==Phrack Inc.== Volume 0x0c, Issue 0x40, Phile #0x0e of 0x11 |=-----------------------------------------------------------------------=| |=----------=[ Connaître son ennemy : faire face aux flics ]=------------=| |=-----------------------------------------------------------------------=| |=--------------------------=[ Par Lance ]=------------------------------=| |=-----------------------------------------------------------------------=| |=------------=[ Traduit par TboWan pour arsouyes.org ]=-----------------=| L'article suivant est divisé en trois parties. La première et la seconde partie sont des interviews faite par The Circle of lost Hackers. Les personnes interviewées sont des hackers bustés [NDT-1]. Vous pouvez apprendre, par leur expérience, comment les flics travaillent dans leur pays respectifs. La dernière partie de l'article est une description de la manière de buster des pirates d'une Brigade anti-Cybercriminalité [NDT-2]. Nous savons que cet article va probablement plus aider les policiers que les hackers, mais si les hackers savent comment les flics procèdent, ils peuvent les contrer. C'est le but de cet article. Bonne lecture. (salut Lance !) ------------------------------------------ Interview de Willy Salut WILLY, peux-tu nous dire qui es-tu, ta nationnalité, et ton métier ? salut, je viens d'Allemagne. J'ai enfin finis mes études de droit. -- QUESTION : Peux-tu nous dire quel genre de relations tu as avec la police dans ton pays ? Dans d'autres pays européens, la loi se durcifie ces jours-ci, qu'en est-il de l'Allemagne ? Et bien, grâce à la nature des études que je viens de finir, je peux voir les lois d'un pointe de vue professionnel. Les lois sur le crime informatique n'ont pas changé depuis des années. Donc, on ne peut pas dire qu'elles se durcifient. Ce qu'on peut dire, c'est que depuis le 11 sept 2001, certaines loi sur la confidentialité sont plus strictes. -- QUESTION : Peux-tu nous dire quelle genre lois sur la confidentialité sont plus strictes ? Oui. Par exemple, toutes les universités ont le cas d'étudiants musulmants, entre 20 et 30 ans, pas marriés, etc. Donc, la police peut faire une recherche sur écran. Certaines cours allemandes ont dit que c'était illégal, d'autres pas. Le processus est en marche, mais la recherche sur écran n'a pas encore donné beaucoup de résultat. D'un autre côté, nous avons des gens très actif dans la protection de la vie privée (datenschutzbeauftragte") qui essaient que la vie privée devienne un droit fondamental inscrit dans la constitution. Donc, le processus est de ce genre, on a des gens qui veulent des lois sur la vie privée plus strictes, c'est à dire des observations via des caméras vidéos dans des lieux publics. (Ce qui n'est pas encore arrivé). Mais, encore une fois, on a des gens actifs dans le pays qui travaillent contre ce genre de méthode d'observation. Ça n'a pas encore été décidé si les surveillances deviendraient plus fortes. Ce qui se durcifie, c'est tous ces tests-ADN pour certains types de crimes, mais ce n'est pas encore d'une façon pour fichier tout le monde dans une base de données d'ADN - heureusement. -- QUESTION : As-tu la sensation que les lois relatives à l'informatique se durcifient depuis le 11 sept 2001 ? Certainement pas. -- QUESTION : Est-ce que ces renforcements des lois non relatives à l'informatique ont eu lieu depuis la ré-élection de Schroeder ? Non. Ces renforcements ("sicherheitspaket") ont eu lieu après le 11 septembre. La ré-élection de Schroeder n'ar rien à voir là dedans. D'un côté, les FAI doivent garder les logs les IP des connections pendant 90 jours. Mais le ministre fédéral de l'économie et des technologies supporte un projet appellé JAP (Java Annonymous Proxy) pour réaliser des communications annonymes et inobservables. Je ne connais pas les détails mais je suis presque sûr que vous ne pouvez pas surfez complètement anonymement avec JAP. Ça ne correspond pas à la loi qui impose de garder les fichiers de logs. Je ne sais pas. De mon point de vue, bien que j'aime (forcément) JAP, il n'est pas compatible avec les lois allemandes actuelles. Mais il est supporté par un ministre fédéral. C'est assez étrange je pense. Et bien, nous verrons. Vous pouvez avoir des informations là dessus à l'adresse suivante : http://anon.inf.tu-dresden.de/index_en.html . -- QUESTION : Maintenant qu'on en sait un peu plus sur le context, peux-tu nous expliquer comment tu es arrivé dans le hack, et depuis quand tu t'implique dans la scène ? Bien, comment suis-je entré en contact avec la scène ? Je pense que j'ai commencé comme beaucoup de monde. Je voulais avoir les jeux qui viennent de sortir. J'ai donc discuté avec des gars plus vieux à l'école, et ils m'ont dit de prendre un modem et d'appeller certains BBS. C'était en 1991 je pense. Vous devez savoir que ma ville natale Berlin était très active avec ses BBS, à cause de raisons politiques : les appels locaux ne coutaient que 23pf. C'était quelque chose de spécial dans Berlin-ouest / guerre-froide. Je ne me rappelle plus quand ça a été aboli. Mais, il y avait vraiment beaucoup de BBS à Berlin grâce à ces faibles coûts. Ensuite, peu de temps après, je suis entré en contact avec des gars qui avaient toujours les nouveaux trucs des USA/UK dans le BBS et j'ai pensé : "ouaouw, ça doit coûter cher" - ça ne m'a pas pris longtemps pour trouver qu'il y a des manières de contourner ça. J'avais aussi un mentor local qui m'a appris le blueboxing et tous les trucs autours des PBX, VMBS et Co. -- QUESTION : Quand as-tu commencé à jouer avec les réseaux TCP/IP ? Je pense que c'était assez tard. J'ai entendu dire que mes amis outre-mer avait une nouvelle manière de chatter. Plus de chat sur BBS mais sur IRC. Je pense que c'était en 1994. J'ai donc récupéré quelques informations, quelques comptes sur une université locale, et je n'ai utilisé "le net" que pour irc. -- QUESTION : Quand (et pourquoi) as-tu eu des problèmes la