С момента подписания указа президента Украины о санкциях в отношении российских IT-компаний прошло 10 дней, но за это время тема обхода блокировки VKontakte, «Одноклассников», сервисов «Яндекс» и Mail.ru вошла в тренд. Ловить рыбу в мутной воде всегда легче, поэтому мошенники и спецслужбы страны-агрессора не упустили возможности подсадить украинских пользователей на иглу собственных VPN-сервисов. Волонтеры InformNapalm разобрали один из примеров, который ярко иллюстрирует факт ловли пользователей на живца.
Анализ VPN-наживки
Сообщество «Типичный Киев» разместило рекламу сервиса обхода блокировок vkunblock.com.
Как обычно, реклама подается под соусом «сделаем украинский интернет свободным от запретов» и «совершенно бесплатно». Бесплатный сыр бывает только в мышеловке. Изучим данный сервис подробнее.
Начнём с изучения группы в VK.
Из описания группы видим, что у владельцев сервиса есть как минимум два сайта: vkunblock.com
и vkonline.xyz
. По информации whois, vkunblock.com
был зарегистрирован вчера (26.05.2017), а vkonline.xyz
— 18.05.2017. Информация о владельце домена закрыта, а сам сервис использует Cloudflare, что позволяет ему скрыть настоящие IP-адреса своих серверов (и, как следствие, мешает установить географическую принадлежность сервиса).
Для дальнейшего анализа придётся устанавливать расширение из Chrome Web Store.
Расширение состоит из четырёх файлов JavaScript: analytics.js (скрипт похож на Google Analytics), app.js, chrome.js и пустого proxy.js.
В app.js самое интересное для нас — это URL: https://pac.safe-proxy.com/coahpcpgfnnaddeelpphpifmgfobflog.pac
PAC — Proxy Automatic Configuration — файл для автоматической настройки прокси. В этом файле содержатся правила, указывающие, какие прокси-сервера в каких случаях браузер должен использовать.
Разбор кода
На данный момент файл имеет следующий вид:
function FindProxyForURL(url, host)
{
var cdnSrv = ‘hole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var imSrv = ‘imhole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var mainSrv = cdnSrv;
if(shExpMatch(host, «*vk.com») || shExpMatch(host, «*vk-cdn.net»)
|| shExpMatch(host, «*vk-cdn.me»)
|| shExpMatch(host, «*userapi.com»)
|| shExpMatch(url, «*vk.com/audios*»)
|| shExpMatch(url, «*vk.com/al_audio*»))
return «PROXY «+cdnSrv;
if(shExpMatch(host, «*vkontakte.ru»)
|| shExpMatch(host, «*.vk.com»)
|| shExpMatch(url, «*apivk.com*»))
return «PROXY «+imSrv;
if(shExpMatch(url, «*vk.cc*») ||
shExpMatch(url, «*vk.me*») ||
shExpMatch(url, «*ok.com*») ||
shExpMatch(url, «*odnoklassniki.com.ua*») ||
shExpMatch(url, «*odnoklassniki.ru*») ||
shExpMatch(url, «*mycdn.me*») ||
shExpMatch(url, «*odnoklassniki.ua*») ||
shExpMatch(url, «*ok.ru*») ||
shExpMatch(url, «*mradx.net*») ||
shExpMatch(url, «*ok.me*») ||
shExpMatch(url, «*portal.mail.ru*») ||
shExpMatch(url, «*ad.mail.ru*») ||
shExpMatch(url, «*imgsmail.ru*») ||
shExpMatch(url, «*mail.ru*») ||
shExpMatch(url, «*ya.ru*») ||
shExpMatch(url, «*2ch.hk*») ||
shExpMatch(url, «*kinopoisk.ru*») ||
shExpMatch(url, «*drweb.com*») ||
shExpMatch(url, «*kaspersky.ua*») ||
shExpMatch(url, «*.kaspersky.*») ||
shExpMatch(url, «*yandex.st*») ||
shExpMatch(url, «*yastatic.net*») ||
shExpMatch(url, «*yandex.ru*») ||
shExpMatch(url, «*yadi.sk*») ||
shExpMatch(url, «*yandex.fr*») ||
shExpMatch(url, «*donationalerts.ru*») ||
shExpMatch(url, «*yandex.net*») ||
shExpMatch(url, «*yandex.com*») ||
shExpMatch(url, «*livejournal.ru*») ||
shExpMatch(url, «*yandex.ua*»))
return «PROXY «+mainSrv;
return «DIRECT»;
}
Нас больше всего интересуют строки с cdnSrv
и imSrv
— в них содержатся адреса используемых серверов. Авторы сервиса разбили «санкционный список» на три части, для каждой из этих частей используется свой прокси-сервер, а для сайтов не из списка — прямое соединение (без прокси).
