Сетевые методы расследования (NITs) - это специальные формы цифровых инструментов для правоохранительных органов, которые позволяют правоохранительным органам (LEAs) взломать подозрительные компьютеры с помощью использования уязвимостей. NITs помогали в расположении и идентификации киберпреступников, действующих на различных даркнетах, где обычные следственные средства оказались бесполезными. Они играют важную роль в расследовании киберпреступлений, а также в национальной сфере кибербезопасности. Однако разглашение некоторых кодексов Гнип может в значительной степени подорвать деятельность правоохранительных органов, полагающихся на эти кодексы. Во многих федеральных делах обвиняемые по уголовным делам пытались получить доступ к Кодексу NITs, и судам пришлось решать, должны ли они раскрывать этот кодекс. Акцент LEA на конфиденциальность значительно напряжен, когда рассматривается право киберпреступников на раскрытие информации для их защиты.
В недавно опубликованной в Нью-Йоркском университете Школы права представлены некоторые ценную информацию о гниды и как они были использованы для осуждения лица в совершении федеральных преступлений на Тор.
NITs и использование уязвимостей:
NIT-это специальная форма программного обеспечения, которая может контролировать доступ к подозрительному компьютеру через переопределение его функций безопасности. По сути, NITs-это вредоносные программы или эксплойты, специально разработанные для использования преимуществ данных технологических уязвимостей. Таким образом, Nit позволяют Lea получать доступ к подозрительным компьютерам и управлять ими, а также получать идентифицирующую информацию, включая их IP-адреса, с помощью использования уязвимостей программного обеспечения.
Когда кто-то обнаруживает Уязвимость, у них нет гарантии того, что они являются единственной стороной, зная, что она существует, и шансы, что другая сторона идентифицирует ее, увеличиваются каждый день. Всякий раз, когда Уязвимость раскрывается, разработчики программного обеспечения и антивирусные компании будут действовать быстро, чтобы исправить это. Следовательно, LEAs должны обнаруживать и полагаться на уязвимости, которые не были идентифицированы или исправлены другими. Это чрезвычайно дорого – уязвимости могут стоить более 100 000 долларов, и даже самому ФБР иногда не хватает ресурсов, необходимых для разработки эксплойтов. Как таковая, Уязвимость обычно имеет ограниченный срок хранения, так как NITs устаревает после того, как Уязвимость будет обнаружена и Исправлена.
Использование Nit для целей и идентификации преступников:
За последние несколько лет, ФБР опираясь на гнид для выявления уязвимостей в Tor, так что они могут deanonymize клиенты, использующие его. Эти NITs обходят работу Tor, чтобы идентифицировать реальные IP-адреса пользователей и указать следователей ISP пользователей и физических геолокаций. NIT состоит из четырех элементов:
1-генератор
2-эксплойт
3-полезная нагрузка
4-сервер регистрации
Генератор работает на скрытой службе Tor. Он генерирует уникальный идентификатор, чтобы связать его с посетителем веб-сайта и доставляет этот идентификатор с эксплойтом и полезной нагрузкой на компьютер посетителя веб-сайта. Генератор позволяет ФБР отслеживать конкретные реализации NIT к компьютеру. После того, как генератор передает элементы NIT на компьютер посетителя веб-сайта, эксплойт, который представляет фактический код, который использует Уязвимость для переопределения и управления компьютерной системой, берет на себя контроль над браузером Tor целевого компьютера, чтобы загрузить и выполнить полезную нагрузку. Код полезных данных выполняется на целевом компьютере, выполняет поиск разрешенной информации и затем передает ее службе ведения журнала, работающей на компьютере ФБР. Служба ведения журнала сохраняет информацию, собранную с компьютера, идентификатор, назначенный кодом генератора, и IP-адрес конечного компьютера.
После того, как ФБР получает информацию через NIT, он может эффективно использовать обычные методы расследования, чтобы определить местонахождение целевых лиц. Как правило, IP-адрес компьютера, назначенный интернет-провайдером, показывает его расположение. Используя общедоступную информацию, ФБР может идентифицировать провайдера, который предоставляет IP-адрес компьютера. Затем ФБР подает административную повестку в интернет-провайдер для идентификации имени и физического адреса клиента, связанного с IP-адресом. Это позволяет LEAs вести наблюдение за целевыми помещениями и получать соответствующие ордера на обыск. Однако простого IP-адреса не всегда достаточно для идентификации преступника.
Как ФБР использовало NITs, чтобы оттачивать киберпреступников?
