Фото №1 - Пользователь «Хабра» рассказал, как личный кабинет «Ростелекома» сканирует компьютеры пользователей

Пользователь коллективного блога «Хабр» под ником force рассказал интересную историю про поведение страниц личного кабинета «Ростелекома». Но перед тем как перейти к сути, сделаем короткий ликбез про то, как работает Интернет.

Каждое устройство в Интернете (компьютер, смартфон, сервер, а теперь еще и холодильник) имеют собственный адрес. Он называется IP-адрес. Когда два устройства решают пообщаться друг с другом, они посылают инструкции согласно определенным протоколам. Например HTTP — это hyper-text transfer protocol, то есть протокол для передачи гипертекста (это веб-страницы). Если нужно передать файл, то есть FTP — file transfer protocol.

Чтобы одно устройство сразу понимало, чего от него хочет другое устройство, каждому протоколу назначили собственный порт. Например, HTTP работает на 80-м порту, HTTPS (шифрованный HTTP) — на 443-м, FTP — на 21-м, и т.д. Программа, которая следит за тем, кто и с какого адреса обращается к портам, называется Firewall (брандмауэр). Очень часто хакерские атаки начинаются с поиска запущенных на устройстве служб. Такой процесс называется «сканирование портов», то есть попытка понять, какие порты на устройстве открыты, требуют ли они ввода пароля и установлены ли версии протоколов с известными хакерам ошибками.

Возвращаясь к сути: упомянутый выше пользователь «Хабра» обратил внимание на странное поведение брандмауэра: тот рапортовал о сканировании портов в системе. Однако обращение происходило не снаружи сети, а с самого компьютера пользователя. Обычно это означает, что на компьютере творит свои злодеяния вирус и ему очень надо наружу.

Проведя подробные исследования, force заметил, что действия совершает одна из вкладок браузера, в которой открыт личный кабинет «Ростелекома». После дискуссии под сообщением о находке пользователи «Хабра» выяснили, что страница сайта «Ростелекома» действительно содержит скрипт (причем с намеренно искаженным кодом, так называемым «обфусцированным»), который раз в 10 минут опрашивает порты компьютера пользователя.

Зачем он это делает, выяснить не удалось. Однако специалисты настоятельно рекомендуют следить за тем, что происходит в операционной системе, и никогда не отвечать «да» в диалоговых окнах операционной системы, если тебе неизвестно их происхождение.

Не исключена вероятность, что «Ростелеком» взломали. Также не исключено, что «Ростелеком» взломает тебя.