Comments 63
Там есть такая вот строчка
Подменяет любые js скрипты по http(логично), которые реально существуют, то есть ответ 200.
А вот мои исследования (когда я тыкал в сервер darkk пачкой тестовых запросов, ещё в самом начале истории) показали что заменяются даже несуществующие скрипты.
Вплоть до того, что у меня даже прямо сейчас заменяется http://ya.ru/test.rtk.ad.hijacking.js ;)
ну, не совсем "перехват": до сервера запросы таки доходят.
Только "они" успевают прислать фальшивый ответ раньше, чем сервер пришлёт настоящий (потому что находятся ближе).
Поэтому — когда вы получаете фальшивый трафик от этого DPI — ваш http-клиент отправляет оригинальному серверу TCP-пакеты подтверждения получения того трафика, который тот не отправлял (как правило, сервер забивает на это). А вот когда сервер присылает настоящий ответ — ваш http-клиент отправляет серверу TCP RST (сброс соединения, который значит "хули ты мне тут шлёшь непонятно что вне очереди. Это, наверное, сломавшееся соединение"), потому что у него уже есть полученный ответ.
В общем это банальная монетизация трафика, но с таким подходом ростелеком больше потеряет. Врезка рекламы была обнаружена и у физических лиц и у юридических лиц и у корпоративных клиентов. По заявке отключают рекламу, но только на тот логин услуги, с которого была заявка. Макрорегиональный филиал ростелекома «Урал», ХМАО.
Так уже давно все эти гос провадеры стали поганить всякй http трафик. И остается только надеяться, что они ограничиваются только рекламой. Только немного механизмы меняют. Впервые я заметил это года 3 или 4 назад на московском транспортном WiFi MT_FREE, когда они мне смогли подсунуть рекламу в интранет сайт работающий только по VPN и вот тогда я реально задумался… Но там, конечно, по недосмотру грузился какой-то внешний js по http.Но суть в том, что даже ВПН не всегда спасает.
а darkk — вот эти… это крайне регионозависимо
Там подобных историй про Ростелеком десятки и самые старые полуторагодовалой давности. И при том все эти истории про Сибирский макрорегион: Томск, Красноярск, Иркутск, Ангарск, Барнаул, Новосибирск...
Занятно ещё, что Kaspersky_Lab поучаствовали в истории в позитивном ключе, забанив один из доменов, использующихся для раздачи редиректов (не то чтоб это надолго помогло).
В публичных интернетах я такие упоминания ещё нашёл:
- 2018-09 https://modx.pro/development/16384
- 2018-09 https://qna.habr.com/q/565094
- 2018-10* https://searchengines.guru/showthread.php?t=1001505
- 2019-03 https://qna.habr.com/q/611320
- 2019-03 https://vk.com/x733337x?w=wall13108281_8116
- 2019-04 https://forum.kasperskyclub.ru/index.php?showtopic=62477
- 2019-04 https://forum.kasperskyclub.ru/index.php?showtopic=64215
- 2019-04 https://vk.com/wall-24720111_144558?w=wall-24720111_144558_r144815
- 2019-04 https://www.dwar.ru/info/forum/topic.php?id=688981
- 2019-05 https://community.kaspersky.com/kaspersky-internet-security-21/podozritelnaya-aktivnost-virtualbox-obnovlennogo-cherez-kis-1405
- 2019-08 https://fogalit.ru/sovety/rostelekom-podmenyaet-trafik/
- 2019-10 https://bitcointalk.org/index.php?topic=2254304.msg52862565#msg52862565
- 2019-12 https://packettotal.com/app/analysis?id=f0b10e249fa11ac05751398d894cc1d8&name=dns
- 2020-01 https://github.com/uBlockOrigin/uAssets/issues/6900
- 2020-01* https://2ch.hk/b/arch/2020-01-14/res/211528770.html
- 2020-01* https://qna.habr.com/q/701749
- 2020-01* https://www.yaplakal.com/forum32/topic2053730.html
*) уже упомянутые выше
Mail.Ru Group
Кстати, а почему https://quantum-a.co/ не вспомнил? :-) Некоторый кусок инфраструктуры от них: редирект идёт на r.analytic.press
, который 195.19.216.34
, у которого admin-c: PM19270-RIPE
, который Pavel Manyakin
, у которого тёзка в R&D MegaLabs. Мегафон это всё же не совсем MRG. Так, на две трети :-)
1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
по-моему, вставка баннеров ничем не отличается от вирусов на сайтах, которые в фоне в браузере потом крипту майнят
Отличается, самым главным отличается: есть те, кому это "можно" делать, и все остальные.
