Почему анонимных минеров до сих пор не могут вычислить? Отвечают специалисты по кибербезопасности

Уже две недели в Петербурге ежедневно эвакуируют десятки тысяч людей из-за электронных писем о заложенных бомбах. Преступники используют реальные почтовые ящики и «подменки» – например, адрес ФСБ fsb@fsb.ru. Масштабы бедствия не уменьшаются, только 1 марта были сорваны занятия в десятке школ. «Собака.ru» узнала у специалистов, возможно ли остановить волну ложных минирований и почему это еще не произошло.

Сергей Никитин

Заместитель руководителя лаборатории компьютерной криминалистики Group-IB

«Вычислить «террористов», использующих для звонков IP-телефонию или почтовую рассылку, крайне сложно. Это связано с технологиями, которые используют злоумышленники, чтобы скрывать свое местонахождение — VPN, цепочку серверов, расположенных в разных уголках мир, программы для подмены адреса отправителя. То есть физически звонить или отправлять письма могут из соседнего дома, а выглядеть это будет как сообщение из другой страны.

Теоретически вычислить «террориста» можно, но это огромная оперативно-розыскная и бюрократическая работа по переписке с международными правоохранительными органами. Учитывая то, что преступники активно используют политические противоречия между странами и отсутствие между ними международного взаимодействия, шансы к успешному расследованию стремятся к нулю».

Кузьмич Павел

Директор лаборатории компьютерной криминалистики при Университете ИТМО

«Технически вычислить преступников достаточно сложно, так как они пользуются анонимными средствами — не крупными почтовыми серверами, а небольшими и безопасными, а также отсылают мейлы со взломанных адресов. Вычислить локацию, из которой было отправлено письмо, практически невозможно, потому что для этого нужно понимать, кто подключился к серверу – а он на то и анонимный, что не предоставляет такие сведения и не подчиняется законам РФ. В этом вся сложность. Мы участвуем в разного рода розыскных мероприятиях, но подробно говорить об этом не можем. Чисто теоретически узнать имена отправителей возможно – для этого нужно накопить и проанализировать большое количество сведений обо всех полученных письмах о бомбах».


Российский интернет хотят сделать автономным. Чем это обернется для пользователей?

Мухамед Каранашев

Программист

«Сообщение электронной почты состоит из двух частей: заголовки и тело. Заголовки – это не то же, что и заголовок сообщения, который мы видим в клиенте, а набор служебной информации, относящейся к письму, например: от кого оно, кому, тема письма, какой сервер его отправил, через какие сервера оно шло.

Во многие заголовки автор письма может подставить что угодно, например, можно написать, что письмо пришло от «Владимира Путина» и с адреса fsb@fsb.ru. Подобная зловредная подмена называется спуфингом. С этим отчасти можно бороться, но для этого нужно, чтобы владельцы доменов, к которым могут приписать почту (в данном случае fsb.ru) сделали определенную настройку: опубликовали специальные ключи, которыми должны подписываться письма с их домена, чтобы сторонний автор не мог его подделать. Это сделано не было.

По заголовкам можно проследить путь письма через сервера. Чаще всего можно в качестве исходной точки увидеть лишь сервер почтового сервиса (Gmail, Mail.ru, Yahoo, Yandex). Соответственно, это не даст никакой информации об IP-адресе отправителя, по которому уже можно что-то выяснить.

Некоторые почтовые клиенты добавляют специальный заголовок с IP-адресом отправителя. Также государственные службы безопасности могут писать запрос на выдачу личной информации пользователя почтовому сервису, если у них есть решение суда. Но это все еще не панацея: если отправитель всегда использовал VPN, прокси-сервер или TOR для подключения к почте, то можно будет увидеть лишь адрес промежуточного сервера, через который происходила связь. Можно писать запросы этим сервисам, но зарубежные компании почти наверняка не будут их исполнять.  


За неделю от эвакуаций в Петербурге пострадали 170 000 человек. Главное

В конечном итоге, если бы вышло получить настоящий IP-адрес отправителя письма, можно было бы через его провайдера определить уже личные данные. Но, как видно, если отправитель хочет защититься, сделать это почти невозможно.

Как можно избежать повторения ситуации: например, ФСБ могли бы настроить у себя SPF – это средство подтверждения аутентичности домена, с которого пришло письмо. Тогда почтовый клиент, получив фейковые письма от ФСБ, либо отправил бы его в спам, либо показал бы уведомление о подделке заголовков».

Морозова Ксения,
Комментарии

Наши проекты