На конференции https://chaosconstructions.ru/ Леонид Евдокимов (@mathemonkey) рассказал об утечке данных, произошедшей благодаря https://ru.wikipedia.org/wiki/%D0%A1%D0%9E%D0%A0%D0%9C(система технических средств для обеспечения функций оперативно-розыскных мероприятий, внедрение которой под угрозой отзыва лицензии обязан согласовывать каждый провайдер в России).
Всё началось 28 августа 2018 года с https://t.me/nag_public/310698 в Telegram-чате https://t.me/nag_public:
http://image.prntscr.com/image/SHtF-...IuUzJLySiw.png
Вскоре был найден ещё один адрес, где тоже крутилась статистика работы какого-то сниффера:
http://image.prntscr.com/image/8svXG...ys1z2AtL4A.png
http://image.prntscr.com/image/3sItg...B1N-nsaudA.png
Внимание сразу привлекает поле «telegram», тем более, что как раз в это время Роскомнадзор отчаянно пытался блокировать Telegram, попутно https://habr.com/en/post/419567/.
Вооружившись сканером zmap, Леонид нашёл ещё ряд подобных адресов и несколько дней собирал с них статистику. Выяснилось:
счётчики «telegram» везде показывают ноль (эти снифферы вряд ли используются РКН для охоты за Telegram)
паттерн трафика самый обыкновенный — пик потребления к вечеру, когда люди приходят с работы, и глубокое падение ночью, когда потребители спят. Например, точно такой же график можно увидеть на точке обмена https://ru.wikipedia.org/wiki/MSK-IX
http://image.prntscr.com/image/UqhpV...6wTTFpz0NQ.png
<ul><li>объем трафика на порядки меньше, чем на той же MSK-IX</li>
</ul>
Отсюда можно сделать первый вывод: это не honeypot/отладочный стенд, а некое оборудование, слушающее «живой» пользовательский трафик.
Один из разработчиков «МФИ-Софт» заявил, что это корпоративные системы безопасности:
http://image.prntscr.com/image/X5Cad...iwfXNtWXgA.png
http://image.prntscr.com/image/aXrGZ...QI4w_BpZ7g.png
http://image.prntscr.com/image/vjLXM...3-LVlGQ_oA.png
В то же время сотрудник одного из провайдеров подтвердил, что это интерфейс оборудования СОРМ производства «МФИ-Софт» и выразил обеспокоенность — при покупке производитель не сообщил о такой «фиче»
http://image.prntscr.com/image/zBE2a...-mttyb9_hw.png
Что там ещё припасено
На некоторых адресах висели публичные FTP-серверы с разными пакетами, в том числе postgresql, Elasticsearch и библиотека leaflet для визуализации геоданных:
http://image.prntscr.com/image/yf1H9...cOvIdjB5uw.png
Кроме FTP найдены Samba, PostgreSQL, Elasticsearch, NFS. Не все они были обновлены до актуальных версий, а устаревшие версии, как известно, содержат уязвимости. Впрочем, Леонид не рискнул раскручивать уязвимости на оборудовании, используемом ФСБ.
Утечка данных
Самое страшное, что кроме цифр утекли ещё и буквы.
Во-первых, по IP-адресам оборудования можно представить его расположение: поможет GeoIP, знание скорости распространения сигнала до известных узлов, регион работы провайдера.
Например, проделаем это для IP-адреса 109.237.224.27
109.237.224.27 ⇉ ООО Квант, Зарайск
… ⇉ AS50449 ⇉ LLC Kvant Zaraysk
… ⇉ MaxMind ⇉ Zaraysk, Moscow Oblast
… ⇉ Ping 1ms ⇉ Зарайский район
Посмотрим на карточку одного из снифферов в https://www.shodan.io/:
http://image.prntscr.com/image/AFntL..._LVc32Vgrw.png
Видим немало:
гиперссылка
логин
MAC-адрес
имя интерфейса
Кроме этого из логов удалось вытащить номера телефонов, адреса электронной почты, географические координаты от погодных приложений и трекеров (которые вдобавок передают IMEI аппарата и MAC-адреса ближайших точек доступа), номера ICQ (зачастую рядом с номером шло имя пользователя).
С такими данными нетрудно установить чей именно это трафик. Например, можно взять сниффер 185.126.180.189, с которого всё началось:
<ul><li>IP-адрес указывает на Дагестан</li>
<li>номера телефонов из Shodan после прогона через Avito дают Хасавюрт и Махачкалу</li>
<li>роутеры иногда переезжают вместе с хозяевами, но пробив по открытым базам MAC-адресов даёт удивительную точность — 40 адресов из 100 указывают https://ru.wikipedia.org/wiki/%D0%9D...2%D0%B0%D0%BD)</li>
</ul>
Другой пример: cреди перехваченных координат большая часть указывает на город Саров. Собранные номера ICQ присутствуют в http://www.sarov.net/icqlist/, а перехваченные номера телефонов встречаются в газете «Колючий Саров». Координаты равномерно распределены по всему городу. Координаты Wi-Fi точек, чьи MAC-адреса были перехвачены, тоже усеивают весь город:
http://image.prntscr.com/image/3LBqT...s3pMDb4VFA.png
http://image.prntscr.com/image/ZraBu...7mYk_CY2YA.png
Вишенка на торте: в логах были заголовки с темами электронных писем (!) СаровБизнесБанка, подрядчиков Российского федерального ядерного центра, Всероссийского научно-исследовательского института экспериментальной физики.
Наконец:
<ul><li>как упоминалось выше, график трафика не характерен для 8-часового рабочего дня</li>
<li>не было заметного снижения трафика 1-2 мая</li>
</ul>
Это очень похоже на сниффер, который обрабатывает трафик всех саровских абонентов провайдера, а не подразделение корпорации.
И остаётся открытым вопрос, зачем в качестве вендора в пакетах, лежащих на публичном FTP-сервере, поднятом на публично доступных узлах, указана «МФИ-Софт», если это не её продукты, а какие-то корпоративные системы? Как гласит утиный тест, «если нечто выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, утка и есть», а эти снифферы — часть СОРМа от «МФИ-Софт».
Подводим итоги
Обо всём было сообщено «МФИ-Софт», но компания не отреагировала. Больший эффект дала рассылка писем по abuse-ящикам провайдеров — целых 5 снифферов исчезли из общего доступа. Осталось 25. Некоторые снифферы после исчезновения возвращались, когда сотрудникам вендора нужно было получить к ним удалённый доступ:
http://image.prntscr.com/image/qMUlZ...ySQqcgbRsQ.png
Спустя год снифферы можно было найти уже даже не специализированными поисковиками, а через обычный поиск Google. Через полтора года https://t.me/unkn0wnerror/1405. Закрылись они только после того, как эта информация попала в публичный доступ.
Выводы делайте сами.
@habra

VPN как то помогает с этим справится ?