Tracking cybercrime – Les moyens utilisés par les sociétés pour tracker les cybercriminels

13
183

Sécurité et moyens utilisés par les sociétés comme l’ANNSI ou Thalès pour tracker les cybercriminels – Cet article a été écrit afin d’être publié sur un forum dédié au piratage mais est néanmoins très instructif. UnderNews a donc repris la trame en étoffant le sujet qui est largement demandé par plusieurs de nos lecteurs.

Note : cet article comporte du vocabulaire technique et est dédié aux personnes ayant de solides connaissances en réseaux et techniques d’anonymisation. Attention, tout cela reste de la pure théorie ! Au cas où des script kiddies passent par ici… vous êtes prévenus. Le déroulement de l’article est un peu spécial, sous le forme de questions-réponses. De plus, gardez en tête que toutes ces mesure valent uniquement pour de très importants cybercriminels.

Combinaison VPN + VPS + Socks 5 c’est bien pour se protéger ?

Voici une erreur courante commise par les pirates informatiques, et notamment les carders, qui sont persuadés que la protection optimale passe par la combinaison (ou chainage) d’un VPN + VPS + Proxy SOCKS5. Et bien cela est faux.

Éliminons déjà le premier mythe, consistant à croire que l’utilisation de la version 5 du SOCKS est absolument nécessaire; cela est totalement faux. En effet, la seule caractéristique vraiment intéressante qu’intègre cette version est le FPC (Firewall Penetration Coefficient), permettant de lier les paquets de la trame entre eux et d’éviter leur pré-découpage, chose que vous n’utilisez absolument pas, et qui n’est véritablement utile que pour les entreprises disposant de séparateurs logiques (VLAN +++).

Ensuite, il faut savoir que le VPN, le VPS et le SOCKS ne sont pas des vecteurs indépendants, chacun consomme une partie des ressources CPU, et cette consommation est importante. Quand ils sont utilisés ensemble, de vrais problèmes vont se poser avec ces moyens chainés : tout d’abord le VPN va mobiliser 80% des mutex rien que pour calculer les clés de chiffrement et les algorithmes de transitions du tunnel sécurisé. Le VPS, lui, va mobiliser 2 threads par cycle rien que pour l’encapsulation statique de vos trames vers le serveur spécifié. Enfin, le SOCKS déclenche des contrôles ICMP en overload, c’est à dire en surnombre qui vont aboutir à la mise en timeout d’un certain nombre de paquets stockés dans la pile TCP/IP.

Tout ceci va entrainer des problèmes de symétrie des trames, les contrôles deviennent asynchrones et le ratio de packets-losses (perte de paquets, ndlr) augmente très rapidement. Pour finir, vous obtenez l’effet tout à fait contraire à celui que vous recherchez : les paquets perdus permettent de vous tracer et vous perdez ainsi tout le bénéfice de votre anonymat et devenez aussi visibles que si vous naviguiez sans aucune protection.

D’autant plus que l’encombrement de la pile TCP agit comme une grosse balise de tracking et que le numéro de séquence apparait en clair dans vos paquets (puisque l’encapsulation est asynchrone) et personne n’aura de mal à vous trouver. La solution est de faire un choix en utilisant soit la combinaison VPS + VPN ou VPS + SOCKS ou encore VPN + SOCKS mais pas les trois en même temps.

Un double VPN ou un Quad VPN est plus efficace qu’un simple OpenVPN ?

Contrairement à ce que la plupart des personnes croient, plus un signal traverse de point relais, plus il perd de quantums d’informations, et plus l’on peut remonter à la source d’émission du signal. Un tunnel d’encryption n’est absolument pas plus efficace en double ou en quadruple. Donc économisez votre argent, on exploite vos incompétences en vous conseillant de multiplier les VPN.

Ah bon ? C’est bizarre… pourtant plus il y a de VPN, plus il faudra de temps pour me trouver non ?