А вот что, на мой взгляд, более перспективно по отношению к таким деятелям — использовать против них механизм охраны аворского права, потому как тут налицо явное искажение произведения, каковым является содержимое сайта. Или — распространение своего произведения сделанного на основе защищаемого без согласия его автора.
PS Но, вообще-то, юрист я не настоящий, так что запросто мог ошибиться.
Вау…
Шок контент…
Никогда такого не было и вот опять!!!
смысл статьи в том, что они им пользуются не для фильтрации, а для внедрения в трафик троянского пейлоада (да-да, подсунутые непрошенные рекламные баннеры вполне можно так назвать). Сегодня это баннеры, а завтра это apk для вашего андроид-смартфона, например.
Или JS-код, который заставляет вашу PS4 скачать и выполнить какой-то скрипт с правами рута.
Или JS-код, который jail break'ает ваш Айфон.
Да, не очем писать. Давайте молча ждать пока всё зайдёт настолько далеко.
А фильтрация это лишь одна из функций DPI систем.
И примерно ВСЕ провайдеры на белом свете, у которых есть DPI система, разбирают нешифрованный трафик и подсовывают туда свои баннеры, шейпят каналы, продают статистику рекламным сетям и всё такое прочее.
Мой комментарий был о том, что вы описали прописную истинну: шифруйте свой канал связ, если не хотите чтобы в нём ковырялись. И общая подача материала такова, что Ну вот опять, кровавый ркн лезет в нашу жизнь, ужас и кошмар. Никто и нигде таким не занимается и только наш ужасный ркн душит по всем фронтам.
Нет, это рядовая бизнес функция, которую используется повсеместно ибо это приносит деньги.
И конечно-же, никто из тех десятков провайдеров, которые стоят на пути между вами и условным сайтом где-то в европах, никто не подпихнят вам баннер, js скрипт, или чего вы там ещё боитесь. Они все святые, а интернет это сеть друзяшек…
А если на вашем андроид смартфоне можно устанавливать apk из любых источников, это, конечно, тоже плохой провайдер виноват.
запрет на установки из недоверенных источников — ничто по сравнению с доверчивостью пользователей.
Я лично сталкивался со случаями распространения вредоносных apk через баннерные сети на местном городском "мамском" форуме.
Жена как-то показала, мол, "смотри какая фигня": при открытии некоторых тем вывалвалось предложение установить APK.
Раскопки помогли понять, что виноваты баннеры, а дальнейшие раскопки — что тех, кто поставил эти APK, думая, что это программа для этого форума (ну, как у 4pda есть свой клиент, знаете) — огромные тысячи (literally, тысячи, на городском-то форуме!).
Так что не надо тут преуменьшать размер проблемы, пожалуйста.
Равно как и то, что "все так делают" — во первых, не совсем правда (анализируют и продают — да, правда, об этом я уже давно говорю, а вот вставляют баннеры и прочий вредоносный код — пока за этим замечены только мобильные операторы и РТК), а во-вторых — совсем не оправдание для того чтобы смиряться с тем, что "ещё один делает так же".
С этим надо бороться.
Viva la revolucion^Wсетевой нейтралитет, вот это вот всё :)
И примерно ВСЕ провайдеры на белом свете, у которых есть DPI система, разбирают нешифрованный трафик и подсовывают туда свои баннеры, шейпят каналы, продают статистику рекламным сетям и всё такое прочее.
Ну нет же, не подсовывают «ВСЕ» никакие банеры.
Тот же Ростелеком не шейпит трафик, как раз, кстати.
И конечно-же, никто из тех десятков провайдеров, которые стоят на пути между вами и условным сайтом где-то в европах, никто не подпихнят вам баннер, js скрипт, или чего вы там ещё боитесь. Они все святые, а интернет это сеть друзяшек…
Транзитные операторы точно ничего не подсовывают, Вы гоните просто.
Первый раз подсунутый баннер я увидел в билайне на http странице — включил впн — все пропало. АГА! подумал я первый раз.
Второй раз баннер в http я увидел на домашнем проводном провайдере. АГА! подумал я второй раз и с тех пор не отключаю VPN
По определению http трафик — это жертва mitm, а подсунутая реклама — это наша данность. Все. Зачем тут было раздувать статью — непонятно.
Да, мы живем в этой стране, и тут каждый зарабатывает как может.
Мда, вокруг банальнейшего факта вы развели целую статью.
Первый раз в отделении полиции меня запытали бутылкой 10 лет назад. АГА! подумал я в первый раз.
