kot je IKT, pogosto pozabljen in so zato številni vidiki varnosti slabo (površno) razumljeni.

    Mojca, literature in statističnih/poročilnih virov o incidentih v IKS bank je malo objavljenih, ker te skrbijo v prvi vrsti za varno POČUTJE svojih komitentov oz. svojo podobo v javnosti.

    Objavljeno 04 Mar 2011 at 11:32 am
  5. Frenk wrote:

    Gorazd, najprej pohvale - res dober članek. Moje vprašanje pa se nanaša na triangulacijo pri mobilnih operaterjih. Kako natančno lahko dejansko določijo tvojo lokacijo in ali se ti podatki hranijo na bolj natnačnem nivoju kot je bazna postaja? (Če se ne motim, lahko do nivoja bazne postaje še hranijo oz. celo morajo hraniti.)

    Objavljeno 31 Mar 2011 at 12:25 pm
  6. Matthai wrote:

    Ne, oepraterji hranijo podatke samo na nivoju bazne postaje - po Pravilniku o opremi in vmesnikih za zakonito prestrezanje komunikacij mora biti to najnatančnejši podatek, to je pa podatek o lokaciji bazne postaje.

    Lahko bi sicer delali triangulacijo, ali pa vsaj merili “ping” (kako oddaljen je telefon od bazne postaje), vendar se to dela samo v primeru klica na 112/113, na splošno pa ne.

    Objavljeno 01 Apr 2011 at 8:26 am
  7. Apollo wrote:

    Hvala lepa za dobro in izčrpno predstavitev tematike. Vem, da je tema omejena, a škoda, da ni vsaj nakazana upravičenost uporabe anonimnosti tudi v kakšne druge, kot zgolj kriminalne, namene.

    Snovalci ameriške ustavi so anonimni govor v politični sferi objeli kot način izražanja nepopularnih mnenj, brez osebnega obsojanja, ki bi ga drugače izkusil govorec.

    V dobi poceni procesorjev, poceni omrežja in poceni senzorjev pojmi zasebnost/javno dobivajo drugačen, nov pomen. Internet prinaša nove primere vsak dan, ves spekter od najstnic, ki psujejo azijska ljudstva na spletu in doživljajo posledice za javno izrečena zasebna mnenja - do vstaj v arabskem svetu, kjer je anonimnost želena zaradi drugih vzrokov. In povsod se prestavljajo meje med javnim in zasebnim.

    Anonimnost bo še dolgo potrebna tudi v legitimne namene in ne zgolj v kriminalne.

    Objavljeno 02 Apr 2011 at 6:09 pm
  8. Gorazd wrote:

    Se strinjam. Morda bi moral v članku izpostaviti še nekaj legitimnih razlogov za uporabo prikrivanja izvora.

    Objavljeno 03 Apr 2011 at 7:38 am

Objavi komentar

Your email is never published nor shared.