Программист Леонид Евдокимов выступил на IT-конференции Chaos Constructions в Санкт-Петербурге с докладом «Проруха на СОРМ». Он рассказал об уязвимости оборудования, предназначенного для оперативно-разыскных мероприятий.

Подписаться на iGuides в Telegram, чтобы узнать обо всем первым — t.me/iguides

Ещё в апреле 2018 года Евдокимов обратил внимание на то, что на одном IP-адресов «Ростелекома» в открытом доступен находится статистика пользовательского трафика. Тогда он предположил, что это результаты работы сниффера, отслеживающего способы обхода блокировки Telegram. Позже выяснилось, что IP-адрес принадлежит оборудованию, которое занимается перехватом трафика. С помощью специальной программы Евдокимов нашёл ещё около тридцати снифферов у двух десятков провайдеров.

В открытом доступе оказались данные, относящиеся к клиентам провайдеров: их имена и фамилии, номера телефонов, логины, адреса электронной почты, номера ICQ, заголовки писем, сетевые адреса, GPS-координаты. По этим сведениям можно легко идентифицировать то или иное лицо.

Из беседы с одним из сотрудников неназванного провайдера Евдокимов узнал, что утечка данных происходит из «коробочки от МФИ-Софт» — это оборудование СОРМ, которое используется для перехвата и анализа трафика пользователей, но «не должно смотреть в интернет». Вендор просит провайдеров открыть удалённый доступ к нему, хотя никакой защиты от перехвата данных в нём не предусмотрено.

На то, чтобы закрыть доступ к СОРМ по IP-адресам, у провайдеров ушло более года. Евдокимов обращался к ним, но безрезультатно, они обратили внимание на проблему лишь после его выступления на конференции.

---

iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru