Провайдер прислал к абоненту человечка — обследовать исходящий из квартиры шифрованный трафик

Широко известному в узких кругах Денису Карагодину попытались «улучшить» домашние интернет-устройства. Как написал сам Карагодин, ему позвонил томский провайдер и заявил, что из квартиры идёт «негативный трафик», после чего попросил принять дома специалиста. После беседы с этим гостем выяснилось, что провайдер хотел бы получить доступ к компьютеру Карагодина и войти в его домашнюю локальную сеть. Ещё до визита Карагодин обратил внимание, что: «несколько недель назад начались проблемы с обычным интернетом. Браузер жаловался на сертификаты, сайты не отображались корректно или не открывались вообще. Но если включаешь VPN, то становилось всё нормально».

Складывалось такое впечатление, что кто-то снифит трафик (причем еще и фильтруя его) (как будто стоит какой-то или буфер, или трестируется некая новая СОРМ-система).

Гость пытался воспользоваться компьютером Карагодина или войти в Wi-Fi, чего хозяин не разрешил, и не захотел подключить провайдерский кабель к собственному оборудованию, чтобы проверить «как идут пинги». В итоге Карагодин порекомендовал специалисту обращаться в управление «К» МВД России или ФСБ, где профессионально расследуют интернет-правонарушения. И объяснил, что с шифрованными пакетами провайдеру придётся смириться. Работать через VPN Карагодину удобнее.


Roem.ru: 21 июля Госдума в третьем чтении приняла закон о запрете обхода блокировок через VPN и анонимайзеры, но готовящийся к введению документ не касается абонентов. По закону анонимайзеры и VPN-сервисы должны так же как операторы связи ограничивать доступ к запрещенным в России сайтам — в этом случае никаких претензий власти к ним не возникнет. Если же сервисы не сотрудничают с РФ — доступ к ним блокируется провайдерами Рунета, а ссылки на соответствующие сайты должны быть удалены из выдачи на поисковиках.


Рассказ Дениса Карагодина полностью:

Новости такие. Позвонил интернет-провайдер. Говорит, что какой-то у вас «негативный трафик» идет. Нужно проверить. А «негативный трафик» — это мой шифрованный канал VPN. В ходе беседы выясняется, что они хотят получить доступ к моему макбуку… Ну, что ж… Посмотрим. Приезжайте говорю в назначенное время, обсудим суть вопроса. Через пару часов приедут.

========

UPD.

