7065

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер.

Сайт собирает данные об активности пользователей под предлогом заботы о безопасности.


Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.

Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере.

По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.
Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост

Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).


Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост
Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост
Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.


5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB; 6900 — BitTorrent — пиринговый протокол для обмена файлами; 5650 — обычно использует троян Pizza; 5931 — неизвестно; 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer; 5939 — неизвестно; 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft; 8080 — HTTP — протокол передачи произвольных данных; 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером; 443 — HTTPS; 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки; 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам; 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.
Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи.


После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.
Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.
TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя. - пресс-служба Ростелекома

Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.
Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.
Источники: TJ, Хабр

Найдены возможные дубликаты

+558

Для тех, кто нихуя не понял: если предположить, что порты - это задняя дверь, то РТК периодически стучится и ручку дёргает, чтобы проверить, надёжно ли заперто. Ну, а юзер, посмотрев в глазок, увидел неизвестное ебало, и развив детективно-дедуктивную деятельность, выяснил, что неизвестное ебало принадлежит РТК.

раскрыть ветку 70
+155

Скажи проще. Историю чистить, нет?

раскрыть ветку 42
+175

Бля, я уже диск С форматировал

раскрыть ветку 38
+14
Лучше лицо умой и почисти-у тебя ресница выпала
+2

Коммент с хабра

Это целенаправленный сбор информации в рамках концепции Digital Identity. Там собирается в кучку вообще всё, включая мета-информацию о TCP-трафике от клиента на всех уровнях, от L3 до L7. TTL приходящих пакетов, размеры MSS, MTU и так далее по уровням вверх.
Ростелек, видимо, решил набор пассивно собираемых данных пополнить активным сканированием ещё
и вот еще более развернуто, это ответ на другой коммент
"Я вроде русским по-белому написал — скорее всего, это сбор информации со стороны Ростелека (а также упомянутых Вами контор) для создания идентификаторов пользователей в рамках концепции Digital Identity. Этим занимаются практически все крупные конторы, имеющие веб-сервисы/сайты на вооружении.
Банками декларируется, например, что Digital ID может помочь бороться с мошенничеством. Технически это реализуется следующим образом — когда пользователь пользуется сайтом для совершения банковских операций, сайт тащит всю информацию, до которой он только может дотянуться, и составляет цифровой отпечаток конкретного устройства, а также связывает потом его с конкретным аккаунтом (пользователь же не просто на сайт зашёл, ему там кредсы придётся ввести). Если цифровой отпечаток устройства у этого аккаунта сильно поменяется — это дополнительный индикатор в оценке пользовательских транзакций в системе анти-фрода, например.
Для чего это нужно Ростелеку — не знаю. Но, например, цифровые отпечатки и их привязки к реальным ФИО/иными идентифицирующим признакам из реальной жизни можно продавать заинтересованным лицам. Тем же банкам"

0

симку в микроволновку засунь)

+46

Они не могут проверить, надёжно ли заперто, потому что изначально находятся по эту сторону двери - в процессе на локалхосте. Только это не страшно: ничего они сделать не могут, ибо во-первых, ограничены рамками хттп-запросов; а во-вторых, браузер тоже не дурак, и спрашивает у каждого порта разрешение на выполнение таких запросов (CORS), которого не получает.


Я даже хз какую корректную аналогию подобрать. Просто не самый надёжный способ посмотреть, что запущено у пользователя, на основании номеров открытых портов.

раскрыть ветку 12
+50
Я даже хз какую корректную аналогию подобрать

Зашли в тамбур, где на маленькой табуреточке сидит вахтерша и спрашивает есть ли у вас пропуск

раскрыть ветку 4
+17

Скрипт этот время ответа замеряет. Если на порту что-то есть, то ответ приходит мгновенно, а если нет, то браузер будет ждать ответа целую секунду.

раскрыть ветку 2
+10

На вечеркинке в частном доме, хитрый гость Сеня Ростелекомович пытается проверить, а не открыта ли задняя калитка. Но вот собака, которая там привязана не дает к этой калитке подойти

+5

Они могут собрать эту статистику по вашу сторону двери, а потом отправить к себе. Закрытый порт и открытый отвечают по разному. + если в вашей подсети есть устройства с запущенным http сервером, то к ним можно обращаться через браузер.

Ваша "вкладка ростелекома" может служить вполне себе проксирующим элементом между вашей подсетью и ростелекомом.


Они таким образом сканят вашу подсеть, могут понять какие у вас устройства.

Я делал похожий тест, публиковал страничку в интернете с ссылкой на картинку логотипа из админки моего роутера (http://192.168.1.1/logo.png). Естественное картинка отображалась я мог понять ее размер и тп. Вроде мелочь, но это огромные возможности.

+2

https://habr.com/ru/post/456558/#comment_20294576

https://habr.com/ru/post/456558/#comment_20295022

уже расписали
дополнительно можно прогуглить про Digital ID, для этой концепции самый ближайший и наиярчайший пример это всеми (не) любимый Сбербанк, чье приложение на мобилках каждый раз вдоль и поперек сканирует аппарат и не только для проверки на вирусы, получается.