En fait le problème ne vient pas des serveurs auxquels est connecté le pirate mais de sa propre machine. Plus les protections seront additionnées, plus le CPU de l’ordinateur va fractionner les trames TCP/IP. Tout en sachant que plus il y a de paquets perdus, plus le pirate sera traçable. Si le Black Hat en question pirate comme une grosse brute, des datagrammes TCP plus importants sont imposés à la carte réseau. Pour la police ou la gendarmerie ça ne change rien, ils n’ont pas forcément le matériel nécessaire. Mais pour l’ANSSI ou Thalès Security, c’est amplement suffisant pour le retrouver.

Vous avez dit pirater comme une brute ?

Attaques DDoS massives, décryptage en cloud-boting (via des botnets, ndlr), contrôler des zombies depuis sa machine au sein d’un important botnet, brute-force asynchrone, spamming, etc…

Dans ce cas, quelles sont les solutions envisageables pour échapper au boites de sécurité comme l’ANSSI ou Thalès ?

Il n’y a aucune solution miracle. La technologie de tracking employée par ces cadors du Net utilise des détecteurs de flux rayonnant, des analyses des relais périphériques et exécutent des contrôles directement sur les répartiteurs depuis le DSLAM.

A la limite, il faudrait se connecter via une clé 3G achetée avec une fausse identité. Et encore, la triangulation satellitaire ne mettrait pas longtemps à géolocaliser la cible.

Se connecter à un réseau WiFi avec une fausse identité ne suffit pas ?

Non, que ce soit son propre WiFi celui du voisin ou un banal hotspot, le problème reste le même : un point d’accès WiFi correspond avec des relais qui enregistrent les flux de données qui y transitent, donc c’est comme une énorme base de données de logs. Même chose pour les connexions filaires bien entendu.

Mais comment retrouver le pirate si plusieurs personnes utilisent ce réseau ?

Il suffit d’envoyer une équipe sur place munie de démodulateurs, et en quelques minutes la séquence reconstituée permet de cibler la source suspecte. En effet, entre l’émission et la réception des données, il y a des canaux par lesquels transitent des trames sous forme de datagrammes avec une charge en octets. Il suffit d’écouter le réseau, d’appliquer un filtre d’activité minimale, de sélectionner le canal suspect et ensuite d’utiliser une antenne portative pour isoler la source de la puissance rayonnante de la carte WiFi ciblée. Une fois que c’est fait, c’est un jeu d’enfant de retrouver le pirate.

Imaginons qu’un cybercriminel attaque un organisme comme la NASA derrière un VPN qui est vraiment à 100 % certifié no-logs. Comment les autorités vont-elles réussir à le tracer ? Quelle est la procédure appliquée ?

Il faut la coopération des FAI nationaux voir internationaux. Une procédure de lecture de la pile TCP de la machine compromise est lancée, les trames stockées sont récupérées et analysées en notant avec précision la date et l’heure, la séquence d’identification et le pays. Ensuite, ces données sont transmises aux FAI qui sont censés garder toutes les en-têtes de trames émises par leurs clients, et ce, durant 72 heures.

Ce dernier exécute une recherche dans sa base de données de logs et identifie depuis quel client/coordonnée GPS la trame désignée a été émise. Si le pirate s’est servi d’un hotspot, il faut coupler ceci à une procédure de lecture des capteurs numériques de puissance rayonnante des cartes WiFi des relais du hotspot pour trianguler. Donc, en somme, peu importe si le cybercriminel à utilisé un VPN ou pas car quand la trame est émise depuis la machine de celui-ci, elle est d’abord récupérée par le FAI avant même de passer dans le tunnel sécurisé du VPN. Le FAI dispose toujours d’une gateway par défaut avant chaque entrée de tunnel !

Et changer les DNS du FAI par un DNS décentralisé ça fonctionne ?