Итак. Расклад такой. Утром звонок от провайдера. Якобы от вас (из одного из устройств, подключенного к интернету) идет «негативный трафик». Уточняю какое именно устройство. Выясняется, что мой макбук (хотя устройств несколько). Дальше идет попытка убедить меня, что мой компьютер взломан и с него осуществляется атака на оборудование провайдера. Рекомендуют принять сотрудника и он порекомендует какую именно следует поставить антивирусную программу. Я спрашиваю, что т.е. получается вы хотите получить доступ к моему компьютеру? Ответ — нет (откровенно смутившись), просто мы хотим, чтобы ушел негативный трафик и на нас (на наше оборудование) не было атаки. Поступает предложение продиагностировать всё удаленно. Я соглашаюсь. Через секунды 4 звонящий говорит, ой, у вас же макбук, так не получится… Давайте сотрудник приедет. Я соглашаюсь — делаю лаг времени, чтобы собрать немного данных о собственном трафике (он в полной норме, никаких ддосов и пр.). В итоге приезжает сотрудник от провайдера, говорит, что по моей заявке (но я как вы понимаете никакую заявку не оставлял). Начинает с порога просить дать доступ ко всем устройствам и сети домашней. Я переспрашиваю, а в чем собственно дело? Т.е. вы говорю хотите получить доступ ко всем устройствам моего дома, подключенных к интернету? Он говорит — да, так он сможет посмотреть все ли в порядке. Я ему говорю, что у меня всё в полном порядке и я не понимаю в чем проблема. Тут он говорит, что ему сказали, что есть некий ноутбук, и у него много пакетов и что они странные. Я ему отвечаю, что да есть в том числе и мой макбук и там много пакетов, т.к. я много им пользуюсь. И если например вы видите какие-то шифрованные пакеты, то это просто VPN. Он делает попытки получить к нему доступ, а также доступ просто в Wi-Fi сеть… Я всё на корню пресекаю. Говорю ему: если вам нужно проверить интернет (а он хотел проверить «как пинги идут»), то я сейчас просто дам вам кабель ваш который у меня в роутер идет и вы его себе воткнете и посмотрите пинги… Он начинает неврничать. Я ему говорю — вы наверное ifconfig хотите посмотреть? Он краснеет и говорит, что ну он же мой (т.е. его) покажет… В итоге я ему РАЗЪЯСНЯЮ, что если он (провайдер) считает, что с одного из устройств (в частности моего макбука) идет атака на их оборудование (хотя ее нет), то им следует подать официальное заявление в Управление «К» МВД России или ФСБ России и там разберутся (была ли атака и есть ли она). А если вы видите на своей стороне, что идут шифрованные пакеты, так это от того, что у меня стоит VPN и мне крайне это удобно. Далее идет еще минут 5 перепалка (с попыткой давления на меня). В итоге, он разворачивается и уходит. Я был вежлив и неуклонен. Если есть подозрение, что я осуществляю кибер-атаку на оборудование провайдера — пишите заявление в Управления «К» МВД или ФСБ России, а если нет, то мои устройства (компьютеры, мобильные телефоны и чайник с Wi-Fi — это моя личная собственность; включая и развернутую домашнюю сеть) и никого кому я не хочу давать к ним доступ, я его давать не намерен. Это говорю все равно, что сейчас придет человек из водоканала и попросит меня дать ему покупаться в моей ванной, т.к. ему кажется, что вода по трубе как-то не правильно идет. Человек явно не ожидал, что его в управление «К» отправят. Спросил подтвержу ли я все сказанное по телефону, если мне позвонит его начальство, я сказал что конечно и что он сам может в подробностях передать наш разговор.

В общем, держу цифровую оборону! ¡No pasarán!

P.S.

Термин «негативный трафик» — терминология интернет-провайдера (озвучено при разговоре со мной); звучит красиво, до этого я никогда и нигде его не встречал и о нем не слышал (с учетом того, что в Сети я с 1993 года) {о реферальном спаме конечно же знаю, но это «оказался» не он}; век живи — век учись {ирония}.

Причем, важно отметить, что изначально (теоретически) я допускал возможность наличия некой технической проблемы, т.к. в мою локальную сеть включен и мой внешний веб-сервер [сайты: karagodin.com, stepanivanovichkaragodin.org]. Именно по этой причине я детально и пытался уточнить у провайдера, о каком именно «проблемном» устройстве идет речь? Но, когда выяснилось, что «проблема» именно в моем личном ноутбуке, то тут уже стало всё совсем интересно и интригующе!

Но, у истории есть предистория.

Несколько недель назад я начал отмечать странности с обычным интернетом. Складывалось такое впечатление, что кто-то снифит трафик (причем еще и фильтруя его) (как будто стоит какой-то или буфер, или трестируется некая новая СОРМ-система). Например, некоторые сайты не грузились (причем сегментно, тематически), либо грузились частично (битыми блоками, с потерей части .css-стилей и т. п.), почтовые программы при этом начинали жаловаться на проблемы с подлинностью сертификатов соединения и пр. Но, стоило включить VPN, как все эти непонятные технические сбои мгновенно пропадали. При этом, работа моего веб-сервера (у него свои порты) была всегда в полном порядке. Проблемы были именно на уровне рядового устройства, подключенного к роутеру и пытающегося выйти во внешний интернет.