-2

Аналогия- наверное охранник в гаражах, который ходит и смотрит не сорвали ли замки. Или в офисе дергает ручку каждой двери вечером, проверяя закрыто ли.

+19

Для тех, кто нихуя не понял: если предположить, что порты - это задняя дверь, то РТК периодически стучится и ручку дёргает, чтобы проверить, надёжно ли заперто. Ну, а юзер, посмотрев в глазок, увидел неизвестное ебало, и развив детективно-дедуктивную деятельность, выяснил, что неизвестное ебало принадлежит РТК.

Не так. Не стучится и не дёргает. Если взять вашу аналогию с дверями, то разглядывание дверей в вашем подъезде вам может не понравиться, но оно не запрещено и не обязательно означает, что разглядывающий хочет взломать замок. Может он обивку двери себе подбирает? :) Вот если он подёргает за ручку, осмотрит замок, попытается его открыть...


Сканирование портов это ещё не поиск уязвимостей. С таким же успехом ты можешь в поиск уязвимостей записать узнавание версии броузера или операционки сайтом. Знание того, что у меня открыт ssh это не взлом сам по себе. Попытка на него войти или (следующий шаг) подбор пароля/использование уязвимостей - взлом.

раскрыть ветку 4
+8

Вся ебобошность ситуации заключается в том, что Ростелеком ходит по твоему дому и дёргает ручки изнутри. Если дверь открывается, то они считают это уязвимостью. Этим специалистам не хватает мозгов чтобы понять, что если ручку можно нажать изнутри, то это вовсе не показатель того, что её можно нажать снаружи и дверь при этом также откроется.

0

А вот ю зверя провайдер такие заблокирует за массовое сканирование портов,  имхо в данном случае это как  почтальону который должен положить в почтовый ящик письмо и уйти ходить по вашей территории и смотреть нет ли  открытых окон/ дверей

раскрыть ветку 2
+14

Можно ещё для тупых? Это делается , когда ты находишься на сайте ртк или вообще достаточно хоть раз туда зайти для таких действий ? Я просто через приложение мобильное плачу и на сайт не хожу, но бывала там )

раскрыть ветку 5
+9

Только на сайте ртк, но на хабре писали что и другие сайты собирают подобную инфу

раскрыть ветку 2
+1

что бы вам ни сказали - не показывайте страх.

0

не плачь

0

Спасибо тебе, мил человек...

0

Когда неизвестные ебла стучатся и дергают ручку, ментов вызывать нужно!

-5
чтобы проверить, надёжно ли заперто

Ну да. Конечно. Белые и пушистые.

ещё комментарий
+253

-- Кто это копается в моих трусах, блэт

-- Это ради вашей безопасности. Последнее время участились случаи передачи ЗППП

-- А ну тогда продолжайте

раскрыть ветку 8
+119
*продолжает копаться в трусах по ростелекомовски
раскрыть ветку 2
+14

...пытаясь выявить кариес и проверить гланды

раскрыть ветку 1
-29

Все таки это другое, вот если бы вы при этом находились на оргии, то это было бы ближе по смыслу. Пользователь может не париться о зппп один на один с собой, но запускать цепочку дальше и распространять среди всех свои болячки (о которых некоторые переносчики и не знают) все равно не стоит.

раскрыть ветку 4
+56

А вот и нет.

Это как если бы полицейские просто входили в любые квартиры и проводили обыски оружия/наркотиков.

Причем в отсутствии хозяев квартиры.

Без понятых и оснований для обыска.

Просто потому что оружие и наркотики это плохо, а у человека они ведь могут быть? Значит нужно проводить обыск.

раскрыть ветку 3
ещё комментарии
+115

Чтобы понять мошенников действуй как мошенники. Ростелеком: все для вашей безопасности!

раскрыть ветку 4
+124
в последнее время участились попытки мошенничества с лицевыми счетами абонентов

Не с того конца кабеля мошенников ищут...

Иллюстрация к комментарию
+6

Поэтому запускает новую программу "введи Россneobsos777 и получи 15 бонусных кручений своего счета". (-_- Данная информация является вымыслом и не несет цели оскорбить кого-либо или опорочить)

раскрыть ветку 1
+6

@Россneobsos777, тебя тут пытаются не опорочить

+3

-Send a maniac to catch maniac! ©

Иллюстрация к комментарию
+75

Это как защищать женщин от изнасилования, путем затыкания отверстий хуями полицейских. Сработали на опережение.

раскрыть ветку 2
+18

Ну дык. Чем больше выпьет комслмолец, тем меньше выпьет хулиган.

+3

Не, это как поэтажный обход гинеколога с проверкой заткнуто или нет.

+37

Из всего сказанного не совсем понятно что делать то простым людям. Файервол ставить и порты вручную блочить или что?

раскрыть ветку 22
+16

Фаервол стоит по умолчанию у тебя.

