Pada konferensi Chaos Constructions 2019, Leonid
darkk Evdokimov menunjukkan laporan yang aneh tentang panel kontrol SORM yang secara tidak sengaja ditemukan di domain publik. Laporan ini dapat dilihat di sini:
darkk.net.ru/2019/cc Singkatnya: panel dengan statistik pengoperasian perangkat lunak dan sistem perangkat keras SORM dari MFI Soft muncul di Internet dan tidak ada apa pun untuk semua orang.
Pada suatu saat, dump mentah dari lalu lintas yang dicegat mencuat, yang berhasil diindeks oleh mesin pencari shodan.io. Berikut adalah salah satu dari kesedihan ini:
archive.li/RG9LjAda alamat MAC, telepon IMEI dan berbagai informasi pribadi lainnya. Tetapi hal yang paling menarik dalam dump ini adalah bahwa entah bagaimana ada lalu lintas ke
beberapa host di port 443 (HTTPS) di tempat kosong! Artinya, permintaan GET sepenuhnya terlihat, dan ini
dapat berarti bahwa SORM dapat mendekripsi HTTPS. Mari kita coba pikirkan bagaimana ini mungkin.
Inilah yang terlihat seperti potongan-potongan lalu lintas yang disadap. Dapat dilihat bahwa koneksi terjadi pada port 443, tetapi permintaan GET terlihat secara keseluruhan:
Jelas bahwa sistem entah bagaimana mendapatkan akses ke lalu lintas yang perlu dienkripsi. Bagaimana tepatnya ini terjadi tidak diketahui secara pasti dan tidak ada cara untuk memverifikasi ini. Karena itu, tetap hanya membangun hipotesis.
Opsi 1: Lalu lintas HTTP pada port 443
Biasanya, ketika mengirim lalu lintas HTTP ke port HTTPS (443), server web mengembalikan kesalahan:
Kesalahan saat meminta port HTTP 443Penulis laporan menyarankan bahwa beberapa host mungkin menerima lalu lintas HTTP tidak terenkripsi pada port 443. Memang, host tersebut ditemukan, misalnya,
mra1.mail.ru.Ini dapat diverifikasi sebagai berikut:
curl -v http://mra1.mail.ru:443
, . .
HTTP- HTTPS-, . ICQ HTTPS HTTP. , . , , .
2:
TLS , (
Perfect Forward Secrecy).
:
. , ., , .
, . , , , , ..
UPD
, - . , . HTTPS .
Mail.ru Group
ICQ HTTP- 443 . - , .. 443 .
ICQ - .