Snowden 0 Опубликовано 29 августа, 2013 Share Опубликовано 29 августа, 2013 Здравствуйте уважаемый Евгений Касперский ! В поисках по интернету я обнаружил этот форум и меня особенно заинтересовала пост с обсуждением "Сноудена", но вообщем не про него я поведу речь, а про те самые злополучные (Скрытые соединения). Итак еще за пол года до приезда Сноудена в Москву я задался вопросом конфиденциальности в интернете и скачал одну интерестную программу, которая показывает все соединения компьютера ( запущенные процессы,локальные адреса,удаленные ip адреса,локальные и удаленные порты, протоколы связи, трассировку маршрута). Мое стремление было вызвано тем что после полного сноса Windows с удалением данных по гост, после некоторого времени работы мой компьютер начинал тормозить и задумываться над рядовыми задачами что я не мог не заметить. Что же я увидел в эту чудо программу:после полной установки Windows и подключению сетевого кабеля провайдера я увидел соединения к двум хостам: имя первого 77.67.29.192 и его открывает странный процесс [system Process] флаг страна Ирландия, этот процесс запускается сразу же при подключении к интернету ( смутил тот факт что имя процесса взято в квадратные скобки - похоже на маскировку трояна). Имя второго хоста USER-F85600816 открыт системой System скриншот прилагаю. После того как я создал правило для блокировки этих соединений при старте системы по всем портам и удаленным адресам, после подключения они стали отваливаться. Моя первая мысль была что троян! Но тут много но ... а) Как он уцелел при полном форматировании диска по госту б) Если нет то как находит мой компьютер в сети интернет (ведь ай пи адреса у меня меняются каждый день) Хост USER похож на технический канал Windows, хотя я могу ошибаться, процесс [system Process] на активность трояна. При блокировки этих соединений ничего не меняется в плане функционирования компьютера. Далее я обнаружил что мой браузер гугл хром активирует странную активность : по мимо соединений к уже привычным серверам (ip адреса знакомых серверов) он открывает как бы параллельные сессии к хостам со странными названиями, но даже не это меня взволновало, а флаги стран США. После блокировки этих хостов ничего не происходило в плане качества, лишь влияло на ютуб (подгрузку видео). Хосты в гугл с флагом США преследовали меня чуть ли не на каждом сайте, открывая параллельные сессии, заблокировав один хост по его удаленному ip адресу, тут же открывался тот же хост с другого ip адреса и только когда задавалось правило блокировки этого хоста по всем ай пи адресам и протоколам - соединение полностью блокировалось и довольно часто пыталось открыться вновь перебирая ip адреса, порты и страны ( причем США и Великобритания ) Честно говоря жутковато как то стало, что мой браузер беснуется как маленький чертик в табакерке... И тогда у меня родилась мысль что эти соединения могут передавать зашифрованную информацию онлайн на другие сервера , где она считывается. Причем причиной является не внешний (агрессор), а сам мой браузер и Windows. В начале были мысли что это меня (Злой рок) постиг, но погуляв по друзьям и соседям я понял что нет. Те же соединения правда чуть с других хостов ( незначительно изменены названия )идут те же самые соединения и не имеет значения пиратский Windows или нет. И уже тогда у меня родилась мысль о шпионаже за нами США и Великобритании. В Windows и другие ПО так или иначе заложены возможности для обновления и именно через эти соединения разработчики и все кто с ними в (теме) могут следить и собирать информацию о нас. Зачем это надо спросите вы ...? Ну к примеру воровство бизнес идей, еще запатентованных новшеств, сбору компромата и тд. при чем их интересуют все без исключения.При чем перебрал кучу антивирусных программ и фаерволов и они не фиксируют эти соединения, они как бы их обходят. Смотрел по ip об этих адресах узнал одно что они имеют отношение к RIPE сетям. Но повторюсь это лишь мое видение и я могу ошибаться! Что бы не быть голословным прилагаю 2 скриншота экрана: первый показывает 2 хоста, связь к которым активируется при подключении к интернету, второй соединения на серверы США в браузере Google, хотя в тот момент я пользовался только поиском яндекса(хотя они всегда открываются при запуске браузера). Объясните мне пожалуйста что это за соединения, ну или постарайтесь. Локальные адреса на скриншоте я стер, еще можете посмотреть видео где я показываю эти соединения. ссылка на видео Цитата Ссылка на сообщение Поделиться на другие сайты