première fois ? Heureusement, je n'ai eu des problèmes qu'en 1997. J'ai reçu la visite de 4 policiers (armés), ils avaient un mandat de perquisition et ont fouillé ma maison. J'étais accusé d'espionnage de données. . C'est comme ça qu'ils appellent le hack là bas. Ils ont pris tous mes équipements et mes trucs et ça a mis un bon moment avant que j'entende parler d'eux à nouveau pour une audition. J'ai été au commissariat plusieurs fois. La première, je pense après 6 mois, c'était pour une rencontre avec le procureur de l'état et les policiers. C'était juste une réunion pour savoir s'ils pouvaient utiliser mes affaires comme preuves. C'était du genre allumer le PC, le policier disait "ça pourrait être un fichier de log" et le procureur répondait "ok, ça pourrait être une preuve". Ça s'est passé pour tous mes CD et au moins une vingtaine de papiers avec des notes. ("ça pourrait être des adresses IP" "ça pourrait être des l/p", ... bien sûr, le procureur n'avait pas tant de connaissance que ça et j'ai perdu toutes mes notes avec des numéros de téléphone ("ouais, mais ça pourrait être des IP's")). En fait, c'était juste une réunion obligatoire parce que j'ai tout nié et que je ne leur ai pas donné l'autorisation d'utiliser mes affaires, donc, ils avaient besoin qu'un juge ou un procureur pour voir s'ils pouvaient garder certaines affaires comme preuves. La deuxième fois que je les ai rencontré était pour le crime en question. J'étais là pour une audition (plus de deux ans après la rafle, et près de trois ans après la date où j'étais sensé avoir commis le crime). -- QUESTION : Combien de temps es-tu resté au commissariat juste après la perquisition ? La première fois, ça n'a duré que 15 minutes. C'était vraiment uniquemetn pour voir si la police pouvait prendre les bonnes affaire. Par exemple, s'ils prenaient un livre, je devais pouvoir le récupérer plus tard. Parce qu'un livre n'avait rien a voir avec le crime dont on m'accusait. (sauf que j'avais écrit des adresses IP dans ce livre, haha). -- QUESTION : Et à propos du crime lui-même ? Est-ce que tu as gagné de l'argent ou en fait perdre à des gens en hackant ? Non, je n'ai pas gagné d'argent. C'était juste pour le fun, pour apprendre, et pour voir jusqu'où je pouvais pousser la frontière. Voir ce qui est possible, ce qui ne l'es pas. Personne n'a perdu d'argent non plus. -- QUESTION : Comment t'on-t-il trouvé ? Je ne sais toujours pas vraiment comment ils m'ont trouvé. Le crime était (juste) une autorisation non autorisée de compte d'accès vers une université. Malheureuseent, c'était le point d'entrée de mes activités, c'était donc un peut effrayant au début. Vous devez vous connecter quelque part, si cet établissement vous choppe, ça pourrait être plutôt mal baré. Finalement, après la réelle audition et après avoir du payé l'amende, ils ont du laisser tomber TOUTES les accusations de hack et je n'ai été coupable que de 9 CD de warez. -- QUESTION : Est-ce que tu te connectait de chez toi ? Ouai, de chez moi. Mais je n'utilisait pas ISDN ou n'avait pas d'ID d'appelant sur ma ligne analogique, et ce n'est pas bien d'utiliser une autre ligne pour de tel crime à bas profit, comme le hack, ici en Allemagne. Donc, puisque toutes les accusations de hack ont été retirée, je n'ai pas vu les preuves qu'ils avaient, ni coment ils m'ont trouvé finalement. -- QUESTION : Peux-tu nous dire plus sur les policiers ? Quel sorte d'organisation t'as arreté ? C'était un département spécial du crime informatique dépendant de la police de l'état, le "landeskriminalamt" LKA. Ils n'en savent pas tant sur les ordinateurs au final je pense. Ils n'ont pas trouvé toues les fichiers de logs que j'avais sur mon ordinateur, ils n'ont pas trouvé mes disques JAZ avec mes fichiers de mots de passes, ils n'ont pas trouvé les fichiers de pass sur mon pc, ... -- QUESTION : Où t'ont-ils emmené après la rafle, à la deuxième audition ? Après la rafle, je pouvais rester à la maison ! Pour l'audition, j'ai été au quartier général du LKA, dans les locaux de l'unité du crime informatique. Une piece simple avec une fenêtre, une table et chaise, et un ordinateur où le policier tapait lui-même ses questions et mes réponses. -- QUESTION : As-tu entendu des conversations intéressantes entre les flics une fois à l'intérieur ? haha, non. Pas du tout. Et, bien sûr, la porte de la piece d'audition était fermée quand j'ai été auditionné. Je n'ai donc rien pu entendre d'autre. J'ai été questionné par un seul type du "polizeihauptkommisar", pas de grade militaire, juste un capitaine comme expliqué là : http://police-badges.de/online/sammeln/us-polizei.html . Autre chose à propos de la rafle : ils ont sonné normalement, rie nà voir avec taper à la porte. Si ma mère n'avait pas ouvert la porte, j'aurais eu assez de temps pour détruire certaines choses. Mais malheureusement, comme la plupart des allemands, elle a ouvert la porte quand elle a entendu le mot "police". Je n'ai pas eu de jugement, j'ai accepté une "ordonance pénale" [NDT : "order of summary punishment"] c'est le terme technique, j'ai regardé dans le dictionnaire :-) C'est quelque chose qu'un juge décide après avoir eu toutes les informations. Il peut ouvrir un jugement ou utiliser une ordonance pénale. Ils vous l'envoient, et si vous ne dites pas "non, je nie tout" dans la semaine, vous l'acceptez :-) Quand vous le niez, ALORS vous décidez en définitive d'aller au tribunal et d'être jugé. -- QUESTION : Est-ce que tu conseils aux hackers de l'accepter ? On ne peut pas donner de conseil général pour ça. Dans mon cas, j'ai trouvé important de n'avoir aucun casier judiciaire du tout qui compterait comme "délinquant primaire" si je devais retourner au tribunal dans le futur. Donc, avec cette acceptation, je savais ce que j'avais, et c'était acceptable dans mon cas. Si vous allez au tribunal, vous ne pouvez jamais savoir si l'amende ne sera pas plus grosse. Mais on ne peut pas le généraliser. Si c'est