Видео Мой опыт в киберполиции. Как ловят хакеров?

[ThorZirael]

Для любителей текста :

P.S. уже не работаю, ушел потому что мало платили, на тот момент это было +-500$ в мес, местами больше, местами меньше.

99\100 преступлений раскрывается по методике от преступника к преступлению, а не наоборот как в случае с кражами, убийствами, грабежами и разбоями, - из-за неэффективности раскрытия киберпреступлений по методики от преступления к преступники. Это на мое личное мнение, реальной статистикой я не обладаю.

1) Отработка дампов форум
1.1 Масс деан с дампов форумов. Т.е. берем дампы хак форумов, первое сравнение БД хак форумов (почт) и БД Vk.com, ASK, спрашивай, мамба, ловелпланет, а также банковских БД с почтами, на выходе масс деанон.
1.2 Отработка ip логов форума;
1.3 Отработка ЛС/ПМ форумов;


2) NetFlow у провайдеров по ip форумов; Тут думаю всем все понятно, даем провайдеру ip форумов и узнаем кто, когда и как часто посещает ресурс (Vpn тут спасает)

3) Отработка просто поиском по форуму по ключевым типо vk.com.

4) Отработка групп vk таких как lolz guru, зеленка и тд, т.е. отработка участников сообщества.

5) AbuseDB ip, смотрим диапазоны города и просматриваем жалобы и отрабатываем их.

6) Shodan по портам ратников, панелей, ботнетов и тд.

7) Иногда раз в 1000-чу лет попадается материалы от ФБР, но на моей лично практике такого не было.

8) Отработка сервисов, таких как сервисы отрисовки, миксеры, гаранты и тд. Отработка всех кто пользуется.

Тезисно еще:
- старые дампы интереснее и ценнее новых.
- даже хаЦкеры интересны, ищут и документируют всех.
- приоритет деанона - админы, модеры


В видео конечно же больше всего на эту тему, текстом только тезисно.

00:00 Вступление
00:27 Моя линия работы. О моем опыте
00:43 Разница раскрытия обычных преступлений от киберпреступлений
03:41 Самый эффективный способ раскрытия киберпреступлений
09:22 Материалы ФБР
09:42 Отработка сервисов, которыми пользуются хакеры11:52 Shodan, открытые порты вредоносных программ
13:32 Кейс по взломанному WiFi
14:29 Очевидные способы поиска киберпреступников
15:35 Поиск киберпреступников в vk.com
16:24 AbuseIPDP. Отработка жалоб на ip адреса
17:57 Интересны все, и хакеры и хаЦкеры
19:05 Неочевидная ценность старый дампов хак-форумов
20:36 За кем идет приоритетная охота?
21:48 Какие киберпреступления документировались кроме хакеров?

 

[gliderexpert]

99\100 преступлений раскрывается по методике от преступника к преступлению, а не наоборот как в случае с кражами, убийствами, грабежами и разбоями, - из-за палочной системы и неэффективности раскрытия киберпреступлений по методики от преступления к преступники.

А кто (и зачем) "банкет" (парсинг форумов и т.д.) заказывает - ведь изначально при алгоритме действий "от преступника к преступлению" нет ни то что доказанного факта финансового или иного ущерба, а хотя бы понятного круга потерпевших + само собой нет заявлений от них (или эти заявления адресованы к неустановленному кругу лиц) ?

 

[ThorZirael]

А кто (и зачем) "банкет" (парсинг форумов и т.д.) заказывает - ведь изначально при алгоритме действий "от преступника к преступлению" нет ни то что доказанного факта финансового или иного ущерба, а хотя бы понятного круга потерпевших + само собой нет заявлений от них (или эти заявления адресованы к неустановленному кругу лиц) ?

Бро, достаточно понять чем человек занимается, а дальше шли с обыском и уже по месту все детально отрабатывали. Конечно не все всегда гладко шло, но часто бывало так что по месту входе осмотра техники уже и потерпевшие находились.

