1 of 52

Проруха на СОРМ

лесные были и небылицы

Леонид Евдокимов

Chaos Constructions�Санкт-Петербург, 25 августа 2019

darkk.net.ru/2019/cc

2 of 52

$ whoami

ex-Yandex: SWE, SRE

ex-OONI, The Tor Project: Data Analyst

Клуб “Эшер-II”: почётный клоун

3 of 52

s hodan.io

4 of 52

Опять Telegram

5 of 52

Роскомнадзор-тян пытается заблокировать 14 миллионов IP адресов сетей Amazon EC2, на мощностях которого работает каждый второй сервис в интернете.

– @aquam1ne

6 of 52

28 апреля, @nag_public

7 of 52

30 апреля,�ОЗИ

8 of 52

30 апреля, ОЗИ

9 of 52

4 мая, Польша

10 of 52

5 мая, Польша

11 of 52

Попов воскрес!

D I G I T A L R E S I S T A N C E

12 of 52

13 of 52

14 of 52

СОРМ: Цифры

15 of 52

SORM: this incident was reported

Собственно, я взял zmap и нашёл несколько десятков подобных “подозрительных снифферов” и со всех собрал счётчики за пару дней. Я их проверил и увидел, что

Во-первых, прямых доказательств причастности этого оборудования к охоте за телеграмом нет, во всех счётчиках по нулям.

Во-вторых, счётчики трафика на этом оборудовании следуют вполне обычному дневному паттерну трафика. Ну например похожим горбатым образом выглядит трафик на Московской точке обмена трафиком MSK-IX.

В-третьих, объём пропускаемого через “странное” оборудование трафика был мал, около 20 гигабит в пике. Для сравнения на MSK-IX речь объём примерно в сто раз больше.

16 of 52

Собственно, этот дневной паттерн встречается примерно на любом нагруженном сервисе и естественным образом связан с циклом сна людей. Ничего удивительного в нём нет.

На картинке вы видите похожий по форме график московской точки обмена трафиком на неделю.

Из правдоподобной формы графика я сделал предположение, что эти снифферы -- это часть живого оборудования, которое занимается “прослушкой”, а не какая-то странная заглушка топорного ханипота со статистикой или девелоперские стенды.

Ну и как честный человек, я конечно же перво-наперво отправил сообщение об этом тем провайдерам, где у меня были условно-знакомые админы.

17 of 52

18 of 52

ftp://*.#.%.^/pub/Sorm/repo/…

<summary>Interception network traffic utilite for DECODER</summary>�<checksum …>983c…22ee</checksum>�<rpm:license>Proprietary</rpm:license>�<rpm:vendor>MFI Soft</rpm:vendor>

На нескольких адресах были FTP-сервера. Публичные. Где в директории “pub” лежали разные пакеты. Например, пакет из которого устанавливалась та самая программа, которая выдавала это “начало комбинированного тестирования синиффера”.

Там шаблон этой страницы просто лежал в дебрях шаблонизатора. И даже был в версии на английском.

Помимо этого там были бинарники каких-то утилит около postgresql, Elasticsearch и библиотека leaflet для визуализации геоданных :)

Ну и, коненчо же, в этих публично доступных в публичной директории публичного FTP-сервера пакетах был явным образом написан вендор.

19 of 52

А ещё…

Samba 4.1.1 (RCE CVE-2015-0240 и др.)

PostgreSQL

Elasticsearch 1.7.5

NFS, etc.

20 of 52

Таймлайн

Поэтому, конечно же, инцидент был отрепорчен и вендору, и знакомым провайдерам.

Ответов я особо не получил, кроме как от знакомых провайдеров. Вендор упорно молчал, поэтому я прошёлся по abuse@ ящикам и это имело какой-то эффект.

Как вы видите, из 30 снифферов за месяц осталось 25.

Помните, я говорил что я разгильдяй? Так вот, эти данные по доступности публичной статистики трафика на снифферах были собраны случайно. Я в tmux сессии, которую я запустил ещё катаясь на велосипедах, забыл нажать Ctrl-C.

Но это не самое большое разгильдяйство этой истори. Например, вчера этих машинок из тридцати оставалось шесть. Спустя полтора года.

Если вы внимательно посмотрите на график, то увидите, что машинки не только пропадали из публичного доступа, но и возвращались обратно. Это не артефакт.

