Главная » Хабрахабр » [Перевод] DEFCON 23. «Признания профессионального киберсталкера». Кен Уэстин

[Перевод] DEFCON 23. «Признания профессионального киберсталкера». Кен Уэстин

Меня зовут Кен Уэстин, я расскажу вам, что значит быть профессиональным киберсталкером (киберсталкингом называется использование Интернета для розыска какого-то человека, группы людей или организации).

Я также создал поисковый движок для поиска EXIF данных в изображениях.
Сейчас я не работаю в GadgetTrak и в настоящее время являюсь действующим старшим аналитиком по безопасности в компании Tripwire Inc., участвую во многих расследованиях, собираю информацию из социальных сетей и других источников и отправляю плохих людей за решётку. Я основатель компании GadgetTrak, в которой был хакером и по совместительству генеральным директором, и разработчик технических средств, позволяющих возвратить украденные у людей девайсы.

Вы видите много фотографий, сделанных веб-камерой, я специально размыл лица злоумышленников, чтобы сохранить их анонимность. На этом слайде показана «Стена позора» — это фотографии реальных людей из реальных расследований, в которых я участвовал. Некоторые из этих фото взяты с возвращённых мною устройств, а не сделаны веб-камерой.

Много раз мне случалось помогать в делах, связанных с наркотиками, насильственным угоном автомобиля, кражей ноутбуков. Интересно то, что больше половины времени, когда я ходил в полицию восстанавливать украденные устройства, они просили помочь меня в других проводимых ими операциях. Я разрабатывал инструменты, которые помогали следить за злоумышленниками, одновременно стараясь сохранить неприкосновенность частной жизни. Некоторые из этих дел были связаны с применением троянских устройств, использующих вирусные уязвимости, вредоносные программы, которые шпионят за людьми, я расскажу об этом подробнее в процессе презентации.

Можете представить, что часть моей работы вызывает критику людей, которые не понимают, что испольуемые мной шпионские методы служат раскрытию преступлений и предотвращению их тяжёлых последствий.

На экране показан слайд с цитатой обзора конференции Black Hat: «Я думаю, вы должны обратить внимание на этическую сторону применения технологий, которые вы с таким удовольствием демонстрируете».

Это было очень давно, в 2006-2008 годах. Хочу отметить, что многие из предлагаемых на рынке приложений способны делать более ужасные вещи с информацией, чем те, что я использую для возвращения украденных устройств.
Я начал использовать свои инструменты, когда работал на компанию, которая специализировалась на блокировке USB устройств.

Я действительно заинтересовался, как эти инструменты на основе USB используются для взлома сетей. В то время моё воздействие на обеспечение безопасности было аналогично тому, как сетевой администратор пытается защитить свои веб-серверы и управление сайтами. Поэтому я начал работать с этими инструментами и даже создал сайт usbhacks.com, где начал размещать некоторые из своих инструментов, и сообщество пользователей сайта начало развиваться. Вы знаете, что получить доступ к сети извне довольно сложно, но будучи ленивым хакером, вы можете использовать USB-устройства для взлома системы и кражи данных. Работа с некоторыми членами сообщества была действительно интересной, причём интерес к моим разработкам проявлялся по обе стороны закона.

В то время никто не обсуждал и не распространял подобные инструменты для тестирования безопасности. Тогда я впервые получил небольшой «звонок» от ФБР, но они всё же разобрались в моих намерениях оказать пользу, а не нанести вред. Но сейчас с помощью таких инструментов сетевые администраторы могут действительно проверить свои сети, чтобы увидеть, как они будут реагировать на подобные хакерские инструменты.

Вы можете приспособить их для своих нужд, изменив некоторые скрипты, и они всё равно будут работать. Многие исследователи безопасности до сих пор просят у меня эти инструменты, поэтому я привожу ссылку на мой сайт usbhacks.com/USBHACKS.zip, откуда можно их скачать, просто настройте свой антивирус, чтобы он не заблокировал эти программы.

После того, как я изучил эти USB устройства, я задумался над тем, как можно их использовать, сделав более дружественными, как заменить вредоносное «троянское» ПО на что-то полезное.