moins que "90 tagessaetze" (au dessus de 90, c'est inscrit au casier judiciaire), je pense que je l'accepterais, mais encore une fois, allez d'abord voir un avocat de confiance :-) -- QUESTION : Peux-tu faire une comparaison entre LKA et une organisation américaine et/ou européenne ? Quelles sont ses activités s'ils ne sont pas compétents en informatique ? Mmm, chaque état en allemagne a son propre département appellé LKA. Ce n'est pas comme le FBI (ça aurait été le BKA), mais c'est plutôt comme si un état dans les usa, par exemple la Floride, avait un département de police pour toute la Floride qui s'occupe de tous les trucs spéciaux, comme le crime organisé. Le crime informatique, en Allemagne, appartient au crimes économiques, et donc, la police normale n'est pas adaptée, c'est le LKA qui s'en charge. De toute façon, j'ai entendu par diverses personnes qu'ils sont plus compétent maintenant qu'avant. Mais à ce moment là, je pense qu'une seule personne avait une idée de ce qu'est UNIX. Je sais que le BKA a un département spécial pour le crime informatique, parce qu'un de mes amis à reçu la visite du BKA, mais la plupart des départements du crime informatique sont contre la pédophilie. Je ne pense pas que tant de gens se sont fait bustés pour le hack en Allemagne tout compte fait. Ils cassent la pédophilie, les mecs qui font du warez, la fraude informatique, relative aux crime des télécoms. Mais le hacking, je ne connais pas tant de monde qui ai eu des problème pour du vrai hacking. Sauf un gars. -- QUESTION : Y-a-t-il des services spéciaux dans ton pays qui sont impliqués dans le hack ? Des services spéciaux ? Que voulez-vous dire ? Comme la CIA ? haha ?! On a la BND (contre espionnage), MAD (espionnage militaire), verfassungsschutz (espionnage intérieur), mais je ne pense pas que nous ayons un service qui se concentre sur le crime informatique. Ce qu'on a, c'est beaucoup de stations de la NSA (echelon) des US. Je pense qu'à cause de la guerre froide, nous sommes toujours sous une assez forte surveillance de ces services :-) donc la réponse est : nous n'avons pas de tels services, ou alors ils travaillent tellement secretement que personne ne les connait, mais je ne pense pas que ça soit le cas en Allemagne. -- QUESTION : À part pour le crime dont ils vous ont accusé, as-tu eu des relations avec la police ? (appels téléphoniques, des auditions en plus, des propositions d'emploi) ? Haha, non, pas du tout. -- QUESTION : Quelles genres d'informations les policiers essayaient-ils d'avoir ? (comme : avec qui bidouilles-tu ?, ...) Oui, c'était la partie dont ils étaient la plus intéressés ! Ils avaient imprimé mon /etc/passwd et disait "c'est ton pseudo, d'accord ?". Je n'ai rien dit à ce propos mais ils continuaient, et je pense que, si vous n'avez qu'un seul utilisateur dans votre /etc/passwd, c'est assez facile de deviner que c'est votre pseudo. donc, ils ont fait une recherche sur le net après ce pseudo, ils ont trouvé une page maintenue par quelques hackers qui ont formé une sorte d'équipe. Ils ont imprimé tout le site web de cette équipe, me montrant mon pseudo partout où il apparaissait. Ils ont essayé de jouer au jeu du bon-flic, genre "vous êtes un type cool hein ?", ... Je n'ai rien dit non plus. Ça a pris quelques minutes, et ils voulaient me montrer que j'utilisais le pseudo qu'ils avaient trouvé dans /etc/passwd et que j'étais un membre de ce groups dont ils avaient imprimé la page web. Ils savaient qu'il y avait un deuxième hacker dans cet université. Ils m'ont demandé tout le temps si je le connaissais. Je ne sais pas pourquoi il a eu plus de chance, Bien sûr que je le connaissais, c'était mon pote avec lequel on faisait la pluspart des trucs ensembles. -- QUESTION : Vous n'avez rien dit ? Comment l'ont-ils accepté ? haha. Ils ont du l'accepter. Je pense que dans la pluspart des pays, si vous êtes accusé, vous avez le droit de ne rien dire. J'ai joué un jeu facile : j'ai accepté d'avoir copié les 9 CD's. Parce que les CD's sont des preuves suffisantes, et les flics ont donc été contents. Je n'ai rien dit à propos du hack, ce qui était beaucoup plus intéressant pour eux. J'ai pensé "je dois leur donner quelque chose, si je ne veux pas me retrouver devant un tribunal". Je leur ai dit "j'ai copié ce CD windows" pour qu'ils aient au moins quelque chose. -- QUESTION : As-tu ressenti une sorte d'évolution dans ta relation avec la police ? Est-ce qu'ils ont essayés d'être copains à un certains point ? Oui, ils ont essayés d'être amicaux à quelques étapes. a) Lors de la perquisition. Mes parents n'étaient VRAIMENT pas amusés, je pense que vous pouvez l'imaginer. Avoir des policiers fouiller dans vos vêtements, votre chambre, ... Ils ont donc vu que ma mère était assez nerveuse et "au bord". Ils ont dit "rend les choses plus facile à ta mère, soit honète, soit un bon gars, c'est la première fois, dis nous quelque chose ..." (grâce à mes début d'études en droit, je savais bien sûr que la meilleur chose à faire est de rester calme et de ne rien dire.) b) Lors de l'audition, bien sûr. Après avoir admis les trucs de warez, ils sont tombés assez cools, ce qui était mon intention. Ils m'ont permis de fumer, et des trucs du genre. Quand c'en est venu au hack, et que je n'ai rie ndit, Ils ont continué de m'appeller "mon amis", et essayé de me convaincre que "c'est plus simple et mieux si j'admet tout, parce que les preuves sont si flagrantes". Ils ont étés amicaux tout ce temps, oui. -- QUESTION : Que penses-tu qu'ils savaient réellement ? Ils savent en définitive mes utilisations de comptes non autorisés vers cette université, ils savaient que j'utilisait ce pseudo, et que j'étais un membre de ce groupe de hack (rien d'illégal dans ce groupe). J'étais anxieux qu'ils puissent connaître mes réelles activités, parce que, encore une fois, cette université n'était QUE mon point d'entrée, donc, tout ce que je faisais était d'utiliser des comptes que