Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер.

Сайт собирает данные об активности пользователей под предлогом заботы о безопасности.


Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.

Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере.

По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.
Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост

Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).


Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:

Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост
Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер. Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост
Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.


5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB; 6900 — BitTorrent — пиринговый протокол для обмена файлами; 5650 — обычно использует троян Pizza; 5931 — неизвестно; 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer; 5939 — неизвестно; 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft; 8080 — HTTP — протокол передачи произвольных данных; 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером; 443 — HTTPS; 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки; 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам; 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.
Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи.


После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.
Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.
TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя. - пресс-служба Ростелекома

Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.
Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.
Источники: TJ, Хабр

Вы смотрите срез комментариев. Показать все
572
Автор поста оценил этот комментарий

Для тех, кто нихуя не понял: если предположить, что порты - это задняя дверь, то РТК периодически стучится и ручку дёргает, чтобы проверить, надёжно ли заперто. Ну, а юзер, посмотрев в глазок, увидел неизвестное ебало, и развив детективно-дедуктивную деятельность, выяснил, что неизвестное ебало принадлежит РТК.

раскрыть ветку (70)
160
Автор поста оценил этот комментарий

Скажи проще. Историю чистить, нет?

раскрыть ветку (42)
177
Автор поста оценил этот комментарий

Бля, я уже диск С форматировал

раскрыть ветку (38)
21
Автор поста оценил этот комментарий

Не обнадеживай себя. Финал дата еть. :)

раскрыть ветку (34)
26
Автор поста оценил этот комментарий

И не забудь вскрыть жёсткий, и тщательно по каждому блину пройтись крупной наждачкой. В случае SSD, хм, на хабре можно поискать инфу.

раскрыть ветку (32)
36
Автор поста оценил этот комментарий

Да молотком ебануть пару раз и все, работает как с SSD, так и с HDD, да со всеми накопителями работает, даже с головой!!!

раскрыть ветку (29)
11
Автор поста оценил этот комментарий

А если точнее то гарантированно можно уничтожить информацию с блина только размагничиванием, например при температурах 600+. Тк даже будучи разбитый на осколки (не в труху конечно) продолжает хранить информацию. Восстановление с такого дж инфы будет стоить как полет в космос, но это возможно.

С SSD чуть попроще, если физически раздробить чипы то уже ничего не сделать, температура также работает.

раскрыть ветку (27)
4
Автор поста оценил этот комментарий
Микроволновка подойдет?
раскрыть ветку (8)
7
Автор поста оценил этот комментарий

если это cd/dvd диск, то ему кранты гарантированно, если это чипы флешки / ssd и другие твердотельные, то может потечь чип я полагаю, но насчет hdd не уверен. намагниченная поверхность должна прореагировать,но вот сколько времени понадобится чтобы точно повредить инфу неясно.


в любом случае надежнее будет долбануть по флешке молотком и сунуть остатки в микроволновку, ну и можно по тапкам, когда за вами прибегут - от флешки уже ничего не останется.


Подобным образом уничтожал инфу, ГГ из сериала Mr. Robot

раскрыть ветку (7)
2
DELETED
Автор поста оценил этот комментарий

Может проще разобрать и в костёр?

раскрыть ветку (5)
4
Автор поста оценил этот комментарий

Да, можете разобрать, молотком. И в костер. Но в печи надежнее.

раскрыть ветку (4)
1
Автор поста оценил этот комментарий
Хдд в микроволновку -так себе идея. Блины экранированы корпусом, инфа может остаться.
1
Автор поста оценил этот комментарий

Полностью заполнить диск новой инфой уже не катит? со скоростью ССД это вообще пара пустяков.

раскрыть ветку (12)
1
Автор поста оценил этот комментарий
Ссд там весело да, там доступ к инфе напрямую, поэтому по моему даже удаление происходит навсегда с1 прогона. А уж если записать поверх, точно ничего не будет
1
Автор поста оценил этот комментарий

у HDD блин разбит на сектора программно, и может произойти межстрочное намагничивание поверхности, что приводит к необходимости многократно перезаписывать диск, для полной уверенности что инфа нигде не сохранилась.

У SSD с этим проще, но если это домашний комп, то вы его угробите частой полной перезаписью, которая ктомуже у ssd работает иным образом, и в прямом понимании её там нет. (применяется технология Trim, чтобы не перезаписывать все, но это нам не подходит)

Если это рабочий комп с важной корпоративной инфой то после того как оборудование списано, его увозят на уничтожение.

Если же вы кулхацкер то вам надежнее всего будет также физически уничтожить диск.

раскрыть ветку (10)
1
Автор поста оценил этот комментарий

У меня точно нет инфы, которую кто-то будет искать на межстрочной поверхности.

