К основному контенту

Как СОРМ сливает наши с вами данные всем желающим

https://ic.pics.livejournal.com/sosedgeorg/74674032/529445/529445_600.jpg
На конференции Chaos Constructions 2019 Леонид Евдокимов рассказал об утечке данных, произошедшей благодаря СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий, внедрение которой под угрозой отзыва лицензии обязан согласовывать каждый провайдер в России).

Всё началось 28 августа 2018 года с невинного вопроса в Telegram-чате Nag.Ru:

Ivan Moiseev, [28.04.18 21:48] 185.126.180.189:1000
Ivan Moiseev, [28.04.18 21:49]
А что это у Ростелекома голой жопой наружу торчит?
Vladislav Grishenko, [28.04.18 21:49]
[In reply to Ivan Moiseev]
ханипот, тщ майор? )

Вскоре был найден ещё один адрес, где тоже крутилась статистика работы какого-то сниффера:





Внимание сразу привлекает поле «telegram», тем более, что как раз в это время Роскомнадзор отчаянно пытался блокировать Telegram, попутно заблокировав свыше десятка миллионов IP-адресов Amazon.

Вооружившись сканером zmap, Леонид нашёл ещё ряд подобных адресов и несколько дней собирал с них статистику. Выяснилось:
  • счётчики «telegram» везде показывают ноль (эти снифферы вряд ли используются РКН для охоты за Telegram)
  • паттерн трафика самый обыкновенный — пик потребления к вечеру, когда люди приходят с работы, и глубокое падение ночью, когда потребители спят. Например, точно такой же график можно увидеть на точке обмена MSK-IX
  • объем трафика на порядки меньше, чем на той же MSK-IX
Отсюда можно сделать первый вывод: это не honeypot/отладочный стенд, а некое оборудование, слушающее «живой» пользовательский трафик.

Один из разработчиков МФИ-Софт заявил, что это корпоративные системы безопасности:

В то же время сотрудник одного из провайдеров подтвердил, что это интерфейс оборудования СОРМ от МФИ-Софт и выразил обеспокоенность — при покупке производитель не сообщил о такой «фиче»:

Что там ещё припасено

На некоторых адресах висели публичные FTP-серверы с разными пакетами, в том числе postgresql, Elasticsearch и библиотека leaflet для визуализации геоданных:

Кроме FTP найдены Samba, PostgreSQL, Elasticsearch, NFS. Не все они были обновлены до актуальных версий, а устаревшие версии, как известно, содержат уязвимости. Впрочем, Леонид не рискнул раскручивать уязвимости на оборудовании, используемом ФСБ.

Утечка данных

Самое страшное, что кроме цифр утекли ещё и буквы.

Во-первых, по IP-адресам оборудования можно представить его расположение: поможет GeoIP, знание скорости распространения сигнала до известных узлов, регион работы провайдера.

Например, проделаем это для IP-адреса 109.237.224.27

109.237.224.27 ⇉ ООО Квант, Зарайск
… ⇉ AS50449 ⇉ LLC Kvant Zaraysk
… ⇉ MaxMind ⇉ Zaraysk, Moscow Oblast
… ⇉ Ping 1ms ⇉ Зарайский район

Посмотрим на карточку одного из снифферов в Shodan:



Видим немало:
  • гиперссылка
  • логин
  • MAC-адрес
  • имя интерфейса
Кроме этого из логов удалось вытащить номера телефонов, адреса электронной почты, географические координаты от погодных приложений и трекеров (которые вдобавок передают IMEI аппарата и MAC-адреса ближайших точек доступа), номера ICQ (зачастую рядом с номером шло имя пользователя).

С такими данными нетрудно установить чей именно это трафик. Например, можно взять сниффер 185.126.180.189, с которого всё началось:
  • IP-адрес указывает на Дагестан
  • номера телефонов из Shodan после прогона через Avito дают Хасавюрт и Махачкалу
  • роутеры иногда переезжают вместе с хозяевами, но пробив по открытым базам MAC-адресов даёт удивительную точность — 40 адресов из 100 указывают на село Новосельское
Другой пример: cреди перехваченных координат большая часть указывает на город Саров. Собранные номера ICQ присутствуют в саровском ICQ-листе, а перехваченные номера телефонов встречаются в газете «Колючий Саров». Координаты равномерно распределены по всему городу. Координаты Wi-Fi точек, чьи MAC-адреса были перехвачены, тоже усеивают весь город:





Вишенка на торте: в логах были заголовки с темами электронных писем (!) СаровБизнесБанка, подрядчиков Российского федерального ядерного центра, Всероссийского научно-исследовательского института экспериментальной физики.