Если параноишь, то да блокируй порты на подключение по умолчанию

раскрыть ветку 13
0

С висты их наоборот надо разрешать специально, ибо они заблочены.

раскрыть ветку 12
+6

Простым людям увы, они далеки от этого, а суть в том, что иметь антивирус и сетевой экран на устройстве недостаточно, чтобы безопасно сёрфить в Интернете, по меньшей мере нужны блокировщики рекламы, скриптов, счетчиков, анонимайзеры (я имею ввиду DNS и cookie). И все равно не будет 100% защиты потому что все программное обеспечение начиная с операционной системы (Windows, Android, MacOS и т.д.) и заканчивая браузером (Firefox, Chrome и т.д.) собирает информацию о действиях пользователя под разными благовидными предлогами.

раскрыть ветку 1
+1

Более того, чем больше всякой мути для типа защиты- тем больше вероятность заиметь себе зловреда. Ведь каждая эта софтина может быть скомпрометирована, + собирает данные + имеет бэкдоры и баги. Которые в свою очередь периодически становятся известными злоумышленникам.


Чтобы безопасно сёрфить - достаточно не иметь чуствительных данных на компе и никуда не вводить данные кредиток. Нахватался зловредов- а у тебя воровать нечего )))

-8

отключить интернет и сидеть в шапке из фольги, ничего не делать, все сайты и сервисы так или иначе собирают инфу

раскрыть ветку 1
0
Даже адблок и ему подобные тоже могут сливать,приходится мирится
ещё комментарии
0
да, файрвол и из интернета все в дроп. Это можно прям на маршрутизаторе домашнем сделать
раскрыть ветку 3
+9

Нюанс в том, что сканирование идёт с локалхоста из браузера.

раскрыть ветку 1
+2

а как это для хомячкам сделать?

+1256

Блин, сначала мне коллега скинул эту статью, потом ее мне твиттер хабра подсунул, через день на Пикабу натыкаюсь. Видимо, через пару дней мне ее МЧС СМСкой пришлет)

раскрыть ветку 170
+806

Предупреждение от МЧС.
Ваш 5900 порт может быть незащищен. В местах скопления большого количество людей присматривайте за вашим портом, во избежании проникновения.

раскрыть ветку 70
+647
Иллюстрация к комментарию
раскрыть ветку 8
+74
Бди за свой пърт
раскрыть ветку 9
+69
Чпок, добрый вечер
раскрыть ветку 4
+115
Стандартная инструкция для человеков женского пола. Нас с малых лет учат не допускать проникновений в порты, а глупые мпльчишки только на N-ном десятке узнают, что так надо)
раскрыть ветку 7
+13
Иллюстрация к комментарию
раскрыть ветку 1
+12
Иллюстрация к комментарию
раскрыть ветку 3
+15

Да ну, аккуратнее,у нас лето.

+26
Иллюстрация к комментарию
раскрыть ветку 2
+61
Однажды в лесу появился очень вежливый лось,который всегда вежливо
говорил:
-Доброе утро!
-добрый день!
-Добрый вечер!
-Спасибо за внимание! и т.д.
Но в этом же лесу завелся насильник, который регулярно по вечерам
насиловал
местных зверушек.
И вот однажды по тропинке этого леса скачет заяц, а дело было вечером.
Заяц скачет и думает:"А вдруг меня сейчас изнасилует этот проклятый
насильник?.."
и заткнул себе задницу пробкой из-под шампанского.Скачет он себе дальше,
а в лесу все темнеет и темнеет. И вот в голову зайца прокралась мысль:
"А не переночевать мне в лесу, а утром спокойно добраться домой?!!"
Так и сделал, спрятавшись в кустах.И только он залез туда,
как раздается хлопок:
"Ч-Ч-чпо-о-ок" и нежный голос:"Добрый вечер!"
раскрыть ветку 3
+3

5900 -> vnc -> virtual network -> не натурал. Присматривать за портом для не натуралов.
А откуда у вас такие картинки?

раскрыть ветку 4
+1
Порт 21
-6

Присматривать не хорошо, почему они не могут сказать есть ли у меня вирусы без доступа к моему компьютеру и файлам? Телепатией как хочет автор например.

раскрыть ветку 17
ещё комментарии
+20

В world of tanks есть танк который дают когда у тебя действует тариф игровой от Ростелекома, и особо умные научились получать этот танк за счёт людей у которых есть этот тариф, но в танки он не играет. При этом сам игрок может быть вообще с другого провайдера. Частично из за этого возможно рт шевелится

раскрыть ветку 13
+21
Расскажи, как это работает? У меня два раза какая то тварь меняла тариф на Ростелекоме на игровой. Приходилось звонить и писать гневные письма.
раскрыть ветку 12
+14
И вишенкой на торте, письмо от Почта России. Правда придет оно не скоро
+16

Ростелеком же.

раскрыть ветку 48
+33

К ростелекому я отношения не имею, он мне ничего не пишет, а вот СМСки от МЧС уже превратились в мем.

раскрыть ветку 32