je n'aurais pas du. Ce n'est pas un gros truc en fin de compte, se connecter. Mais je ne savais pas ce qu'ils savaient sur mes activités après la connection, donc, je craignais qu'ils en sachent plus. -- QUESTION : est-ce qu'ils savaient des choses personnelles sur d'autres personnes de ton groupe de hack ? non, rien du tout. -- QUESTION : Quels sont les compétences des enquêteurs de la police allemande en 2002 ? huh, heureusement, je ne sais pas. J'ai lu qu'ils avaient quelques enquêteurs experts au BKA, mais les arrestations du LKA ne sont pas très compétentes, d'après moi. Ils n'ont pas assez de personnes pour couvrir tous les crimes informatiques. Ils travaillent sur des petits budgets et des vieux équipements. Et ils passent la pluspart de leur temps à courir après les couillons du porn. -- QUESTION : Comment les policiers ont vu votre groupe ? (groupe de hack allemand de premier plan, comme tu le sais [NDT : front-side german hacking group you guyz all know]) Je pense qu'ils nous ont pris pour un gros groupe active qui fait du hacking, du hacking, et du hacking tout le temps. Je pense qu'ils voulaient savoir si on gagnait de l'argent avec ça, par exemple, ou si nous étions dans des grosses activités illégales. Parce que, évidement, il aurait été illégal d'être simplement un membre d'un groupe illégal; tel du crime organisé. -- QUESTION : D'un autre côté, que penses-tu que les autres groupes pense de ton groupe ? Nous, et d'autres hackers, nous voyons comme des groupes qui partagent des connaissances, s'échangent des informations sur la sécurité, ayant de bons rendez-vous, trouvons des problèmes de sécurité et écrivant des logiciels pour exploiter ces problèmes. Je ne nous vois vraiment pas comme des groupes de hackers organisés qui gagnent de l'argent, volent des choses et font perdre de l'argent, mais, je pense, vous ne pouvez pas savoir ce qu'un groupe fait vraiment en visitant simplement leur page web et en regardant leur papier et leurs outils. -- QUESTION : Est-ce que ces problèmes sont clos maintenant ? ouai, ces problèmes sont complètement clos. J'ai reçu une amende, 75 marks allemands par CD, j'ai du payer autour de 800 mark. Je n'ai pas été condamné, pas de note au casier du tout. Aucune action civile. -- QUESTION : Maintenant que ces problèmes sont clos, as-tu des conseils pour les hackers de ton pays, pour éviter d'être arreté ou pour éviter d'avoir des ennuis comme tu as eu ? haha, oui. En quelques mots : a) Toujours chiffrer votre disque dur ENTIÈREMENT. b) N'ayez AUCUN, je répète, AUCUN cd de warez illégal. Raison : tous les juges connaissent les copies illégales de CD's. Il le comprend. Donc, comme dans mon cas, vous êtes accusés de hack, et au final, vous avez une amende pour warez illégal. C'est en définitive pas nécessaire. Et, en plus, vous récupérez vos ordinateurs et vos affaire BEAUCOUP plus rapidement si vous n'avez pas de CD de warez. D'habitude, ils ne peuvent pas prouver votre hack. Mais les cd de warez sont faciles. c) Ne dites RIEN lors de la perquisition. d) Si vous avez vraiment des problèmes, allez voir un avocat après la perquisition. -- Merci de l'interview WILLY ! De nada, vous êtes les bienvenus ;) ------------------------------------------ Interview de Zac Bonjour Zac, ravi de te rencontrer. Bonjour le nouveau staff, comment ça va ? QUESTION : Peux-tu nous dire quelles relations tu as (en tant que hacker) avec la police dans ton pays ? Je vis en France, en tant que hacker, je n'ai jamais eu de problème avec la justice. Dans mon pays, vous pouvez avoir des problèmes si vous êtes un stupide script kiddy (la pluspart du temps), ou si vous dérangez (même qu'un petit peu) les services de renseignements. En fait, nous avons des services spéciaux très présent au sein du territoire, où la police elle-même est trop idiote pour comprendre quoi que ce soit sur l'informatique. Quelques groupes non-techniques appelés BEFTI s'occupent normalement des gros warezeurs, de cardeurs idiots, ou de gens qui cassent les PABX professionnels pour faire des appels gratuits, et des trucs du genre. -- Explique nous comment tu es arrivé dans le hack, jusqu'à quand tu t'es impliqué dans la scène, et depuis quand tu joue avec les réseaux TCP/IP. J'ai commencé assez tardivement dans les années 90' quand j'ai rencontré des amis qui faisaient du warez et s'essayaient au hack et au phreak. Je n'ai que quelques années d'expériences sur le net, mais j'ai appris assez rapidement à être toujours derrière l'écran, et maintenant je connais plein de gens, partout dans le monde, sur IRC ou IRL. À part ça, j'ai eu mon premier ordinateur à 15 ans, j'ai eu beaucoup d'ordinateurs INTEL, du 286 au Pentium II. J'ai maintenant accès à des matériels différents et les utilises pour coder. J'ai l'habitude de partager mon travail avec personnes (des whitehat et des blackhats), je ne me cache pas particulièrement et je ne suis impliqué dans aucune sorte d'activité dangereuse illégale. -- QUESTION : Quand as-tu eu des problèmes pour la première fois ? L'année dernière quand la DST ("Direction de la Surveillance du Territoire", le service de renseignement intérieur français) m'a contacté et m'a demandé si j'étais toujours à la recherche d'emploi. J'ai dit que oui et j'ai accepté de les rencontrer. Je ne savais à ce moment là qu'il s'agissait de la DST, mais je les ai démasqué en utilisant google ;) Ils se sont d'abord présentés comme venant du "Ministère de l'intérieur", qui est en gros le ministère chargé de la coordination des forces de polices au sein du territoire et des services de renseignements intérieurs. Dans une entrevue plus tard, ils m'ont dit venir de la DST, je les appellerai "les flics". -- QUESTION : Comment t'ont-ils trouvé ? Je n'en ai toujours aucune idée, je pense que quelqu'un autour de moi leur à parlé de moi. Quand je leur ai demandé, ils m'ont dit que c'était part l'une des diverses (et rares) boites que j'avais contacté. Prenez