Перейти к содержанию

Prizm - паранойя или реальность ?


Snowden

Рекомендуемые сообщения

Здравствуйте уважаемый Евгений Касперский !

В поисках по интернету я обнаружил этот форум и меня особенно заинтересовала пост с обсуждением "Сноудена", но вообщем не про него я поведу речь, а про те самые злополучные (Скрытые соединения). Итак еще за пол года до приезда Сноудена в Москву я задался вопросом конфиденциальности в интернете и скачал одну интерестную программу, которая показывает все соединения компьютера ( запущенные процессы,локальные адреса,удаленные ip адреса,локальные и удаленные порты, протоколы связи, трассировку маршрута). Мое стремление было вызвано тем что после полного сноса Windows с удалением данных по гост, после некоторого времени работы мой компьютер начинал тормозить и задумываться над рядовыми задачами что я не мог не заметить.

Что же я увидел в эту чудо программу:после полной установки Windows и подключению сетевого кабеля провайдера я увидел соединения к двум хостам: имя первого 77.67.29.192 и его открывает странный процесс [system Process] флаг страна Ирландия, этот процесс запускается сразу же при подключении к интернету ( смутил тот факт что имя процесса взято в квадратные скобки - похоже на маскировку трояна). Имя второго хоста USER-F85600816 открыт системой System скриншот прилагаю. После того как я создал правило для блокировки этих соединений при старте системы по всем портам и удаленным адресам, после подключения они стали отваливаться.

Моя первая мысль была что троян! Но тут много но ...

а) Как он уцелел при полном форматировании диска по госту

б) Если нет то как находит мой компьютер в сети интернет (ведь ай пи адреса у меня меняются каждый день)

Хост USER похож на технический канал Windows, хотя я могу ошибаться, процесс [system Process] на активность трояна.

При блокировки этих соединений ничего не меняется в плане функционирования компьютера.

Далее я обнаружил что мой браузер гугл хром активирует странную активность : по мимо соединений к уже привычным серверам (ip адреса знакомых серверов) он открывает как бы параллельные сессии к хостам со странными названиями, но даже не это меня взволновало, а флаги стран США.

После блокировки этих хостов ничего не происходило в плане качества, лишь влияло на ютуб (подгрузку видео).

Хосты в гугл с флагом США преследовали меня чуть ли не на каждом сайте, открывая параллельные сессии, заблокировав один хост по его удаленному ip адресу, тут же открывался тот же хост с другого ip адреса и только когда задавалось правило блокировки этого хоста по всем ай пи адресам и протоколам - соединение полностью блокировалось и довольно часто пыталось открыться вновь перебирая ip адреса, порты и страны ( причем США и Великобритания )

Честно говоря жутковато как то стало, что мой браузер беснуется как маленький чертик в табакерке...

И тогда у меня родилась мысль что эти соединения могут передавать зашифрованную информацию онлайн на другие сервера , где она считывается.

Причем причиной является не внешний (агрессор), а сам мой браузер и Windows.

В начале были мысли что это меня (Злой рок) постиг, но погуляв по друзьям и соседям я понял что нет.

Те же соединения правда чуть с других хостов ( незначительно изменены названия )идут те же самые соединения и не имеет значения пиратский Windows или нет.

И уже тогда у меня родилась мысль о шпионаже за нами США и Великобритании.

В Windows и другие ПО так или иначе заложены возможности для обновления и именно через эти соединения разработчики и все кто с ними в (теме) могут следить и собирать информацию о нас.

Зачем это надо спросите вы ...? Ну к примеру воровство бизнес идей, еще запатентованных новшеств, сбору компромата и тд. при чем их интересуют все без исключения.При чем перебрал кучу антивирусных программ и фаерволов и они не фиксируют эти соединения, они как бы их обходят. Смотрел по ip об этих адресах узнал одно что они имеют отношение к RIPE сетям.

Но повторюсь это лишь мое видение и я могу ошибаться!

Что бы не быть голословным прилагаю 2 скриншота экрана: первый показывает 2 хоста, связь к которым активируется при подключении к интернету, второй соединения на серверы США в браузере Google, хотя в тот момент я пользовался только поиском яндекса(хотя они всегда открываются при запуске браузера).