Elly 3 240 Опубликовано 29 августа, 2013 Share Опубликовано 29 августа, 2013 Сообщение от модератора Elly Тема перемещена. Евгений Касперский не консультирует по соединениям в OS. Именно в таком ключе задан вопрос. Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 29 августа, 2013 Share Опубликовано 29 августа, 2013 второй соединения на серверы США в браузере Google 1. Браузер проверяет обновки 2. Рекламные баннеры хостятся в США 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Snowden 0 Опубликовано 29 августа, 2013 Автор Share Опубликовано 29 августа, 2013 у меня стоит adbblock plus от баннеров и это исключено т.к. эти соединения есть и при старте браузерана любую страницу, их ip одни и теже, как будто преследуют меняеютсяя ip только с серверов на которые перехожу, а эти остаются прежними, как будто тянутся в след. Если есть уязвимость то только там, хатя после блокировки этих хостов ничего не меняется... у меня стоит adbblock plus от баннеров и это исключено т.к. эти соединения есть и при старте браузерана любую страницу, их ip одни и теже, как будто преследуют меняеютсяя ip только с серверов на которые перехожу, а эти остаются прежними, как будто тянутся в след. Если есть уязвимость то только там, хатя после блокировки этих хостов ничего не меняется... 1. Браузер проверяет обновки 2. Рекламные баннеры хостятся в США А что тогда за соединения на Ирландию при старте системы ? Это наверное сервер Майкрософт там находится ? Да! Цитата Ссылка на сообщение Поделиться на другие сайты
Денис-НН 1 224 Опубликовано 29 августа, 2013 Share Опубликовано 29 августа, 2013 А что тогда за соединения на Ирландию при старте системы ? Это наверное сервер Майкрософт там находится ? Да! Это про 77.67.29.192 ? Больше похоже на Канзас http://www.ipaddress-finder.com/?ip=77.67.29.192 http://ip2geolocation.com/?ip=77.67.29.192 Цитата Ссылка на сообщение Поделиться на другие сайты
Snowden 0 Опубликовано 30 августа, 2013 Автор Share Опубликовано 30 августа, 2013 1. Браузер проверяет обновки 2. Рекламные баннеры хостятся в США Я согласился бы с вами уважаемый модератор нет того что это хостинги рекламных баннеров если бы не 2 НО... 1) Кроме того что эти хостинги уж очень назойливы ( меняют порта, удаленные ip адреса и некоторые цыфры в своих именах при их блокировки) тут я выделю 3 хостинга а) Протокол TCP,United States,хостиннг la-in-f139.1e100.net б)Протокол TCP,United States,хостинг lb-in-f84.1e100.net с)Протокол TCP,United States,хостинг bk-in-f125.1e100.net 2) Все эти хостинги находятся в городе Mountain View United States название провайдера The whole IPv4 address space Получается то что все эти хостинги находятся в одном городе ... Популярый годод для хостингов рекламных Баннеров ? 3) Я был удивлен когда обнаружил соединения в Скайпе на похожие хостинги и с того же города... По этому версия о баннерах отпадает... Даже если представить что это как вы сказали гугл хром хостится что он тогда забыл в других браузерах ? К примеру в опере ? Больше похоже на то что тырынье инфы начинается на первом этапе раздачи номеров интернета более мелким провайдерам... Хотя я могу в корне ошибаться... Это про 77.67.29.192 ? Больше похоже на Канзас http://www.ipaddress-finder.com/?ip=77.67.29.192 http://ip2geolocation.com/?ip=77.67.29.192 А мне при проверки этого удаленного ip адреса в 2ip говорится следующие : IP 77.67.29.192 Хост: 77.67.29.192 Город: Не определен Страна: United States IP диапазон: 77.67.29.128 - 77.67.29.255 Название провайдера: Akamai