Начнем с нашей старой доброй игры в представителя спецслужб и хакера, которого надо вычислить. Хакер, разумеется, умен и использует Tor. Вы, наверное, знаете, что спецслужбы для вычисления хакеров широко используют активную деанонимизацию, отправляя файл, который при открытии незаметно передает на сервера данные об IP-адресе. Мы научим и вас в рамках курса делать такие файлы.

Как это работает? Никакой магии, каждый файлик имеет свой ID и после открытия соединяется с сервером. В итоге на сервер приходят данные с ID файлика и все, а вот адрес, откуда данные приходят, и есть IP-адрес хакера. Если файлик всего один, не нужен даже ID.

Файлик не вызовет у жертвы подозрений, это будет самая обычная картинка, Word или pdf-документ. Разумеется, необходимо как-то смотивировать хакера открыть этот файл, но это уже вопрос навыков социальной инженерии.

Почему это работает? Эту функцию непросто отследить и блокировать, так как исходящие запросы к серверу абсолютно легитимны и не представляют угрозы простым пользователям... Простым пользователям, но не хакеру, личность которого хотят установить.

Итак, вы отправляете хакеру файл, он качает его через Tor браузер, проверяет на сайте Virustotal, открывает в виртуальной системе и ... для него игра окончена, он спалился. Разумеется, файлик тайно отправит данные в обход сети Тор, вероятно, хакер так никогда и не узнает, где он ошибся и как его вычислили. А нам останется только проверить по IP-адресу, где сейчас находится хакер.

Спасти хакера от такой участи может полная блокировка всех интернет-соединений в песочнице, ведь в таком случае файлик не сможет ничего отправить, "строгий" firewall с VPN или использование Whonix – виртуальной операционной системы, о которой пойдет речь в этой главе.

Правильно, наверное, говорить «виртуальные операционные системы», потому как Whonix состоит из двух виртуальных систем: Whonix-Workstation, рабочий стол, – система, из которой ведется работа, и Whonix-Gateway, шлюз, через который идет весь интернет-трафик. Их объединяет соединение типа «мост».

Немного сухой теории. Соединение типа «мост» ‒ это способ соединения двух и более сегментов сети на канальном уровне без использования протоколов высокого уровня, таких как IP-адреса. Пакеты передаются на основе ethernet-адресов, без использования IP.