Ivan Moiseev, [28.04.18 21:48]

185.126.180.189:1000



Ivan Moiseev, [28.04.18 21:49]

А что это у Ростелекома голой жопой наружу торчит?



Vladislav Grishenko, [28.04.18 21:49]

[In reply to Ivan Moiseev]

ханипот, тщ майор? )



счётчики «telegram» везде показывают ноль (эти снифферы вряд ли используются РКН для охоты за Telegram)

паттерн трафика самый обыкновенный — пик потребления к вечеру, когда люди приходят с работы, и глубокое падение ночью, когда потребители спят. Например, точно такой же график можно увидеть на точке обмена MSK-IX



объем трафика на порядки меньше, чем на той же MSK-IX

Что там ещё припасено

Утечка данных

гиперссылка

логин

MAC-адрес

имя интерфейса

IP-адрес указывает на Дагестан

номера телефонов из Shodan после прогона через Avito дают Хасавюрт и Махачкалу

роутеры иногда переезжают вместе с хозяевами, но пробив по открытым базам MAC-адресов даёт удивительную точность — 40 адресов из 100 указывают на село Новосельское

как упоминалось выше, график трафика не характерен для 8-часового рабочего дня

не было заметного снижения трафика 1-2 мая

Подводим итоги

На конференции Chaos Constructions 2019 Леонид Евдокимов (@mathemonkey) рассказал об утечке данных, произошедшей благодаря СОРМ (система технических средств для обеспечения функций оперативно-розыскных мероприятий, внедрение которой под угрозой отзыва лицензии обязан согласовывать каждый провайдер в России).Всё началось 28 августа 2018 года с невинного вопроса в Telegram-чате Nag.Ru Вскоре был найден ещё один адрес, где тоже крутилась статистика работы какого-то сниффера:Внимание сразу привлекает поле «telegram», тем более, что как раз в это время Роскомнадзор отчаянно пытался блокировать Telegram, попутно заблокировав свыше десятка миллионов IP-адресов Amazon Вооружившись сканером zmap, Леонид нашёл ещё ряд подобных адресов и несколько дней собирал с них статистику. Выяснилось:Отсюда можно сделать первый вывод: это не honeypot/отладочный стенд, а некое оборудование, слушающее «живой» пользовательский трафик.Один из разработчиков «МФИ-Софт» заявил, что это корпоративные системы безопасности:В то же время сотрудник одного из провайдеров подтвердил, что это интерфейс оборудования СОРМ производства «МФИ-Софт» и выразил обеспокоенность — при покупке производитель не сообщил о такой «фиче»:На некоторых адресах висели публичные FTP-серверы с разными пакетами, в том числе postgresql, Elasticsearch и библиотека leaflet для визуализации геоданных:Кроме FTP найдены Samba, PostgreSQL, Elasticsearch, NFS. Не все они были обновлены до актуальных версий, а устаревшие версии, как известно, содержат уязвимости. Впрочем, Леонид не рискнул раскручивать уязвимости на оборудовании, используемом ФСБ.Самое страшное, что кроме цифр утекли ещё и буквы.Во-первых, по IP-адресам оборудования можно представить его расположение: поможет GeoIP, знание скорости распространения сигнала до известных узлов, регион работы провайдера.Например, проделаем это для IP-адреса 109.237.224.27109.237.224.27 ⇉ ООО Квант , Зарайск… ⇉ AS50449 ⇉ LLC Kvant Zaraysk… ⇉ MaxMind ⇉ Zaraysk, Moscow Oblast… ⇉ Ping 1ms ⇉ Зарайский районПосмотрим на карточку одного из снифферов в Shodan Видим немало:Кроме этого из логов удалось вытащить номера телефонов, адреса электронной почты, географические координаты от погодных приложений и трекеров (которые вдобавок передают IMEI аппарата и MAC-адреса ближайших точек доступа), номера ICQ (зачастую рядом с номером шло имя пользователя).С такими данными нетрудно установить чей именно это трафик. Например, можно взять сниффер 185.126.180.189, с которого всё началось:Другой пример: cреди перехваченных координат большая часть указывает на город Саров. Собранные номера ICQ присутствуют в саровском ICQ-листе , а перехваченные номера телефонов встречаются в газете «Колючий Саров» . Координаты равномерно распределены по всему городу. Координаты Wi-Fi точек, чьи MAC-адреса были перехвачены, тоже усеивают весь город:Вишенка на торте: в логах были заголовки с темами электронных писем (!) СаровБизнесБанка, подрядчиков Российского федерального ядерного центра, Всероссийского научно-исследовательского института экспериментальной физики.Наконец:Это очень похоже на сниффер, который обрабатывает трафик всех саровских абонентов провайдера, а не подразделение корпорации.И остаётся открытым вопрос, зачем в качестве вендора в пакетах, лежащих на публичном FTP-сервере, поднятом на публично доступных узлах, указана «МФИ-Софт», если это не её продукты, а какие-то корпоративные системы? Как гласит утиный тест , «если нечто выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, утка и есть», а эти снифферы — часть СОРМа от «МФИ-Софт».Обо всём было сообщено «МФИ-Софт», но компания не отреагировала. Больший эффект дала рассылка писем по abuse-ящикам провайдеров — целых 5 снифферов исчезли из общего доступа. Осталось 25. Некоторые снифферы после исчезновения возвращались, когда сотрудникам вендора нужно было получить к ним удалённый доступ:Спустя год снифферы можно было найти уже даже не специализированными поисковиками, а через обычный поиск Google. Через полтора года 6 из них всё ещё были доступны . Закрылись они только после того, как эта информация попала в публичный доступ.Выводы делайте сами.Использованные материалы: