Вот и вышло офигенное расследование о деятельности хакерской группы Sednit (они же — Fancy Bear), которая взломала WADA и вообще взламывала много всего "в интересах российского государства". Самое интересное для нас, конечно, это доказательство попыток взломов почтовых ящиков российских оппозиционеров, в частности, сотрудников ФБК, а еще почты Анонимного интернационала.
Вот это фишинговое письмо, которое пришло мне на почту осенью прошлого года — от них https://twitter.com/unkn0wnerror/status/663824275292430336.
Гугл, чуть позже, всем адресатам этой рассылки несколько дней показывал плашку с текстом о том, что их почтовый ящик пытаются взломать хакеры, связанные с государством.
Спалились ребята на том, что не закрыли аккаунт в сервисе-сокращателе ссылок bit.ly, через который пропускали ссылки на фишинговые сайты (кнопка "посмотрите список устройств" на скриншоте по ссылке выше), и использовали в двух разных взломах один и тот же сервер с фишинговой страницей.
Само расследование большое и на английском языке, поэтому будет интересно только техническим специалистам, вот оно http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf.
Впрочем, скорее всего, iOS слышит по GPS мусор и игнорирует его, а для позиционирования пытается использовать сотовую сеть.
Читать полностью…
Сегодня ФСО'шные GPS-спуферы телепортировали Бобука с Красной площади прямиком во Внуково, а меня почему-то на Электрозаводскую :) даже не знаю, куда лучше.
Читать полностью…
Почему Кремль во Внуково
Сегодняшнее утро я потратил на то, чтобы разобраться в странной и неприятной ситуации с GPS в Москве. В районе Кремля (и некоторых других) иногда возникают аномалии, которые заставляют все устройства с GPS думать, что они во Внуково. Аномалии эти возникают с июня и появляются без какой-либо системы. Есть простое объяснение: это спуфинг (попросту подмена) GPS. О гипотезах "зачем" мы поговорим чуть позднее. Дисклеймер: я не профессионал ни в GPS, ни в спуфинге, ни в журналистике, но я регулярно страдаю от сломанного сигнала GPS. Так как об этом все еще не написали профессионалы и мобильные аналитики, мне пришлось попытаться разобраться в происходящем самому.
Что я, собственно, сделал: я взял с собой несколько разных GPS и GLONASS приемников, анализатор частот и с этим рюкзаком приборов залез на сигвей. Результаты исследования относятся только к одной области — Кремлю, и только к этому конкретному отрезку времени — с 9 до 12 утра. Кстати, 3 часа рассекать по городу на сигвее при температуре порядка 2 градусов цельсия — то еще удовольствие.
Следующим постом будет картинка, на ней красные области - зона покрытия "ложным" сигналом (чем краснее — тем сильнее сигнал), синим — замеры на направление источника сигнала, а желтая звездочка - моя гипотеза о том, где же именно в момент замеров находился источник.
Вот что я выяснил: где-то внутри Кремля стоит (а возможно и передвигается) мощный передатчик. Он имитирует работу GPS и GLONASS спутника на частотах L1 и шумит на частотах L2 и L5. Частота L1 — это "гражданский" диапазон для GPS, именно он и используется большинством бытовых устройств для точной геолокации. Подробности о GPS читайте в Википедии.
Чтобы обмануть GPS на этой частоте, нужно имитировать работу спутника, выдавая его время и положение в пространстве. Хакеры научились этому довольно давно. Есть даже готовые программно-аппаратные комплексы от именитых фирм, позволяющие манипулировать приемниками. Скорее всего один из таких комплексов сейчас и используется. Предполагаю, что поставщик устройства — ni.com, их решение сейчас самое целостное и по АЧХ очень похоже.
Обратите внимание, зона покрытия передатчика очень некруглая. Обычно это значит, что часть сигнала отражается и перекрывается зданиями вокруг. В силу этого "пятно зшумления" простирается от Солянки до ХХС и от Охотного ряда до Овчинниковской набережной.