Technologies inetnum: 77.67.29.128 - 77.67.29.255 netname: AKAMAI-TINET descr: Akamai Technologies country: US admin-c: NARA1-RIPE tech-c: NARA1-RIPE status: ASSIGNED PA mnt-by: AS3257-NET-MNT source: RIPE # Filtered role: Network Architecture Role Account address: Akamai Technologies address: 8 Cambridge Center address: Cambridge, MA 02142 phone: +1-617-938-3130 abuse-mailbox: abuse@akamai.com admin-c: NF1714-RIPE admin-c: JP1944-RIPE tech-c: NF1714-RIPE tech-c: JP1944-RIPE tech-c: APB15-RIPE tech-c: CKAK-RIPE tech-c: PWG8-RIPE tech-c: MH7314-RIPE tech-c: TBAK-RIPE tech-c: MJAK-RIPE nic-hdl: NARA1-RIPE mnt-by: AKAM1-RIPE-MNT source: RIPE # Filtered route: 77.67.0.0/17 descr: Tinet SpA origin: AS3257 mnt-by: AS3257-ROUTE-MNT source: RIPE # Filtered Хм странно... У второго хостинга USER.... название провайдера: Class A address space for private internets inetnum: 10.0.0.0 - 10.255.255.255 netname: IANA-ABLK-RESERVED1 descr: Class A address space for private internets descr: For details see: descr: http://www.ripe.net/data-tools/db/ipv4-blocks-for-private-internets country: EU # Country is really world wide org: ORG-IANA1-RIPE admin-c: RFC1918-RIPE tech-c: RFC1918-RIPE status: ALLOCATED UNSPECIFIED remarks: Country is really worldwide remarks: This network should never be routed outside an enterprise remarks: See RFC1918 for further information mnt-by: RIPE-NCC-HM-MNT mnt-lower: RIPE-NCC-HM-MNT remarks: MNTNER added for RIPE NCC DB Group testing 20121001 More specific objects will be created and deleted during this testing over the next few days mnt-lower: aardvark-mnt source: RIPE # Filtered organisation: ORG-IANA1-RIPE org-name: Internet Assigned Numbers Authority org-type: IANA address: see http://www.iana.org remarks: The IANA allocates IP addresses and AS number blocks to RIRs remarks: see http://www.iana.org/numbers admin-c: IANA1-RIPE tech-c: IANA1-RIPE mnt-ref: RIPE-NCC-HM-MNT mnt-by: RIPE-NCC-HM-MNT source: RIPE # Filtered role: RFC1918 Role address: Singel 258 address: 1016 AB Amsterdam address: The Netherlands remarks: trouble: See http://www.ripe.net/db/rfc1918.html admin-c: RFC1918-RIPE tech-c: RFC1918-RIPE nic-hdl: RFC1918-RIPE mnt-by: RFC1918-MNT source: RIPE # Filtered Я так понимаю что это RIPE сети которые торгуют ip адресами ? То есть наши провайдеры (LIR) покупают интернет у Американцев грубо говоря ? Те же вопросы я задавал своему провайдеру но он мне ничего внятного не смог ответить Нууу.... мол вы не волнуйтесь вас никак не отследят... мы меняем ваш ip каждый день На вопрос покупают ли они у кого нибудь интернет - в службе поддержки провайдера ответили что нет ... это Российский интернет и таких соединений быть не должно ... мы все исправим... говорил мой провайдер :blink: чушь одним словом... ет кто нибудь объяснит ламмеру в чем дело ? В соединениях также часто втречается ip адрес IP 192.34.58.26 Хост: 192.34.58.26 Город: New York Страна: United States IP диапазон: 192.34.51.0 - 192.34.106.255 Название провайдера: IPv4 address block not managed by the RIPE NCC Я так понимаю это ripe сети США ? В соединениях также часто втречается ip адрес IP 192.34.58.26 Хост: 192.34.58.26 Город: New York Страна: United States IP диапазон: 192.34.51.0 - 192.34.106.255 Название провайдера: IPv4 address block not managed by the RIPE NCC Я так понимаю это ripe сети США ? В соединениях также часто втречается ip адрес IP 192.34.58.26 Хост: 192.34.58.26 Город: New York Страна: United States IP диапазон: 192.34.51.0 - 192.34.106.255 Название провайдера: IPv4 address block not managed by the RIPE NCC Я так понимаю это ripe сети США ? Цитата Ссылка на сообщение Поделиться на другие сайты