Наконец:

  • как упоминалось выше, график трафика не характерен для 8-часового рабочего дня
  • не было заметного снижения трафика 1-2 мая

Всё это не согласуется с версией про какой-то корпоративный офис или отделение. Это очень похоже на сниффер, который обрабатывает трафик всех саровских абонентов провайдера.

Подводим итоги

Обо всём было сообщено МФИ-Софт, но компания не отреагировала. Больший эффект дала рассылка писем по abuse-ящикам провайдеров — целых 5 снифферов исчезли из общего доступа. Осталось 25. Некоторые снифферы после исчезновения возвращались, когда сотрудникам МФИ-Софт нужно было получить к ним удалённый доступ:



Спустя год снифферы можно было найти уже даже не специализированными поисковиками, а через обычный поиск Google. Через полтора года 6 из них всё ещё были доступны. Закрылись они только после того, как эта информация попала в публичный доступ.

Выводы делайте сами.

Популярное

Пробив информации. Osint-ресурсы.

Думаю что эта подборка будет полезна и вам, список ресурсов не всеобъемлющий по этому всем кому есть что добавить, добро пожаловать в коментарии. Поиск По Фотографиям Поиск по лицу: FindTwin face search demo + @VkUrlBot Face search • PimEyes Betaface free online demo - Face recognition, Face search, Face analysis VK.watch – история профилей ВКонтакте Поиск первоисточника картинки и всех доменов где она хоститься: TinEye Reverse Image Search Reverse image search for images and video - Berify.com Search by image | Reverse Image Search on Google 2019 Reverse Image Search - Search By Image Reverse Image Search - Find Similar Photos Online Karma Decay - Reverse image search of Reddit.com Поиск фото по геометкам в социальных сетях: Поиск фото по геометкам в соц. сетях Поисковик фотографий с привязкой к геолокации Другое: Поиск по фото мошенников и фейков Поисковые Cистемы Людей Мир: Free People Search | PeekYou https://pipl.com/
Подробнее ... >>

Скрытые функции поисковика DuckDuckGo

Если пoисковик DuckDuckGo кому-то и известен, то в первую очередь в связи с повышенной приватностью. В отличие от Google или «Яндекса» он не собирает данные о пользователях, но и результаты у него не такие же хорошие. Однако стоит копнуть глубже, и оказывается, что это мощнейший инструмент, способный значительно облегчить и ускорить извлечение информации из Сети. Начнем с того, что на самом деле DDG — не совсем поисковик. Вернее даже, совсем не поисковик, а этакий агpегатор ответов с разных поисковиков. В своей работе он использует поисковую выдачу Yahoo, Bing, Yummly, «Яндекса», «Википедии» и сотен других «надежных» источников. Такая особенность делает DDG очень точным, если источники содержат информацию именно по этому запросу. Он легко выдает исчерпывающие ответы на запросы типа «linux df», «долгая счастливая жизнь», «Java InterruptedException» или даже «is it raining». Но как только ты введешь что-то более сложное, что-то, чего не окажется в источниках DDG,
Подробнее ... >>

Пишем бот для рыбалки в игре Albion Online на языке Python (Albion Online Fishing bot)

import numpy as np import cv2 from mss.linux import MSS as mss from PIL import Image import time import pyautogui as pg import imutils import mss import numpy import pyautogui template = cv2.imread("2019-07-02_06-55_1.png", cv2.IMREAD_GRAYSCALE) w, h = template.shape[::-1] color_yellow = (0,255,255) mon = {'top': 80, 'left': 350, 'width': 100, 'height': 100} def process_image(original_image):     processed_image = cv2.cvtColor(original_image, cv2.COLOR_BGR2GRAY)     processed_image = cv2.Canny(processed_image, threshold1=200, threshold2=300)     return processed_image def ss():     op = 1     with mss.mss() as sct:         monitor = {"top": 40, "left": 0, "width": 800, "height": 640}         while "Screen capturing":             last_time = time.time()             img = numpy.array(sct.grab(monitor))             gray_frame = cv2.cvtColor(img, cv2.COLOR_BGR2GRAY)             res = cv2.matchTem
Подробнее ... >>