Мы рассмотрим несколько примеров:
Рассмотрим Аарон Макграт, который принимал три сайтам детской порнографии: один из его резиденции и две другие его работы. IP-адрес, связанный с веб-сайтом, размещенным в его резиденции, был связан с женщиной, которая поделилась его резиденцией. Только через физическое наблюдение за местом жительства, обыски учетных записей социальных сетей, перьевые регистры и исполнение ордеров на обыск ФБР смог осудить Макграта. ФБР выразило твердое убеждение в том, что NITs представляет собой единственный метод расследования с разумной вероятностью получения необходимых доказательств, чтобы доказать вне всяких разумных сомнений реальное физическое местоположение и личность подозреваемых, использующих анонимизирующие услуги, такие как Tor, для совершения федеральных киберпреступлений.
Какую идентифицирующую информацию NIT предоставляет LEAs? Поскольку IP-адреса не представляют только надежные интересы, NIT идентифицирует больше, чем IP-адрес подозрительного компьютера,но только идентифицирует достаточно информации, чтобы гарантировать, что ФБР определило и определило правильного подозреваемого. Использование ФБР Гнид в многочисленных операций детской порнографии означает, как она усовершенствовала свои методы с течением времени и как она в настоящее время в состоянии получить более конкретную идентифицирующую информацию для точного осуждения.
Например, NIT, используемый ФБР в операции Торпедо, сумел получить IP-адрес подозрительного компьютера, а также дату и время, когда NIT определил IP-адрес, “уникальный идентификатор сеанса”, который веб-сайт обычно назначает навещающей машине, и тип операционной системы, работающей на компьютере подозреваемого. ФБР объяснило, почему каждая часть информации была необходима при закрытии подозреваемого-IP-адрес может быть связан с интернет-провайдером и клиентом интернет-провайдера, идентификатор сеанса будет отличать данные одного компьютера от других, а детали операционной системы помогут отличить компьютер подозреваемого от других компьютеров, использующих одного и того же интернет-провайдера в тех же помещениях.
В Манеж гнида получил немного больше информации. В дополнение к получению той же вышеупомянутой информации, Манеж nit собрал информацию о том, был ли NIT успешно доставлен на компьютер подозреваемого, имя хоста подозреваемого компьютера, активное имя пользователя операционной системы подозреваемого компьютера и MAC-адрес подозреваемого компьютера. Имя хоста помогло в идентификации устройства в различных формах электронных коммуникаций, в том числе связи через Интернет. Кроме того, MAC-адрес, который идентифицирует сетевой адаптер, используемый для подключения компьютера к сети, позволил ФБР определить, использовали ли подозреваемые тот же сетевой адаптер.
В недавно опубликованной в Нью-Йоркском университете Школы права представлены некоторые ценную информацию о гниды и как они были использованы для осуждения лица в совершении федеральных преступлений на Тор.
NITs и использование уязвимостей:
NIT-это специальная форма программного обеспечения, которая может контролировать доступ к подозрительному компьютеру через переопределение его функций безопасности. По сути, NITs-это вредоносные программы или эксплойты, специально разработанные для использования преимуществ данных технологических уязвимостей. Таким образом, Nit позволяют Lea получать доступ к подозрительным компьютерам и управлять ими, а также получать идентифицирующую информацию, включая их IP-адреса, с помощью использования уязвимостей программного обеспечения.
Когда кто-то обнаруживает Уязвимость, у них нет гарантии того, что они являются единственной стороной, зная, что она существует, и шансы, что другая сторона идентифицирует ее, увеличиваются каждый день. Всякий раз, когда Уязвимость раскрывается, разработчики программного обеспечения и антивирусные компании будут действовать быстро, чтобы исправить это. Следовательно, LEAs должны обнаруживать и полагаться на уязвимости, которые не были идентифицированы или исправлены другими. Это чрезвычайно дорого – уязвимости могут стоить более 100 000 долларов, и даже самому ФБР иногда не хватает ресурсов, необходимых для разработки эксплойтов. Как таковая, Уязвимость обычно имеет ограниченный срок хранения, так как NITs устаревает после того, как Уязвимость будет обнаружена и Исправлена.
