Един познат ми изпрати разтревожено следния цитат от някакъв форум (не ми каза от кой):
> Абе любопитно ми е само аз ли сам подслушван от БТК.През АДСЛ на БТК се
> получава следнот:
> telnet всеки_хост.тлд 5190
> Trying XXXXXXXXXXX…
> Connected to XXXXXXXX.com.
> Escape character is ‘^]’.
>
> А сам 100% сигурен, че на хостовете с които тествам “aol” порт не е
> отворен, дори се филтрира.
Стреснах се здравата. TCP 5190 е основният порт за обмяна на информация на протокола AIM/ICQ. Всяко едно съобщение, което препращате през някой от тези два IM протокола, минава през него. (А и доста друга информация – логините, информация за прехвърляни файлове…) Странни ефекти около него биха направили подозрителен всеки сисадмин. През ICQ се обменя, като правило в некриптиран вид, огромни количества ценна фирмена, лична и друга информация. Който разполага с нея, може да изнудва или държи в ръцете си другояче почти всеки потребител на тези протоколи.
С какво наблюдаваното е странно ли? То означава, че когато се опитате да се свържете към този порт, НЕЩО ви отговаря. Ако няма как на машината, която търсите, да има такова НЕЩО, значи то е някъде по пътя ви към нея.
Приятелят ми беше дописал следното:
И аз пробвах, така става наистина. След което става Connection closed by
foreign host.
С dir.bg веднага, с google.com и yahoo.com с известно забавяне. Това каквото
той казва ли значи?
Моментално си направих експеримент от своя компютър (който не е на ADSL връзка) – опитите да се свържа с порт 5190 на фирмения ми сървър даваха нормалния и реден за този случай отговор “Unable to connect to remote host: Connection refused”. Продължих експеримента с петнадесетина компютри, свързани към различни провайдери. С повечето от тях резултатът беше същият. От всички, свързани на ADSL, обаче се получаваше каквото е описано в по-горните цитати. А именно: нещо прехваща връзката, и се опитва да се свърже с машината, която търсите. След като вижда, че на нея няма такава услуга, то ви изхвърля – но не успява да скрие присъствието си. (Което не е трудно, но не е било направено.)
В учебниците по сигурност на информацията това се нарича man-in-the-middle attack. Обикновено тя се използва за записване на информацията, която двама си предават по линията; по-рядко – за да се представи “посредникът” за някой от двамата пред другия (или за всеки от тях пред другия едновременно), и да прави разни неща от чуждо име. С други думи, много вероятно е БТК ADSL услугата да подслушва целия ви ICQ трафик.
Възможно ли е да не го прави, да се касае за нещо друго? Естествено. Може да си имат някакви проблеми с ICQ предаването, и някой некадърник да е скалъпил импровизирано SOCKS или подобно прокси както е могъл. Възможно е прехвърлянията им на портове да са оплесквани на едно и оправяни на друго място, и това да е страничен ефект. За много възможности вероятно не бих се сетил веднага; за много сигурно изобщо. Едно обаче ги обединява – не са особено вероятни. Теоретично са възможни – но когато се прави такова нещо, то обикновено е, за да бъде трафикът удобно подслушван.
Защо може да им е на БТК да подслушват всеки? Една възможна причина е съобразяване с разпореждания на МВР. Може би с това да следят да не се прехвърля копирайтвана информация. Но като се има предвид какво подслушват, е малко вероятно. По-скоро бих предположил друго разпореждане на МВР, което е неизвестно за обществеността – да бъде подслушван всеки. Под предлог борба с тероризма, преследване на педофилия, или каквото друго МВР-тата по света обикновено съчиняват като извинение за противозаконната си намеса в личната тайна на хората. МВР вече се е доказало като охотен автор на противозаконни нареждания, а БТК – като не по-малко охотен техен изпълнител.
Друга възможност е БТК да го вършат по своя инициатива. Който има големи бази с лична информация, държи в ръцете си всекиго: тези бази са както безценен инструмент за самата фирма, така и скъпо платена стока, за която винаги има платежоспособни потребители. А съвременните инструменти за пресяване на данни правят съставянето на такива бази от записаната информация удобно и лесно. Звучи изуверски, надявам се да не е това – но такива неща никой не ги прави без да иска, винаги има причини. А причините означават цели, методи, манталитети и действия.