Даже важной инфы. которую мог бы кому-то продать условный сборщик вторсырья -тоже нет.  Так что просто запись одного и того же фильма на весь диск - и в  утиль.

раскрыть ветку (7)
1
Автор поста оценил этот комментарий

format c:


поможет в вашем случае и сделает тоже самое, но без необходимости заполнять допустим 4tb одними и темиже данными, и намного быстрее и удобнее. Ну или можно воспользоваться любым софтом который умеет полностью форматировать жд или забивать его нулями.

Но только зачем,  если с этим справится всего 2 фразы в консоли? 

раскрыть ветку (6)
Автор поста оценил этот комментарий

Стирать научились, а как восстановить инфу десятилетней давности? Это, как я понял, очень просто.

Автор поста оценил этот комментарий
Современные HDD имеют нормальные шаговики, с нормальной точностью позиционирования и процент записи между ячейками не такой уж и жуткий. Хотя для спокойствия все равно многократная перезапись не помешает. Да и что нужно сделать чтобы для анализа использовали атомно-силовую микроскопию (и какие там ещё варианты дадут возможность посмотреть на все это)? Тем более что процесс это ой какой не быстрый, площадь можно за раз обработать маленькую, а после анализа - это ещё и результаты обрабатывать.
Как восстановить данные из флеша даже после однократной перезаписи я не представляю
1
Автор поста оценил этот комментарий
То есть erase не прокатит?)). Интересно будет посмотреть как восстановить информацию с диска, на котором все нулями забито.
раскрыть ветку (2)
2
Автор поста оценил этот комментарий

Erase это просто команда, и стирание будет происходить в посекторном режиме, а восстановление данных можно произвести в лабораторных условиях где будет считана вся поверхность блина а не только размеченные сектора. А как извество жесткие диски грешат намагничиванием соседних межстрочных интервалов, которые в процессе выполнения программного стирания могут быть не задеты.

Это не 100% восстановление, и это очень, нет, ОЧЕНЬ дорого. Но если вы преступник или если это информация государственной важности, то такой способ может быть применен.


Чтобы быть уверенным что информация уничтожена, необходимо физически размагнитить 100% поверхности диска.


Но не беспокойтесь,  если комуто понадобится вас посадить,  то проще просто подкинуть вам жесткий диск с необходимой инфой :) 

раскрыть ветку (1)
Автор поста оценил этот комментарий

Проще подкинуть травку:-)

Автор поста оценил этот комментарий

Ну хз, разбить на средние кусочки и парочку смыть в сортир - хер ты восстановишь информацию. С чипами также работает. :)

1
Автор поста оценил этот комментарий

На самом деле всё куда проще. Можно гарантированно сделать инфу недоступной. VeraCrypt и 256-битное AES-шифрование. Нужный раздел шифруется в безобидный файл, маскирующийся, например, под full-hd фильм на десяток гигов (или архив с игрой, или ещё что, тут у кого как фантазия работает), который среди десятка-двух обычных подобных ему файлов ещё догадаться найти надо.


И тут уже колдуй, не колдуй - никакой маны не хватит, чтобы инфу достать. Особенно если для доступа использовать сложный и длинный пароль с разными регистрами, буквами-цифрами и спецсимволами.


Можно пойти ещё дальше, загнав сценарий в nnCron, который будет, например, еженощно решифровать через тот же VeraCrypt рабочий раздел с генерацией пароля для доступа, который высылается сотруднику каким-нибудь надёжным способом, например, записанным в текстовый файл, помещённый в шифрованный zip-архив, пароль от которого есть только у сотрудника, а сам шифрованный раздел копировать на удалённый сервер или в облако. Кто-то может спросить, что можно дёрнуть сценарий с компа, там же записан пароль, которым шифруется архив - но что мешает держать сценарий на флешке, например?


Таким образом, на работе у тебя к утру будет свежезашифрованный рабочий раздел, доступ к которому будет только у тебя, а в случае изъятия жёсткого диска инфа останется доступной, только железо подобрать.

Автор поста оценил этот комментарий

И на металургический завод отнести и скинуть в жидкий металл

Автор поста оценил этот комментарий
Пройтись по чипам молотком, а потом в блендер до состояния пыли)
DELETED
Автор поста оценил этот комментарий
SSD надо разобрать. Если не умеешь - гугли в картинках(обязательно в картинках) "как разобрать SSD"
1
Автор поста оценил этот комментарий

Иц э ФАЙНАЛ DATA!

туруту-ту

туру-ту-ту-ту!

