Auf der Konferenz Chaos Constructions 2019 zeigte Leonid
Darkk Evdokimov einen merkwürdigen Bericht über die SORM-Bedienfelder, die versehentlich öffentlich entdeckt wurden. Der Bericht kann hier eingesehen werden:
darkk.net.ru/2019/cc Kurz gesagt: Das Panel mit den Statistiken über den Betrieb der SORM-Software- und -Hardwaresysteme von MFI Soft ragte im Internet heraus und es war allen egal.
Irgendwann ragten Rohdaten des abgefangenen Datenverkehrs heraus, die die Suchmaschine shodan.io indizieren konnte. Hier ist einer dieser Speicherauszüge:
archive.li/RG9LjEs gibt MAC-Adressen, IMEI-Telefone und verschiedene andere persönliche Informationen. Aber das Interessanteste an diesen Dumps ist, dass auf irgendeine Weise Datenverkehr zu
einigen Hosts auf Port 443 (HTTPS) im Klartext aufgetreten ist! Das heißt, vollständig GET-Anforderungen sind sichtbar, und dies
kann bedeuten, dass SORM HTTPS entschlüsseln kann. Versuchen wir zu überlegen, wie dies möglich ist.
So sehen die abgefangenen Verkehrsblöcke aus. Es ist ersichtlich, dass die Verbindung an Port 443 erfolgt, die GET-Anforderung jedoch vollständig sichtbar ist:
Es ist klar, dass das System irgendwie Zugriff auf Datenverkehr erhält, der verschlüsselt werden muss. Wie genau dies geschieht, ist nicht genau bekannt und es gibt keine Möglichkeit, dies zu überprüfen. Daher bleibt nur die Erstellung von Hypothesen.
Option 1: HTTP-Verkehr auf Port 443
Normalerweise sendet der Webserver beim Senden von HTTP-Verkehr an den HTTPS-Port (443) einen Fehler:
Fehler beim Anfordern des HTTP-Ports 443Der Autor des Berichts schlägt vor, dass einige Hosts unverschlüsselten HTTP-Verkehr auf Port 443 akzeptieren könnten. In der Tat wurden solche Hosts gefunden, z. B.
mra1.mail.ru.Dies kann wie folgt überprüft werden:
curl -v http://mra1.mail.ru:443
, . .
HTTP- HTTPS-, . ICQ HTTPS HTTP. , . , , .
2:
TLS , (
Perfect Forward Secrecy).
:
. , ., , .
, . , , , , ..
UPD
, - . , . HTTPS .
Mail.ru Group
ICQ HTTP- 443 . - , .. 443 .
ICQ - .