К примеру писал рапорт, что мною установлен хакер, его данные, описать род совершаемых им преступлений и в принципи на основе этого уже брался обыск, конечно же все делалось Законно, и конечно лучше когда есть конкретный потерпевший и тд, но и без них можно, а после обыска и мероприятий уже появляются потерпевшие.

 

[Doklsi]

Довольно познавательно, спасибо. Но интересно было бы послушать об вашем сотрудничестве с аверами

 

[Whisper]

Ну на такое попадуться совсем уж убогие личности. То как обосрался боря скорее уж исключение из правил.

 

[gliderexpert]

Это все понятно, только цепочка
"пропарсить форумы -> найти конкретное физ.лицо -> понять чем занимается -> запросить судебное постановление на обыск (а в рамках какого уд следак его будет писать?) -> постучать кувалдой в дверь -> обнаружить веракрипт на всех винтах"
требует приличных ресурсов . Не понимаю мотивацию следаков заниматься этой дурью с непонятным результатом при отсутствии заявления от "мамонта".

 

[Whisper]

Это все понятно, только цепочка
"пропарсить форумы -> найти конкретное физ.лицо -> понять чем занимается -> запросить судебное постановление на обыск (а в рамках какого уд следак его будет писать?) -> постучать кувалдой в дверь -> обнаружить веракрипт на всех винтах"
требует приличных ресурсов . Не понимаю мотивацию следаков заниматься этой дурью с непонятным результатом при отсутствии заявления от "мамонта".

Аресу и Мазе в дверь кувалдой не стучали, кувалда это я думаю редкий случай. И чувак написал что в качестве повода можно сочинять, как в кино - эй напарник ты же слышал изза двери вроде крики на помощь доносятся =) Про сторигие правила и правовое государство будешь топить, где за фолс-позитив обыск квартиры мусорам что то страшное будет?

 

[ThorZirael]

Это все понятно, только цепочка
"пропарсить форумы -> найти конкретное физ.лицо -> понять чем занимается -> запросить судебное постановление на обыск (а в рамках какого уд следак его будет писать?) -> постучать кувалдой в дверь -> обнаружить веракрипт на всех винтах"
требует приличных ресурсов . Не понимаю мотивацию следаков заниматься этой дурью с непонятным результатом при отсутствии заявления от "мамонта".

Тебе бро ниже ответили

И чувак написал что в качестве повода можно сочинять, как в кино - эй напарник ты же слышал изза двери вроде крики на помощь доносятся =)

Не прям так конечно, но говорил же выше, пишется рапорт, что гражданин ААА занимается хакероством, прикладываешь доказательства с форума, берешь выписки с банка где есть его почта, и показываешь эту почту в качестве контактов на хак форуме, ну +-, т.е. не прям проблема взять обыск, и это в Украине, где правовое государство, по сравнение с другими СНГ странами.

А насчет верыкрипта, ребят, те кто в Украине находиться конечно не боятся терморекталкриптоанализа (на моей практике за хак никого не пытали в Украине), но не ужели вы верите что выдержите пытки, если таковы будут? Вы когда-то проходили через них, чтоб так уверенно отвечать?

В других СНГ странах (не буду пальцем показывать) реально есть пытки, и дай Бог никому никогда не узнать что это такое.

 

[ThorZirael]

Ну на такое попадуться совсем уж убогие личности. То как обосрался боря скорее уж исключение из правил.

Там бро если видео смотрел, больше 300 человек с Мазафаки, и с экспы есть, и не буду многие форумы называть, которые публично не сливались, но поверь дампы 99% форумов есть) Очень многие совершают эти ошибки. Не хочу упоминать авторитетных ТУТ лиц которых удалось сдеанонить, модеров, старичков и не только, которых деанонил в свое время, которые оказывались просто с РФ и поэтому к ним не шли с обыском.

Старые БД бро это ппц ценные вещи, там есть реал ip, реал почты, и тд

 

[Whisper]

Да суть в том что те кто приходят они не сами по себе приходят, сначала рапорт начальству что вот к гражданину можно и прийти осмотреться как он там живет, и начальство одобряет а значит все будет ок даже если фолс.
Лучше расскажи как разводят на отдать пароли от криптодисков.
Ну и отдельно всем совет - стоит прочитать про то как проводят обыск, про свои права, про то что часто нарушают при обысках, как на этом заострять внимание что бы оно отразилось в протоколе и адвокат мог это использовать.