Вы можете натворить много дел, если сможете перехватить хеш. Обычно вы подключаете USB флешку, используя автозапуск, запускаете бинарный файл и можете собрать довольно много информации. Но более полезной информацией стало имя компьютера и имя пользователя, который работает с данной системой. Для возвращения украденных вещей, я думаю, вы это знаете, можно получить IP-адрес, можно узнать внутренний сетевой адрес, можно определить геолокацию по этому IP-адресу и узнать, в каком городе он находится.

Собственно, это было частью моего магистерского диплома, частью системы, которую я построил, и мне было любопытно, что люди будут с ней делать. Я выложил свой инструмент в сети бесплатно. В течение 2-3 дней там зарегистрировалось около 20000 человек. Я был очень удивлён, сколько людей заинтересовалось моим ресурсом и воспользовалось гаджетом, размещённым на главной странице сайта. Мне удалось собрать огромное количество информации об устройствах, с которыми работал мой гаджет. Можете себе представить, что всё это проходило через центральный сервер и вы могли активировать удалённое слежение, так как после подсоединения устройства оно отправляло владельцу данные.

На слайде показан текст письма, которое рассылалось пользователям.

«Тема: Gadget Theft: устройство обнаружено.

USB флешка, о которой Вы сообщали как о потерянной или украденной, была подключена к ПК и мы получили возможность извлечь из системы следующие данные для расследования:

— публичный IP адрес: xxx.xx.xxx.xxx,
— хост: xxx.xx.xxx.xxx,
— внутренний IP адрес: xxx.xx.xxx.xxx,
— имя компьютера: XXXXXXXXX,
— имя пользователя: xxxxx
Страна: США
Штат: Орегон
Город: Тиалатин,
Почтовый индекс: 97062
Код района: 503
Широта: 45,3653
Долгота: — 122,758»

Он работал и с iPod, и если за это время на планшете не успели поменять ПО, то достаточно было подсоединить к нему флешку и получить доступ. Это касалось не только USB устройств, я выяснил, что мой гаджет работает с внешними жёсткими дисками и GPS устройствами, потому что это происходило также, как обновление карт. Всё это было очень интересно.

Я также создал USB клиент для Windows, код которого привёден на этом слайде, и вы можете скачать его по ссылке usbhacks.com/USBCLIENT.zip.

Вы можете увидеть в различных учреждениях и медицинских центрах компьютеры, работающие на Windows XP, которые все еще уязвимы для атак такого типа. Он написан на C ++, имеет автозапуск и использует уязвимость продукта Microsoft, которая существует по сегодняшнее время. И хотя все мы знаем, насколько уязвимы USB-устройства, но даже на конференции BlackHat в этом году было много людей, которые «побросали» вокруг кучу своих флеш-накопителей и стали жертвами таких шпионских устройств, с помощью которых из их систем были украдены данные. Позже я приведу некоторые примеры. И я не уверен, что если бы это был кто-то из вас, то он бы не воспользовался такой возможностью.

Авторство такой атаки приписывается Китаю, однако сложно однозначно утверждать, где это придумали. Ещё одна вещь, которую я узнал, это проблема с получением IP-адреса. Вы знаете, правоохранительные органы не любят возиться с бумагами, но когда им приходится иметь дело с IP-адресами, им приходится оформить много бумаг, чтобы получить ордер суда о получении этой информации
 от Интернет-сервис провайдера (ISP).

Можно определить владельца IP, но он скажет: «это был не я!», и вы ничего не докажете. Кроме того, не возможно идентифицировать, кто именно находился пред этим компьютером или украденным устройством во время преступления. Из-за соединения через прокси-сервер определение IP-адреса не особо точное. Кроме того, он может поменять IP-адрес или использовать анонимайзер.

Следует отметить, что обычно компании, занимающиеся розыском украденных устройств, использую более «смелые» методы расследования. В целом процесс определения IP занимает много времени – от 2-х недель до 3-х месяцев, и это очень большая проблема, потому при поиске украденных устройств нужно действовать быстро, особенно если похититель старается их защитить от обнаружения. На следующем слайде показан разысканный мною iPod.