garde quand vous donnez votre CV ou autre, chiffrez-le quand vous l'envoyez par internet, parce qu'ils sniffent surement beaucoup de traffic. Je vous suggère aussi de le marquer différement à chaque fois que vous le donnez, pour que vous sachiez d'où il provient en faisant du SE aux flics. -- QUESTION : Peux-tu nous en dire plus sur cette organisation ? Quelques informations à leur sujet ont déjà été dévoilées dans des e-zines françaies comme Core-dump (92') et NoWay(94'), les deux écrits par NeurAlien. J'ai entendu dire qu'il a eu des mauvais problèmes à cause de ça, je ne veut pas vraiment expérimenter les mêmes choses. -- QUESTION : y-a-t-il d'autres services spéciaux dans ton pays impliqué dans le hack ? En dehors de la DST, il y a la DGSE ("Direction Générale de la Sécurité Extérieure"), ces types se focalisent plus sur l'espionnage, l'entrainement militaire, et la collecte d'informations en dehors du territoire. Il y a aussi les RG ("Renseignements généraux"), une branche spéciale de la police qui s'occupe de récolter des informations diverses sur tout les événements sensibles qui ont lieu. La rumeur dit qu'il y a toujours un RG dans chaque conférence, meeting, ... public, et ce n'est pas difficile à croire. -- QUESTION : Peux-tu comparer ces organisations avec un équivalent dans un autre pays ? Leur boulot est similaire à la CIA et à la NSA je pense. La DST et la DGSE ont l'habitude de s'occuper du terrorisme et des gros réseaux de traffic de droque, ils ne ciblent pas les hacker spécifiquement, leur tâche est plus large puisqu'ils sont les services de renseignements gouvernementaux en France. -- Est-ce que la DST est compétente en inforamtique ? Ils -semblent- assez compétents (pas de trop, mais surement assez pour chopper beaucoup de hackers et et les garder sur écoute si nécessaire). Ils ont aussi l'habitude de recruter des gens pour expérimenter toutes les nouvelles sortes de hack (sans fil, ...). Cependant, je pense que leur premier job est de récupérer les informations, tous les trucs techniques sont comme des crochets pour moi. En plus, ils payent très mal, ils arguent qu'avoir leur nom dans votre CV augmente les chances d'être bien payé dans le future. Réfléchissez-y à deux fois avant de signer, ce genre de personne a une tendance naturelle à mentir. -- QUESTION : quelle genre d'informations t'ont-ils demandées pendant l'interview ? La première fois, ça a duré 2 heures, et il y avait deux gars. L'un était manifestement plus doué en hack (il parlait de protocols, de reverse engineering, il a au moins assimilé le vocabulaire), l'autre ne faisait pas la différence entre un exploit et un rootkit, et était surement le "bon flic du coin". Ils m'ont demandé tout à mon sujet (oringines, famille, ...) l'un prenant toujours de notes, l'autre posant les questions, essayant de paraître intéressé par ma vie. Ils m'ont tout demandé, du début à la fin. Ils m'ont demandé si mes activités officielles du moment n'était pas trop ennuyeuses, qui sont les gens avec qui je travaille, dans quelle genre d'activité j'était impliqué, et la nature de mon travail personnel. Ils m'ont aussi demandé si j'étais au courant de 0days dans des logiciels beaucoup utilisés. Je savais que je ne devais rien leur dire, et tenter d'avoir autant d'info sur eux que possible. Souvent, ils vous diront "hey, c'est moi qui pose les questions", mais parfois, si vous êtes intelligent, vous pouvez deviner d'où ils détiennent leurs informations, quel est leur niveau de compétence réel, ... À la fin de l'interview, ils vous demanderont ce qu'ils veulent savoir si vous ne leur avez pas déjà dit. Ils peuvent vous demander les groupes dont ils pensent que vous êtes amis, ... Si vous ne leur dite que ce qui est manifestement connu (comme "ho oui, j'ai entendu parler d'eux, c'est un groupe intéressé en sécu, mais je n'en fait par partie") et rien d'autre, c'est bon. -- QUESTION : Que penses-tu qu'ils savaient réellement ? Je pense qu'ils sont assez intelligents, parce qu'ils savent beaucoup de choses, et posent les questions comme s'ils ne savaient rien. De cette façon, ils peuvent voir si vous mentez ou pas. Aussi, si vous leur dites des choses que vous jugez sans rapport, ils l'utiliseront surement dans d'autres interview pour savoir qui est lié à quoi. -- QUESTION : Est-ce que ces problèmes sont clos ? J'espère qu'ils me laisseront en paix, de toute façon, je ne travaillerai pas pour eux, j'en ai parlé à quelques de mes amis, et ils sont de mon avis. Leur esprit change avec le temps et les gouvernements, je conseil vivement de NE PAS travailler pour eux à moins de savoir EXACTEMENT ce que vous faites (vous êtes un agent double ou quelque chose du genre lol). -- As-tu quelques conseils pour les hackers de ton pays, pour éviter d'être choppé, ou éviter d'avoir des problèmes ? N'ayez pas de site web, ne publiez pas de merde, n'écrivez pas d'articles, ne faites pas de conférences, n'ayez pas un job dans l'industrie de la sécu. En bref : C'est très dur. S'ils sont intéressés par les trucs que vous faites, et en entendent parler, ils finiront par vous rencontrer un jours ou l'autre. Ils vous demanderont probablement plus sur ce que vous faites, mêmes s'ils n'ont rien contre vous. N'oubliez pas que vous avez le droit de refuser une interview et de répondre aux questions. Je ne vous conseil pas de mentir, parce qu'ils le verront vite (n'oubliez pas que relier les informations est leur métier). Je conseil à tous les hackers de parler plus des flics dans leur groups respectifs parce que ça aidera à ne pas se faire avoir. Normalement, ils vous diront, avant de partir, "n'oubliez pas, tout ceci est CONFIDENTIEL", c'est juste leur manière de dire "OK, merci, à la prochaine !". Ne soyez pas impressionés, ne diffusez pas d'informations sur le réseaux sur un type en particulier (hacker ciblé ou un flic), vous auriez évidement des problèmes à cause de ça, et ce n'est en définitive pas la bonne manière d'esperer des meilleures relations avec les flics dans le futur. Aux flics : ne menacez pas les hackers et ne les mettez pas en prison, nous ne sommes pas des terroristes. N'oubliez pas, on parlera de vous les uns les autres, et en mettre un en prison, c'est comme nous mettre tous en prison. Merci zac =) À votre service, à plus. ------------------------------------------ Big Brother chez les soviets Par ALiEN Assault Cet article est une description basique des problèmes relatifs aux lois sur l'informatiques. La partie 1 contient des informations glanées principalement via des sources ouvertes. Puisque ces sources sont russes, les informations peuvent-être inconnues des personnes ne parlant pas le russe. La partie 2 consiste en des instructions sur les investigations de crime informatique : guide de perquisition et exploration du système des suspects. 