Иллюстрация к комментарию
Автор поста оценил этот комментарий

надо несколько прогонов делать с помощью sdelete и затирать нолями

раскрыть ветку (1)
Автор поста оценил этот комментарий

Ага, и терабайтник он неделю будет так обрабатывать.

Автор поста оценил этот комментарий

Вот, на обложке я читаю:

"Набор системных утилит".

Да, кстати, Вань, что означате

Строка "Formatting C complete"?

Ты что-то нервный стал, Иван,

Зачем ты выронил стакан.

Ну, что ты пялишься в экран?

Очнись, Иван!

15
Автор поста оценил этот комментарий
Лучше лицо умой и почисти-у тебя ресница выпала
3
Автор поста оценил этот комментарий

Коммент с хабра

Это целенаправленный сбор информации в рамках концепции Digital Identity. Там собирается в кучку вообще всё, включая мета-информацию о TCP-трафике от клиента на всех уровнях, от L3 до L7. TTL приходящих пакетов, размеры MSS, MTU и так далее по уровням вверх.
Ростелек, видимо, решил набор пассивно собираемых данных пополнить активным сканированием ещё
и вот еще более развернуто, это ответ на другой коммент
"Я вроде русским по-белому написал — скорее всего, это сбор информации со стороны Ростелека (а также упомянутых Вами контор) для создания идентификаторов пользователей в рамках концепции Digital Identity. Этим занимаются практически все крупные конторы, имеющие веб-сервисы/сайты на вооружении.
Банками декларируется, например, что Digital ID может помочь бороться с мошенничеством. Технически это реализуется следующим образом — когда пользователь пользуется сайтом для совершения банковских операций, сайт тащит всю информацию, до которой он только может дотянуться, и составляет цифровой отпечаток конкретного устройства, а также связывает потом его с конкретным аккаунтом (пользователь же не просто на сайт зашёл, ему там кредсы придётся ввести). Если цифровой отпечаток устройства у этого аккаунта сильно поменяется — это дополнительный индикатор в оценке пользовательских транзакций в системе анти-фрода, например.
Для чего это нужно Ростелеку — не знаю. Но, например, цифровые отпечатки и их привязки к реальным ФИО/иными идентифицирующим признакам из реальной жизни можно продавать заинтересованным лицам. Тем же банкам"

Автор поста оценил этот комментарий

симку в микроволновку засунь)

48
Автор поста оценил этот комментарий

Они не могут проверить, надёжно ли заперто, потому что изначально находятся по эту сторону двери - в процессе на локалхосте. Только это не страшно: ничего они сделать не могут, ибо во-первых, ограничены рамками хттп-запросов; а во-вторых, браузер тоже не дурак, и спрашивает у каждого порта разрешение на выполнение таких запросов (CORS), которого не получает.


Я даже хз какую корректную аналогию подобрать. Просто не самый надёжный способ посмотреть, что запущено у пользователя, на основании номеров открытых портов.

раскрыть ветку (12)
51
Автор поста оценил этот комментарий
Я даже хз какую корректную аналогию подобрать

Зашли в тамбур, где на маленькой табуреточке сидит вахтерша и спрашивает есть ли у вас пропуск

раскрыть ветку (4)
19
Автор поста оценил этот комментарий
Табуретка обязательно маленькая должна быть?
раскрыть ветку (3)
17
Автор поста оценил этот комментарий
А вахтерша толстая
раскрыть ветку (2)
5
Автор поста оценил этот комментарий

И тут он начинает проверять её порты.

раскрыть ветку (1)
Автор поста оценил этот комментарий

натюрлих

17
Автор поста оценил этот комментарий

Скрипт этот время ответа замеряет. Если на порту что-то есть, то ответ приходит мгновенно, а если нет, то браузер будет ждать ответа целую секунду.

раскрыть ветку (2)
10
Автор поста оценил этот комментарий

Такую дрянь вообще надо репортить разработчикам браузера, если CORS не допускает запросы на такой адрес, то отказ должен выдаваться сразу вообще без всяких запросов. ОП вообще не должен был даже заметить эти запросы, их не должно было быть в принципе.

раскрыть ветку (1)
7
Автор поста оценил этот комментарий

Upd, наврал-таки, да, CORS сверяется уже после получения ответа от сервера. CSP отвечает за то, чтобы запрос вообще не отправлялся.

11
Автор поста оценил этот комментарий

На вечеркинке в частном доме, хитрый гость Сеня Ростелекомович пытается проверить, а не открыта ли задняя калитка. Но вот собака, которая там привязана не дает к этой калитке подойти

5
Автор поста оценил этот комментарий

Они могут собрать эту статистику по вашу сторону двери, а потом отправить к себе. Закрытый порт и открытый отвечают по разному. + если в вашей подсети есть устройства с запущенным http сервером, то к ним можно обращаться через браузер.

