wrangler65
Модератор
Общий принцип работы МВД в делах с «компьютерными» преступлениями
МВД РФ выстроило систему деанонимизации по принципу:технический след ➝ связь с человеком ➝ доказательство вины.
Работают по цепочке: от IP, номера или карты — до личности, а дальше — сбор доказательной базы.
Что и как именно ищут: механика цифрового следствия МВД
1. IP-адреса и абонентская информация
Как МВД получает IP и сопутствующие данные:
| Источник запроса | Что запрашивается у провайдера | Что получают следователи |
|---|---|---|
| Операторы связи | По IP: кто пользовался, когда, с какого устройства | ФИО, адрес, серия SIM, IMEI, MAC, геолокация |
| Wi-Fi в отелях/кафе | DHCP-логи, MAC, timestamp подключения | Привязка IP к MAC и времени |
| DPI (deep packet inspection) | По постановлению могут анализировать трафик | Протоколы, метаданные, частично содержимое (в РФ DPI развит) |
Пример сценария:
1. Установлен IP → запрос в МТС2. Ответ: SIM-карта + IMEI + MAC → геолокация и точка доступа
3. Дальше — сверка с видеонаблюдением (вход в ТЦ, банкомат, точка Wi-Fi)
2. Лог-файлы провайдеров и онлайн-сервисов
МВД массово обращается за логами в следующие структуры:
| Категория сервиса | Что именно запрашивается | Примеры компрометации |
|---|---|---|
| VPN (в том числе «no-logs») | IP клиента, время сессии, exit-IP, платёжные данные | Многие “no logs” сохраняют журналы входа и оплаты |
| Соцсети и мессенджеры | Логи авторизации, IP, девайсы, email/телефон | VK, Telegram (при запросе ФСБ), Google, Apple |
| Платёжные шлюзы | Email, номер карты, IP, сумма, комментарий | QIWI, YooMoney, WebMoney, банки |
| TOR (exit-ноды) | Отслеживаются входящие запросы на чувствительные ресурсы | Возможна deanonymization на этапе выхода |
Как это используется:
- IP клиента → VPN (например, Mullvad) → входной IP в Tor → сопоставление таймингов;
- Email с регистрацией на бирже → лог в Telegram → имя, контакты, фото;
- Покупка VPN за BTC → адрес кошелька → анализ цепочки на блокчейне.
3. Банковская активность
| Инструмент контроля | Что отслеживается | Где компромат |
|---|---|---|
| АБС (Автоматизированная банковская система) | IP входа, устройство, действия клиента | Интеграция со СК МВД |
| Системы KYC | Фото, паспорт, биометрия, IP при регистрации | Привязка аккаунта к личности |
| ATM и POS-терминалы | Камеры, запись времени, распознавание лиц | Видео с камер, синхронизация по времени |
| Мониторинг P2P и обменов | Повторяющиеся адреса, нестандартные суммы | Банки формируют “чёрные списки” |
4. Анализ содержимого устройств
| Действие эксперта | Цель | Что может быть найдено |
|---|---|---|
| RAM-дамп | Извлечение незашифрованных ключей, паролей, сессий | Авторизация в Telegram, браузере |
| Анализ SQLite и кешей | История браузера, чаты, cookie | Доступ к аккаунтам и логинам |
| Forensic toolkits (XRY, Cellebrite) | Полный дамп устройства, включая удалённые файлы | Фото, EXIF, удалённые сообщения |
| Анализ автозагрузки | Какие VPN, клиенты Tor и прочее использовались | Использование средств анонимности может быть уликой |
Что делает устройство уязвимым:
- Приложения без шифрования;
- Сохранённые пароли;
- Файлы cookie от банков, email, Telegram;
- Кэш-снимки экранов (даже в RAM);
- Скрытые папки от Telegram Desktop и мобильных мессенджеров.
5. Поведенческий и лингвистический анализ
| Параметр | Как используется МВД | Что можно выдать |
|---|---|---|
| Время активности | Строят хронику действий: спишь — не спишь | Привязка к часовому поясу, режиму |
| Повторяющиеся паттерны | Одни и те же логины, ники, пароли | Сопоставление аккаунтов |
| Стиль письма | Орфография, сленг, структура фраз | Профилирование, регион, возраст |
| Социальные связи | С кем общаешься, когда и как | Сеть контактов и возможные соучастники |
| Устройства и отпечатки браузера | Canvas, WebGL, шрифты, системные параметры | Привязка к fingerprint |
Частые ошибки, которые ведут к раскрытию личности
- Использование одного и того же устройства для разных задач;
- VPN без мультихопа или с утечками WebRTC;
- Вход под реальным именем/данными хотя бы один раз;
- Использование банковских карт, Sim-карт и почт на реальные ФИО;
- Использование публичных Wi-Fi без MAC spoofing и изоляции;
- Использование Telegram, WhatsApp, Discord без прокси и burner-номеров;
- Фото с метаданными (EXIF);
- Вход в Tor через обычный браузер;
- Использование одной криптокошелька на нескольких площадках.