0 - DISCLAIMER 1 - LAW 1.1 - Basic Picture 1.2 - Criminal Code 1.3 - Federal Laws 2 - ORDER 2.1 - Tactics of Raid 2.2 - Examining a Working Computer 2.3 - Expertise Assignment --[ 0.DISCLAIMER. INFORMATIONS FOURNIES À BUT ÉDUCATIF UNIQUEMENT. IL POURRAIT ÊTRE ILLEGAL D'ARRETER DES HACKERS DANS CERTAINS PAYS. iL DEVRAIT L'ÊTRE DE TOUTE FAÇON. IL Y A D'AUTRES CHOSES MEILLEURS À FAIRE. EXPLOREZ VOUS ET LE MONDE. SOURIRE. VIE. --[ 1. LOI. ----[ 1.1. Image de base. Les lois relatives à l'informatique sont plus des esquisses qu'autre chose et décrive très pauvrement leur sujet. Il semble que ces lois sooient simplement une réécriture des instructions du *Pwer Computers* des années 60 qui a pris un camions pour acheminer [NDT : took a truck to transport]. Les sujets communs des procès incluent le carding, la fraude téléphonique (vol massif de ligne téléphoniques) et ... retenez votre respiration... le commerce de warez vérolée. La Russie est un vrai paradis du warez - vous pouvez allez à presque n'importe quel magasin de multi-media et voir beaucoup de cd de warez, et certains ont même "INSTRUCTION D'UTILISATION DU CRACK ET DU SERAIL À L'INTÉRIEUR" écrit sur la face avant (avec "TOUS DROITS RÉSERVÉS" à l'arrière) ! Pour honorer les pirates, ils incluent les fichiers .nfo (parfois depuis les 4-5 BBS de warez via lesquels il est passé). C'est illégal, mais pas poursuivi. Ce n'est que si ces warez sont infectés (et certains VIP les achètent et bousillent leur système) que le gérand doit faire face à la justice. Le hacking *n'est pas si commun*, et les flics sont plutôt idiots et choppent surtout des scripts kiddies qui piratent leur FAI de chez eux pour envoyer des trojans par mail chaque jour. Il y a trois organisations principales qui s'occupent du crime hi-tech : FAPSI (Communications du Gouvernement Federale et Agence de l'Information - un mix du FCC et des services secrets), UKIB FSB (des flics hi-tech; qui signifie département d'informatique et de sécurité de l'information) et UPBSWT MVD (departement de lute contre le crime hi-tech) qui inclu une unité R (R pour Radio - choppe surtout les pirates et les phreakers). FSB (les services secrets) dirigent aussi le NIIT (institut de recherche IT). Cette organisation traite de chiffrement (lire vos mails chiffrés par PGP), examiner des programmes malicieux (révéler le source de Windoze) et de restaurer des données endommagées (Hexéditer les sauvegarde de jeux). On pense que NIIT possède des systèmes de toutes tailles et ont les outils pour faire ce qu'ils veulent. UPBSWT a un ensemble d'opérations spéciales appelées SORM (système de mesures opératoires et de détection). Les médias les décrivent comme un truc du genre d'Echelon/Carnivore, mais ils surveillent aussi les téléphones et les bips. Les flics prétendent que SORM n'est actif qu'en cas d'investigation de crimes majeures. ----[ 1.2. Code pénal Les crimes informatiques sont poursuivis d'après ces articles du code : - 159 : Crime. Les carders sont surtout concerné par cette loi, mais aussi ceux qui se font prendre la main dans le sac en faisant du social engineering. La peine varie d'une amende (mineur, pas d'enregistrement au casier) à 10 ans de prison (crime organisé et répété). - 272 : Accès frauduleux à un système informatique. Les cas faciles se termineront par une amende ou jusqu'à deux ans de probation, mais les crimes organisés, répétés, ou impliquant "une personne ayant accès à un ordinateur, un ensemble d'ordinateur, ou un réseau" (!#$@!) peuvent mener à 5 ans de prison. En plus de ceci, on trouve des commentaires bizares sur ce qu'est l'informations, l'intrusion et l'accès à l'information. - 273 : Production, diffusion et utilisation de programmes informatiques nuisibles. Envoyer des trojans par email est considéré comme être un lame et puni jusqu'à 3 ans de prison. La partie II dit que "les mêmes actions qui causent *imprudement* des retombées difficiles" se conclueront de 3 à 7 ans de prison. - 274 : Outrepasser les règles d'utilisation d'ordinateur, d'ensemble d'ordinateur ou de réseau. Celle-ci est de la merde. Dan la version actuelle, brute, et dans un état assez confu, elle a l'air, disons, incorrecte. Elle aurait au moins besoin qu'une personne qui sache écrire les choses plus technique fournisse des définitions claires et correctes. Après cette clarification, ça deviendrait utile : si quelqu'un rentre dans un système peu protégé, l'admin en aurait aussi la responsabilité. Les peines vont de ne plus avoir le droit d'occuper des emplois définis (définis où .) à deux ans de prison (ou 4 si ça a merdé trop sérieusement). ----[ 1.3. Loi fédérale. Les lois qui nous intéressent les plus importantes sont les suivantes : "Sur l'information, l'informatisation et la sécurité de l'information" (20.02.95). 