Пользователь «Хабра» заметил, что сайт Ростелекома сканирует его компьютер.

Сайт собирает данные об активности пользователей под предлогом заботы о безопасности.


Пользователь «Хабра» под псевдонимом force рассказал, как случайно обнаружил сканирование локальных сервисов на его компьютере со стороны Ростелекома. Как оказалось, личный кабинет провайдера постоянно отсылает запросы на устройство и пытается втайне собрать данные.

Сегодня я совершенно случайно обнаружил, что личный кабинет Ростелекома занимается совершенно вредоносной деятельностью, а именно, сканирует локальные сервисы на моём компьютере.

По словам force, он заподозрил неладное, когда увидел, что кто-то пытается подключиться к порту 5900. Обычно его использует протокол RFB, предназначенный для удалённого доступа к рабочему столу компьютера.

Кто-то с локалхоста [компьютера пользователя] пытается залезть на порт 5900, значит, это вирус или ещё что-то похуже. Конечно же, меня пробил холодный пот, и я пошёл искать данного вредителя. Быстрый анализ показал, что долбёжка идёт каждые 10 минут и делается 11 попыток подключиться. Осталось выяснить, кто это делает.

Пользователь решил, что раз соединение блокируется, то нужно сделать так, чтобы на нём «кто-то сидел». Для этого он запустил «интеллектуальный» TCP-сервер на платформе Node.js, который просто держал соединение с помощью команды «server.listen(5900, function () {});». В результате выяснилось, что к порту пытался подключиться Firefox.

Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост

Дальше я пошёл выяснять, какой же из табов или расширений фаерфокса это делает. Оказалось, что ни about:peformance, ни about:networking не показывают id процесса, который может делать сетевые запросы. Зато я выяснил, что это основной процесс браузера, а не дополнительный для вкладок или расширений, что затруднило выяснение вредителя (да, у меня как всегда открыта куча вкладок и найти нужную — достаточно тяжело).


Но с помощью терпения, я нашёл замечательную вкладку, в девелоперской консоли которой оказались замечательные строчки:

Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост

Ростелеком, Tjournal, Habr, Безопасность, Слежка, Интернет, Приватность, Провайдер, Длиннопост

Как узнал force, сайт сканировал как минимум 14 портов, каждый из которых обычно используют разные сетевые протоколы, программы или вирусы.


5900 — VNC — система удалённого доступа к рабочему столу, использующая протокол RFB; 6900 — BitTorrent — пиринговый протокол для обмена файлами; 5650 — обычно использует троян Pizza; 5931 — неизвестно; 5938 — обычно используется программой для удалённого управления рабочим столом TeamViewer; 5939 — неизвестно; 3389 — RDP — протокол удалённого управления рабочим столом, разрабатываемый Microsoft; 8080 — HTTP — протокол передачи произвольных данных; 51 — обычно использует программа Fuck Lamers Backdoor, предназначенная для удалённой слежки, сбора данных и управления заражённым компьютером; 443 — HTTPS; 22 — SSH — протокол для удалённого управления компьютером с помощью командной строки; 445 — SMB — сетевой протокол для удалённого доступа к принтерам, файлам и другим сетевым ресурсам; 5985 — Microsoft Windows Remote Management — сервис для удалённого управления клиентскими и серверными Windows.
Force решил, что раз большинство портов предназначены для удалённого управления компьютером, то следует ожидать попыток проникновения на эти порты снаружи.


После этого пользователь «Хабра» под псевдонимом sashablashenkov предположил, что Ростелеком использует скрипт для проактивного отслеживания пользователей от компании Dynatrace. А другой пользователь под ником runalsh уточнил, что это разработка российской компании Group-IB.
Позже force выяснил адрес скрипта на сайте Ростелекома. Он отметил, что код обфусцирован — это значит, что его намеренно запутали, чтобы скрипт было труднее изучать.
TJ обратился за комментарием к Group-IB, но в компании посоветовали обратиться напрямую в Ростелеком. Пресс-служба провайдера рассказала, что скрипт используют в качестве антифрод-системы для предотвращения онлайн-мошенничества.

Обеспечение безопасности оказываемых сервисов является одним из основных приоритетов Ростелекома. Используемая в lk.rt.ru антифрод-система одним из своих действий осуществляет анализ пользовательской сессии. При этом осуществляется сбор данных об активности пользователя и поиск индикаторов компрометации устройств пользователя. - пресс-служба Ростелекома

Представители Ростелекома назвали сканирование портов одним из способов предотвращения мошенничества наряду со многими другими. В компании отметили, что антифрод-систему начали использовать, потому что в последнее время участились попытки мошенничества с лицевыми счетами абонентов и бонусными программами компании.
Пресс-служба объяснила, что одним из индикаторов компрометации устройств являются открытые сетевые порты, которые используются для удалённого доступа. На основании сканирования портов и анализа предыдущей истории действий пользователей компания делает выводы о возможных угрозах профилю абонента.
Источники: TJ, Хабр

РостелекомTjournalHabrБезопасностьСлежкаИнтернетПриватностьПровайдерДлиннопост

О сайте | About this site

Этот сайт был создан в первую очередь для людей. Для людей, которые любят смех и веселье.

This site was created primarily for people. For people who love fun and laughter.

О контенте | About site content

Сайт содержит контент 18+. Содержание сайта не является уникальным и представляет собой сбор информации с разных ресурсов. При добавлении контента модерация не происходит.

Site content is 18+. Site content is not unique and is a compilation of information from different resources. There is no moderation when adding content.

Внимание ! | Caution!

Создатель сайта ни как не хочет обидеть чувства верующих, сексуальных меньшинств и других групп пользователей. Если все-таки обидели, простите.

The creator of the site, neither as e wants to hurt the feelings of believers, sexual minorities and other groups of users. If all the same you felt hurt, I'm sorry.

Наши друзья | Our friends

About