Я также пытался понять более точное расположение источника сигнала. Очевидно, что это не спутник :) Точное расположение передатчика конечно же не было моей целью, но на картинке хорошо видно, где его можно поискать
Интересно то, что подмененный сигнал "пересылает" в центр аэропорта Внуково. Можно придумать много конспиративных теорий, почему именно туда. Самая популярная среди меня версия — борьба с видео-дронами DJI и им подобными. Во всех современных серийных дронах есть GPS и карта зон, где полеты запрещены. К таким зонам относятся все аэропорты мира. Не совсем понятно, зачем кому-то бороться с дронами подменяя GPS, а не просто потребовав внести нужные зоны в запретные, но это не совсем наше дело, конечно.
Другая теория — использование дефолтных значений. Готовые аппаратно-программные комплексы для спуфинга GPS требуют указать координаты, чтобы отображать их вместо реальных данных. Эти координаты можно ввести напрямую или выбрать из списка предложенных производителем устройства. Так сложилось, что в этих списках для России значатся только центры крупных городов и Аэропорты. Как вы понимаете, Внуково - первый по алфавиту аэропорт в районе Москвы. И в эту версию я тоже верю, конечно.
Еще одна загадка — почему подмена сигнала то включается, то выключается. Ответа у меня нет, единственное, что я могу придумать — систему еще только разрабатывают и внедряют. Или есть какие-то события, которые инициируют временное включение "глушилки".
Итого: где-то в районе Кремля установлено стационарное или передвижное устройство, задача которого - иногда не давать адекватно работать всем системам позиционирования для гражданских.
Не очень люблю конспирологические истории, но эту расскажу, она вполне может оказаться реальной, да и интересная она, про интернеты в Сирии.
В определённый момент в Сирии начались начались проблемы со связностью с интернетом. Не сказать, что он прямо пропадал, но BGP явно стал частенько перестраиваться, отчего некоторые префиксы ненадолго оказывались недоступны.
Примерно в этот же момент недалеко от Сирии встало на якорь российское судно "Янтарь".
Всё бы ничего, если бы не две интересных факта: в районе стоянки "Янтаря" на дне Средиземного моря лежит кабель, один из тех, что связывает Сирию с интернетом, и источник CIT в Syrian Telecom сообщает, что проблемы со связностью происходят именно из-за линка на этом кабеле.
Уж не знаю, совпадение это, или нет (тут важно указать, что кабель приходит в Тартус, а "Янтарь" стоит ближе к Триполи), но в этом случае было бы интересно узнать, чего они с ним делают.
За "Янтарём" можно следить тут http://www.marinetraffic.com/en/ais/home/shipid:1215053/zoom:14, кабель UGARIT http://submarinecablemap.com/#/submarine-cable/ugarit.
Политоты вам в телеграм.
Еще пару недель назад, в узких кругах я говорил, что абсолютно не удивлюсь, если Баронову зарегистрируют в качестве кандидата в ГД.
Сейчас это произошло.
Это второй оппозиционный кандидат, зарегистрированный по подписям за последние несколько лет, и второй же кандидат от Ходорковского (Открытые выборы).
И тогда я говорил, что если выборами, принятием таких стратегических решений, занимается не Володин, то
Баронова — очень удобный кандидат для власти. Она никогда особо не спорит с властью в принципиальных вопросах (поддерживает аннексию Крыма, войну в Украине, печалясь от того, что — Киев «её город в другой стране»), а если вдруг она будет несогласна с властью — всегда можно показывать её по телевизору, мол, смотрите, кандидат от оппозиции, собравший подписи и прошедший в ГД, плюрализм мнений, и всякое такое. А учитывая нестабильность и истеричность этого человека, ничего не мешает чуть позже, с помощью папки компромата, или просто денег, сделать из неё а-ля Яровую, как с последней, собственно, и произошло.
Понятно, что успех прохода по подписям не зависит от самих подписей. Понятно, что проход её в ГД почти не зависит от её кампании или фандрайза на неё (особенно, учитывая финансирование Ходорковского).
Понятно, что даже если АП решит (решила) не пускать Баронову в ГД, уже сейчас нельзя сказать, что по подписям оппозиционеров не пускают.
Лично я хочу видеть этого человека в ГД, даже меньше, чем условную Яровую. Это вредно даже напрямую, а учитывая потенциальные риски — еще вреднее.