Однажды некий парень украл в школе такой планшет, и когда пришёл домой и подключил к компьютеру, моё устройство быстро определило все необходимые данные, и удачей было то, что именем пользователя значилось «семья Калпакис». Было много детей, которые устанавливали мой гаджет на свои планшеты. Так как в школе был всего один ребёнок с такой фамилией, то школе удалось вернуть ему этот iPod обратно.

Смысл моей идеи заключался в том, что если украденное устройство можно отследить, многие люди отказались бы от кражи таких устройств.

Я обратился в компанию с предложением изготовить на заказ для них специальный программный агент, который мы могли бы использовать для защиты этих камер, каждая из которых стоила около $3000. Я также выяснил, что все эти устройства могли работать совместно с высококачественной инфракрасной камерой, фиксировавшей тепловое изображение. Это было довольно просто, так как камеры записывали изображение на SD-карту, а я написал специальный код для прошивки камеры.

Это облегчало не только розыск похищенных ИК-камер, но и позволяло контролировать их незаконный экспорт в зарубежные страны. Смысл защиты заключался в том, что если кто-то вытащит из камеры старую карту и вставит новую, то код, записанный в прошивке камеры, будет автоматически установлен на эту новую карту, что поможет её заблокировать. Например, если бы было обнаружено, что такая камера подключена к компьютеру где-то в Иране, продавец камеры имел бы большие проблемы.

Кроме того, программный агент позволял использовать в качестве пароля файл с ИК изображением, как например, эта фотография кошки.

Трудность состояла в том, что в Mac OS X нет функции автозапуска, но вы можете обмануть людей. Дальше я расскажу вам, как попробовал создать аналогичный клиент для продукции Apple. Я использовал Apple-скрипт, и вы можете спросить, почему именно его? Самой большой уязвимостью, которой я люблю пользоваться, является человеческая жадность и глупость. Здесь имеется приложение iTunes, которое я попробовал обмануть. Потому что таким скриптам больше доверяют, они подходят к большинству приложений для «яблочной» оси. Но дело в том, что OS X обладает такой особенностью: если вы попытаетесь изменить расширение приложения, написав в конце .mр3, то система автоматически перекинет в конец файла расширение .app, чтобы пользователь знал, что в действительности это программа, а не музыкальный файл. Я поместил свой троян в .mр3 файл.

На следующем слайде привёдён код, использованный в моём скрипте. Поэтому мне пришлось использовать такую вещь, как гомоглиф – символ с нулевой шириной, для этого я взял турецкую букву под названием «органик», и система оставила .mр3 в конце моего файла, не пытаясь снабдить его «хвостом» .app.

Этот скрипт позволяет узнать обо всех работающих приложениях, и это круто, потому что вы можете написать несколько скриптов, которые встроятся в них и попытаются украсть данные. Он позволяет получить информацию о системе, имя пользователя, имя компьютера и прочую информацию при работе приложения iTunes. Я сделал так, что iTunes собирал нужные мне данные и пересылал их виде музыкальных файлов на мой URL, так что я мог слушать музыку и на её фоне заниматься «плохими» вещами.

Великой вещью является то, что можно делать скрипты оболочки из скриптов Apple, однако будьте осторожны, если решите запустить их на своей системе.

Известно, что с их помощью вирус Stuxnet попал в систему атомных сооружений Ирана и таким же образом распространился на российское оборудование. Знайте, что USB-устройства по-прежнему остаются вектором атаки. Gammima AG — при помощи USB устройства проник на Международную космическую станцию (МКС) в 2008 году. Вредоносное программное обеспечение – червь W32.

Множество компьютеров, использующих ОС Windows XP, до сих пор подвержены таким угрозам, что было отмечено на конференции Black Hat в 2015 году. В 2012 году Центр реагирования на компьютерные инциденты на индустриальных и критически важных объектах ICS-CERT сообщил, что две американские электростанции пострадали после того, как сотрудник принёс на работу зараженную вирусом «флешку».

На этом слайде показана «сумасшедшая стена», вы видели такие во многих телешоу, в которых полиция пытается раскрыть убийство. IP-адрес является одним из способов обнаружить пропажу, но мне приходится обрабатывать информацию из множества других источников. Это своего рода мыслительный процесс, которого я придерживаюсь. У них есть все доказательства, и они проводят все эти линии правильно, пытаясь связать улики. Я не уверен, если вы когда-либо его использовали, это довольно большой инструмент и вы можете написать для него все специализированные модули, помогающие проделать большое количество работы. Я также использую такие инструменты, как Multigo, он значительно автоматизирует этот процесс.

