Сетевые исследовательские методы (Network Investigative Techniques - NIT) - это специальные формы инструментов цифрового правоприменения, которые позволяют правоохранительным органам (LEA) взламывать подозрительные компьютеры при помощи использования уязвимостей. NIT оказывают помощь в определении местонахождения и идентификации киберпреступников, действующих в Даркнете, где обычные следственные средства оказались бесполезными. Они играют значительную роль в исследованиях в области киберпреступности, а также в сфере национальной кибербезопасности. Однако раскрытие некоторых кодов NIT может значительно подорвать операции правоохранительных органов, основанные на этих кодах. Во многих федеральных делах уголовные обвиняемые пытались получить доступ к кодам NIT, и судам приходилось принимать решение, должны ли правоохранительные органы раскрывать этот код. Приоритет LEA в отношении конфиденциальности является довольно шатким, когда рассматривается право киберпреступных ответчиков на обнаружение информации для их защиты.
Недавно опубликованная статья Юридической школы Нью-Йоркского университета представила некоторую ценную информацию о НИТ и о том, как они использовались для осуждения лиц, совершивших федеральные преступления в сети TOR.
NIT и использование уязвимостей:
NIT - это специальная форма программного обеспечения, которая может контролировать доступ к подозрительному компьютеру посредством переопределения его функций безопасности. По сути, NIT - это вредоносное ПО или эксплойты, которые специально разработаны для использования этих технологических уязвимостей. Таким образом, NIT позволяют LEA получать доступ к подозрительным компьютерам, контролировать их и получать идентификационную информацию, хранящуюся на них, включая их IP-адреса, с помощью использования уязвимостей программного обеспечения.
Когда кто-то обнаруживает уязвимость, нет никакой гарантии того, что он один знает о ее существовании. Вероятность того, что другая сторона идентифицирует ее, увеличивается с каждым днем. Всякий раз, когда раскрывается уязвимость, разработчики программного обеспечения и антивирусные компании стараются оперативно исправить это. Следовательно, LEA должны обнаруживать и полагаться на уязвимости, которые не были идентифицированы или исправлены другими. Это чрезвычайно дорого - уязвимости могут стоить более 100 000 долларов, и даже самим ФБР иногда не хватает ресурсов, необходимых для развития эксплойтов. Таким образом, уязвимость обычно имеет ограниченный срок хранения, поскольку NIT становятся устаревшими после выявления и исправления уязвимости.
Использование NIT для нацеливания и выявления преступников:
В течение последних нескольких лет ФБР полагалось на NIT для выявления уязвимостей в TOR, чтобы они могли деанонизировать клиентов, использующих его. Эти NIT обходят работу TOR, чтобы идентифицировать реальные IP-адреса пользователей и исследователей точек для интернет-провайдеров пользователей и физических геолокаций. NIT состоит из четырех элементов:
1 - Генератор
2 - Эксплойт
3 - Полезная нагрузка
4 - Сервер регистрации
Генератор работает на скрытой службе TOR. Он генерирует уникальный идентификатор, чтобы связать его с посетителем веб-сайта и доставляет этот идентификатор с помощью эксплойта и полезной нагрузки на компьютер посетителя веб-сайта. Генератор позволяет ФБР отслеживать конкретные реализации NIT на компьютере. После того, как генератор передает элементы NIT компьютеру посетителя веб-сайта, эксплойт, представляющий фактический код, использующий уязвимость для переопределения и управления компьютерной системой, берет на себя управление TOR-браузером для загрузки и выполнения полезной нагрузки. Код полезной нагрузки запускается на целевом компьютере, выполняет поиск разрешенной информации и затем передает его в службу ведения журнала, запущенную на компьютере ФБР. Служба ведения журнала сохраняет информацию, собранную с компьютера, идентификатор, присвоенный кодом генератора, и IP-адрес целевого компьютера.
Как только ФБР получает информацию через NIT, сразу появляется возможность использовать обычные методы расследования для определения местоположения целевых лиц. Как правило, IP-адрес компьютера, назначенный провайдером, показывает его местоположение. Используя общедоступную информацию, ФБР может идентифицировать провайдера, который предоставляет IP-адрес компьютера. Затем ФБР обслуживает административный вызов в Интернет-провайдере, чтобы идентифицировать имя и физический адрес клиента, связанного с IP-адресом. Это позволяет правоохранительным органам проводить наблюдение за целевыми помещениями и получать соответствующие ордера на обыск. Однако простого IP-адреса не всегда достаточно, чтобы идентифицировать преступника.
Как ФБР использует NIT, чтобы вычислить киберпреступников?
Мы рассмотрим несколько примеров:
Рассмотрим пример Аарона МакГрата, управляющего тремя сайтами с детской порнографией: одним из его резиденции, а двумя другими со своей работы. IP-адрес, связанный с веб-сайтом, размещенным у его резиденции, был связан с женщиной, которая поделилась своим местом жительства. Только через физическое наблюдение за резиденцией, поиски аккаунтов в социальных сетях, и получение ордеров на обыск, ФБР смогло доказать вину МакГрата. ФБР выразило твердое убеждение в том, что НИТ представляют собой единственную методику расследования с разумной вероятностью обеспечения необходимых доказательств, чтобы доказать, что разумные сомнения не подтверждают реальное физическое местоположение и личность подозреваемых с использованием служб анонимизации, таких, как TOR, для совершения федеральных киберпреступлений.
Какую идентифицирующую информацию предоставляет NIT для правоохранительных органов?
Так как IP-адреса не являются исчерпывающей информацией для идентификации, NIT определяет больше, чем IP-адрес подозреваемого компьютера, чтобы ФБР вычислило именно необходимого им подозреваемого. Использование ФБР NIT в нескольких операциях против распространителей детской порнографии показывает, как они усовершенствовали свои методы с течением времени и как они теперь могут получать более конкретную идентифицирующую информацию.
Например, при помощи NIT, используемом ФБР в Operation Torpedo, удалось получить IP-адрес подозреваемого компьютера, а также дату и время, когда NIT определил IP-адрес, «уникальный идентификатор сеанса», который веб-сайт обычно назначает гостевому компьютеру, и тип операционной системы, запущенной на компьютере подозреваемого. ФБР объяснило, почему каждая часть информации имеет важное значение для поимки подозреваемого - IP-адрес может быть связан с ISP и ISP-клиентом, идентификатор сеанса будет отличать данные одного компьютера от другого, а детали операционной системы помогут различать компьютер подозреваемого с других компьютеров, используя тот же ISP в тех же помещениях.
Спасибо, что прочитали эту статью !