Od chvíle, kdy prezident Ukrajiny podepsal výnos o sankcích vůči ruským IT společnostem, uplynulo již 10 dnů, za tuto dobu se však téma obcházení blokace VKontaktě, Odnoklassniki, služeb Yandex a Mail.ru stalo stabilní součástí trendu. Chytat ryby v kalných vodách jde vždy snáz, podvodníci a tajné služby agresorského státu si tak nenechali ujít možnost nasadit ukrajinské uživatele na jehlu vlastních VPN služeb. Dobrovolníci z InformNapalmu rozebrali jeden příklad, který výrazně ilustruje případ chytání uživatelů „na živou návnadu“.
Analýza VPN návnady
Komunita Tipičnyj Kijev sdílela reklamu na službu obcházení blokace Vkunblock.com.
Reklama je jako obvykle podávána stylem „osvoboďme ukrajinský internet od zákazů“ a „zcela zdarma“. Jak víme, zdarma může být jen sýr v pasti na myši. Věnujme se této službě důkladněji.
Začněme zkoumáním skupiny na VKontaktě.
Z popisu skupiny vidíme, že provozovatelé služby mají minimálně dva weby, vkunblock.com
a vkonline.xyz
. Podle informací z Whois byl vkunblock.com
zaregistrován včera (26. 5. 2017 a vkonline.xyz
dne 18. 5. 2017. Informace o majiteli domény nejsou veřejně přístupné a samotná služba využívá Cloudflare, což jí umožňuje skrýt skutečné IP adresy svých serverů (a brání tak ve zjištění zeměpisné lokalizace služby).
Další analýza si vyžádá instalaci rozšíření z Chrome Web Store.
Rozšíření je tvořeno čtyřmi soubory JavaScript: analytics.js (skript je podobný Google Analytics), app.js, chrome.js a prázdný proxy.js.
V app.js je pro nás nejzajímavější URL: https://pac.safe-proxy.com/coahpcpgfnnaddeelpphpifmgfobflog.pac
PAC čili Proxy Automatic Configuration je soubor pro automatické nastaveni proxy. Tento soubor obsahuje pravidla nařizující, které proxy servery a v jakých případech musí prohlížeč používat.
Rozbor kódu
V současné době má soubor tuto podobu:
function FindProxyForURL(url, host)
{
var cdnSrv = ‘hole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var imSrv = ‘imhole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var mainSrv = cdnSrv;
if(shExpMatch(host, «*vk.com») || shExpMatch(host, «*vk-cdn.net»)
|| shExpMatch(host, «*vk-cdn.me»)
|| shExpMatch(host, «*userapi.com»)
|| shExpMatch(url, «*vk.com/audios*»)
|| shExpMatch(url, «*vk.com/al_audio*»))
return «PROXY «+cdnSrv;
if(shExpMatch(host, «*vkontakte.ru»)
|| shExpMatch(host, «*.vk.com»)
|| shExpMatch(url, «*apivk.com*»))
return «PROXY «+imSrv;
if(shExpMatch(url, «*vk.cc*») ||
shExpMatch(url, «*vk.me*») ||
shExpMatch(url, «*ok.com*») ||
shExpMatch(url, «*odnoklassniki.com.ua*») ||
shExpMatch(url, «*odnoklassniki.ru*») ||
shExpMatch(url, «*mycdn.me*») ||
shExpMatch(url, «*odnoklassniki.ua*») ||
shExpMatch(url, «*ok.ru*») ||
shExpMatch(url, «*mradx.net*») ||
shExpMatch(url, «*ok.me*») ||
shExpMatch(url, «*portal.mail.ru*») ||
shExpMatch(url, «*ad.mail.ru*») ||
shExpMatch(url, «*imgsmail.ru*») ||
shExpMatch(url, «*mail.ru*») ||
shExpMatch(url, «*ya.ru*») ||
shExpMatch(url, «*2ch.hk*») ||
shExpMatch(url, «*kinopoisk.ru*») ||
shExpMatch(url, «*drweb.com*») ||
shExpMatch(url, «*kaspersky.ua*») ||
shExpMatch(url, «*.kaspersky.*») ||
shExpMatch(url, «*yandex.st*») ||
shExpMatch(url, «*yastatic.net*») ||
shExpMatch(url, «*yandex.ru*») ||
shExpMatch(url, «*yadi.sk*») ||
shExpMatch(url, «*yandex.fr*») ||
shExpMatch(url, «*donationalerts.ru*») ||
shExpMatch(url, «*yandex.net*») ||
shExpMatch(url, «*yandex.com*») ||
shExpMatch(url, «*livejournal.ru*») ||
shExpMatch(url, «*yandex.ua*»))
return «PROXY «+mainSrv;
return «DIRECT»;
}
Nás nejvíce zajímají řádky s cdnSrv
a imSrv
, obsahují totiž adresy používaných serverů. Autoři služby rozdělili „sankční listinu“ do tří částí, pro každou z těchto částí se používá samostatný proxy server, pro weby na listinách neuvedené pak přímé připojení (mimo proxy).