И если у вас появилось желание поддержать чью-то кампанию финансово, то сделайте это лучше в адрес тех, кого не спонсирует МБХ и от количества фандрайза у кого зависит качество кампании и количество голосов — Янкаускаса, Ляскина, Сухарева или Гудкова, например.
Навальный выступает https://www.youtube.com/watch?v=u9D48YmbMHo
Читать полностью…
Абсолютно странная история с Русланом Левиевым.
Он пошёл открывать счёт в Сбербанке, и сразу после открытия, ему пришло SMS от Сбера, в котором в качестве его же контактного телефона и SMS-банкинга был указан номер, который Руслану никогда не принадлежал.
Когда мы стали пробивать этот номер, оказалось, что он же указан в качестве второго контактного в Альфа-Банке, и по нему Руслан идентифицируется как клиент банка.
Т.е. Руслан пошёл открывать счёт в Сбер, это заметили, и сразу же после этого спецслужбы побежали добавлять к его профилю "свой" номер.
Почитать про историю можно тут: https://tjournal.ru/32274-oppozicioner-pozhalovalsya-na-vozmozhnuu-slezhku-specsluzhb-za-ego-schetami-v-sberbanke-i-alfa-banke.
Мы пытались звонить на этот номер, в первом случае звонок сбросили, а во втором случае трубку взяли, ответили мужским голосом и сразу же положили.
12 часов назад по этому номеру еще можно было найти Руслана, как клиента Альфа-банка, а прямо сейчас этот номер уже убрали из профиля.
Сейчас Руслан пришёл в отделение Альфа-банка, и операционист не нашёл этот номер в его банковском профиле буквально нигде, в том числе истории профиля, т.е. этот номер, якобы, никогда не добавлялся и не удалялся из профиля.
Помимо этого, счёт оказался оказался намертво заблокирован с возможностью разблокировки только через СБ, и на профиле стоял некий "Аларм" (со слов сотрудника в офисе, который делал большие круглые глаза, и говорил, что никогда такого не видел). Счёт через СБ разблокировали.
Такая вот история. Понятно, что второй номер навешивают для того, чтобы дублировать на него SMS с движением средств, и, возможно, для звонков в кол-центр с него.
По топорности всё это очень похоже на работу младшего состава ФСБ.
Вот расчёт на оператора с абонентской базой в ~30-40 тысяч абонентов.
Читать полностью…
Немного из телекомного чата от представителя крупной компании
Читать полностью…
Несмотря на сильную занятость, из-за которой я стал реже писать в канал, есть вещи, про которые я не могу не высказаться, потому что очень задевают меня лично. Я люблю связь, начал заниматься телекомами в возрасте что-то около 15 лет, и занимаюсь проектами, связанными с телекоммуникациями, до сих пор.
Только что Госдума окончательно приняла так называемый "пакет законов Яровой" (на самом деле пакет ФСБ, конечно), в рамках которого операторы связи должны хранить сообщения, передаваемые по их сетям, на протяжении полугода.
Ну, т.е. фактически, весь пользовательский трафик.
Эта вещь — из разряда тех, реализацию которых бессмысленно обсуждать всерьёз. Можно, конечно, посчитать и выкатить безумные миллиарды долларов, что сделала большая тройка вчера, но это имеет мало смысла.
Для понимания этого, приведу небольшой пример.
Вот есть настоящий, живой шлюз провайдера (кто знает — BRAS), один из многих у данного провайдера.
Он выпускает в интернет 6770 клиентов в пике, за 358 дней через него прошло 2.4 PiB трафика в одну сторону и 7.4 PiB в другую (скриншот консоли приложу после поста).
Т.е. за год это количество клиентов с московскими тарифами съедает почти 10 петабайт (!) трафика.
Такие объемы трафика нельзя быстро записывать, оперативно менять хранилища и докупать их.
В случае с невыполнимыми требованиями, имеет смысл всерьёз обсуждать только цели, с которыми эти требования вводятся.
Я считаю, что есть два варианта.
Первый — это монополизация рынка с целью контроля над трансграничными переходами. Это самый грустный вариант, конечно. Скорее всего, к операторам будут приходить надзорные органы, штрафовать/лишать лицензий, а следом условный или натуральный Ростелеком будет скупать за копейки, или вовсе отжимать компанию или клиентов у уже мёртвой компании.
