Пользователь «Хабра» рассказал, как личный кабинет «Ростелекома» сканирует компьютеры пользователей

Держи друзей близко, врагов — еще ближе, а Firewall и VPN — включенными.

Пользователь коллективного блога «Хабр» под ником force рассказал интересную историю про поведение страниц личного кабинета «Ростелекома». Но перед тем как перейти к сути, сделаем короткий ликбез про то, как работает Интернет.

Каждое устройство в Интернете (компьютер, смартфон, сервер, а теперь еще и холодильник) имеют собственный адрес. Он называется IP-адрес. Когда два устройства решают пообщаться друг с другом, они посылают инструкции согласно определенным протоколам. Например HTTP — это hyper-text transfer protocol, то есть протокол для передачи гипертекста (это веб-страницы). Если нужно передать файл, то есть FTP — file transfer protocol.

Чтобы одно устройство сразу понимало, чего от него хочет другое устройство, каждому протоколу назначили собственный порт. Например, HTTP работает на 80-м порту, HTTPS (шифрованный HTTP) — на 443-м, FTP — на 21-м, и т.д. Программа, которая следит за тем, кто и с какого адреса обращается к портам, называется Firewall (брандмауэр). Очень часто хакерские атаки начинаются с поиска запущенных на устройстве служб. Такой процесс называется «сканирование портов», то есть попытка понять, какие порты на устройстве открыты, требуют ли они ввода пароля и установлены ли версии протоколов с известными хакерам ошибками.

Возвращаясь к сути: упомянутый выше пользователь «Хабра» обратил внимание на странное поведение брандмауэра: тот рапортовал о сканировании портов в системе. Однако обращение происходило не снаружи сети, а с самого компьютера пользователя. Обычно это означает, что на компьютере творит свои злодеяния вирус и ему очень надо наружу.

Проведя подробные исследования, force заметил, что действия совершает одна из вкладок браузера, в которой открыт личный кабинет «Ростелекома». После дискуссии под сообщением о находке пользователи «Хабра» выяснили, что страница сайта «Ростелекома» действительно содержит скрипт (причем с намеренно искаженным кодом, так называемым «обфусцированным»), который раз в 10 минут опрашивает порты компьютера пользователя.

Зачем он это делает, выяснить не удалось. Однако специалисты настоятельно рекомендуют следить за тем, что происходит в операционной системе, и никогда не отвечать «да» в диалоговых окнах операционной системы, если тебе неизвестно их происхождение.

Не исключена вероятность, что «Ростелеком» взломали. Также не исключено, что «Ростелеком» взломает тебя.

Комментарии

1
под именем
  • Топ
  • Все комментарии
  • Да хранит Вас Бог от Ростелекома!