Мы смогли получить исходный IP-адрес, на котором значилось странное имя пользователя, которое не давало возможность идентифицировать человека. У меня был случай с отслеживанием одной пропавшей «флешки». Она была украдена у профессора и содержала данные о важных исследованиях, но мы так и не смогли убедить полицию использовать все свои ресурсы в данном расследовании. Мы хотели сопоставить его с именами, имевшимися в базе подписчиков компании AT&T, но вы знаете, как это бывает с AT&T, за три месяца мы могли потерять след этой «флешки».

Она позволила нам продвинуться дальше в расследовании. Поэтому мы начали отслеживать любые связи университета и конкретной компьютерной лаборатории, что было полезно, потому что мы также получили информацию из внутренней сети. Однако это был «гостевой» компьютер, который не позволял узнать ID-студента, совершившего вход в систему. Мы посетили отдел компьютерной безопасности университета, воспользовавшись тем, что у нас был IP-адрес и временная метка, и определили внутренний адрес компьютера в сети. Я стал задавать вопросы и выяснил, что для получения доступа к компьютерам необходимо просканировать студенческую карточку, и в системе безопасности имеются об этом соответствующие записи.

Мы узнали, что год назад из этой комнаты было украдено несколько настольных устройств, после чего здесь установили камеры наблюдения. Мы связали это со штампом времени и получили список всех, кто был в этой комнате во время кражи. Мы выяснили, кто находился в этой комнате вместе с профессором и знал, что охрана находится за пределами комнаты в это время. Не все знают, что многие из этих камер хранят данные, которые также заносятся в лог-файл. В итоге мы вернули «флешку» профессору, на ней даже не успели стереть информацию.

Все существующие инструменты поиска в основном базировались на определении IP-адреса и идентификации пользователя, что занимало много времени. Я хотел также найти способы, помогающие вернуть такие украденные вещи, как ноутбуки. Однако такие способы во многих случаях делали систему более уязвимой для настоящих хакеров, так как требовали внесения изменений в оригинальное ПО. Более прогрессивными были инвазионные методы внедрения, открывающие «чёрный ход» в систему, что позволяло установить перехватчики клавиатурного ввода.

Например, я бы совместил использование встроенной веб-камеры с геолокацией на основе Wi-Fi. Я пришёл к выводу, что не стоит прибегать к таким крайним мерам, а нужно приспосабливать для этого существующие в ноутбуках устройства. Когда вышел первый iPhone, он уже использовал такую функцию. Вы знаете, была компания, которая снабжала «Макбуки» камерами, но никто не использовал определение местоположения по Wi-Fi. Так что это была своего рода «игровой преобразователь» специально для правоохранительных органов. Я работал с системой Skyhook и получилось, что она способна развертываться для того, чтобы мы могли получить геолокацию с помощью информации камеры.

Так, когда вы активируете слежение на удалённом сервере, он будет проверять, не украдено ли данное устройство и собирать множество доказательств. Однако есть некоторые трудности с работой этой системы. Например, отслеживать перемещение ноутбука в другую сеть с изменением IP-адреса, проверять событие входа в систему, замечать, что изменилось местоположение регистрации устройства в сети, а затем отправлять информацию.

При этом вы бы получали сообщение такого характера: «Мы определили, что особа, изображённая выше на фотографии, попыталась получить несанкционированный доступ к вашему компьютеру. Но в то время мне не хотелось возиться с такими вещами, как отправка фотографий на сервер, поэтому вы могли пойти прямо на фотохостинг Flickr, зарегистрировать там аккаунт и получить контроль над всеми своими данными. Далее следовали данные о внешнем IP-адресе, внутреннем хосте, имени пользователя, идентификаторе Ethernet, имя хоста, название сети Wi-Fi и координаты точки доступа, полученные с помощью геолокации. Предоставленная ниже информация была собрана с вашего пропавшего Макбука».