Таким образом они добьются, что для отключения интернета в РФ нужно будет звонить не сотням провайдеров, среди которых многие могут не подчиниться этим требованиям, а одному-двум, да еще и государственным.
Второй вариант — еще один источник обогащения силовиков.
В кризис, когда официальная составляющая доходов у бюджетников сокращается, очень важно мотивировать их другими способами. Возможность трясти за невыполнение невыполимого закона — как раз, один из таких способов.
В любом случае, мне, как человеку, у которого эта отрасль — любимая в IT, сейчас очень хреново и грустно.
Когда за подмену рекламы закрыли контакт всей AS.. Клиенты были очень рады прочитать заглушку с предложением сменить провайдера...
Читать полностью…
После двухнедельного перерыва, порадую вас короткой смешной историей из телекомного чатика о том, как один подмосковный провайдер подменял рекламу на VK (во времена, когда тот еще не использовал HTTPS) на свою, а последний в ответ стал показывать клиентам провайдера заглушку с предложением сменить провайдера :)
Читать полностью…
В Казахстане сейчас массовые простесты из-за поправок в земельный кодекс. Согласно поправкам, с 1-го июля почти два миллиона гектара сельскохозяйственных земель будут выставлены на торги. Иностранцам — в основном, гражданам Китая, — позволят арендовать участки сроком на 25 лет.
На фоне протестов, власть очень быстро выключила доступ к соцсетям, потому что у Казахстана всего 4 трансграничных перехода («точек связи с внешним интернетом»), на которых ресурсы и заблокировали.
В России их во много раз больше и они принадлежат не только государственным компаниям, поэтому власть очень часто поднимает вопрос об ограничении их количества для контроля и быстрого выключения в случае начала волнений.
И скриншот с профильного телеком-чата с сообщениями от технаря из Казахстана:
Случайно нарвался на сайт оператора связи, который называется Зонателеком. Серьёзно, оператор заходит в учреждения ФСИН и оказывает там коммерческие услуги.
Самое крутое — название, конечно. Ростелекому бы подошло, вполне в духе времени.
https://www.zonatelecom.ru/
В силу частотных характеристик сигнал довольно быстро затухает, и для разных устройств количество искажений разное. Скажем, андроидные устройства страдают чуть меньше айфонов, так как они реже используют геолокацию по GPS. Обычно данные о GPS они получают по wifi и триангуляции базовых станций. Но, безусловно, проблемы при навигации это создает всем. Страдают пользователи всех приложений с навигацией, страдает качество прогнозов и пробок. У всех поставщиков информации о заторах в районе Кремля регулярно образуется некоторая каша.
Что можно сделать, чтобы временно не страдать? Если у вас Андроид — выключить GPS. Если у вас iOS — смириться. Если у вас дрон от известных производителей — летать в других местах.
Сейчас тут будет длинный репост с канала bobuk'а из Яндекса, который разобрался, что происходит с сигналами GPS/Глонасс у Кремля.
Честно говоря, я (и многие другие) заметил проблемы с сигналом в значительном радиусе от Кремля давно, и планировал детально понять, что именно делают, но всё никак не доходили руки.
Одни признаки говорили о том, что сигнал глушат, другие — о том, что подменяют его ложным с координатами аэропорта Внуково.
Почему аэропорта — потому в большинстве тиражных коптерах, вроде тех, что производит компания DJI, зашито ограничение на полёты над аэропортами.
Т.е. это банальная защита от коптеров, что можно купить в магазине.
Оказалось, применяется и спуфинг, и подавление. Почитайте.
Пропадание префиксов сирийского интернета (очевидно, из-за перестройки BGP)
Читать полностью…
Дал интервью Медузе о новой инициативе ФСБ по расшировке трафика путем MitM, вместо, судя по всему, хранения трафика на протяжении полугода.
Инициатива хорошая, не по смыслу, а потому, что нереализуемая, и не убивающая финансово всех провайдеров, кроме «Большой четверки» https://meduza.io/feature/2016/09/21/fsb-kazhetsya-pridumala-kak-rasshifrovat-ves-trafik-v-internete-eto-ochen-strashno
Вопрос для шарящих в опсосных: когда на конкретном номере IMSI меняется раз в секунду примерно, причём каждый раз — разный, это что значит?