 

[ThorZirael]

Да суть в том что те кто приходят они не сами по себе приходят, сначала рапорт начальству что вот к гражданину можно и прийти осмотреться как он там живет, и начальство одобряет а значит все будет ок даже если фолс.
Лучше расскажи как разводят на отдать пароли от криптодисков.
Ну и отдельно всем совет - стоит прочитать про то как проводят обыск, про свои права, про то что часто нарушают при обысках, как на этом заострять внимание что бы оно отразилось в протоколе и адвокат мог это использовать.

Насчет юридического момента, в Укр это сработает, ппц какой плюс будет если будет мощный адвокат, который шарит, с ним отобьешься практически 100%. Если не в Укр, а где-то в другом месте, то там бро Закон может не работать, знаю о чем говорю, поэтому сильно не стоит налягать на верукрипт, адвокатов или еще что-то, все в комплексе должно быть.

 

[Whisper]

Старые БД бро это ппц ценные вещи, там есть реал ip, реал почты, и тд

Ох уж эта привязанность к старым никам с которых начинал =)

 

[Whisper]

НО ВАЖНО!
Если видите нарушения прав и какие то дикости или нелепости, держите в уме что это не просто так раз, что это одобрено свыше два, и пляшите уже от осознания этих фактов. Не надо думать что это какие то дураки из глухой деревни которых вчера на работу взяли и они херню творят. Отработанные до автоматизма спектакли, рутина которая работает.

 

[handersen]

Сильно сомневаюсь, что вот так просто раскрываются реальные методы работы. Типа вот вам инфа, используйте ее, чтоб не спалиться. Незнаю, как там у трехбуквенных, но любой барыга за слив коммерческой тайны, проблемы устроить постарается.

 

[Whisper]

Сильно сомневаюсь, что вот так просто раскрываются реальные методы работы. Типа вот вам инфа, используйте ее, чтоб не спалиться. Незнаю, как там у трехбуквенных, но любой барыга за слив коммерческой тайны, проблемы устроить постарается.

Нет тут хитрой инфы, одни банальности о которых надо бы хоть раз задуматься в серьез всем.

 

[ThorZirael]

Сильно сомневаюсь, что вот так просто раскрываются реальные методы работы. Типа вот вам инфа, используйте ее, чтоб не спалиться. Незнаю, как там у трехбуквенных, но любой барыга за слив коммерческой тайны, проблемы устроить постарается.

Эти методы не являются секретными бро, для многих вообще могут быть очевидными.

 

[Whisper]

А расскажи вот про что. Если на форуме платная рега, скажем 1к$. Какова вероятность что контора купит ее?

 

[ThorZirael]

А расскажи вот про что. Если на форуме платная рега, скажем 1к$. Какова вероятность что контора купит ее?

Скажу что даже для многих была проблема рега на экспе с ее ценой 100$, и там прям месяцами некоторые коллеги думали покупать или нет, т.к. покупалось все со своего кармана. 1000$ рега на форуме сбреет 99.9% всех красных с СНГ стран так точно, но понятное дело какая-то учетка у единичных лиц все равно будет, так или иначе добытая. Я бы касарь не заплатил конечно же со своего кармана, но регу ппц хотел бы там, если бы она конечно того стоила.

На мазе меня к примеру не было, хотя знал тех, кто был и там.

 

[hcaptcha911]

Братан, слышал "кто-то" из киберов слил базу данных ПриватБанка, не чувствуеш вины? Сколько бабушек обманули с этой инфой

 

[Whisper]

Отвлечемся немножко на философию. Коллеги идейные? Что думают вообще, как им то что они за гроши возятся а рядом пацаны делают большие деньги? Или есть прицел на то что бы доить пойманного хакера за отмаз или что то в этом духе.