---
// копия в телегам-канале: t.me/karagodincom/40
// тема ведется в блоге: karagodin.com/?p=4295

Добавить 35 комментариев

  • Ответить

    Одного так и не понял: почему не был назван провайдер.
    (у нас в офисе, кстати, наш местный провайдер тоже пытается подменять сертификаты, что временами ломает доступ к сайтам и вообще выглядит странновато)

  • Ответить

    Чувак строит из своих читателей дурачков?! У него в локальной сети веб-сервер фигачит и льет левый траффик, за что провайдеру идут предупреждения (например, за спам или тот же ддос). У всех нормальных провайдеров в договоре стоит запрет на подобную деятельность. И всегда таких «умников» находили и анально наказывали (либо взломанных пользователей).

    P. S. А роем могли бы и написать про веб-сервер в домашей сети, а то статья стала желтушной.

  • Ответить

    Нужно прописывать в настройках адаптера Google public DNS 8.8.8.8, тогда этим деятелям станет гораздо сложнее что либо подменять.

  • Ответить

    Олег, даже один из самых жёсток государственных провайдеров РФ, «Ростелеком» (и крупнейший провайдер ШДП в РФ одновременно) выдаёт пользователям брендированные «Ростелеком» роутеры, с возможностью поднять в собственной домашней сети сервер! Сервер, за который, якобы, преследуют! И выставить сервер в интернет. Там куча опций, прямо в роутере ростелека! Чтобы сделать сервер. Можно поднять сервер с динамическим айпи (воспользовавшись предложенными Ростелеком DynDNS, NO-IP или TZO), можно поднять перебросом портов (по аналогии, как люди перебрасывают для торрента), есть так называемая опция открытый сервер (DMZ).
    Отдельно отмечу — мой Ростелек-роутер — это одна из перебрендированных моделей Zyxel. Так вот. В перебрендированном роутере меньше функций, чем в донорской модели Zyxel. То есть Ростелек оставил себе лишь то что легально и уместно в его сетях.

  • Ответить

    «Статья» отдает шизоидным неуловимым Джо с параноидальным расстройством. Рассуждать в таком ключе (чтобы это довести до статьи), ИМХО, могут пациенты близкого толка.

    Технического или даже околотехнического в этой статье 0.

    Только желание считать себя очень важным, что ЗА НИМ ПРИШЛИ.

  • Ответить

    Ага, такой вот нонсенс ваши эти Softether, OpenVPN да Hamachi с Garena… прямо сбегаются каждый раз сотрудники провайдера при их использовании….
    От «новости» уже с первых строк попахивает чем-то сомнительным, в ином случае я не лезу искать автора по имени в Гугл, но тут вот захотелось, и не зря…
    Гугл же при запросе имени автора выдает статейку на «Радио Свобода» с заголовком «Мне помогают расстрелянные», суть которой можно заключить в фразе «где тайно хоронили тела казненных в застенках НКВД"…
    Смахивает на очередные всхлипы о кровавой гэбне и теории заговора…
    Уж вроде бы от объективного курса редакции Роем такого не ожидал… :/

  • Ответить
    ilyak организация, способная на многое

    О, и Григорий Серый Телефон тут как тут.

    Жора, сомнительным тут от тебя попахивает. Ты бот, свали в пень.

  • Ответить

    «Широко известный в узких кругах» означает — неизвестный 99.99% населения. Или даже 99.999% Вся публичная деятельность которого заключается в поиске людей, которые уже давно померли, за то, что они 80 лет назад выполнили приказ. Просто поражает иногда маниакальность некоторых индивидов в желании привлечь внимание к своей персоне.

  • Ответить

    Вполне вероятно, сотрудник провайдера хотел установить в систему левые сертификаты, чтобы браузер больше не ругался при попытках расшифровки трафика.

  • Ответить
    ilyak организация, способная на многое

    О какой бот жирный пошёл! А вы говорите, неуловимый Джо.

    Если он неуловимый, чего вы его ловите вдесятиром.

    > uborshizzza

    Не приносите сюда больше такого и вообще не копайтесь руками в унитазе.