При этом вам не нужно было беспокоиться о третьей стороне, которая могла бы получить доступ к вашей камере, чтобы шпионить за вами.

Смысл заключался в том, что всякий раз, когда ноутбук будет подключаться к сети, он будет получать расположение точки доступа Wi-Fi, делать фото, и повторять это каждые 30 минут так быстро, что вы даже не заметите вспышку зелёного светодиода при включении камеры.

Кроме того, для ноутбуков и мобильных устройств существуют специальные приложения, например Google Maps API. Обратите внимание, что в то время я пользовался сервисом Skyhook wireless, но теперь геолокация встроена во все операционные системы – OS X, Windows, Android, iOS. Так что если вы хотите написать собственные сценарии отслеживания устройств, это приложение является хорошим инструментом.

Мне пришлось работать с офицером полиции Нью-Йорка, который выглядел несколько огорошенным, потому что никогда раньше не имел дело с таким типом «инструментов», и он был зол, потому что привык иметь дело с бумагами и проводить задержание согласно обычной бюрократической процедуре. Первый удачный возврат украденного ноутбука с помощью камеры и Wi-Fi геолокации состоялся в Нью-Йорке.

Он ответил: «Ну и что это значит?» Я сказал: « Да просто распечатай это фото и пойди с ним в это место!», на что он сказал: «Не учи меня, как нужно работать!». Но я сказал ему: «Нет, так не пойдёт, ты прекрасно видишь местоположение этого парня с точностью 10-20 метров». Сотрудники полиции пошли туда, и там был человек с фотографии, он оказался владельцем тату-салона. Но затем всё-таки всё сделал правильно. Когда полиция вошла туда, они обнаружили украденный «Макбук», ещё три украденных ноутбука, проходивших по другим делам, и множество краденных вещей. На заднем плане фотографии вы видите множество крутых «игрушек»: телевизор с большим экраном, синтезаторы разного вида, аудио оборудование.

Благодаря этому мы находили украденные вещи и возвращали их владельцам в 3 раза быстрее, чем обычно. Так что это хороший пример того, как «троянский глаз» можно использовать против преступников.

Там была группа, которая неоднократно врывалась в школы и крала ноутбуки. Другой случай был в моём родном Портленде, штат Орегон. Это было 4 или 5 разных школ в одном районе. Дело было в том, что они возвращались через неделю и снова крали ноутбуки, которыми заменяли украденные, в тех же школах. Через неделю мы получили местоположение одного дуплекса в Ванкувере, штат Вашингтон, это рядом с Портлендом, и несколько фотографий. Я поговорил с полицией и предложил установить мои программы на эти ноутбуки, которые послужили наживкой, мы их даже не держали под замком. Он пошёл к этому дому, чтобы проверить наши подозрения, но оттуда вышел парень, которого он хорошо знал, и детектив на меня разозлился и сказал, что я не знаю, что делаю. Точность геолокации составила от 10 до 20 м, мы передали эту информацию детективу, который работал над этим делом.

Я проверил все беспроводные сети в этом месте и обнаружил ту, что «засветилась» в наших данных, она называлась Russia. Тогда я сам отправился туда сам и стал следить за этим домом с помощью своего ноутбука. Затем из дома вышел парень, который был у нас на фото, и я испугался, что он меня заметит. Я решил осмотреться и с другой стороны дуплекса увидел машину, на бампере которой была наклейка «Russian pride».

Они никогда не упоминали о том, что прибегли к помощи моего программного обеспечения, я был анонимным источником информации. В общем, я позвонил и сообщил обо всём детективу, и они продолжили расследование. Некоторые из них были действительно плохие парни, причём попавшись, они начали сдавать друг друга, что было совсем круто. В результате они задержали 6 или 7 человек, организованную преступную группу, которая воровала не только ноутбуки.

Мы не смогли получить никаких данных о краденном ноутбуке в течение 2-х недель, и я подумал, что они уже переформатировали жёсткий диск, как внезапно мы его запинговали. По некоторым причинам там проживало много русских ребят, которые занимались кражами имущества в Орегоне и участвовали в другом деле. Мы знали, что это парень по имени Виктор, он был так любезен, что изменил имя пользователя украденного компьютера на своё настоящее имя, как будто бы пытался помочь нам его поймать.

