• Languages
Language (Українська)
  • Українська (UA)
  • Русский (RU)
  • English (EN)
  • Deutsch (DE)
  • Français (FR)
  • Español (ES)
  • Беларуская (BY)
  • Български (BG)
  • Polska (PL)
  • Čeština (CZ)
  • Slovenský (SK)
  • Lietuvių (LT)
  • Latvijas (LV)
  • Nederlands (NL)
  • Português (PT)
  • Italiano (IT)
  • Svenska (SV)
  • Norsk (NO)
  • Dansk (DK)
  • ქართული (GE)
  • Română (RO)
  • Magyar (HU)
  • Ελληνικά (EL)
  • Deutsch (AT)
  • العربية (AR)
  • Türkçe (TR)
  • Azərbaycan (AZ)
  • Татарча (TAT)
  • 日本語 (JP)
  • 中文 (CN)
  • 한국어 (KR)

Logo

support informnapalm
Navigation
  • Головна
  • Новини
    • Донбас
    • Крим
    • Сирія
    • Світ
    • Аналітика
    • Інше
    • INsight НОВИНИ
  • Мапи
    • УкрМонітор
    • Сили вторгнення
    • Карта населених пунктів
    • Точна карта розмежування
    • Пролив Босфор
    • Мапа COVID-19
  • Бази даних
  • Інфографіка
  • Про InformNapalm
    • About US

Українців ловлять «на живця» через підставні VPN-сервіси для обходу блокування “VKontakte”

on 28.05.2017 | | OSINT | Інше | Новини Print This Post Print This Post
  • ru
  • cz
  • ua

З моменту підписання указу Президента України про санкції щодо російських IT-компаній минуло 10 днів. За цей час тема обходу блокування Vkontakte, “Однокласники”, сервісів “Яндекс” і Mail.ru стала трендом. Ловити рибу в мутній воді завжди легше, тому шахраї та спецслужби країни-агресора не змарнували нагоди підсадити українських користувачів на голку своїх VPN-сервісів. Волонтери InformNapalm розібрали один приклад, який яскраво ілюструє факт ловів користувачів «на живця».

Аналіз VPN-наживки

Спільнота «Типовий Київ» розмістила рекламу сервісу для обходу блокування — vkunblock.com

Украинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakte

Звісно, реклама подається під соусом «зробимо український інтернет вільним від заборон» і «безплатно». Безплатний сир буває тільки в мишоловці. Вивчимо цей сервіс детальніше.

Почнемо з вивчення групи у VK.

З опису групи бачимо, що у власників сервісу є щонайменше два сайти: vkunblock.com и vkonline.xyz. За інформацією whois vkunblock.com був зареєстрований учора (26.05.2017), а vkonline.xyz — 18.05.2017. Інформація про власника домену закрита, а сам сервіс використовує Cloudflare, що дає йому змогу приховати справжні IP-адреси своїх серверів (і, як наслідок, заважає встановити географічну належність сервісу).

Для подальшого аналізу доведеться встановити розширення з Chrome Web Store.

Розширення складається з чотирьох файлів JavaScript: analytics.js (скрипт схожий на Google Analytics), app.js, chrome.js і пустого proxy.js.

В app.js найцікавіше для нас — це URL: https://pac.safe-proxy.com/coahpcpgfnnaddeelpphpifmgfobflog.pac

PAC — Proxy Automatic Configuration — файл для автоматичних налаштувань проксі. Цей файл містить правила, які вказують, які проксі-сервери в яких випадках браузер має використовувати.

Розбір коду

На цей момент файл має такий вигляд:


function FindProxyForURL(url, host)
{
var cdnSrv = ‘hole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var imSrv = ‘imhole.safe-proxy.com:1084; HTTPS uk.freevpn.pw:433; HTTPS uk1.freevpn.pw:433’;
var mainSrv = cdnSrv;if(shExpMatch(host, «*vk.com») || shExpMatch(host, «*vk-cdn.net»)
|| shExpMatch(host, «*vk-cdn.me»)
|| shExpMatch(host, «*userapi.com»)
|| shExpMatch(url, «*vk.com/audios*»)
|| shExpMatch(url, «*vk.com/al_audio*»))
return «PROXY «+cdnSrv;if(shExpMatch(host, «*vkontakte.ru»)
|| shExpMatch(host, «*.vk.com»)
|| shExpMatch(url, «*apivk.com*»))
return «PROXY «+imSrv;if(shExpMatch(url, «*vk.cc*») ||
shExpMatch(url, «*vk.me*») ||
shExpMatch(url, «*ok.com*») ||
shExpMatch(url, «*odnoklassniki.com.ua*») ||
shExpMatch(url, «*odnoklassniki.ru*») ||
shExpMatch(url, «*mycdn.me*») ||
shExpMatch(url, «*odnoklassniki.ua*») ||
shExpMatch(url, «*ok.ru*») ||
shExpMatch(url, «*mradx.net*») ||
shExpMatch(url, «*ok.me*») ||
shExpMatch(url, «*portal.mail.ru*») ||
shExpMatch(url, «*ad.mail.ru*») ||
shExpMatch(url, «*imgsmail.ru*») ||
shExpMatch(url, «*mail.ru*») ||
shExpMatch(url, «*ya.ru*») ||
shExpMatch(url, «*2ch.hk*») ||
shExpMatch(url, «*kinopoisk.ru*») ||
shExpMatch(url, «*drweb.com*») ||
shExpMatch(url, «*kaspersky.ua*») ||
shExpMatch(url, «*.kaspersky.*») ||
shExpMatch(url, «*yandex.st*») ||
shExpMatch(url, «*yastatic.net*») ||
shExpMatch(url, «*yandex.ru*») ||
shExpMatch(url, «*yadi.sk*») ||
shExpMatch(url, «*yandex.fr*») ||
shExpMatch(url, «*donationalerts.ru*») ||
shExpMatch(url, «*yandex.net*») ||
shExpMatch(url, «*yandex.com*») ||
shExpMatch(url, «*livejournal.ru*») ||
shExpMatch(url, «*yandex.ua*»))
return «PROXY «+mainSrv;return «DIRECT»;
}