Ну, несколько SIM-карт на номере — понятно, но тогда вариантов IMSI будет по количеству SIM-карт, а не бесконечное количество. У кого есть догадки, пишите мне: @unknownerror
Смотрите нашу трансляцию с митинга против "Пакета Яровой". Сейчас выступает Артём Козлюк, координатор проекта "Роскомсвобода" https://www.youtube.com/watch?v=u9D48YmbMHo
Читать полностью…
Вычитал в ходе викисерфинга потрясающую штуку.
Одно племя в горных джунглях Филиппин разработала уникальную почтовую систему — "бамбуковую почту" — и пользуется ей уже сотни лет.
Джунгли очень густые, поэтому маленькие деревни соединены не очень густой сетью тропинок (в математических терминах, сеть тропинок образует дерево или, по крайней мере, граф с небольшими степенями вершин и очень малым количеством циклов). Типично, тропинка опоясывает гору, а от нее отходят небольшие ответвления в поселки.
Человек, который хочет отправить письмо, пишет его и относит на ближайший к себе перекресток, где вставляет его в специальную бамбуковую палку, расщепленную сверху. На письмо написано, кому и в какую деревню оно направлено. Филиппинец, который идет по тропинке, доходит до перекрестка и видит, что там есть письма, обязан их взять с собой и нести так долго, пока его путь совпадает с маршрутом письма. Возможно, "почтальон" идет в другую деревню — тогда, покидая основную тропинку, он оставляет на перекрестке все письма, которые он не сможет донести до цели; их подберет следующий попутчик.
Таким образом гарантируется, что каждое письмо достигает адресата очень быстро, и потерь в системе нет.
Это бесконечно похоже на то, как маршрутизируются пакеты по TCP/IP, только это придумали филиппинские племена из джунглей сколько-то сот лет тому назад, люблю такое.
На nag.ru (такой отраслевой операторский ресурс) сделали "Яркулятор" — калькулятор стоимости хранения данных по новой поправке.
Учитывается стоимость оборудования и аренды стоек для него, но не учитываются накладные расходы (обслуживающий персонал, замена вышедшего из строя оборудования для хранения и так далее).
Для оператора с максимальным трафиком 50 Гбит/с (это примерно 30-40 тысяч абонентов) получилось 574 млн. рублей на обородование (причём, не самое дорогое) и почти 8 миллионов в месяц за его размещение. Оператор с соответствующей абонентской базой не зарабатывает столько даже за несколько лет.
Можете посчитать сами:
http://nag.ru/articles/article/29513/-yarkulyator-kalkulyator-yarovoy.html
Обещанный скриншот консоли сервера доступа, о котором идёт речь в предыдущем посте.
Читать полностью…
История с закрытием контакта для одного подмосковного провайдера за подмену рекламы никому видимо впрок не пошла...
Читать полностью…
А почитайте, как «Голос» сделал тест на прослушку. ФСБ тупо сливает «интересные» разговоры с СОРМ в НТВ https://facebook.com/grigory.melkonyants/posts/1003159986387972?pnref=story.unseen-section
Читать полностью…
Сейчас своими глазами видел, как люди вполне готовы убивать, и как их делают готовыми к этому клоунские погоны.
То есть вот сначала развели этих ряженых "казаков", потом дали им носить форму, и теперь они вполне уверены, что форма делает их особенными. Они реально напирали, били, избивали, запинывали ногами лежащих, потому что "мы здесь власть", "мы казаки", вот же какие у нас кителя и погоны.
Было страшно.
Ну и конечно абсолютный failed state: все линейные отделы и прочие нацгвардии испарились, от всей власти в крупном аэропорту остались два щуплых мента с ж/д вокзала (!), один капитан и один старлей, испуганных, крошечных, в форме не по размеру.
Когда казаки, бандиты с Хованского кладбища, бандиты с любого другого кладбища, исторические реконструкторы или там любителя бабочек вдруг зачем-то серьезно захотят взять власть, они обнаружат, что на пути к ней стоят два испуганных мента, и больше ничего.