Я нашел его профиль на Myspace и заметил, что он фанат своего автомобиля Scion, о которым он размещал множество постов с фотографиями на форумах об автомобилях этой марки так, что даже «засветил» номерной знак своей машины. У меня была его первая фотография в Макдональдсе и ещё одно фото в отеле с девушкой на заднем плане. У него также был аккаунт продавца на eBay, где он торговал всеми видами автозапчастей.

Когда мы пришли со своей информацией к прокурору, он сказал, мы предоставили достаточно улик, и даже если у Виктора нет украденного ноутбука, его можно арестовать за владение похищенным имуществом. К сожалению, он продал украденный ноутбук своему другу Омару, как и угнанный байк. Так что в данном случае был создан особый судебный прецедент.

Это казалось им достаточно умным, но всё же не особо разумным – мы выяснили, что в этой банде участвовал отец Виктора, который и подарил ему украденный ноутбук на день рождения. На самом деле в Портленде была группа русских, которые крали имущество, загружали его в большой белый микроавтобус, везли другой группе русских в Миссури и обменивались с ними украденными вещами. Так что благодаря папе у Виктора теперь есть судимость.

Но с бразильской полицией было немного сложно работать. Ещё один случай имел место в Бразилии, так что мне приходилось работать не только в США.

Там была пара парней, грабителей – автоугонщиков. Суть расследуемого дела заключалась в следующем. Оказалось, что незадолго до этого владелец угнанного авто установил на свой ноутбук мою шпионскую программу, и в момент угона ноутбук был на заднем сидении машины. Они выскочили из своей машины с пистолетами, напали на водителя другой машины, приказали ему убираться из своей машины, а когда он вышел, ударили в лицо, повалили его на землю, сломали рёбра, нос. Так что этой случай послужил примером международного сотрудничества в деле возврата украденных вещей. Итак, мы начали получать информацию, а затем, когда полиция задержала этих грабителей, то была взволнована такой удачей, потому что эти парни совершили много аналогичных преступлений. Этот парень был студентом ветеринарного факультета и как раз заканчивал свою диссертацию и не смог бы её вовремя сдать без своего ноутбука, поэтому он был очень благодарен его возвращению.

Мы выяснили, что люди не особо заботятся о своих данных на таких устройствах, поэтому создали систему для резервного копирования фото и контактной информации. Преимуществом при розыске мобильных устройств является то, что в них встроена функция геолокации, зато с определением IP-адреса тут сложнее. Поэтому мы использовали приложение, которое создаёт приватный ключ, зашифровывающий фотографии и контакты перед отправкой на сервер. Меня действительно волновало то, как хранить фотографии людей на сервере, потому что если его кто-то взломает, то получит доступ к данным всех клиентов.

Я хочу показать вам отрывок из новостной программы «Канал 8», где рассказывается об одном случае. Я очень доволен этим решением, потому что если сервер взломают, то без ключа никто не получит доступа к информации, кроме того, это важная функция для правоохранителей, которые могут при необходимости обратиться к клиенту за ключом для дешифровки данных.

Текст видеофрагмента:

Подозреваемый живет за пределами Washington Square Mall, где произошла кража. Наш корреспондент провёл последние два дня с полицией и следователями по делу о краже мобильных устройств. Менеджер магазина Sprint сказал, что они уверены в программном обеспечении для отслеживания украденных мобильных телефонов, которое они установили на два витринных экземпляра стоимостью $500, и что оно поможет арестовать преступника.

Они смогли не только определить их местоположение по GPS, но и провести мониторинг любой активности телефонов. После того, как система видеонаблюдения магазина зафиксировала факт кражи телефонов, работники магазина инициировали следящее ПО, установленное на украденных телефонах. Эта активность позволила получить фотографию сразу же после того, как телефоны были украдены, и на ней мы видим лицо грабителя в автомобиле.

Это программное обеспечение пробудило большой интерес наших следователей, так как по существу является очень надёжным источником информации о грабителе. Полиция призналась, что это «дивный новый мир», когда фотографии, сделанные украденным телефоном, отправляются его прежнему владельцу, как только устройство похитят.

Создатель этого ПО из Портленда говорит, что полиция стоит на правильном пути, когда использует его для поимки преступников.