Использование Nit для целей и идентификации преступников:
За последние несколько лет, ФБР опираясь на гнид для выявления уязвимостей в Tor, так что они могут deanonymize клиенты, использующие его. Эти NITs обходят работу Tor, чтобы идентифицировать реальные IP-адреса пользователей и указать следователей ISP пользователей и физических геолокаций. NIT состоит из четырех элементов:
1-генератор
2-эксплойт
3-полезная нагрузка
4-сервер регистрации
Генератор работает на скрытой службе Tor. Он генерирует уникальный идентификатор, чтобы связать его с посетителем веб-сайта и доставляет этот идентификатор с эксплойтом и полезной нагрузкой на компьютер посетителя веб-сайта. Генератор позволяет ФБР отслеживать конкретные реализации NIT к компьютеру. После того, как генератор передает элементы NIT на компьютер посетителя веб-сайта, эксплойт, который представляет фактический код, который использует Уязвимость для переопределения и управления компьютерной системой, берет на себя контроль над браузером Tor целевого компьютера, чтобы загрузить и выполнить полезную нагрузку. Код полезных данных выполняется на целевом компьютере, выполняет поиск разрешенной информации и затем передает ее службе ведения журнала, работающей на компьютере ФБР. Служба ведения журнала сохраняет информацию, собранную с компьютера, идентификатор, назначенный кодом генератора, и IP-адрес конечного компьютера.
После того, как ФБР получает информацию через NIT, он может эффективно использовать обычные методы расследования, чтобы определить местонахождение целевых лиц. Как правило, IP-адрес компьютера, назначенный интернет-провайдером, показывает его расположение. Используя общедоступную информацию, ФБР может идентифицировать провайдера, который предоставляет IP-адрес компьютера. Затем ФБР подает административную повестку в интернет-провайдер для идентификации имени и физического адреса клиента, связанного с IP-адресом. Это позволяет LEAs вести наблюдение за целевыми помещениями и получать соответствующие ордера на обыск. Однако простого IP-адреса не всегда достаточно для идентификации преступника.
Как ФБР использовало NITs, чтобы оттачивать киберпреступников?
Мы рассмотрим несколько примеров:
Рассмотрим Аарон Макграт, который принимал три сайтам детской порнографии: один из его резиденции и две другие его работы. IP-адрес, связанный с веб-сайтом, размещенным в его резиденции, был связан с женщиной, которая поделилась его резиденцией. Только через физическое наблюдение за местом жительства, обыски учетных записей социальных сетей, перьевые регистры и исполнение ордеров на обыск ФБР смог осудить Макграта. ФБР выразило твердое убеждение в том, что NITs представляет собой единственный метод расследования с разумной вероятностью получения необходимых доказательств, чтобы доказать вне всяких разумных сомнений реальное физическое местоположение и личность подозреваемых, использующих анонимизирующие услуги, такие как Tor, для совершения федеральных киберпреступлений.
Какую идентифицирующую информацию NIT предоставляет LEAs? Поскольку IP-адреса не представляют только надежные интересы, NIT идентифицирует больше, чем IP-адрес подозрительного компьютера,но только идентифицирует достаточно информации, чтобы гарантировать, что ФБР определило и определило правильного подозреваемого. Использование ФБР Гнид в многочисленных операций детской порнографии означает, как она усовершенствовала свои методы с течением времени и как она в настоящее время в состоянии получить более конкретную идентифицирующую информацию для точного осуждения.
Например, NIT, используемый ФБР в операции Торпедо, сумел получить IP-адрес подозрительного компьютера, а также дату и время, когда NIT определил IP-адрес, “уникальный идентификатор сеанса”, который веб-сайт обычно назначает навещающей машине, и тип операционной системы, работающей на компьютере подозреваемого. ФБР объяснило, почему каждая часть информации была необходима при закрытии подозреваемого-IP-адрес может быть связан с интернет-провайдером и клиентом интернет-провайдера, идентификатор сеанса будет отличать данные одного компьютера от других, а детали операционной системы помогут отличить компьютер подозреваемого от других компьютеров, использующих одного и того же интернет-провайдера в тех же помещениях.
В Манеж гнида получил немного больше информации. В дополнение к получению той же вышеупомянутой информации, Манеж nit собрал информацию о том, был ли NIT успешно доставлен на компьютер подозреваемого, имя хоста подозреваемого компьютера, активное имя пользователя операционной системы подозреваемого компьютера и MAC-адрес подозреваемого компьютера. Имя хоста помогло в идентификации устройства в различных формах электронных коммуникаций, в том числе связи через Интернет. Кроме того, MAC-адрес, который идентифицирует сетевой адаптер, используемый для подключения компьютера к сети, позволил ФБР определить, использовали ли подозреваемые тот же сетевой адаптер.