Възможно е да има и други причини да се извършва това подслушване. Не вярвам обаче сред тях да има приемливи и коректни. Ако причината беше приемлива и коректна, щяха предварително да ни предупредят, и да ни попитат искаме ли. Така е редно.
Засега още не е ясно (в смисъл, не е доказано) дали става дума за подслушване. Без съмнение обаче нещо е налице – така че имам към всички наоколо предупреждения и препоръки.
Първата ми препоръка е – изхвърлете ICQ! Не съм фанатик на тема свободен и несвободен софтуер, но ICQ неведнъж е показвал лошите страни на несвободността. (Тази история също е косвен пример.) Препоръчвам на всички Jabber. Освен че е отворен, публично дефиниран формат, за него има много безплатни клиенти. И, което е най-хубаво, той предлага и шифроване на съобщенията. (С истинска криптография, която е трудно да бъде разбита.) На www.jabber.org можете да научите всичко, което ви е нужно, за този протокол – какво може, кои програми го владеят, и т.н.
Втората препоръка е – следете какво става около този случай! Вероятно до не повече от седмица-две или ще изтече информация какво е било, или някой ще успее да го установи. Ако се окаже, че наистина е било някаква некадърна кръпка върху системата на БТК, иди-дойди. Ако обаче не излязат напълно задоволителни обяснения по въпроса, ще смятам за разумно да се счита, че БТК наистина подслушва. (Същото важи и ако следите от man-in-the-middle софтуера им мълчаливо изчезнат – както казах, не е никак трудно той да бъде достатъчно добре скрит.)
При това положение категоричният ми съвет към всички ще е: бягайте от ADSL услугата! Въобще не я обсъждайте като възможност, когато си поръчвате Интернет. Изместете се от нея на друг провайдер веднага щом можете. Ако сте принудени да я използвате още известно време – в никакъв случай не използвайте ICQ, особено за ценна информация! И, най-вече, разпространявайте вестта, че БТК подслушва и записва клиентите си, навсякъде – да се знае, и да се бяга от тях!
Някой би казал: “Дори да се докаже, какво от това? Не споделям по ICQ нищо особено. Не прехвърлям информация за банкови сметки, за престъпления (защото не ги върша), нямам нищо, което да крия. Защо да бягам от тях?”
Като начало, “безобидните неща” често хич не са безобидни. Едни от типичните купувачи на бази лична информация са различните разузнавания и други подобни служби. (Други са големите престъпни мрежи.) За тях абсолютно случайният човек може да се окаже ценен, и по тази причина въвлечен чрез изнудване в престъпление. Някои примери, които са се случвали реално, са:
– да пъхне подслушвателчета в хотела, в който работи
– да пусне приспивателно в супата на човек, който яде в гостилницата им
– да недозатегне спирачките на автомобил, обслужен в сервиза, в който работи
Като правило, потърпевшите от тази активност ще са неслучайни хора – било от друго разузнаване, било престъпници под прикритие – и е вероятно да последва наказание за нея. (В трите случая, които цитирам по-горе, е последвало.)
Друга възможна причина е да трябва да бъде покрит нечий човек. Наскоро в САЩ например след 20 години се разбра, че невинен човек е бил осъден на доживотен затвор за убийство, за да бъде “скатан” човек на ФБР. Когато знаят всякакви подробности за теб, е много по-лесно – и се качваш нагоре в списъка за подбиране.
Добре де, стига сме се плашили. На практика тези неща са редки (макар че случат ли ви се, редкостта им не ви топли). Дадох ги като примери как безобидната информация може също да е важна…
По-важното е, че който записва ICQ-то ви, с пълна гаранция записва всеки ваш обмен. Поща, браузване, FTP… тези неща се записват и дублират много по-неусетно и невидимо, и няма как да се разбере. А те вече съдържат наистина всичко за вас. Банковите сметки и пароли за фирмата ви, цените и уговорките, които пращате на партньори или фирмени поделения по е-майл, документите, които прехвърляте през FTP…
Така че, не се ли покаже категорично, че не става дума за подслушване, изоставете БТК ADSL. Направете го не в знак на протест за идеали, а за да спестите на фирмата си, или на себе си лично, ядове за в бъдеще. Да, никога няма гаранция, че другият провайдер не върши същото – но поне има надежда; някои провайдери доказаха с дела, че не изпълняват противозаконни нареждания на МВР. Ако за БТК не се опровергае, се спасявайте, преди да сте се превърнали в поука за околните.