Объясните мне пожалуйста что это за соединения, ну или постарайтесь.

Локальные адреса на скриншоте я стер, еще можете посмотреть видео где я показываю эти соединения.

 

ссылка на видео

post-29340-0-80714600-1377795561_thumb.png

post-29340-0-18481500-1377795581_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора Elly
Тема перемещена.
Евгений Касперский не консультирует по соединениям в OS. Именно в таком ключе задан вопрос.
Ссылка на сообщение
Поделиться на другие сайты

второй соединения на серверы США в браузере Google

1. Браузер проверяет обновки

2. Рекламные баннеры хостятся в США

;)

Ссылка на сообщение
Поделиться на другие сайты

у меня стоит adbblock plus от баннеров и это исключено т.к. эти соединения есть и при старте браузерана любую страницу, их ip одни и теже, как будто преследуют меняеютсяя ip только с серверов на которые перехожу, а эти остаются прежними, как будто тянутся в след. Если есть уязвимость то только там, хатя после блокировки этих хостов ничего не меняется...

 

у меня стоит adbblock plus от баннеров и это исключено т.к. эти соединения есть и при старте браузерана любую страницу, их ip одни и теже, как будто преследуют меняеютсяя ip только с серверов на которые перехожу, а эти остаются прежними, как будто тянутся в след. Если есть уязвимость то только там, хатя после блокировки этих хостов ничего не меняется...

 

1. Браузер проверяет обновки

2. Рекламные баннеры хостятся в США

;)

А что тогда за соединения на Ирландию при старте системы ? Это наверное сервер Майкрософт там находится ? Да!

Ссылка на сообщение
Поделиться на другие сайты

А что тогда за соединения на Ирландию при старте системы ? Это наверное сервер Майкрософт там находится ? Да!

Это про 77.67.29.192 ? Больше похоже на Канзас http://www.ipaddress-finder.com/?ip=77.67.29.192

http://ip2geolocation.com/?ip=77.67.29.192

Ссылка на сообщение
Поделиться на другие сайты

1. Браузер проверяет обновки

2. Рекламные баннеры хостятся в США

;)

Я согласился бы с вами уважаемый модератор нет того что это хостинги рекламных баннеров если бы не 2 НО...

1) Кроме того что эти хостинги уж очень назойливы ( меняют порта, удаленные ip адреса и некоторые цыфры в своих именах при их блокировки) тут я выделю 3 хостинга

а) Протокол TCP,United States,хостиннг la-in-f139.1e100.net

б)Протокол TCP,United States,хостинг lb-in-f84.1e100.net

с)Протокол TCP,United States,хостинг bk-in-f125.1e100.net

 

2) Все эти хостинги находятся в городе Mountain View United States название провайдера The whole IPv4 address space

Получается то что все эти хостинги находятся в одном городе ...

Популярый годод для хостингов рекламных Баннеров ?

 

3) Я был удивлен когда обнаружил соединения в Скайпе на похожие хостинги и с того же города...

 

По этому версия о баннерах отпадает...

Даже если представить что это как вы сказали гугл хром хостится что он тогда забыл в других браузерах ? К примеру в опере ?

Больше похоже на то что тырынье инфы начинается на первом этапе раздачи номеров интернета более мелким провайдерам...

Хотя я могу в корне ошибаться...

 

Это про 77.67.29.192 ? Больше похоже на Канзас http://www.ipaddress-finder.com/?ip=77.67.29.192

http://ip2geolocation.com/?ip=77.67.29.192

А мне при проверки этого удаленного ip адреса в 2ip говорится следующие :

