rut12324
Inlägg: 3
Blev medlem: 13 jul 2015, 19:18

Hypotetiska scenarion och skydd i dessa

13 jul 2015, 19:29

Hej, jag tyckte det kunde vara kul att diskutera ett faktiskt scenario från början till
slut gällande forensik och hur polisen arbetar. Jag är inte nåt snille på det här men
tycker det är intressant så tänkte att vi tillsammans kunde försöka gå igenom och bidra.

Bakgrund:

Petter, 19 år med fast anställning, har hittat ett nytt intresse, hacking och defacement.
Över 1 års tid har han hackat olika företag. Allt har skett från hans dator. Vi kan
låtsas att han orsakat skador för ett par miljoner kronor.

Utrustning: Petter har köpt en bärbar dator kontant av en okänd person på okänd plats.
Han kör windows av nån sort, och försöker hålla sig anonym via TOR+VPN en VPN han betalat
helt anonymt via bitcoin. Han kör 3g-USB köpt med kontanter på valfri stor
elektronikedja, och laddar denna med värdekoder köpta kontant. Denna dator har han aldrig
varit inloggad på några sociala medier, aldrig besökt sidor som intresserar honom en
dator som är helt dedikerad till hans hobby helt enkelt. Datorn är fulldiskkrypterad med
Veracrypt med den känsligaste informationen sparad i separata containrar. Dessa har två
olika "säkra" lösenord á 20 tecken med specialtecken.

Kapitel 1: Petter klantar sig

Petter sitter uppkopplad via sitt 3G genom TOR+VPN. Petter sitter och skickar
phishingmail till person X och av någon anledning exponerar han sin IP och även sitt nick
han brukar använda vid hackingen(VPN/TOR fallerar) (1).

Person X anmäler detta och polisen har nu petters 3G-ip. Låt oss anta att polisen är
väldigt nyfiken på att få veta vem denna IPn tillhör. Jag antar att det första som händer
är att dom kontaktar operatören och begär uppgifter. Petter har tänkt så långt att han
använt falskt personnummer när han köpt dessa. Dead end på den tråden alltså, så länge
företaget inte sparar CCTV väldigt länge men vi utgår från att han klarar sig där med.


Fråga (1). Hur skyddar man sig mot sådana fails? Kan man säkra på något enkelt sätt så
internet kopplar ner när man riskerar att surfa exponerad (Om VPN skulle gå ner?).



Kapitel 2: Petter klantar sig igen

Polisen är fortfarande väldigt nyfiken på denna IP och ser till så att operatören inte
deaktiverar modemet, och bestämmer sig för att triangulera modemet (Händer detta om det
handlar om dessa summor?). Hur noggrant denna triangulering kan göras vet jag ej, men låt
säga att man får fram ett lägenhetshus med 50 boende som man med stor säkerhet vet att
petter surfar från. Med lite social enginering bör man kunna få fram fem till tio
huvudmisstänkta, och petter får snart span på sig vilket resulterar i att man får nog med
bevis för att skäligen misstänka honom och därmed göra husrannsakan.

Alternativa skydd: Rotera 3G-stickan+sim+eventuellt operatör borde ju räcka rätt långt?
Förutsätter ju att petter visste att han var exponerad men går såklart att göra ändå. Går
det att spoofa IMEI-nummer i stickan och fortfarande kunna använda 3g?


Kanske ännu bättre att använda nån slags antenn för att hitta WIFI långt bort, men det känns överkurs för lille petter.

Kapitel 3: Husrannsakan

Polisen försöker fånga Petter i akten för att undvika krypteringen (är detta sannolikt
eller går man bara in när petter är borta och tar datorn?). Petter hinner dock bryta
strömmen, och för att undvika cold-boot har petter limmat igen skruvar+lucka+RAM-minnen i
sockets. Minnet hinner dumpas fullständigt och Veracrypt går igång vid uppstart. Nu är
väl loppet kört för polisen gällande infon på datorn?



Kapitel 4: Efterspel

Bevis mot petter:
Man vet att Dongeln som nu sitter i petters dator har samma IMEI+Ip-adress som mailen
skickades ifrån. Detta är den enda fysiska bevisning som hittas. Informationen i datorn
går ej att komma åt. Petters bästa strategi i ett förhör lär vara att vara helt tyst? Det
är ju rätt uppenbart att petter inte är oskyldig men det spelar ingen roll, han kommer gå
fri alla gånger ändå. Kommer sällan ens gå till åtal enligt min uppfattning.



Vad tycker ni? Låter det som ett rimligt scenario? Jag tänker själv att det är lite
orimligt för dessa summor, men är mest intresserad av "worst case scenario" gällande
polis. Vad skulle ni vilja lägga till/ta bort i de olika kapitlen för ökad säkerhet? Är
man i princip helt safe i dessa fall så länge man inte exponerar sin egen IP eller drar
till sig uppmärksamhet från statsmakter?