Нас найбільше цікавлять рядки з cdnSrv і imSrv — в них адреси серверів, які використовуються. Автори сервісу розбили «санкційний список» на три частини, для кожної з цих частин використовується проксі-сервер, а для сайтів не зі списку — пряме з’єднання (без проксі).

Наш список для аналізу сайтів поповнився двома іменами: safe-proxy.com і freevpn.pw. Друге ім’я відкидаємо відразу: це проксі-сервер, який надає однойменний сервіс, що не має стосунку до VK Unblock. Їхні сервери використовують як резервні на випадок, якщо safe-proxy.com не зможе обробити запит.

Для safe-proxy.com дані whois показують, що домен створили 22.05.2017, дані про власника закриті, а як DNS-сервери використовуються ті самі сервери Cloudflare, що й для vkunblock.com и vkonline.xyz. Здавалося б, знову невдача. Але ні, річ у тім, що Cloudflare може приховувати IP-адреси тільки для звичайних сайтів, які використовують протокол http або https. А для проксі-сервера це не працює. Отже, IP-адреси для hole.safe-proxy.com і imhole.safe-proxy.com будуть справжніми.

Отже,
imhole.safe-proxy.com: 95.213.205.98
hole.safe-proxy.com: 213.196.53.28
hole.safe-proxy.com: 88.212.244.244
hole.safe-proxy.com: 213.196.53.36

95.213.205.98 (мережа 95.213.205.0/24) — це IP-адреса, яка належить російському хостинг-провайдеру «Селектел» (для довідки: VK також використовує дата-центр цього провайдера)
Украинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakte

88.212.244.244, 213.196.53.28 і 213.196.53.36 — IP-адреси серверів, які надає ТОВ «Єдина мережа» (рос. – «Единая сеть», московська компанія, що має філіали в Далласі (США) та Амстердамі (Нідерланди).
Украинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakteУкраинцев ловят "на живца" через подставные VPN-сервисы для обхода блокировки VKontakte

Ще один цікавий момент: VK Unblock використовує HTTP-проксі, не HTTPS. Різниця між ними в тому, що в першому випадку використовують незахищене з’єднання (і провайдер, як захоче, може бачити спробу встановити з’єднання із «санкційним сайтом» через проксі), а в другому — захищене.

Чим поганий VK Unblock? По-перше, цей сервіс пропонує українцям країна-агресор. Після подій у Криму і на Донбасі в доброту і безкорисливість «братського народу» ми не віримо. По-друге, власник ресурсу може вести журнал доступу. Власне, доступ до проксі з якоїсь державної мережі буде запротокольовано, а сам факт спроби обходу блокування чиновником — черговий компромат. По-третє, немає гарантії, що власник ресурсу одного чудового дня не почне проксувати трафік не тільки для VK, а й, наприклад, для Facebook чи будь-яких урядових ресурсів (залежно від IP-адреси клієнта). Перетворивши HTTP-проксі в SOCKS, сервіс буде пропускати через себе і запити DNS з можливістю підміняти відповіді для конкретних користувачів сервісу. Можливості обмежуються тільки тим, до чого здатен власник ресурсу.

Будьте пильними. Шукаючи обхідний шлях, не потрапляйте у пастки, розставлені агресором і шахраями. Заборонений плід солодкий, але є дуже багато альтернатив поштових сервісів, пошуковиків і соціальних мереж поза зоною досяжності російських спецслужб. Подумайте, перш ніж поринати в каламутну воду, чи добре чи плаваєте?


Volodymyr Kolesnykov спеціально для сайту міжнародної розвідувальної спільноти InformNapalm.
(Creative Commons — Attribution 4.0 International — CC BY 4.0)
Тисніть репост і діліться з друзями.
Підписуйтеся на сторінки спільноти InformNapalm у
Фейсбук / Твіттер / Telegram
і оперативно отримуйте інформацію про нові матеріали.

Tags: VKontakteVPNблокування соцмережВКонтактіОднокласники

No Responses to “Українців ловлять «на живця» через підставні VPN-сервіси для обходу блокування “VKontakte””

Leave a Reply

Your email address will not be published.





Пошук

Оновлена OSINT база даних російської військової агресії

Підпишись, щоб першим бачити нові матеріали InformNapalm
мобільний додаток Джура

Архіви записів

Погода
Київ

вологість:

тиск:

вітер:

Погода на 10 днів від sinoptik.ua
  • Головна
  • Privacy Policy
  • Контакти
Весь контент доступний за вільною ліцензією Creative Commons Attribution 4.0 International license, якщо у статті не зазначено інше.