5 chapitres de cette loi définissent /* d'habitude pas correctement ni même intelligement */ divers aspects de l'inforamtion et de problèmes relatifs. rien de très spécial ni d'important - droits civils (non-existants), d'autres merdes, mais qui a toujours de la pub (à cause du nom idiot et facile-à-retenir je suppose) et presque tous les journalistes couvrant les ITsec copient ce nom dans leur article, peut-être pour avoir l'air sérieux. "Doctrine nationnale de la sécurité de l'information" (9.9.2K) est bien plus intéressante. Ça vous expliquera à quel point les autoroutes de l'information sont dangereuses, et ce n'est pas comme ces banales histoires d'horreurs des médias de masse - c'est une chose réelle ! Le lecteur saura comment les gouvernements étrangers hostiles sont occupés à implémenter leurs techne3ks de contrôle mental pour r00ter votre conscience; que des groupes inconnus autour du monde passent leur temps dans d'obscures guerres de l'information; que des forces anonymes mais toutes puissantes contrôlent presque l'information ... ARRGGH! PHEAR!!! (Note spéciale des ALIENS : C'est tout à fati vrai. Les terriens sux. On va owner votre planete bientôt et vous donner à tous un chouette job d'industrie lourde). Les valeures libérales sont traitées aussi (le message est "ACHETEZ LA RUSSIE"). Il y a aussi des définitions (partiellements correctes) sur les problèmes d'ITsec. "Sur les informations et la communication du gouvernement fédéral" (19.2.93, complétée le 24.12.93 et le 7.11.2K). Oh oui, celle-ci est sérieuse. Tout le monde est sérieux au sujet de ses propres communications - que puis-je dire ? Le message principal est "LES RESPONSABLES SERONT ARRETÉS. LES AUTRES SERONT LAISSÉS DE CÔTÉ". L'entité intéressante définie ici est le Cryptographic Human Resource - une unité spéciale de professionnels de la cryptographie très qualifiés qui doit être fondée par la FAPSI. Faire partie des Ressources Humaines Cryptographiques permet de servir son pays quand on est à la retraite ou autre. Les droits des personnels de la communication gouvernementale sont aussi couverts. Ils n'ont aucun droit de grève. En gros, ils n'ont aucuns droit de se battres pour leurs droits. Ils n'ont pas le droit de publier dans les média de masse au sujet de leur travail sans la permission d'un supérieur hiérarchique. Les problèmes cryptographiques sont couverts dans "Sur la Certification des outils de sécurité informatique" (26.6.95 revue 23.4.96 et 29.3.99) et "sur la Signature Digitale Électronique" (10.2.02). Rien de plus à dire là dessus. Les deux parlent principalement de définitions solides des procédures de certification. --[ 2. ORDRE. ----[ 2.1. Tactique des perquisitions. Les informations glanées sont nécessaires à une perquisition réussie. La tactique des perquisitions dépend fortement des informations obtenues précédement. Il est nécessaire de définir le moment de la perquisition et des mesures appropriées pour la mener brièvement et dans le secret. S'il y a des chances que l'ordinateur du suspect contiennent des preuves, c'est mieux de commencer la perquisition quand les possibilités que le suspect travaille sur cet ordinateur sont minimes. Consultez un spécialiste pour définir quelles informations pourrait être stockée dans un ordinateur et préparez les techniques adéquations pour copier ces informations. Définissez toutes les mesures pour éviter que le coupable ne détruise les preuves. Trouvez parmis les témoins de la perquisition qui est familier avec les ordinateurs (opérations de base, noms de programmes, ...) pour éviter que les résultats de la perqui puissent être présenté comme faux lors du jugement. La spécificité et la complexité des manipulations d'un ordinateur ne peuvent être comprises par les novices, ceci détruirait les efforts des enquêteurs à renforcer la valeur des preuves. L'incompréhension des témoins sur ce qu'il se passe pourrait faire écarter les preuves par la court. En fonction des qualifications et des compétences professionnelles du suspect, définissez un professionnel technique pour mener l'enquête. À l'arrivée pour la perquisition, il est nécessaire de : entrer vite et soudainement pour éviter au maximum les possibilités de destruction des informations stockées sur ordinateur. Quand c'est possible et raisonnable, le point de fourniture d'énergie devrait être fermé. Ne permettez à personne de toucher les ordinateurs, les disquettes, d'allumer/éteindre les ordinateurs ; si nécessaire, faites quitter l'endroit de la perquisition par le personnel; ne permettez à personne d'allumer et éteindre l'électricité; si l'électricité à été coupée au début de la perquisition, il est nécessaire de débrancher tous les ordinateurs et les périphériques avant de remettre l'électricité; ne manipulez pas les moyens informatiques de quelque manière, ça pourrait mener à des résultats imprévisibles. Après que toutes ces mesures ci-dessus ait été prises, il est nécessaire de pré-examiner les moyens informatiques pour déterminer quels programmes sont en train de fonctionner. Si des programmes de destruction de données sont découvert, ils devraient être arretés immédiatement et l'examination devrait commencer par l'ordinateur concerné. Si les ordinateurs sont connectés en réseau local, il est raisonable de commencer par les serveurs, puis les ordinateurs clients, puis les autres moyens informatics et les sources d'énergie. ----[ 2.2. Examiner un Ordinateur en fonctionnement. Pendant l'examination d'un ordinateur qui fonctionne, il est nécessaire de : - définir quels programmes sont en train d'être exécutés. Ceci doit être fait e nexaminant l'image à l'écran qui doit être décrite en détail dans le procès verbal de perquisition. Si nécessaire, il doit être photographié ou filmé. Arretez les programmes et notifiez le résultat dans le procès verbal, décrivez les changements apparus sur l'écran de l'ordinateur ; - Définissez la présence de périphériques de stockage externes : disque dur (une winchester *), disquettes, lecteur zip, présence de disques virtuels (disques temporaires créés au démarage de l'ordinateur pour augmenter les performances) et décrivez ces données dans le procès verbal ; - Définissez la présence d'accès à des systèmes