Lägg gärna till egna alternativa händelser i detta scenario att diskutera, eller hitta på ett eget! Ber även om ursäkt på förhand för noobiga antaganden som kanske inte alls stämmer :8.

Användarvisningsbild
blueberry
Respekterad Medlem
Inlägg: 291
Blev medlem: 16 feb 2015, 03:24

Re: Hypotetiska scenarion och skydd i dessa

13 jul 2015, 19:47

Problemet är att det här blir väldigt teoretiskt eftersom svensk polis faktiskt aldrig har tagit fast en hacker på det sättet. Nästan 100% av deras förfrågningar om digital information kopplat till identitet är för att få in bevismaterial till helt annan kriminalitet som knark, mord, viss ekonomisk brottslighet etc.

Där finns några få enstaka fall av fildelningsåtal, men vid fildelning lämnar man oftast väldigt mycket spår efter sig.

Det främsta problemet är givetvis att koppla händelsen till din identitet och här är det ytterst vanligt att det sedan visar sig att den ip-adress man har att arbeta med leder till en dator som blivit hackad i sin tur utan ägarens kännedom.

Problemet att VPN eller den uppkoppling man går via skulle gå ner och därmed exponera ens egna ip-adresser förhindras enklast med att konfigurera datorn så att den inte kan kommunicera överhuvudtaget förutom via VPN/Tor.

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: Hypotetiska scenarion och skydd i dessa

13 jul 2015, 19:56

rut12324 skrev:Fråga (1). Hur skyddar man sig mot sådana fails? Kan man säkra på något enkelt sätt så
internet kopplar ner när man riskerar att surfa exponerad (Om VPN skulle gå ner?).

Man kan använda Whonix(https://www.whonix.org/) som är designat att skydda mot läckor likt dessa. Jag skulle rekommendera den lösningen, men annars finns det så klart skripts och metoder för att stoppa Internet om VPN:en går ner.

Jag har skrivit en guide för Viscosity och ett skript som stänger ner Internet om VPN:en avslutas: https://www.ovpn.se/blog/guide-for-viscosity/ - men det är ju för Windows.
keybase.io/dotchloe | chloe.re | chloe.website

rut12324
Inlägg: 3
Blev medlem: 13 jul 2015, 19:18

Re: Hypotetiska scenarion och skydd i dessa

13 jul 2015, 20:30

blueberry skrev:Problemet är att det här blir väldigt teoretiskt eftersom svensk polis faktiskt aldrig har tagit fast en hacker på det sättet. Nästan 100% av deras förfrågningar om digital information kopplat till identitet är för att få in bevismaterial till helt annan kriminalitet som knark, mord, viss ekonomisk brottslighet etc.

Där finns några få enstaka fall av fildelningsåtal, men vid fildelning lämnar man oftast väldigt mycket spår efter sig.

Det främsta problemet är givetvis att koppla händelsen till din identitet och här är det ytterst vanligt att det sedan visar sig att den ip-adress man har att arbeta med leder till en dator som blivit hackad i sin tur utan ägarens kännedom.

Problemet att VPN eller den uppkoppling man går via skulle gå ner och därmed exponera ens egna ip-adresser förhindras enklast med att konfigurera datorn så att den inte kan kommunicera överhuvudtaget förutom via VPN/Tor.
Yes jag är med dig, har mestadels läst förundersökningar osv som berör de brotten du tog upp. Man kan i princip ställa till hur mycket oreda som helst online sålänge man håller sig inom sverige och inte begår någon "grövre" brottslighet alltså (ex drogshoppar osv)?

Är det möjligt att ansluta till en RAT utan att lämna spår även om polisen sen får tag i rätt dator?

EDIT: tack chloe, mycket användbart.

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: Hypotetiska scenarion och skydd i dessa

14 jul 2015, 20:35

rut12324 skrev:Alternativa skydd: Rotera 3G-stickan+sim+eventuellt operatör borde ju räcka rätt långt?
Förutsätter ju att petter visste att han var exponerad men går såklart att göra ändå. Går
det att spoofa IMEI-nummer i stickan och fortfarande kunna använda 3g?

Det går att spoofa IMEI men jag har ingen konkret tanke om hur detta ska gå till. Man kan använda någon slags radio som man sedan spoofar IMEI med, men sedan behöver du ju Internettillgång.

Polisen fokuserar inte riktigt på IMEI när det kommer till sådan spårning då de har andra sätt att hitta en enhet. I värsta fall kan polisen och ISP hålla reda på när en ny IMEI dyker upp och vilken den är, du behöver ju trots allt kunna spoofa till en korrekt IMEI och om ISP ser en jätterandom IMEI så är det enkelt att dra slutsatsen att den är spoofad. Sedan kan man sniffa i specifika radiomaster.