Sandynist 1 115 Опубликовано 30 августа, 2013 Share Опубликовано 30 августа, 2013 Коллега, а зачем вы по три раза одно и то же пишете? Если вам так досаждает винда, поставьте Линукс и проверьте — будут там такие соединения или нет? 3) Что Присм, что СОРМ — это всё с одного поля ягоды. Ваш провайдер вводит вас в заблуждение, он собирает логи всех ваших похождений и хранит их в течение не менее 3-х лет. В случае, если вам вздумается украсть деньги в каком-нибудь замечательном американском банке, а потом дяди из этого банка на вас обидятся, то ваш провайдер незамедлительно по запросу из компетентных органов сдаст всю вашу подноготную за указанный в заявлении срок 2 Цитата Ссылка на сообщение Поделиться на другие сайты
Kapral 1 488 Опубликовано 30 августа, 2013 Share Опубликовано 30 августа, 2013 По поводу хостинга - все может быть )))) ЗЫ. Только не пишите такие огромные простыни Цитата Ссылка на сообщение Поделиться на другие сайты
Snowden 0 Опубликовано 30 августа, 2013 Автор Share Опубликовано 30 августа, 2013 Коллега, а зачем вы по три раза одно и то же пишете? Если вам так досаждает винда, поставьте Линукс и проверьте — будут там такие соединения или нет? 3) Что Присм, что СОРМ — это всё с одного поля ягоды. Ваш провайдер вводит вас в заблуждение, он собирает логи всех ваших похождений и хранит их в течение не менее 3-х лет. В случае, если вам вздумается украсть деньги в каком-нибудь замечательном американском банке, а потом дяди из этого банка на вас обидятся, то ваш провайдер незамедлительно по запросу из компетентных органов сдаст всю вашу подноготную за указанный в заявлении срок Простите меня за мой 'русский' СОРМ - Российская система слежки и ей скрытые соединения не нужны, все даст провайдер как вы верно и сказали... По Whois часть этих ip адресов действительно принадлежит Google Inc город Mountain View... Если взять в учет что, кто то ... имеет доступ к архивам гугла, так же как и СОРМ к провайдеру, то я предпочту их закрыть пусть лучше СОРМ на меня смотрит он хоть на 'Отечественный':-) Часть сединений различных маркетинговых исследовательских компаний собирающие статистику, но именно эти хосты в браузере Google - самые любопытные. 80% этих хостов с США в браузере пренадлежат Google Inc город Mountain View, так же встречаются и хосты Microsoft Corp. Возможно считываниие информации происходит там ? Ведь хостинги США ... Как то нашел статью на форуме 2005 года давности, там описывалась уязвимость через протокол Простите за копипасту )) К своим хостингам Американцы запросто могут иметь полный доступ. А открывает эти соединения не внешняя а внутреннея инфраструктура программ... Простите меня за мой 'русский' СОРМ - Российская система слежки и ей скрытые соединения не нужны, все даст провайдер как вы верно и сказали... По Whois часть этих ip адресов действительно принадлежит Google Inc город Mountain View... Если взять в учет что, кто то ... имеет доступ к архивам гугла, так же как и СОРМ к провайдеру, то я предпочту их закрыть пусть лучше СОРМ на меня смотрит он хоть на 'Отечественный':-) Часть сединений различных маркетинговых исследовательских компаний собирающие статистику, но именно эти хосты в браузере Google - самые любопытные. 80% этих хостов с США в браузере пренадлежат Google Inc город Mountain View, так же встречаются и хосты Microsoft Corp. Возможно считываниие информации происходит там ? Ведь хостинги США ... Как то нашел статью на форуме 2005 года давности, там описывалась уязвимость через протокол Простите за копипасту )) К своим хостингам Американцы запросто могут иметь полный доступ. А открывает эти соединения не внешняя а внутреннея инфраструктура программ... Цитата Ссылка на сообщение Поделиться на другие сайты
Snowden 0 Опубликовано 30 августа, 2013 Автор Share Опубликовано 30 августа, 2013 Кто хочет проверить есть ли у него такие же соединения пишите - дам ссылку на лан агент. Цитата Ссылка на сообщение Поделиться на другие сайты
Гарри 133 Опубликовано 30 августа, 2013 Share Опубликовано 30 августа, 2013 Случаем Хромом не пользуйтесь? Вероятно что отсюда ноги и растут. Скайп может показывать рекламу, отсюда коннекты к "подозрительным" IP адресам. У меня такого не наблюдается Что касается Призм... наши тоже придумали кое что Российские рекламщики предложили интернет-провайдерам бесплатный DPI в обмен на слежку за пользователями http://habrahabr.ru/post/190938/ Навевает гугл с рекламой в почте в зависимости от содержимого переписки Цитата Ссылка на сообщение Поделиться на другие сайты