Ваша "вкладка ростелекома" может служить вполне себе проксирующим элементом между вашей подсетью и ростелекомом.


Они таким образом сканят вашу подсеть, могут понять какие у вас устройства.

Я делал похожий тест, публиковал страничку в интернете с ссылкой на картинку логотипа из админки моего роутера (http://192.168.1.1/logo.png). Естественное картинка отображалась я мог понять ее размер и тп. Вроде мелочь, но это огромные возможности.

2
Автор поста оценил этот комментарий

https://habr.com/ru/post/456558/#comment_20294576

https://habr.com/ru/post/456558/#comment_20295022

уже расписали
дополнительно можно прогуглить про Digital ID, для этой концепции самый ближайший и наиярчайший пример это всеми (не) любимый Сбербанк, чье приложение на мобилках каждый раз вдоль и поперек сканирует аппарат и не только для проверки на вирусы, получается.

Автор поста оценил этот комментарий

Аналогия- наверное охранник в гаражах, который ходит и смотрит не сорвали ли замки. Или в офисе дергает ручку каждой двери вечером, проверяя закрыто ли.

19
Автор поста оценил этот комментарий

Для тех, кто нихуя не понял: если предположить, что порты - это задняя дверь, то РТК периодически стучится и ручку дёргает, чтобы проверить, надёжно ли заперто. Ну, а юзер, посмотрев в глазок, увидел неизвестное ебало, и развив детективно-дедуктивную деятельность, выяснил, что неизвестное ебало принадлежит РТК.

Не так. Не стучится и не дёргает. Если взять вашу аналогию с дверями, то разглядывание дверей в вашем подъезде вам может не понравиться, но оно не запрещено и не обязательно означает, что разглядывающий хочет взломать замок. Может он обивку двери себе подбирает? :) Вот если он подёргает за ручку, осмотрит замок, попытается его открыть...


Сканирование портов это ещё не поиск уязвимостей. С таким же успехом ты можешь в поиск уязвимостей записать узнавание версии броузера или операционки сайтом. Знание того, что у меня открыт ssh это не взлом сам по себе. Попытка на него войти или (следующий шаг) подбор пароля/использование уязвимостей - взлом.

раскрыть ветку (4)
10
Автор поста оценил этот комментарий

Вся ебобошность ситуации заключается в том, что Ростелеком ходит по твоему дому и дёргает ручки изнутри. Если дверь открывается, то они считают это уязвимостью. Этим специалистам не хватает мозгов чтобы понять, что если ручку можно нажать изнутри, то это вовсе не показатель того, что её можно нажать снаружи и дверь при этом также откроется.

Автор поста оценил этот комментарий

А вот ю зверя провайдер такие заблокирует за массовое сканирование портов,  имхо в данном случае это как  почтальону который должен положить в почтовый ящик письмо и уйти ходить по вашей территории и смотреть нет ли  открытых окон/ дверей

раскрыть ветку (2)
Автор поста оценил этот комментарий

А у провайдера с "юзверем" свой договор, который может накладывать любые ограничения. За спам тоже посылали, хотя в УК его не было

раскрыть ветку (1)
Автор поста оценил этот комментарий

Знаю, просто привожу аналогию, что сканирование портов чужих портов - токсичное поведение

14
Автор поста оценил этот комментарий

Можно ещё для тупых? Это делается , когда ты находишься на сайте ртк или вообще достаточно хоть раз туда зайти для таких действий ? Я просто через приложение мобильное плачу и на сайт не хожу, но бывала там )

раскрыть ветку (5)
9
Автор поста оценил этот комментарий

Только на сайте ртк, но на хабре писали что и другие сайты собирают подобную инфу

раскрыть ветку (2)
Автор поста оценил этот комментарий

по факту - все более менее крупные и серьезные банки, e-commerce компании(типа ртк), игровые приложение(стим, баттл нет и т.д) и прочее таким занимается, но с ртк прикол другой: если обычно занимаются пассивным сбором данных, то тут идет довольно активный метод, с залезанием во все открытые дырки, насколько это возможно

раскрыть ветку (1)
Автор поста оценил этот комментарий

И впн не помогает ?

1
Автор поста оценил этот комментарий

что бы вам ни сказали - не показывайте страх.

2
Автор поста оценил этот комментарий

не плачь

Автор поста оценил этот комментарий

Спасибо тебе, мил человек...

Автор поста оценил этот комментарий

Когда неизвестные ебла стучатся и дергают ручку, ментов вызывать нужно!

ещё комментарий
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку