Операции ФСБ и подмена сайтов

Я бы хотела обратить внимание на то, что разного рода спецслужбы в России (я имею в виду ФСБ, МВД, etc.) начали провокационную деятельность в Интернете.

Пока сетевая общественность обсуждает перспективы строительства интернет-фильтра по китайскому образцу, "органы" вовсю проводят операции в Интернете. Одна из наиболее часто используемых ими методик - создание подложных сайтов, которые выглядят как настоящие оппозиционные сайты, но администраторами которых являются "службисты". Находятся все эти поддельные сайты в одном подземном дата-центре (Москва, Раменки, владение 43, объект ГУСП), через который проходит до 70% зарубежного трафика из российских интернет-сетей.

Рассмотрим, как работает эта методика на примере "Твиттера".

Вот блог пресс-атташе "В контакте" Цыплухина, загруженный через обычный компьютер московского провайдера "Ринет".



А вот его настоящая страница, которую мы загрузили через прокси-сервер с германским IP адресом:




Как видно, разница вполне значительная. Обратите внимание, что разный текст и нет картинок.

Живой Журнал, Фейсбук, Твиттер в России грузятся с подставных адресов. Эти адреса принадлежат машинам, которые размещены в России, а не за рубежом, то есть машины эти принадлежат "органам". Поэтому когда вы пишете что-то в Твиттер, ваш пароль, учетное имя, IP адрес и местонахождение автоматически становятся известными ФСБ.

Вполне возможно, применение такой технологии массового перехвата трафика позволило выйти службистам на след убийц одного адвоката и судьи (Маркелова и Чувашова).

Интересно, что будет делать ФСБ, когда эти сведения, благодаря этой записи, стали общедоступными?

Марина Раздобудько

 

Какой-то наеб.
И скрины маленькие.

Ботнеты?


//Что за мудак переводил этот текст? Промт наверняка.

 

Я работаю вместе со специалистами МВД, мы были сами удивлены этому. Вообще подмену Твиттера я заметила еще после взрыва в Домодедово. Тогда некоторые аккаунты тоже подменялись для России. А именно, блокировали обновление аккаунтов, где были ссылки на фото трупов.

 

Опять какой-то перевод.

 

Я стопроцентно железобетонно утверждаю, что это не перевод. А мой реальный текст =) По теме сообщения можете высказаться?

 

могем. пожалуйста трейсировку через прокси и на прямую сделайте.

 

хорошая идея

 

Прокси сервером выступал anonymouse.org. Можете проверить прямо сейчас. С локальной машины я сняла последовательность, вот она


traceroute to twitter.com (199.59.148.83), 30 hops max, 60 byte packets
1 195.91.242.97 (195.91.242.97) 1.486 ms 1.226 ms 1.244 ms
2 cs7604-v19.rinet.ru (86.62.124.65) 1.441 ms 1.315 ms 1.470 ms
3 89.20.133.5 (89.20.133.5) 100.128 ms 100.156 ms 100.112 ms
4 212.1.253.30 (212.1.253.30) 1.750 ms 1.809 ms 1.679 ms
5 xe-11-2-0-115.bar1.Stockholm1.Level3.net (213.242.69.13) 198.780 ms 198.797 ms 198.773 ms
6 * * *
7 * * *
8 ae-7-7.ebr1.Dusseldorf1.Level3.net (4.69.142.170) 105.786 ms 52.722 ms 107.772 ms
9 ae-48-48.ebr2.Frankfurt1.Level3.net (4.69.143.178) 53.975 ms ae-45-45.ebr2.Frankfurt1.Level3.net (4.69.143.166) 52.549 ms ae-47-47.ebr2.Frankfurt1.Level3.net (4.69.143.174) 154.623 ms
10 ae-41-41.ebr2.Washington1.Level3.net (4.69.137.50) 244.888 ms ae-44-44.ebr2.Washington1.Level3.net (4.69.137.62) 195.554 ms ae-42-42.ebr2.Washington1.Level3.net (4.69.137.54) 142.052 ms
11 ae-3-3.ebr1.NewYork2.Level3.net (4.69.132.90) 198.768 ms 267.841 ms 206.866 ms
12 ae-1-100.ebr2.NewYork2.Level3.net (4.69.135.254) 146.195 ms 258.145 ms 144.954 ms
13 ae-6-6.ebr2.NewYork1.Level3.net (4.69.141.21) 248.447 ms 246.757 ms 199.331 ms
14 ae-2-2.ebr4.SanJose1.Level3.net (4.69.135.185) 214.387 ms 328.639 ms 215.912 ms
15 ae-71-71.csw2.SanJose1.Level3.net (4.69.153.6) 318.033 ms ae-81-81.csw3.SanJose1.Level3.net (4.69.153.10) 356.817 ms ae-71-71.csw2.SanJose1.Level3.net (4.69.153.6) 268.711 ms
16 ae-33-80.car3.SanJose1.Level3.net (4.69.152.133) 360.396 ms ae-43-90.car3.SanJose1.Level3.net (4.69.152.197) 217.665 ms 328.384 ms
17 TWITTER-INC.car3.SanJose1.Level3.net (4.71.113.194) 319.421 ms 268.642 ms 273.456 ms
18 199.16.159.37 (199.16.159.37) 371.266 ms 220.334 ms 217.871 ms
19 r-199-59-148-83.twttr.com (199.59.148.83) 227.723 ms 225.230 ms 283.889 ms


По состоянию на сейчас прослушка и подмена сайта продолжается. Сравните:

 

Трассировку через web-прокси может снять только УСТМ, у меня нет сейчас с ними контакта, будет в понедельник.

 

на проксе кеш старый

 

Здесь надо просто понять, или это санкционировано судом, и тогда у нас нет претензий, пусть "большие братья" делают свою работу, или это незаконное вмешательство, и надо поднимать отдел БСТМ или ЦБС ФСБ.

Есть идеи насчет этого?

 

Проверяли, на кэше отключено кэширование страниц, там идет liveload (мгновенная загрузка).

 

опасно!

 

Я не понимаю, что опасного?

 

Я еще обратила внимание, что записи через javascript подгружаются через прокси нормально, т.е. там точно не в кэше дело.

 

Вы знаете, я пойду спать. Потому что сегодня вскрытие было, мы устали. Да и дочь уже спит.

Мне все же кажется, что ФСБ пасет этого Цыплухина, и ради этого поставили имитатор.

Но сама идея интересна.

 

supercat

Если вы заходили на эти адреса через прокси, попробуйте через VPN по различным протоколам (PPTP, L2TP), OpenVPN, SSH. Если следовать вашей версии о подмене сайтов с использованием прокси, то в случае использования разных средств анонимизации различия должны сохраниться.

Вы когда-нибудь слышали о других способах сокрытия IP помимо обычного прокси?

При использовании обычного прокси весь траффик идет в открытом виде от пользователя через канал провайдера до прокси сервера, затем идет на конечный сервер, ответ тоже приходит в открытом виде. Так, если вами был использован только прокси-сервер, то подмена может вестись как на стороне сервера Твиттера, который на основе заголовков браузера и информации об IP сам решает, так и на стороне сервера провайдера, который определяет является ли входящий для абонента IP-адрес IP-адресом сервера Twitter'а или нет и на основе него отдает конечному пользователю разный контент.

 

Найдут того кто это раскопал)

 

Поржал. Прокси некорректно флэш и картинки отображает. Сообщения вообще в разное время написаны.

 

Вероятнее всего, трафик Ростелекома проходит через некий узел связи, где установлены имитаторы зарубежных ресурсов, содержание которых представляет идеологическую опасность для режима. Аналогичная подмена наблюдалась и после взрыва в Домодедово, повторюсь. Я думаю, это на М-9 (Раменки, 43) все стоит. Или на Сходненской, или в Останкино.