Наш список для анализа сайтов пополнился двумя именами: safe-proxy.com
и freevpn.pw
. Второе имя отбрасываем сразу: это прокси-сервер, предоставляемый одноимённым сервисом, не имеющим отношения к VK Unblock. Их сервера используются в качестве резервных на случай, если safe-proxy.com
не сможет обработать запрос.
Для safe-proxy.com
данные whois показывают, что домен был создан 22.05.2017, данные о владельце закрыты, а в качестве DNS-серверов используются те же сервера Cloudflare, что и для vkunblock.com
и vkonline.xyz
. Казалось бы, снова неудача. Но нет. Дело в том, что Cloudflare может скрывать IP-адреса только для обычных сайтов, использующих протокол http или https. А для прокси-сервера это не работает. Следовательно, IP-адреса для hole.safe-proxy.com
и imhole.safe-proxy.com
будут настоящими.
Итак,
imhole.safe-proxy.com: 95.213.205.98
hole.safe-proxy.com: 213.196.53.28
hole.safe-proxy.com: 88.212.244.244
hole.safe-proxy.com: 213.196.53.36
95.213.205.98 (сеть 95.213.205.0/24) — это IP-адрес, принадлежащий российскому хостинг-провайдеру «Селектел» (для справки: VK тоже использует дата-центр этого провайдера).
88.212.244.244, 213.196.53.28 и 213.196.53.36 — IP-адреса серверов, предоставляемых ООО «Единая сеть» (московская компания, имеющая филиалы в Далласе (США) и Амстердаме (Нидерланды)).
Ещё один интересный момент: VK Unblock использует HTTP-прокси, не HTTPS. Разница между ними в том, что в первом случае используется незащищённое соединение (и при большом желании провайдер может видеть попытку установки соединения с «санкционным сайтом» через прокси), а во втором — защищённое.
Чем плох VK Unblock? Во-первых, данный сервис предоставляется украинцам страной-агрессором. После событий в Крыму и на Донбассе в доброту и бескорыстие «братского народа» мы не верим. Во-вторых, владелец ресурса может вести журнал доступа. Соответственно доступ к прокси из какой-нибудь государственной сети будет запротоколирован, а сам факт попытки обхода блокировки со стороны чиновника — очередной компромат. В-третьих, нет гарантии, что владелец ресурса в один прекрасный день не начнет проксировать трафик не только для VK, но и, например, для Facebook либо для каких-нибудь правительственных ресурсов (и в зависимости от IP-адреса клиента). Превратив HTTP-прокси в SOCKS, сервис будет пропускать через себя и запросы DNS с возможностью подменять ответы для конкретных пользователей сервиса. Возможности ограничиваются лишь способностями владельца ресурса.
Будьте бдительны. В поисках обходного пути не попадайте в ловушки, расставленные агрессором и мошенниками. Запретный плод сладок, но есть уйма открытых альтернатив – почтовых сервисов, поисковиков и социальных сетей вне досягаемости российских спецслужб. Прежде чем нырять в мутную воду, подумайте, хорошо ли вы плаваете?