[svoboda] Данные российских пользователей, собираемые системами СОРМ, утекали в открытый доступ
Здравствуйте, свобода.
Программист Леонид Евдокимов обнаружил в открытом доступе различные данные
сотен российских пользователей, попавшие в Сеть из-за некорректной работы
оборудования СОРМ (Система технических средств для обеспечения функций
оперативно-розыскных мероприятий), которое должны устанавливать провайдеры
для исполнения требований российского законодательства.
25 августа Евдокимов выступил на IT-конференции Chaos Constructions в
Санкт-Петербурге, где представил доклад под названием "Проруха на СОРМ". В
ходе выступления он рассказал, что в апреле прошлого года прошлого года
знакомый показал ему IP-адрес из сети "Ростелекома", на котором в открытом
доступе находилась некая статистика пользовательского трафика, пишет
"Медуза".
По характерному распределению трафика в зависимости от времени суток
Евдокимов предположил, что IP-адрес имеет отношение к оборудованию, которое
занимается прослушкой. После этого с помощью сканера Zmap он нашел 30
подобных адресов в сетях как минимум 20 российских провайдеров. Далее
Евдокимов нашел на этих IP-адресах открытые FTP-сервера, а также "прямой
эфир" трафика В транслируемых данных обнаружились телефоны пользователей,
адреса электронной почти, GPS-координаты и другие сведения, которые, по всей
видимости, передавались недостаточно защищенными смартфонами с устаревшими
прошивками, позволяя идентифицировать их владельцев. Так, с помощью этих
данных Евдокимов смог с высокой степенью вероятности определить, что в Сеть
транслировались данные жителей дагестанского села Новосельское и закрытого
города Саров. Во втором случае Евдокимов смог найти среди данных темы
электронных писем, предположительно, отправленных подрядчиками Российского
федерального ядерного центра и других научных организаций Сарова.
"Как честный человек, я перво-наперво отправил сообщения об этом
провайдерам, чтобы разобрались, что это такое. Мне ответили, что это
стандартная "коробка" от разработчика СОРМ и системы "Ревизор", - рассказал
Евдокимов на конференции, уточнив, что один из собеседников сообщил ему, что
речь идет об оборудовании компании "МФИ Софт", которая является одним из
крупнейших российских поставщиков систем СОРМ.
В июне прошлого года провайдеры, к которым обратился Евдокимов начали
закрывать доступ к данным. Однако ко дню выступления программиста с докладом
незакрытыми оставались шесть IP-адресов. Доступ к ним был закрыт 26 августа,
после того как на презентацию Евдокимова обратил внимание IT-эксперт
Владислав Здольников.
Журналисты "Медузы" обратились за комментариями в "МФИ Софт" (входит в
группу компаний "Цитадель"), но пока не получили ответа. При этом Евдокимов
рассказал, что в июне говорил с одним из сотрудников "Цитадели", который
утверждал, что в новых версиях софта для оборудования СОРМ устранили ошибку,
приводившую в попаданию данных в открытый доступ.