На фотографии, сделанной украденным телефоном, выше головы грабителя на заднем стекле автомобиля видно временное водительское удостоверение.

Следователь пришёл туда, но дверь открыла женщина, которая сказала, что ничего не знает об этих телефонах. Это позволило следователям выйти на Ванкуверский центр выдачи удостоверений и получить адрес.

Что же, в поисках телефонов мы вернулись сюда, на Washington Square Mall, где только что получили запись с этого устройства временного водительского удостоверения и теперь мужчины на снимках должны будут объяснить полиции, как их лица попали на камеру украденных телефонов. Затем он пришёл в дуплекс, откуда поступил сигнал со второго украденного телефона, однако живущий там мужчина также сказал, что ничего не знает о телефоне Samsung Epic.

Как выяснилось позже, эти парни крали не только телефоны, в их активе было и другое имущество и угнанный автомобиль. Как вы видели из этого примера, с определением координат по GPS могут выйти некоторые неувязки, но информация, зафиксированная камерой телефона на фото в виде данных EXIF очень полезна, так как имеет штамп времени и другие важные данные.

Метаданные EXIF хранятся в изображениях, аудио и видео файлах и сообщают о GPS-координатах камеры в момент снимка, показывают временную метку, а высококачественные цифровые камеры помещают в EXIF данных также сведения о производителе, модели и серийном номере устройства. Изучая эти фотографии, я понял, что внедрённые в изображения данные действительно очень полезная вещь. Вы можете также загрузить изображение на сайт, exifscan.com и получить всю информацию, содержащуюся в EXIF. Скачать инструменты для обработки EXIF информации можно по ссылке www.sno.phy.queensu.ca/~phil/exiftool. Это может быть использовано для отслеживания украденных камер. На следующем слайде приведён перечень цифровых фотокамер, которые помещают в EXIF свой серийный номер.

Но актуальность EXIF данных, которая сохраняется на протяжении многих лет, показала, что это было не так. Один репортёр заставил меня задуматься по поводу фото обнажённых знаменитостей, которые размещались в открытом доступе, и СМИ утверждали, что они получены со взломанных телефонов. На самом деле взламывали электронную почту, и парень по имени Крис Чейни, который этим занимался, подбирая пароли, был осуждён на 10 лет.

Конечно, вы можете сохранять кое-что на Flickr, но мне хотелось создать базу данных, в которую я могу заглянуть и получить нужную информацию. Я подумал о том, как можно использовать эти данные не только поиска серийного номера украденных устройств.

Это процесс заключался в том, что вам давали деньги за предоставление компьютерного времени, то есть вы сдавали в аренду простаивающие компьютерные мощности университетских лабораторий. Я только начинал экспериментировать над чем-то подобным, и один из моих друзей занимался тем, что называется CP usage. При этом исследователи могли воспользоваться мощью тысячи компьютеров для своих вычислений, создавая что-то вроде домашнего проекта SETI.

Если вы обращались к сервису часто и быстро с одного IP-адреса, вас могли заблокировать. В своих экспериментах я собирался использовать систему Flickr и написал скрипты для входа в API Flickr, но там было ограничение на количество вызовов их IP с одной и той же системы. Это заняло почти месяц, в результате чего мы создали базу EXIF метаданных из почти 4-х миллиардов изображений. Я поговорил со своим другом, у которого в то время были проблемы с сервисом Yahoo, и мы решили использовать мощности около 200 компьютеров для работы с Flickr.

Мы также собрали изображения с некоторых других фотохостингов и поместили эту информацию в нашей базе. Это была огромная база данных, и я разместил информацию о её доступности в СМИ.

Таким образом, мы создали поисковый «движок» EXIF, который позволял найти украденную камеру по серийному номеру, который содержался в метаданных сделанных ею фотографий, размещённых в Интернете.

Так произошло с фотографом Джоном Хеллером, который делал фотографии в Египетском театре по заданию Гетти. Идея состоит в том, что если ваша камера была украдена, а через 3 месяца кто-то загрузил с неё фотографии на Flickr, то вы можете попытаться вернуть камеру, использовав эти данные в качестве доказательства. У него украли камеру и всё оборудование, так что он потерял $9000 и не выполнил контракт, и очень переживал по этому поводу.