IP 77.67.29.192

Хост: 77.67.29.192

Город: Не определен

Страна: United States

IP диапазон: 77.67.29.128 - 77.67.29.255

Название провайдера: Akamai Technologies

inetnum: 77.67.29.128 - 77.67.29.255

netname: AKAMAI-TINET

descr: Akamai Technologies

country: US

admin-c: NARA1-RIPE

tech-c: NARA1-RIPE

status: ASSIGNED PA

mnt-by: AS3257-NET-MNT

source: RIPE # Filtered

 

role: Network Architecture Role Account

address: Akamai Technologies

address: 8 Cambridge Center

address: Cambridge, MA 02142

phone: +1-617-938-3130

abuse-mailbox: abuse@akamai.com

admin-c: NF1714-RIPE

admin-c: JP1944-RIPE

tech-c: NF1714-RIPE

tech-c: JP1944-RIPE

tech-c: APB15-RIPE

tech-c: CKAK-RIPE

tech-c: PWG8-RIPE

tech-c: MH7314-RIPE

tech-c: TBAK-RIPE

tech-c: MJAK-RIPE

nic-hdl: NARA1-RIPE

mnt-by: AKAM1-RIPE-MNT

source: RIPE # Filtered

 

 

 

route: 77.67.0.0/17

descr: Tinet SpA

origin: AS3257

mnt-by: AS3257-ROUTE-MNT

source: RIPE # Filtered

Хм странно...

У второго хостинга USER....

название провайдера: Class A address space for private internets

inetnum: 10.0.0.0 - 10.255.255.255

netname: IANA-ABLK-RESERVED1

descr: Class A address space for private internets

descr: For details see:

descr: http://www.ripe.net/data-tools/db/ipv4-blocks-for-private-internets

country: EU # Country is really world wide

org: ORG-IANA1-RIPE

admin-c: RFC1918-RIPE

tech-c: RFC1918-RIPE

status: ALLOCATED UNSPECIFIED

remarks: Country is really worldwide

remarks: This network should never be routed outside an enterprise

remarks: See RFC1918 for further information

mnt-by: RIPE-NCC-HM-MNT

mnt-lower: RIPE-NCC-HM-MNT

remarks: MNTNER added for RIPE NCC DB Group testing 20121001

More specific objects will be created and deleted

during this testing over the next few days

mnt-lower: aardvark-mnt

source: RIPE # Filtered

 

organisation: ORG-IANA1-RIPE

org-name: Internet Assigned Numbers Authority

org-type: IANA

address: see http://www.iana.org

remarks: The IANA allocates IP addresses and AS number blocks to RIRs

remarks: see http://www.iana.org/numbers

admin-c: IANA1-RIPE

tech-c: IANA1-RIPE

mnt-ref: RIPE-NCC-HM-MNT

mnt-by: RIPE-NCC-HM-MNT

source: RIPE # Filtered

 

role: RFC1918 Role

address: Singel 258

address: 1016 AB Amsterdam

address: The Netherlands

remarks: trouble: See http://www.ripe.net/db/rfc1918.html

admin-c: RFC1918-RIPE

tech-c: RFC1918-RIPE

nic-hdl: RFC1918-RIPE

mnt-by: RFC1918-MNT

source: RIPE # Filtered

 

Я так понимаю что это RIPE сети которые торгуют ip адресами ? То есть наши провайдеры (LIR) покупают интернет у Американцев грубо говоря ?

 

Те же вопросы я задавал своему провайдеру но он мне ничего внятного не смог ответить :rolleyes:

Нууу.... мол вы не волнуйтесь вас никак не отследят... мы меняем ваш ip каждый день

На вопрос покупают ли они у кого нибудь интернет - в службе поддержки провайдера ответили что нет ... это Российский интернет :unsure: и таких соединений быть не должно ... мы все исправим... говорил мой провайдер :blink: чушь одним словом...

ет кто нибудь объяснит ламмеру в чем дело <_< ? :help:

 

В соединениях также часто втречается ip адрес IP 192.34.58.26

Хост: 192.34.58.26

Город: New York

Страна: United States

IP диапазон: 192.34.51.0 - 192.34.106.255

Название провайдера: IPv4 address block not managed by the RIPE NCC

Я так понимаю это ripe сети США ?

 

В соединениях также часто втречается ip адрес IP 192.34.58.26

Хост: 192.34.58.26

Город: New York

Страна: United States

IP диапазон: 192.34.51.0 - 192.34.106.255

Название провайдера: IPv4 address block not managed by the RIPE NCC

Я так понимаю это ripe сети США ?