  • Ответить

    Поправьте, пожалуйста, заголовок на более точно отражающий суть:

    «ПНД прислал к абоненту санитара — обследовать психическое здоровье фейсбук-постера»

  • Ответить

    Так не я же пишу пост про желающего проникнуть в мою Wi-Fi сеть сотрудника провайдера. Забравшего домой у меня, смахнув в карман незаметно (украв), плохо лежащих четыре пакета шифрованного трафика VPN. Для возможности изучения их в ГУЛАГ-Шарашке ранее арестованными экспертами.

  • Ответить

    Так сотрудник провайдера («сотрудник провайдера») желал проникнуть в сеть пользователя, или он зачем пришёл? У вас есть другая интерпретация — поделитесь. Какашками же бросаться никого не удивишь, особенно в позднепутинской РФ.

    Например, после прочтения я предположил, что возможно компьютер топикстартера действительно проявлял какую-нибудь злонамеренную активность. То, что это мак, понятно, не защищает ни от чего, для маков существуют черви.

    Против этой гипотезы выступает два факта. Во-первых, вряд ли провайдер отправляет делегатов ко всем пользователям, подхватившим червя — нерентабельно выходит. Во-вторых, то, что сотрудник провайдера не мог внятно объяснить свои действия. Впрочем, против гипотезы про гебню второй факт тоже работает — от их сотрудников ожидаешь какого-то нарратива (про болотный газ?), а не вирусов-кукисов.

    Впрочем, возможно, это инициатива провинциального отдела К. Эти могут. И уровень подготовки у них соответствующий.

  • Ответить

    Самое простое — любое заражение, как бинарное, так и на уровне пролома условного wordpress с каким-нибудь условным php-shell (а я так понял у этого персонажа свой блог на своем же вебсервере). После этого можно гадить разными способами. И делаться это может, естественно, автоматически. (Т.е. те, кто это сделали на автомате, даже не подозревают какого параноика в их сети принесло, и что о них уже пишут в рубрике «как убедить санитаров, что ты не управляешь миром, хотя это так»).
    И это обычный сотрудник провайдера, который не просто вырубил доступ (как делают в некоторых других странах, кстати — это не пинок, просто практика; у нас, думаю, боятся).

  • Ответить
    ilyak организация, способная на многое

    Мне в начале нулевых РОЛ выключал доступ, когда я поймал модного червя, нажав в свойствах файла не ту кнопку.

    А вот ходить по квартирам и потом не мочь человечьим голосом объяснить, чопришол — как-то чересчур. Но варианта такого отрицать нельзя, разумеется, вполне хорошая рабочая гипотеза.

  • Ответить
    ilyak организация, способная на многое

    Господи, откуда вы лезете.

    Про вас написала половина СМИ страны в последние полгода?

  • Ответить

    Итого, по этому тезису, настиг вас сокрушительный, но ожидаемый слив.
    Что ж, неудивительно.

    Но самое время вернуться к предыдущему тезису.
    Итак, где была шапочка для фольги? В рабочем положении или спрятана?

  • Ответить

    Сколько можно позориться? Этот Карагодин мало того, что полный лох в IT и уж тем более безопасности (трафик он снимал, ога, конечно), так еще и больной на всю голову ЧСВ и теориями заговора. А ответ очень прост — он выставил свой убунту-сервер голой задницей в интернет (буквально), оставив на нем три десятка открытых портов и кучу работающих сервисов, причем, устаревших версий с имеющимся уязвимостями. Не удивительно, что после всего этого на этот сервер пробралась какая-нибудь зараза (причем это делается в автоматическом режиме многочисленным софтом всем, кому не лень).

  • Ответить

    Если у вас паранойя, это ещё не значит, что за вами не следят.

    У меня с мобильным мэтээсом такая фигня частенько — сайты грузятся с десятой попытки и по кускам, включаешь впн — о чудо, всё работает.

    Причём я как-то попал, видимо, на какие-то «работы», так в тот момент вообще никакой человечий хттп не работал. Зато пинги летали и торрент грузился на максимальной технически возможной скорости под 21 мегабит (дело было на тригэ), и все остальное, что не хттп. И тоже включал впн — и всё вдруг чудесно работало.