Второй раз меня пытали сотрудники какой-то силовой структуры с трудно воспроизводимой аббревиатурой уже у меня дома и паяльником. АГА! подумал я второй раз и с тех пор всегда ношу вазелин при себе.
По определению бытие в полицейском государстве — наша данность. Все. Зачем тут раздувать статью — непонятно. Да, мы живём в стране, где силовикам позволено всё, и тут каждый вертится как может.
Ну и, подводя итоги, мне хочется сказать, что, похоже, уже точно настал тот момент, когда больше нельзя ходить в интернет не через туннель, с endpoint'ом поднятым где-нибудь на «своём» (арендованном) VPS в стране, где сетевой нейтралитет закреплён на законодательном уровне.
Оно конечно так, но меня спустя полгода хождения в интернет через Франкфуртский 6to4 туннель HE.net смущает таргетирование всего и вся на Германию. Может у кого есть идеи как объяснить всему интернету что я из России, несмотря на ipv6 из пула числящегося в Германии?
похоже, уже точно настал тот момент, когда больше нельзя ходить в интернет не через туннель, с endpoint'ом поднятым где-нибудь на «своём» (арендованном) VPS
Это уже давно ясно (странно, что СОРМы-Яровые вас до этого не убедили, вроде и работаете в Росокомсвободе). Для меня больше вопрос: как в России 2020 можно пользоваться Интернетом без туннеля?
1) то, что трафик ЧИТАЮТ — это одна проблема. И вполне есть кейсы, когда отсутствие оверхеда от туннеля стоит дороже, чем то, что тащмайор прочитает логи этого коннекта.
2) то, что трафик ИЗМЕНЯЮТ — проблема совершенно другая. А уж когда изменяют для того чтобы всунуть непрошенную рекламу — это уже явная наглость.
3) у туннелей есть одна замечательная особенность: лишняя трата ресурсов (ака "оверхед" на упаковывание в них трафика). Соответственно — лишняя нагрузка на сетевые железки. А так же сайд-эффекты вроде снижения скорости, латенси и т.п.
Да, у меня есть целый пучок VPS, разбросанных по всему миру (даже в японии были до недавнего времени). И все они объединены в VPN, к которой подключены и домашний роутер, и все мои и жены ноутбуки, и прочие девайсы.
Но я стараюсь не гонять лишний раз трафик через них по куче причин. От юридических, через проблемы с latency (например, в дьяблу3 (что на ПК, что на PS4) играть с друзьями (живущими в России) через туннель тяжеловато) и вплоть до того, что в данном случае мне наоборот интересно (и полезно) напарываться на подобные вещи.
Если бы я на эт не напоролся, мы бы не узнали масштаб "бедствия", не узнали бы технические особенности.
Не опознали бы участников этого позора.
И т.п.
то, что трафик ЧИТАЮТ — это одна проблемамне этого уже достаточно, чтобы прятать существенную долю трафика в туннель, необязательно прятать весь трафик — есть инструменты выборочного заворачивания трафика и web вполне подходит для пропускания его через туннель. Накладные расходы при этом приемлемые. Да, игровой трафик нет смысла пускать в туннель, но и от чтения его смысла мало.
Меня некоторые сайта банят, если я хожу в интернет через тот же Digital Ocean или Linode. Apple вообще ничего не отдает через такой VPN. Не скажете где лучше брать VPS, чтобы все работало?
1) online.net (там не VPS, а "дедики", но там есть дедики за 10€/мес (вполне по цене некоторых VPS), впрочем у них есть ещё scaleway.com, там есть и впс тоже).
Впрочем, их тоже могут банить (но не так часто)
2) всякие нонеймовые хостеры. Ищите себе подходящего на lowendtalks.com :)
поправка: *talk, не talks
// и интересно, что же за редиска молча поставила минус, и таки за что
Авито — да, мне главное чтобы Apple сервисы работали: музыка, фильмы, iCloud.
и не сказать бы, что они вот прямо совсем неправы.
Я вот уже не первый раз задумываюсь о том, чтобы сделать то же самое, по крайней мере, по отношению к реестру.
А то надоели абузить уже: то массово поиск парсят, хотя есть API, то в API по 50 раз в секунду запрашивают один и тот же запрос.
Одно из применений DPI — подсовывание рекламы и дополнительная монетизация (вероятно, что вполне законная — Вы ведь внимательно прочитали Договор с оператором?).
Есть множество готовых решений для операторов и даже целые рекламные сети построены на этом.
И до Санкт-Петербурга тоже добралось внедрение данной конструкции. Всё тот же редирект на r.analytic.press
.
DPI: Deep Packet INJECTION, или конспирологическая теория о заговоре между RTK и MRG