Un cercetator de securitate rus a descoperit ca echipamentele hardware menite sa fie folosite de autoritatile ruse pentru a intercepta traficul pe internet au lasat date expuse pe internet.
Echipamentele cu scurgere erau dispozitive SORM. Este vorba despre fise hardware pe care toti furnizorii de servicii de internet si telecomunicatiile mobile ruse trebuie sa le instaleze in centrele de date pentru a se conforma legislatiei locale.
Tradus din rusa, SORM inseamna Sistem pentru activitati de investigatie operativa. Dispozitivele SORM sunt echipamente hardware care accepta specificatiile tehnice SORM transmise la mijlocul anilor 90 in Rusia si care permite agentiilor de aplicare a legii ruse sa se conecteze la dispozitive, sa stabileasca regulile de filtrare si logare si apoi sa recupereze datele inregistrate in punctele ulterioare.
Conform celei mai recente versiuni a specificatiei, SORM-3, dispozitivele SORM pot inregistra detalii precum adrese IP, coduri IMEI si IMSI, adrese MAC, nume de utilizator ICQ si adrese de e-mail identificate in trafic POP3, SMTP sau IMAP4 sau in conexiuni la diverse furnizori de posta web.
Dar, intr-o discutie la conferinta de securitate Chaos Constructions, duminica trecuta, pe 25 august, un cercetator rus in domeniul securitatii, numit Leonid Evdokimov, a dezvaluit ca unele dintre aceste dispozitive de conectare prin cablu au scurs date.
Evdokimov a declarat ca a gasit 30 de dispozitive SORM instalate in reteaua de 20 de ISP-uri ruse care rulau servere FTP care nu erau securizate cu o parola.
Aceste servere FTP contineu jurnalele de trafic din operatiunile anterioare de supraveghere a aplicarii legii. Unele dintre datele care au fost lasate pe serverele FTP ale acestor dispozitive SORM includ:
-Coordonatele GPS pentru locuitorii din Sarov (fostul Arzamas-16), un oras inchis si centrul rusesc de cercetare nucleara;
-Numele de utilizator de mesagerie instantanee CIQ, numere IMEI si numere de telefon pentru cateva sute de telefoane mobile din Moscova;
– adrese MAC ale routerului si coordonate GPS pentru persoanele care locuiesc in satul Novosilske;
– si nenumarate coordonate GPS de pe smartphone-urile care ruleaza firmware-ul invechit, din diverse locatii.
Evdokimov a declarat ca a descoperit dispozitivele cu scurgere in aprilie 2018 si a inceput sa lucreze cu ISP-uri pentru a securiza filetele SORM in iunie 2018.
In ciuda celor mai bune eforturi, sase dintre cele 30 de dispozitive SORM au ramas deschise pana duminica trecuta, cand Evdokimov si-a prezentat prezentarea. Cu toate acestea, cele sase dispozitive au fost securizate pana luni, o zi dupa prezentarea cercetatorului.
Evdokimov a spus ca unele dintre dispozitivele SORM care au scurgere au fost fabricate de MFI Soft, un producator local de echipamente hardware. Dar, unele dispozitive SORM par sa fi fost produse de alti furnizori, astfel incat nu exista dovezi solide care sa sustina o teorie conform careia scurgerea a fost cauzata de o defectiune de configurare implicita in anumite echipamente.