21 of 52

22 of 52

СОРМ: Буквы

23 of 52

Где съёмник?

IP ⇉ AS ⇉ Бизнес

IP ⇉ MaxMind ⇉ Город

IP ⇉ RIPE Atlas Ping RTT ⇉ OpenIPMap

24 of 52

Где съёмник?

109.237.224.27 ⇉ ООО Квант, Зарайск

… ⇉ AS50449 ⇉ LLC Kvant Zaraysk

… ⇉ MaxMind ⇉ Zaraysk, Moscow Oblast

… ⇉ Ping 1ms ⇉ Зарайский район

25 of 52

26 of 52

27 of 52

28 of 52

shodan.io

29 of 52

Чей трафик?

Погода и реклама ⇉ GPS, MAC, IMEI

MAC-адреса Wi-Fi ⇉ Координаты

ICQ, email, телефоны ⇉ Код города,�сообщества, объявления

Все эти данные предоставляют отличные возможности по определению того, чей же это именно трафик. Похож ли профиль трафика на корпоративную сеть или нет.

Погодные приложения запрашивают погоду по текущим координатам. Многие трекеры до сих пор не используют шифрование и передают информацию о пользователе в открытом виде, вместе с текущими координатами, MAC-адресами близлежащих Wi-Fi точек, IMEI телефонов.

Также в логах встречались номера аськи. Представляете, ей кто-то ещё пользуется! Адреса электронной почты и телефоны. Эти данные тоже могут помочь в определении географии источника трафика.

30 of 52

185.126.180.189

Shodan & MaxMind ⇉ Хасавюрт

56 телефонов ⇉ Авито ⇉� 7 из Хасавюрта, 2 из Махачкалы

314 MAC клиентов ⇉ 153 геоточки

31 of 52

darkk.net.ru/2019/cc/dag

32 of 52

darkk.net.ru/2019/cc/dag

33 of 52

darkk.net.ru/2019/cc/dag

Основная часть, 40 роутеров из сотни “слитых” роутеров этого региона будут в дагестанском селе Новосельское.

История этого села на википедии описывается так: “Основано в 1956 году для чеченцев-аккинцев, возвращавшихся из мест депортации, которым было запрещено селиться в родовых сёлах”. Я надеюсь, это просто какое-то криповое совпадение.

Но суть в том, что такая географическая распределённость пользователей, которых сливает данный снифер, позволяет мне предположить что это всё же не корпоративный съёмник.

34 of 52

109.95.160.166, будто бы Москва

20 ICQ, “кучка” email, 261 IMEI

315 номеров телефонов

4’587 Wi-Fi из 20’137 поисков

345’337 геоточек с дублями

А вот ещё один IP-адрес, который в Общество Защиты Интернета прислал информатор.

Shodan утверждает, что он в Москве. Этот прибор ровно так же всем желающим по почти стандартному HTTP-порту 88-00 на стандартный HTTP запрос GET на стандартный корневой URL сливал что-то очень похожее на разобранный на интересные кусочки пользовательский трафик.

Ну и там было много всего. В целом число номеров аськи и телефонов всё ещё вписывалось в корпоративную историю...

35 of 52

Трафик: 250 мегабит

36 of 52

Трафик: 80 URL / s

37 of 52

Трафик: web asset size

38 of 52

Clickstream. Избранное

5.227.163.45 : 5060 ⇇ 195.140.215.9 : 18824� sip:' OR '1'='1' --@5.227.163.45:5060

5.227.160.130 : 33206 ⇉ 178.237.19.21 : 443� Филиал №2 библиотека Пушкина� ICQ 697278360

39 of 52

darkk.net.ru/2019/cc/sarov

Если посмотреть на те триста тысяч координат, которые пользователи отправляли в различные трекеры, округлить их до 10 метров точности и выкинуть дубли, то останется около десяти тысяч точек.

Из них девять тысяч точек будут сосредоточены в Сарове, ядерной столице нашей родины.

Собственно, номера ICQ указывали туда же, на Саровский ICQ-лист http://www.sarov.net/icqlist/

Да и перехваченные номера телефонов порой появлялись в объявлениях в газете “Колючий Саров”.