Он обратился в полицию Лос-Анджелеса, которая узнала, что вор продал краденную камеру на сайте электронных объявлений Craigslist, затем купивший её парень перепродал её на eBay и так она попала к нынешнему владельцу, который понятия не имел, что покупает краденный товар. А затем, спустя 3 месяца, на Flickr появились фотографии, сделанные его камерой после кражи, и он с помощью Facebook вышел на другого профессионального фотографа, на странице которого увидел фото с украденным у него оборудованием. Год спустя на Craigslist появилось имущество из ограбленной квартиры, которое полиции удалось отследить, и она задержала вора, который, как выяснилось, похитил камеру Джона. Этот человек вернул камеру Джону, а затем потребовал свои деньги с продавца на eBay, и ему удалось их вернуть.

У меня был ещё один случай, где розыск украденной камеры пришлось совместить со сталкингом в социальных сетях.

Как-то к нему пришёл покупатель, показал кучу наличных в руке и сказал, что хочет купить камеру. Был один парень, который продавал камеры и фотографическое оборудование на Craigslist (после таких случаев хочется назвать этот сайт Crimelist). Продавец повёл его в гараж, где стояла коробка с камерой, и тут покупатель ударил его, повалил на землю и убежал с коробкой.

Это были довольно интересные фото, где он курит травку, гоняя по автостраде, подносит к виску пистолет, фотографирует спидометр авто на скорости 110 миль в час и тому подобное. Позже мы нашли изображения, сделанные этой камерой после кражи, и мы просмотрели множество других социальных сайтов, где вор выкладывал свои фотографии.

Так вот, с помощью геолокации и меток времени полиции удалось его найти.

Мои инструменты также помогли Подразделению по расследованию случаев эксплуатации детей Центра Кибернетических преступлений (С3).

Идея состояла в том, что вы знаете, что Джо извращенец, он загружает в сеть детское порно, но возможно, он использует ту же камеру, когда идёт в Диснейленд и фотографируется там со своей семьёй. Они использовали информацию на фотографиях в расследовании преступлений, жертвами которых становились дети и подростки. Так что если вы извлечёте серийный номер камеры с одного из этих невинных фото и сравните его с информацией на порнографических материалах, то совпадение номера может служить доказательством идентификации подозреваемого в преступлении.

Конечно, он говорил о физическом преступлении, но я считаю, что на самом деле это справедливо и для цифрового мира. Эдмон Локар, которого называют «дедушкой криминалистики», сказал, что каждый контакт оставляет свой след.

И когда мы говорим об интернете вещей, нужно помнить, что все эти устройства обладают способностью нас идентифицировать. Существует взаимодействие вещей, которое позволяет отследить какие-то события даже спустя годы и сохранит то, что позволит вас идентифицировать. Например, вы или кто-то отправляет SMS-сообщение, потом вы его удаляете, другой человек тоже, но проблема в том, что остаётся 20 файлов журнала, которые генерируются провайдером мобильной сети и отображают все события.

Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас оформив заказ или порекомендовав знакомым, 30% скидка для пользователей Хабра на уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps от $20 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).

класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки? Dell R730xd в 2 раза дешевле? Только у нас 2 х Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 ТВ от $249 в Нидерландах и США! Читайте о том Как построить инфраструктуру корп.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

[Перевод] Курс MIT «Безопасность компьютерных систем». Лекция 18: «Частный просмотр интернета», часть 1

Массачусетский Технологический институт. Курс лекций #6.858. «Безопасность компьютерных систем». Николай Зельдович, Джеймс Микенс. 2014 год Computer Systems Security — это курс о разработке и внедрении защищенных компьютерных систем. Лекции охватывают модели угроз, атаки, которые ставят под угрозу безопасность, и методы ...

[Из песочницы] Как я понял, что ем много сладкого, или классификация товаров по чекам в приложении

Задача В этой статье мы хотим рассказать, как мы создали решение для классификации названий продуктов из чеков в приложении для учёта расходов по чекам и помощника по покупкам. Мы хотели дать пользователям возможность просматривать статистику по покупкам, собранную автоматически на ...