Как быть анонимным по максимуму (примерная модель поведения)
1. Аппаратная изоляция
- Только устройства, которые никогда не подключались к вашим реальным данным;
- Желательно: ThinkPad с coreboot / Libreboot, LiveUSB-сессии, смартфоны без SIM (или кастомный GrapheneOS);
- Никаких «старых айфонов» — они работают против вас.
2. Операционные системы
| Название ОС | Тип и модель безопасности | Уровень анонимности | Уязвимости / риски | Комментарий |
|---|---|---|---|---|
| Tails | LiveOS, всё через Tor | Очень высокий | Слабая защита от эксплойтов браузера, JS-атаки, fingerprinting через Tor Browser | Не сохраняет следы, безопасна при разовом использовании. Не рекомендуется для постоянной работы. |
| Whonix | Изоляция через 2 VM: шлюз+рабочая | Очень высокий | Уязвимость на уровне гипервизора (VirtualBox/KVM), Tor DNS leaks при неправильной настройке, fingerprint через Tor Browser | Требует ресурсов, идеален при правильной конфигурации. Изоляция задач по VM. |
| Qubes OS | Micro-VM isolation, compartmentalization | Высокий | Требует железа с VT-d/VT-x, сложная настройка, OPSEC ошибки между доменами | Лучший вариант для параноиков. Поддержка шаблонов с Whonix, Fedora, Debian и т. д. |
| Kodachi Linux | Ubuntu-based, VPN+Tor+DNSCrypt по умолчанию | Средний | VPN доверенный, DNS-утечки, не подходит для длительной OPSEC, плохо документирован код | Подходит для новичков. Но не даёт реальной изоляции. Использует Tor ненадежно (может соединяться вне Tor). |
| Tinfoil OS | Специализированная сборка под Tails + Hardened Kernel | Высокий | Сложен в установке, редкие обновления, несовместимость с частью оборудования | Подходит для продвинутых, требует Linux-опыта. |
| PureOS (Librem) | Debian-based, FOSS only | Средний | Централизованный репозиторий, Tor не встроен, уязвим при обычной настройке | Используется с аппаратами Purism. Требует доработки под OPSEC. |
| GrapheneOS | Android с усиленной безопасностью | Высокий | Нет встроенного Tor, зависимость от Android-приложений и сервисов (если неправильно настроен) | Отличный вариант для смартфонов, если правильно отключены Google-сервисы и включён sandbox. |
| Linux LiveCD (напр. Arch, Debian) | На флешке, без следов | Низкий–средний | Завязаны на пользователя, легко ошибиться с сетевыми настройками, DNS, модули kernel могут «светить» железо | Только для опытных пользователей. Без Tor — не анонимно. |
| Windows + VPN/Tor | Legacy, несвободная система | Низкий | Отправка телеметрии, подписанные сертификаты, DPI-утечки, системные идентификаторы (SID, GUID, MAC) | Не используется для анонимности. Даже с Tor небезопасно. |
- Whonix: защита на уровне VM, но уязвима к гипервизорным атакам, side-channel, fingerprinting через Tor Browser. Не закрывает сам факт использования Tor.
- Tails: уязвима к 0-day в Tor Browser, а также плохо защищена от эксплуатации JS. После загрузки никаких логов, но уязвима при перезапуске с тем же оборудованием.
- Kodachi: маркетинг выше, чем реальная анонимность. Использует VPN перед Tor, что делает deanonymization через MITM или уязвимый VPN-узел реальным. Обновления нестабильны.
- Qubes OS: считается золотым стандартом compartmentalization, но сложен в освоении и настройке. Ошибка пользователя (например, общий буфер обмена) обнуляет все усилия.
- GrapheneOS: требует полное понимание Android-системы. Безопасность зависит от выключения Wi-Fi, Bluetooth, IMSI Catcher Protection, и использования App Sandbox.
- Для разовых задач: Tails.
- Для долгосрочной анонимной работы: Qubes + Whonix Template.
- Для смартфона: GrapheneOS без SIM и с VPN через Orbot/OrWall.
- Nikto из Kodachi не делает OPSEC-гения. Это скорее ISO для ленивых.
3. Сеть и интернет
- Никогда не используем прямое подключение ➝ только цепочки:
- Wi-Fi чужой / анонимная eSIM(можно даже ебануть антену, и пиздить инет из ближайшего тц ➝ VPN (оплачен Monero) ➝ TOR ➝ I2P (по ситуации);
- VPN только с мультихопом и без логов: Mullvad, iVPN, 1984VPN;
- DNS-over-TLS / DNSCrypt / DNS через Tor — обязательно;
- Полный запрет WebRTC, Canvas, JS (uMatrix, NoScript).