Så bäst är det att bara rotera IP-adresser och fysiska platser hela tiden.

rut12324 skrev:Kanske ännu bättre att använda nån slags antenn för att hitta WIFI långt bort, men det känns överkurs för lille petter.

Detta är absolut ingen dum idé! Köp en 4G-router och placera 100-200 meter från dig och sedan använd en najs antenn för att nå WIFI:t. Det är inte bulletproof men det är en bra lösning, absolut!

Finns ju trådlösa 4G-routrar som går på batteri med.


rut12324 skrev:Polisen försöker fånga Petter i akten för att undvika krypteringen (är detta sannolikt
eller går man bara in när petter är borta och tar datorn?). Petter hinner dock bryta
strömmen, och för att undvika cold-boot har petter limmat igen skruvar+lucka+RAM-minnen i
sockets. Minnet hinner dumpas fullständigt och Veracrypt går igång vid uppstart. Nu är
väl loppet kört för polisen gällande infon på datorn?

Japp, loppet är då rätt kört. Men om polisen har pillat på en dator eller beslagtagit den så ska du aldrig mer röra den då de kan baka in bakdörrar eller liknande. De kan, men frågan är om de gör. Lika bra att låta bli.

Dessutom, kryptering ska du aldrig lita på! Guldregel: ta för givet att krypteringen kommer brytas, hur skyddar du dig då? Jo, rensa så mycket du bara kan trots kryptering, eller använd flera lager kryptering, t.ex Truecrypt-containrar(starkt rekommenderat).
keybase.io/dotchloe | chloe.re | chloe.website

Layer8
Inlägg: 27
Blev medlem: 18 jan 2015, 20:15

Re: Hypotetiska scenarion och skydd i dessa

16 jul 2015, 01:12

Chloë skrev: Det går att spoofa IMEI men jag har ingen konkret tanke om hur detta ska gå till. Man kan använda någon slags radio som man sedan spoofar IMEI med, men sedan behöver du ju Internettillgång.

Polisen fokuserar inte riktigt på IMEI när det kommer till sådan spårning då de har andra sätt att hitta en enhet. I värsta fall kan polisen och ISP hålla reda på när en ny IMEI dyker upp och vilken den är, du behöver ju trots allt kunna spoofa till en korrekt IMEI och om ISP ser en jätterandom IMEI så är det enkelt att dra slutsatsen att den är spoofad.

Man kan ändra IMEI i en del smartphones hyffsat enkelt iaf om det är Qualcomm chip i luren. Finns en del om det på nätet och en del färdiga program för det som kräver root. Annars kan man skriva så kallade NV-items med QXDM till radiochipet för att byta. Men det är mycket bök att hitta ett bra IMEI att spoofa, man måste vara försiktig så man väljer en lur som signallerar motsvarande FeatureGroupIndicator och classmark info (dvs inte ta IMEI från en gammal Nokia 3310 och trycka in i senaste Samsungen...) Sen ska man välja en SVN som är i frekvent bruk i nätet/landet, annars blir man lätt utstickande i terminalstatistiken.

Tips från coachen, strunta i att klydda med IMEI-byten, har du det skyddsbehovet så har du säkert budget för att byta både terminal och SIM samtidigt.

rut12324
Inlägg: 3
Blev medlem: 13 jul 2015, 19:18

Re: Hypotetiska scenarion och skydd i dessa

22 jul 2015, 11:57


Cloe skrev:
Dessutom, kryptering ska du aldrig lita på! Guldregel: ta för givet att krypteringen kommer brytas, hur skyddar du dig då? Jo, rensa så mycket du bara kan trots kryptering, eller använd flera lager kryptering, t.ex Truecrypt-containrar(starkt rekommenderat).

Intressant, tänker du på mänskliga faktorer eller är ett säkert lösen faktiskt sårbart i exempelvis fulldiskkryptering av Veracrypt? Och antar att du pratar om proaktiv rensning på daglig basis?

Tips på en antenn för det ändamålet? Hur stark behövs?



@Layer8: Tack, intressant info!

Blyger
Inlägg: 48
Blev medlem: 21 dec 2015, 22:21

Re: Hypotetiska scenarion och skydd i dessa

06 feb 2016, 23:18

Jag har lite funderingar som ligger nära de frågor som diskuterats i denna tråden och väljer att väcka nytt liv den här istället för att skriva en ny. Hoppas det går bra.

Vår hypotetiske hacker "Petter" har med tiden skaffat sig fler hobbies. Dessa gör att polisen nu är angelägen om att prata med honom. Han använder TOR tillsammans med VPN och kanske till och med en riktningsantenn. Han byter fysisk plats och IP varje gång han ansluter och kommer alltså aldrig tillbaka till samma plats två gånger. Fråga: Vad är den mest anonyma vägen ut på internet för Petter? 3G-modem, Wifi hotspot? crackat nätverk? Hur brukar hackers göra när de är ute på sådana övningar?