في مؤتمر Chaos Construct 2019 ، أظهر Leonid
darkk Evdokimov تقريراً فضولياً حول لوحات تحكم SORM المكتشفة بطريق الخطأ في المجال العام. يمكن الاطلاع على التقرير هنا:
darkk.net.ru/2019/cc باختصار: اللوحة التي تحتوي على إحصائيات حول تشغيل برامج وأنظمة الأجهزة SORM من MFI Soft عالقة على الإنترنت ولم يهتم الجميع.
في وقت ما ، توقفت عمليات تفريغ خام لحركة المرور التي تم اعتراضها ، والتي تمكن محرك البحث shodan.io من فهرستها. إليك إحدى هذه المقالب:
archive.li/RG9Ljهناك عناوين MAC وهواتف IMEI والعديد من المعلومات الشخصية الأخرى. ولكن الشيء الأكثر إثارة للاهتمام في هذه المقالب هو أن هناك بطريقة ما حصلت على حركة المرور
لبعض المضيفين على المنفذ 443 (HTTPS) بشكل واضح! بمعنى ، تكون طلبات GET مرئية تمامًا ، وهذا
قد يعني أن SORM يمكنه فك تشفير HTTPS. دعونا نحاول أن نفكر كيف هذا ممكن.
إليك ما تبدو عليه قطع الاتصال التي تم اعتراضها. يمكن ملاحظة أن الاتصال يحدث على المنفذ 443 ، لكن طلب GET مرئي بالكامل:
من الواضح أن النظام يحصل بطريقة ما على حركة مرور تحتاج إلى تشفيرها. كيف يحدث هذا بالضبط غير معروف بالضبط وليس هناك طريقة للتحقق من ذلك. لذلك ، يبقى فقط بناء الفرضيات.
الخيار 1: حركة مرور HTTP على المنفذ 443
عادة ، عند إرسال حركة مرور HTTP إلى منفذ HTTPS (443) ، يعرض خادم الويب خطأ:
خطأ في طلب منفذ HTTP 443يقترح مؤلف التقرير أن بعض الأجهزة المضيفة قد تقبل حركة مرور HTTP غير المشفرة على المنفذ 443. في الواقع ، تم العثور على مثل هذه الأجهزة المضيفة ، على سبيل المثال ،
mra1.mail.ru.يمكن التحقق من ذلك على النحو التالي:
curl -v http://mra1.mail.ru:443
, . .
HTTP- HTTPS-, . ICQ HTTPS HTTP. , . , , .
2:
TLS , (
Perfect Forward Secrecy).
:
. , ., , .
, . , , , , ..
UPD
, - . , . HTTPS .
Mail.ru Group
ICQ HTTP- 443 . - , .. 443 .
ICQ - .