4. Мессенджеры
| Session | Decentralized (LokiNet) |  Нет | Да | Очень высокий | Без номеров, ID, IP-логов |
| Briar | P2P / Mesh | Нет | Да | Очень высокий | Работает даже без интернета, Bluetooth/Wi-Fi |
| SimpleX | Custom P2P | Нет | Да | Очень высокий | Нет ID и серверов, не требует регистраций |
| Tox | P2P / DHT | Нет | Да | Очень высокий | Прямая связь между узлами, но зависит от IP |
| Wickr Me | Centralized (AWS) | Нет | Да | Высокий | Логов нет, но проект закрыт в 2023 г. (частично работает) |
| Wire | Centralized (EU) | Нет (email можно) | Да | Средний | Прозрачный исходный код, но сервера централизованные |
| Jami | P2P / OpenDHT | Нет | Да | Очень высокий | Без серверов, open-source, для звонков и чатов |
| Wipple (Wiphl) | P2P (i2p + onion) | Нет | Да | Очень высокий | Новое решение, оборачивает Tor/i2p трафик |
| Jabber (XMPP) + OMEMO/OTR | Federated (сервера) | Нет | Зависит от клиента | Средний | Завязан на доверие к серверу, нужен правильный клиент и конфиг |
| Telegram | Centralized |  Да | Только Secret Chats | Низкий | Не для анонимности, phone-based, логи и связь с IP |
- Session, Briar, Tox, SimpleX — топ для анонимности без номеров.
- Jabber — пригоден только с собственным сервером и OTR/OMEMO (лучше через Tor).
- Wickr и Wire — как fallback, но не как основа.
- Telegram — исключён из средств анонимности, используется только зашифрованно через Proxy+Burner+сниффинг.
5. Электронная почта
- Только с анонимной регистрацией через Tor и временные адреса:
- ProtonMail через Tor
- Tutanota через Tor
- CTemplar (если доступен)
Крипта
- Monero (XMR) — №1 по анонимности, всегда используйте локальные кошельки (Feather, Monerujo, Cake).
- Zano — аналогично Monero, но с улучшенным микшированием.
- Bitcoin только через миксеры — Samourai, JoinMarket, Whirlpool.
- Не палитесь на P2P: используйте локальные сделки, OTC, посредников или Multisig-сценарии.
Инструменты для безопасной крипты
| Цель | Инструмент | Комментарий |
|---|---|---|
| BTC-кошелек | Electrum, Sparrow | Удобный интерфейс, SegWit, PSBT |
| XMR-кошелек | Feather, Cake, Monerujo | Только локальные, без логинов |
| Обмен XMR ↔ BTC | MorphToken, FixedFloat, SideShift, Haveno | Без KYC, Tor-friendly |
| Tor + кошельки | Tor bridges + Whonix | Никаких clearnet соединений |
| Вывод в фиат | LocalMonero, P2P, кэш | Никогда не выводи на карты с реальными ФИО |
Отмывание цифрового следа
Связка: BTC → XMR → BTC или рубли
Electrum Wallet (BTC)
→ Atomic Wallet или Haveno (BTC → XMR)
→ Monero Wallet (Feather / Cake / Monerujo)
→ Обменник (XMR → BTC)
→ Вывод в рубли или новое хранилище
Почему это работает
- BTC полностью прозрачен. Любой перевод можно отследить.
- XMR полностью непрозрачен. Все транзакции зашифрованы. Нет ни отправителя, ни суммы, ни получателя.
- После обратного обмена XMR на BTC:
- Ты получаешь BTC, у которого нет связей с предыдущим следом;
- Его можно использовать для покупки, вывода, или перевода без блокировок и флагов.
Как это выглядит на практике
- Заводишь BTC в Electrum — любой кошелек с реальным следом.
- Через Atomic Wallet / Haveno / LocalMonero — конвертируешь в XMR.
- В XMR-кошельке (желательно локальном) ты держишь «чистый актив».
- Выводишь обратно через обменник (не биржу!) на новый BTC-адрес или в кэш.
Связка BTC → XMR → BTC/₽ — один из немногих надежных способов «сбросить хвост» своих средств. Если не совершаешь логических ошибок, твой «новый» BTC не вызовет вопросов:
- Ни у обменника;
- Ни у банка;
- Ни у следователя, даже если он дёрнет логи.
Главное — гигиена: новая сессия, новая цепочка, новое окружение, без повторений.
Где ошибаются новички
- Используют биржу для BTC-XMR обмена → Binance и пр. логируют всё.
- Отправляют XMR обратно на тот же BTC-кошелек → цепочка сохраняется.
- Используют один и тот же адрес/вход с Tor → deanonymization.
- Не очищают метаданные (cookie, JS, fingerprint) при каждом этапе.