  • Ответить

    >Олег, даже один из самых жёсток государственных провайдеров РФ, «Ростелеком» (и крупнейший провайдер ШДП в РФ одновременно) выдаёт пользователям брендированные «Ростелеком» роутеры, с возможностью поднять в собственной домашней сети сервер! Сервер, за который, якобы, преследуют! И выставить сервер в интернет. Там куча опций, прямо в роутере ростелека! Чтобы сделать сервер. Можно поднять сервер с динамическим айпи (воспользовавшись предложенными Ростелеком DynDNS, NO-IP или TZO), можно поднять перебросом портов (по аналогии, как люди перебрасывают для торрента), есть так называемая опция открытый сервер (DMZ).

    Неа, Ростелеком отключает в прошивках только то, что может отключить. В хуавеях у них вообще дефолтная прошивка, только логотип изменен, даже админский пасс не сменен, просто у них есть удаленка до роутера и если надо будет, они вам обратно все проброшенные порты заблокируют, позвонят и настоятельно попросят больше в их оборудование не лезть.

  • Ответить

    >И это обычный сотрудник провайдера, который не просто вырубил доступ (как делают в некоторых других странах, кстати — это не пинок, просто практика; у нас, думаю, боятся).

    Споров, ну уж вы-то… вы реально верите в сотрудника провайдера, который пришел диагностировать вирье на компе клиента? Веб-сервер таскает с собой каждая третья малварь, спам, ддос и прочее — тоже работа для ботнетов, открыть порты изнутри у стандартных роутеров с дефолтными паролями вроде тоже не проблем. У нас в момент активации конфикера полдома от инторнета отвалилось потому что у домохозяек с пераццкой виндой тупо были зафлужены интерфейсы, ответ от прова был: у нас всё норм, это у вас вирусы, валите в сервис. Ну вы вообще представляете же, сколько человекочасов работы саппорта требуется для уничтожения нищебродского ботнета в 10к машин? При том, что 90% саппортов по выезду — это кабельщики, прочитавшие инструкцию к роутеру и осилившие настройку сетевойго интерфейса в винде.

  • Ответить

    Ваши язвительные комментарии всем несогласным вполне можно охарактеризовать известной фразой — «в каждой …. (бочке) затычка».
    Я то в теме с «серыми» телефонами действительно подумал что вам интересно, хотя ваши вопросы и были весьма странными. Теперь эти ваши «боты», «запутинские"… Все намного тривиальнее — вы обычный *овно-тролль. Отвечать более вам не намерен, и другим не советую.

  • Ответить
    ilyak организация, способная на многое

    Жаль, что я на макание забыл зайти и вы упоённо этим занимались без меня.

    Soran, кстати, сдал гораздо быстрее Ашманова.

    Буквально за пару месяцев сгорел.

  • Ответить

    >Жаль, что я на макание забыл зайти…

    Совсем не жаль. Твое присутствие не требовалось. Тебя и так прекрасно извозюкали и ржут над тобой всем роемом, «нетитульный» ты наш.

    >Soran, кстати, сдал гораздо быстрее Ашманова

    Илюшо «достойный» айтишник. Достойный веника-дурака, который прямо с насиженного места поперся в лапы к фараонам в грэцыю. Так и Илюшо, живет в выдуманном им самим мире, где кто-то сдает Ашманова.

    Илюша, голубчик, мне безразличен Ашманов. Точно также, как и ты. Но между вами есть огромная разница. Ашманов умный и понимает, что надо играть «свою игру». «Своя игра» для него любая, которая оборачивается звонкой монетой в его кармане. А ты настолько глуп и примитивен, что до сих пор мусолишь в своей черепной коробке «титульные нации» и кто как кого «сдал». Воистину жалкое зрелище.

    Кстати, изучив внимательно твою физиономию, стало еще смешнее, как ты рассуждаешь о титульных нациях.