 

В соединениях также часто втречается ip адрес IP 192.34.58.26

Хост: 192.34.58.26

Город: New York

Страна: United States

IP диапазон: 192.34.51.0 - 192.34.106.255

Название провайдера: IPv4 address block not managed by the RIPE NCC

Я так понимаю это ripe сети США ?

Ссылка на сообщение
Поделиться на другие сайты

Коллега, а зачем вы по три раза одно и то же пишете? :)

 

Если вам так досаждает винда, поставьте Линукс и проверьте — будут там такие соединения или нет?

 

3) Что Присм, что СОРМ — это всё с одного поля ягоды. Ваш провайдер вводит вас в заблуждение, он собирает логи всех ваших похождений и хранит их в течение не менее 3-х лет. В случае, если вам вздумается украсть деньги в каком-нибудь замечательном американском банке, а потом дяди из этого банка на вас обидятся, то ваш провайдер незамедлительно по запросу из компетентных органов сдаст всю вашу подноготную за указанный в заявлении срок :P

Ссылка на сообщение
Поделиться на другие сайты

По поводу хостинга - все может быть ))))

 

ЗЫ. Только не пишите такие огромные простыни

Ссылка на сообщение
Поделиться на другие сайты

Коллега, а зачем вы по три раза одно и то же пишете? :)

 

Если вам так досаждает винда, поставьте Линукс и проверьте — будут там такие соединения или нет?

 

3) Что Присм, что СОРМ — это всё с одного поля ягоды. Ваш провайдер вводит вас в заблуждение, он собирает логи всех ваших похождений и хранит их в течение не менее 3-х лет. В случае, если вам вздумается украсть деньги в каком-нибудь замечательном американском банке, а потом дяди из этого банка на вас обидятся, то ваш провайдер незамедлительно по запросу из компетентных органов сдаст всю вашу подноготную за указанный в заявлении срок :P

 

Простите меня за мой 'русский' :)

СОРМ - Российская система слежки и ей скрытые соединения не нужны, все даст провайдер как вы верно и сказали...

 

По Whois часть этих ip адресов действительно принадлежит Google Inc город Mountain View...

Если взять в учет что, кто то ... имеет доступ к архивам гугла, так же как и СОРМ к провайдеру, то я предпочту их закрыть :) пусть лучше СОРМ на меня смотрит он хоть на 'Отечественный':-)

Часть сединений различных маркетинговых исследовательских компаний собирающие статистику, но именно эти хосты в браузере Google - самые любопытные. 80% этих хостов с США в браузере пренадлежат Google Inc город Mountain View, так же встречаются и хосты Microsoft Corp.

Возможно считываниие информации происходит там ? Ведь хостинги США ...

Как то нашел статью на форуме 2005 года давности, там описывалась уязвимость через протокол

 

Простите за копипасту ))

К своим хостингам Американцы запросто могут иметь полный доступ. А открывает эти соединения не внешняя а внутреннея инфраструктура программ...

 

Простите меня за мой 'русский' :)

СОРМ - Российская система слежки и ей скрытые соединения не нужны, все даст провайдер как вы верно и сказали...

 

По Whois часть этих ip адресов действительно принадлежит Google Inc город Mountain View...

Если взять в учет что, кто то ... имеет доступ к архивам гугла, так же как и СОРМ к провайдеру, то я предпочту их закрыть :) пусть лучше СОРМ на меня смотрит он хоть на 'Отечественный':-)

Часть сединений различных маркетинговых исследовательских компаний собирающие статистику, но именно эти хосты в браузере Google - самые любопытные. 80% этих хостов с США в браузере пренадлежат Google Inc город Mountain View, так же встречаются и хосты Microsoft Corp.

Возможно считываниие информации происходит там ? Ведь хостинги США ...

Как то нашел статью на форуме 2005 года давности, там описывалась уязвимость через протокол

 

Простите за копипасту ))

К своим хостингам Американцы запросто могут иметь полный доступ. А открывает эти соединения не внешняя а внутреннея инфраструктура программ...

Ссылка на сообщение
Поделиться на другие сайты

Случаем Хромом не пользуйтесь? Вероятно что отсюда ноги и растут. Скайп может показывать рекламу, отсюда коннекты к "подозрительным" IP адресам.