Náš seznam pro analýzu webu se rozšířil o dvě jména, safe-proxy.com
a freevpn.pw
. To druhé hned zahodíme: jde o proxy server poskytovaný stejnojmennou službou, která nemá s VK Unblock nic společného. Jejich servery se používají jako záložní pro případ, že by safe-proxy.com
nedokázal dotaz zpracovat.
Pro safe-proxy.com
údaje z Whois ukazují, že doména byla založena dne 22. 5. 2017, údaje o majiteli jsou neveřejné a jako DNS servery se používají stejné servery Cloudflare jako pro vkunblock.com
a vkonline.xyz
. Vypadá to, že máme zase smůlu. Ale kdepak: Cloudflare totiž dokáže skrývat jen IP adresy obyčejných webů používajících protokol http nebo https. U proxy serverů to ovšem nefunguje. Což znamená, že IP adresy pro hole.safe-proxy.com
a imhole.safe-proxy.com
budou pravé.
imhole.safe-proxy.com: 95.213.205.98
hole.safe-proxy.com: 213.196.53.28
hole.safe-proxy.com: 88.212.244.244
hole.safe-proxy.com: 213.196.53.36
95.213.205.98 (síť 95.213.205.0/24) je IP adresa, která patří ruskému poskytovateli hostingu Selektel (pro informaci: VKontaktě také využívá datové centrum tohoto poskytovatele).
88.212.244.244, 213.196.53.28 a 213.196.53.36 jsou IP adresy serverů, které poskytuje OOO „Jedinaja sjeť“ (moskevská společnost s pobočkami v americkém Dallasu a nizozemském Amsterdamu).
Další zajímavost: VK Unblock používá HTTP proxy, nikoli HTTPS. Rozdíl je v tom, že se v prvním případě používá nechráněné připojení (poskytovatel, když bude chtít, může zachytit pokus o navázání spojení se „sankčním webem“ prostřednictvím proxy), v tom druhém chráněné.
Co je špatného na VK Unblocku? Za prvé tuto službu Ukrajincům nabízí agresorská země. Po událostech na Krymu a Donbasu v laskavost a nezištnost „bratrského národa“ už nevěříme. Za druhé je možné, že provozovatel webu vede deník přístupů. Což znamená, že přístup k proxy z některé státní sítě bude zaznamenán a samotný pokus o obcházení blokace ze strany úředníka představuje další kompromitující materiál. Za druhé nemáme žádnou záruku, že provozovatel webu jednou nezačne prostřednictvím proxy sledovat návštěvnost nejen VKontaktě, ale také např. Facebooku nebo nějakých vládních webů (a také podle IP adresy klienta). Když tato služba udělá z HTTP proxy SOCKS, půjdou skrze ni také dotazy DNS s možností nahrazovat odpovědi pro konkrétní uživatele služby. Možnosti jsou omezeny pouze schopnostmi provozovatele webu.
Buďte bdělí. Při hledání náhradního spojení se nenechte chytit do pastí nastražených agresorem a podvodníky. Zakázané ovoce je sladké, existuje však spousta veřejných alternativních mailových serverů, vyhledávačů a sociálních sítí mimo dosah ruských tajných služeb. Než skočíte do kalných vod, přemýšlejte, jak dobří jste plavci.
Aktuální hlášení skupiny INFORM NAPALM