distants et aussi leur état (connection en réseau local, modme), après avoir déconnecté les ordinateurs, décrivez le résultat dans le procès verbal ; - copiez les programmes et les fichiers des lecteurs virtuels (si présents) vers une disquette ou un autre répertoire du disque dur ; - Éteignez l'ordinateur et continuez de l'examiner. Pendant celà, il est nécessaire de décrire dans le procès verbal et documents annexes le placement des ordinateurs et des périphériques (imprimante, modem, clavier, écran, ...), l'utilité de chaque périphérique, nom, numéro de série, configuration (présence de lecteur de disque, cartes réseaux, slots, ...), présence de connection en réseau local et (ou) de réseaux de télécommunication, état des périphériques (fermés ou ouverts) ; - Décrivez exactement l'ordre d'interconnection des périphériques mentionnés, marquez (si nécessaire) les cables de connection et les prises, et déconnectez les périphériques. - Définissez, avec l'aide d'un spécialiste, la présence d'appareils non-standards dans les ordinateurs, l'absence de circuits imprimés, désactivation de sources d'énergie internet (un accumulateur) ; - Empaquetez (décrivez l'endroit où ils ont été trouvés dans le procès verbal) les disques de stockage et les bandes. Le conteneur peut être des boites spéciales pour disquettes, du simple papier ou des sacs en plastiques, exluez tout ce qui peut ne protège pas les disques ou les bandes de la poussière ; - Emballez tous les périphériques et cables de connections. Pour éviter tout accès privé indésirable, il est nécessaire de placer des scellés sur les blocs systèmes - collez le bouton d'allumage et la prise d'énergie avec du papier collant et colez les éléments d'assemblage des panneaux avant et des côtés (visses, ...) aussi. S'il est nécessaire de rallumer l'ordinateur pendant l'examination, le démarrage doit être fait avec une disquette de démarrage séparée, pour éviter que les programmes de l'utilisateur ne démarrent. * winchester - un terme technique tandance maintenant obsolete pour les disques durs. Vient apparement de l'ouest mais je ne l'ai jamais vu dans des sources occidentales. L'abbréviation commune est "wint". ----[ 2.3. Expertise Assignment. L'expertise est une partie importante de l'enquête dans ce genre de cas. La partie générale et la plus importante de ce genre d'expertise est l'expertise des programmes (les moyens informatiques). Le MVD n'a pas d'experts pour conduire ce genre d'expertises pour l'instant, donc, il est possible de faire ce genre d'expertises dans la FAPSI ou d'impliquer des spécialists adéquats d'autres organisations. L'expertise des programmes technique consiste à répondre aux questions suivantes : - Quelles informations contiennent les disquettes et les blocs systèmes présentés à l'expertise ? - Quel est leur but et leur utilisation possible ? - Les disquettes et les blocs systèmes contiennent quels programmes ? - Quel est leur but et leur utilisation possible ? - Y-a-t-il des fichiers textes dans les disquettes et les blocs systèmes ? - Si oui, quel est leur contenu et leur utilisation possible ? - Y-a-t-il des informations détruites sur les disquettes et blocs systèmes ? - Si oui, est-ce possible de la retrouver ? - Si oui, quel est cette information et son utilisation possible ? - Quels sorties de programmes contiennent les disquettes ? - Quel est leur contenu et leur utilisation possible ? - Parmis ces programmes, y-en a-t-il un personnalisé pour trouver des mots de passes ou récupérer des accès réseaux non-autorisés ? - Si oui, quel est leur nom, spécifications, possibilités d'utilisation pour pénétrer des réseaux définis ? - Y-a-t-il des preuves d'utilisation de ces programmes contre les réseaux mentionnés ? - Si oui, quelles sont-elles ? - Quelle est la séquence chronologique pour lancer ces programmes ou pour mener de telles opérations ? - Est-ce possible de modifier les fichiers des programmes pendant qu'on travaille sur un ordinateur du réseau ? - Si oui, quelles modifications peuvent-elles êtres faites et à partir de quel ordinateur ? - Est-il possible d'avoir accès à des informations confidentielles à travers ces réseaux ? - Comment un tel accès peut-être obtenu ? - Comment l'intrusion des ordinateurs en réseau local a été commise ? - Quelles sont les preuves de telles intrusions ? - Si cette intrusion implique un accès distant, comment identifier ces ordinateurs sources ? - S'il n'y a pas de preuve, est-ce possible peut-on savoir à partir de quel ordinateur ces opération peuvent être effectuées ? Des questions peuvent être posées sur la compatibiltiés de tels programmes ; les possibilités de lancer un programme sur tel ordinateur, ... En plus de celles-ci, l'expert peut être interrogé sur le but de tel ou tel périphérique : - Quel est le but de tel périphérique, et les utilisations possibles ? - Qu'y a-t-il de spécial dans sa construction ? - Quelles parties le forment ? - Est-ce industriel ou fait-maison ? - Si c'est fait-maison, quel genre de connaissances et quel type de science et technologies doit posséder son créateur, quel est son niveau professionnel ? - Avec quel autre périphérique peut-il être utilisé ? - Quels sont les spécifications techniques de tel périphérique ? Ces recommandations méthodiques sont loin d'une liste complète de questions qui peuvent être posées lors d'une enquête mais reflètent quand même les aspects importants de ce type d'enquête criminelle. * MVD (Ministry of Inner Affairs) - Ministère de l'intérieur, les forces de polices Russes. CREDITS J'aimerais mentioner stiss et le groupe BhS pour leur contribution à cet article. --[ Notes du traducteur : NDT-1 : Bustés, en anglais busted, intraduisible. Signifie arreté, interrogé par les flics, voir jusqu'à la perquisition, ... Avec ou sans condamnation. NDT-2 : Dans le texte : Computer Crime Unit, équivalent de la BEFTI française et de la National Computer Crime Unit (NCCU) en Belgique, ...