40 of 52

darkk.net.ru/2019/cc/sarov

41 of 52

darkk.net.ru/2019/cc/sarov/wifi

42 of 52

...кучка email

90% – SPAM + течёт только Subject

…@sbbank.ru – СаровБизнесБанк�…@tersy.ru – промавтоматика�…@elmipro.ru – для РФЯЦ-ВНИИЭФ�…@sarovlabs.com – R&D

Ну и это не единственный трафик, который указывал на Саров.

Например, в почте помимо кучи спама была переписка СаровБизнесБанка, подрядчиков Российского федерального ядерного центра, Всероссийского научно-исследовательского института экспериментальной физики.

Точнее, от переписки там было только поле темы письма, но и это уже несколько пугает. Ну и, конечно же, это несколько разных компаний, что опять ставит под сомнение гипотезу о корпоративной системе безопасности.

43 of 52

Clickstream. Избранное

5.227.160.201:50086 ⇉ 145.220.21.40:63173

ftp://anonymous @145.220.21.40� /pub/vim/pc/gvim80-586.exe

44 of 52

45 of 52

Clickstream. Избранное

5.227.160.130 : 45624 ⇉ 178.237.20.54 : 443� api.icq.net/expressions/get?t=6548…

5.227.162.222 : 49242 ⇉ 85.17.24.66 : 443� nl.hideproxy.me/includes/process.p...

Но в логах картина была другая. В трафике на 443 порт были видны не только домены, но и сами адреса конкретных страниц.

Конечно, никто не запрещает посылать подобные запросы. Но вряд ли приложение ICQ было выпущено с подобным багом, если бы сервис не отвечал на такие запросы...

Можно попробовать послать такой запрос на 443 порт соответствующего сервиса и посмотреть, вернётся ли ответ. Это немного прояснило бы судьбу гипотезы о том, может ли сниффер расшифровывать трафик.

46 of 52

https 443/tcp

︖ mra1.mail.ru� ⚠ img.imgsmail.ru, mra.mail.ru� ⚠ api.icq.net�…… � ⚠ nl.hideproxy.me ?!

Так вот, некоторые домены действительно принимают нешифрованные запросы на порт для безопасных соединений. Но некоторые нет.

Остаётся несколько вариантов объяснения происходящего:

Приложение действительно шлёт нешифрованный трафик на безопасный порт и это всё как-то обрабатывается
Трафик всё же расшифровывается и в логи, которые мы видим, попадает расшифрованный трафик

С уверенностью делать никаких выводов нельзя, т.к. логи трафика сняты в момент X, а проверка поведения сервиса при запросе открытым текстом сделана сильно позже.

Могу сказать одно: какой-то код для расшифровки трафика и для получения ключей шифрования из некоторого сервера в пакетах от МФИ-софт в тех самых публично доступных FTP-репозиториях был. Скриншоты питонячьего кода с комментариями на русском я приводить, конечно же, не буду.

Сказать с уверенностью, использовался ли этот код или нет, мне тоже по понятным причинам довольно сложно.

47 of 52

Прошёл год...

48 of 52

Прошло полтора...

49 of 52

Криворукие внедряторы?

Memcached ~ 1.3 Tbit/s DDoS

MongoDB ~ утечка скорой помощи

Elasticsearch ~ утечка Exactis, 340M PII

Кто-то скажет, что это ошибка администраторов: то ли внедренцев, то ли провайдеров, то ли операторов из ФСБ.

Я с этим не совсем согласен. Мир знает уже немало примеров, когда отсутствие какой-либо базовой авторизации в конфигурации по-умолчанию приводило к плачевным последствиям.

Например, memcached аукнулся терабитным DDoS’ом, монга -- утечкой медицинских данных с ФИО, адресами и диагнозами. Эластик -- утечкой маркетинговых данных примерно всех американцев и ещё чуть-чуть :)

Мне кажется, списывать подобные недочёты в опциях по-умолчанию с разработки на внедрение всё же некорректно.

50 of 52

Что делать?

Q&A про DPI – 15:00, зал A (HackZone)

Донаты!�• Неугомонному Филу: usher2.club�• РКС: donate.roskomsvoboda.org�• ОЗИ: signal.fund

51 of 52

Спасибо!

Вопросы?

Леонид Евдокимов, 2019, CC-BY 4.0

darkk.net.ru/2019/cc

52 of 52

Товарищ, знай! Пройдёт она

И демократия, и гласность.

И вот тогда госбезопасность

Припомнит наши имена!