Cela marchait il y a quelques années. Il faut tout d’abord différencier deux types de DNS : les DNS physiques, ceux que l’on peut changer à volonté, et les V-DNS (Virtual DNS) qui sont écrits en dur et impossibles à changer. Actuellement, les FAI se réservent le droit de fixer ces V-DNS afin de pouvoir stocker les trames.

Est-ce que l’utilisation du réseau d’anonymisation TOR rend la vie des sociétés de lutte contre la cybercriminalité plus difficile ?

Certes, cela peut ralentir les procédures, mais un tunnel chiffré, même en asynchrone, est toujours susceptible d’être compromis par des “foreuses” (il faut voir un tunnel chiffré comme une paroi cylindrique au maillage composé de séquences cryptées changeant à intervalles réguliers ; les foreuses sont des agents qui calculent des points d’entrée dans le tunnel par cloud computing, et s’insèrent ainsi pour écouter le trafic). D’autres techniques existent, comme l’a démontré la récente opération du FBI contre un réseau pédophiles basé sur TOR, notamment en infectant et en exploitant directement les sites et les machines des cyberdélinquants.

Pour échapper aux agents, l’utilisation d’IDS calibré en haute sensibilité est indispensable. Puisque la recherche d’un point d’entrée sur le tunnel crée un changement de trafic (le flux de données augmente significativement), l’IDS peut ainsi détecter toute augmentation anormale et, soit couper la génération des trames entre la machine et Internet, soit les rediriger, trompant ainsi les “foreuses”.

Mais même avec un IDS, on peut se faire passer pour une trame valide ou une trame fantôme, selon la configuration de celui-ci.

Mais alors au final, il n’y strictement aucun moyen d’être anonyme à 100% avec les technologies de tracking existantes ?

Si. Les pirates qui achètent (très cher) des codes de protocol satellitaires à l’Egypte ou à la Chine, puis ils passent par un tunnel satellite. Ils sont alors totalement indétectables et filent entre les doigts des autorités. Un tunnel satellite c’est comme un VPN mais par liaisons satellitaires donc cela ne laisse aucune trace numérique et comme les clés de chiffrement changent toutes les x secondes, impossible de les casser avant qu’elles ne changent.

Généralement, c’est l’élite des Black Hats qui a accès (et a les moyens de se payer) a ce genre de système autonome. La plupart d’entre eux font du trafic d’organes, vendent des documents classifiés, ou encore réalisent de gros transferts d’argent après avoir piraté une institution bancaire. Pour vous donner une idée du prix, cela tourne entre 110 000$ et 350 000$ le code d’accès…

Maintenant, vous savez comment ça se passe.

 

Contenu adapté depuis le document de MadHatter & Hax0r.
Crédits image : Vectorportal

13 Commentaires

  1. Y a 2 trois grosses interrogations sur le contenu de cet article :

    Il faudra qu’il m’explique au niveau tcp/ip comment les paquets perdus permettent de vous tracer et vous perdez ainsi tout le bénéfice de votre anonymat ??

    2ème point obscure c’est la question avec le vpn certifié no-logs ou il aurait fallu plus de détails techniques car si y a pas de volonté du fournisseur de VPN de collaborer je sais pas comment il vont retrouver la source… J’ai pt du manquer une étape si vous pouvez m’éclairer…

  2. Méziamus.com, le site des baltraingues en tout genre…

    Meziane ALLALI, l’admin du forum Méziamus, le cador des enfants “codant” en vb pour spreader sur Youtube, la grande classe ce mec, bref vous l’avez bien compris, c’est le rassemblement des ” PinkHat” sur ce forum

  3. Que j’ai ri!
    Déjà aller chercher des news chez meziamus.
    En plus de cet usurpateur de madhatter (j’ai les preuves).
    Mais en plus toutes personnes ayant le moindre diplomeen informatique sait que ce qui a été dit est faux.
    Quand aux connections satellitaires faut réfléchir un peu! On voit de suite que c’est irréalisable de créer un système deconnection satelitaire 100% anonyme.

Les commentaires sont fermés.