Snowden 0 Опубликовано 30 августа, 2013 Автор Share Опубликовано 30 августа, 2013 Последняя версия : Спец службы США имеют доступ ко всем хостингам в своей стане менно таидеет паралельное считывание информации о клиентах посетивших тот или инной сервер данных хостинг компаний. Как и админ сервера хостиг компания может паралельно считывать время прибывания на сервере, ip адрес, активность пользователя и контактные данные (страницы пользователей в соц сетях, номера и пароли от платежных систем) и т.п. Единственное что смущает это к примеру один из таких хостинг компаний Digital Ocean, она предоставляет облачный хостинг (сеть серверов обединенных сетью), недавно наткнулся на спохожую тему про такие же соединения - там автор говорил что это неким образом напоминает ему bot.net... Не являемся ли мы - рядовые пользователи, часть своеобразного bot.net_а? Случаем Хромом не пользуйтесь? Вероятно что отсюда ноги и растут. Скайп может показывать рекламу, отсюда коннекты к "подозрительным" IP адресам. У меня такого не наблюдается Что касается Призм... наши тоже придумали кое что Российские рекламщики предложили интернет-провайдерам бесплатный DPI в обмен на слежку за пользователями http://habrahabr.ru/post/190938/ Навевает гугл с рекламой в почте в зависимости от содержимого переписки Может есть погрешность в сетевом агенте ? Вы чем пользуетесь если не секрет ? Интересто получается ли у меня блокировать сбор информации или нет )) А то и DPI они пусть на помойку выкинут Цитата Ссылка на сообщение Поделиться на другие сайты
Гарри 133 Опубликовано 30 августа, 2013 Share Опубликовано 30 августа, 2013 Может есть погрешность в сетевом агенте ? Вы чем пользуетесь если не секрет ? Может и есть погрешность. Попробуйте на виртуальной машине установить Win без скайпа, хрома и воспроизведите ситуацию с "левыми" IP еще раз. Интересно что будет в логах Цитата Ссылка на сообщение Поделиться на другие сайты
Snowden 0 Опубликовано 30 августа, 2013 Автор Share Опубликовано 30 августа, 2013 Предлагаю новою бизнес идею : Браузер "СВОБОДА" - браузер который дарит свободу мыслей и передвижения Или браузер "МОСКВА" - браузер котрый за кем не следит ;-) Думаю привлекательная идея для людей которые заинтересованны в повышенном уровне анонимности( бизнесмены и т.п.) Кстати хостинги гугл и Digital Ocean Inc открываются и в опере, мозиле, гугл хром, tor и даже в SRWare Iron - как утверждают что этот браузер не занимается сбором информации о пользователе )), хотя в последнем хостингов с США открвается в 2 раза меньше чем к примеру в гугл хроме. Сбор информации США ведут у своих хостинг компаний : т.е. вы владелец сервера который хостится в США, в статистике посещений вы видите по каким поисковым запросам пришел к вам юзер, его ip адрес, время проведенное на веб - странице и т.д. Так же и хостинг компания все это видит и в режиме онлайн по тайной договоренности может эту инфу продавать скажем маркетинговым компаниям ведущих исследования в сфере продаж, а так же и спе службам... Ну пока это мои догадки и только... Может и есть погрешность. Попробуйте на виртуальной машине установить Win без скайпа, хрома и воспроизведите ситуацию с "левыми" IP еще раз. Интересно что будет в логах Попробую ! Спасибо за совет. Пробывал изначально на чистой винде и ситуация была таже что на первом скрине 2 соединения. А думаете будут отличия на виртуальной машине ? Попробую. Цитата Ссылка на сообщение Поделиться на другие сайты
VEVLIH 10 Опубликовано 14 сентября, 2013 Share Опубликовано 14 сентября, 2013 Проверил соединения программой TCPView - [system Process] открывает реально много соединений, и среди них TCPIPv6, который не поддерживается моим провайдером и отключен у меня за ненадобностью.Не уверен,что он что-то отправляет т.к. статус этих соединений time wait,скорее он чего-то ждет Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.