У меня такого не наблюдается

 

Что касается Призм... наши тоже придумали кое что

Российские рекламщики предложили интернет-провайдерам бесплатный DPI в обмен на слежку за пользователями

http://habrahabr.ru/post/190938/

 

Навевает гугл с рекламой в почте в зависимости от содержимого переписки

Ссылка на сообщение
Поделиться на другие сайты

Последняя версия :

Спец службы США имеют доступ ко всем хостингам в своей стане менно таидеет паралельное считывание информации о клиентах посетивших тот или инной сервер данных хостинг компаний. Как и админ сервера хостиг компания может паралельно считывать время прибывания на сервере, ip адрес, активность пользователя и контактные данные (страницы пользователей в соц сетях, номера и пароли от платежных систем) и т.п.

Единственное что смущает это к примеру один из таких хостинг компаний Digital Ocean, она предоставляет облачный хостинг (сеть серверов обединенных сетью), недавно наткнулся на спохожую тему про такие же соединения - там автор говорил что это неким образом напоминает ему bot.net...

Не являемся ли мы - рядовые пользователи, часть своеобразного bot.net_а?

 

Случаем Хромом не пользуйтесь? Вероятно что отсюда ноги и растут. Скайп может показывать рекламу, отсюда коннекты к "подозрительным" IP адресам.

У меня такого не наблюдается

 

Что касается Призм... наши тоже придумали кое что

Российские рекламщики предложили интернет-провайдерам бесплатный DPI в обмен на слежку за пользователями

http://habrahabr.ru/post/190938/

 

Навевает гугл с рекламой в почте в зависимости от содержимого переписки

Может есть погрешность в сетевом агенте ? Вы чем пользуетесь если не секрет ?

 

Интересто получается ли у меня блокировать сбор информации или нет )) А то и DPI они пусть на помойку выкинут :)

Ссылка на сообщение
Поделиться на другие сайты

Может есть погрешность в сетевом агенте ? Вы чем пользуетесь если не секрет ?

Может и есть погрешность. Попробуйте на виртуальной машине установить Win без скайпа, хрома и воспроизведите ситуацию с "левыми" IP еще раз. Интересно что будет в логах

Ссылка на сообщение
Поделиться на другие сайты

Предлагаю новою бизнес идею :

Браузер "СВОБОДА" - браузер который дарит свободу мыслей и передвижения :)

Или браузер "МОСКВА" - браузер котрый за кем не следит ;-)

Думаю привлекательная идея для людей которые заинтересованны в повышенном уровне анонимности( бизнесмены и т.п.)

Кстати хостинги гугл и Digital Ocean Inc открываются и в опере, мозиле, гугл хром, tor и даже в SRWare Iron - как утверждают что этот браузер не занимается сбором информации о пользователе )), хотя в последнем хостингов с США открвается в 2 раза меньше чем к примеру в гугл хроме.

Сбор информации США ведут у своих хостинг компаний : т.е. вы владелец сервера который хостится в США, в статистике посещений вы видите по каким поисковым запросам пришел к вам юзер, его ip адрес, время проведенное на веб - странице и т.д. Так же и хостинг компания все это видит и в режиме онлайн по тайной договоренности может эту инфу продавать скажем маркетинговым компаниям ведущих исследования в сфере продаж, а так же и спе службам...

Ну пока это мои догадки и только...

 

Может и есть погрешность. Попробуйте на виртуальной машине установить Win без скайпа, хрома и воспроизведите ситуацию с "левыми" IP еще раз. Интересно что будет в логах

Попробую ! Спасибо за совет. Пробывал изначально на чистой винде и ситуация была таже что на первом скрине 2 соединения. А думаете будут отличия на виртуальной машине ? Попробую.

 

post-29340-0-95259900-1377897679_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Проверил соединения программой TCPView - [system Process] открывает реально много соединений, и среди них TCPIPv6, который не поддерживается моим провайдером и отключен у меня за ненадобностью.Не уверен,что он что-то отправляет т.к. статус этих соединений time wait,скорее он чего-то ждет :think:

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...