Негативный трафик

Ключевые слова: VPN, Интернет, провайдер, неправомерный доступ, privacy, кибербезопасность, кибератака, социальная инженерия, цифровая оборона, частная собственность.

Кратко

Интеренет-провайдер (формально это был именно провайдер) сделал попытку получить доступ ко всем моим домашним электронным устройствам, подключенным к интернету (включая и проникновение в домашнюю локальную сеть); но наибольший интерес был проявлен к моему личному ноутбуку (с полностью зашифрованным интернет-трафиком – VPN). Попытка была жестко пресечена. Событие предано широкой огласке.

Расцениваю произошедшее как кибератаку, с использованием социальной инженерии.

Событие

[1 августа 2017] (мой оригинальный пост из соцсети):


Новости такие. Позвонил интернет-провайдер. Говорит, что какой-то у вас “негативный трафик” идет. Нужно проверить. А “негативный трафик” – это мой шифрованный канал VPN. В ходе беседы выясняется, что они хотят получить доступ к моему макбуку… Ну, что ж… Посмотрим. Приезжайте, говорю, в назначенное время, обсудим суть вопроса. Через пару часов приедут.

UPD.

Итак. Расклад такой. Утром звонок от провайдера. Якобы от вас (из одного из устройств, подключенного к интернету) идет “негативный трафик”. Уточняю какое именно устройство. Выясняется, что мой макбук (хотя устройств несколько). Дальше идет попытка убедить меня, что мой компьютер взломан и с него осуществляется атака на оборудование провайдера. Рекомендуют принять сотрудника и он порекомендует какую именно следует поставить антивирусную программу. Я спрашиваю, что т.е. получается вы хотите получить доступ к моему компьютеру? Ответ – нет (откровенно смутившись), просто мы хотим, чтобы ушел негативный трафик и на нас (на наше оборудование) не было атаки. Поступает предложение продиагностировать всё удаленно. Я соглашаюсь. Через секунды 4 звонящий говорит, ой, у вас же макбук, так не получится… Давайте сотрудник приедет. Я соглашаюсь – делаю лаг времени, чтобы собрать немного данных о собственном трафике (он в полной норме, никаких ддосов и пр.). В итоге приезжает сотрудник от провайдера, говорит, что по моей заявке (но я как вы понимаете никакую заявку не оставлял). Начинает с порога просить дать доступ ко всем устройствам и сети домашней. Я переспрашиваю, а в чем собственно дело? Т.е. вы говорю хотите получить доступ ко всем устройствам моего дома, подключенных к интернету? Он говорит – да, так он сможет посмотреть все ли в порядке. Я ему говорю, что у меня всё в полном порядке и я не понимаю в чем проблема. Тут он говорит, что ему сказали, что есть некий ноутбук, и у него много пакетов и что они странные. Я ему отвечаю, что да есть в том числе и мой макбук и там много пакетов, т.к. я много им пользуюсь. И если например вы видите какие-то шифрованные пакеты, то это просто VPN. Он делает попытки получить к нему доступ, а также доступ просто в Wi-Fi сеть… Я всё на корню пресекаю. Говорю ему: если вам нужно проверить интернет (а он хотел проверить “как пинги идут”), то я сейчас просто дам вам кабель ваш который у меня в роутер идет и вы его себе воткнете и посмотрите пинги… Он начинает неврничать. Я ему говорю – вы наверное ifconfig хотите посмотреть? Он краснеет и говорит, что ну он же мой (т.е. его) покажет… В итоге я ему РАЗЪЯСНЯЮ, что если он (провайдер) считает, что с одного из устройств (в частности моего макбука) идет атака на их оборудование (хотя ее нет), то им следует подать официальное заявление в Управление “К” МВД России или ФСБ России и там разберутся (была ли атака и есть ли она). А если вы видите на своей стороне, что идут шифрованные пакеты, так это от того, что у меня стоит VPN и мне крайне это удобно. Далее идет еще минут 5 перепалка (с попыткой давления на меня). В итоге, он разворачивается и уходит. Я был вежлив и неуклонен. Если есть подозрение, что я осуществляю кибер-атаку на оборудование провайдера – пишите заявление в Управления “К” МВД или ФСБ России, а если нет, то мои устройства (компьютеры, мобильные телефоны и чайник с Wi-Fi – это моя личная собственность; включая и развернутую домашнюю сеть) и никого кому я не хочу давать к ним доступ, я его давать не намерен. Это говорю все равно, что сейчас придет человек из водоканала и попросит меня дать ему покупаться в моей ванной, т.к. ему кажется, что вода по трубе как-то не правильно идет. Человек явно не ожидал, что его в управление “К” отправят. Спросил подтвержу ли я все сказанное по телефону, если мне позвонит его начальство, я сказал что конечно и что он сам может в подробностях передать наш разговор.

В общем, держу цифровую оборону! ¡No pasarán!


P.S.

Термин “негативный трафик” – терминология интернет-провайдера (озвучено при разговоре со мной); звучит красиво, до этого я никогда и нигде его не встречал и о нем не слышал (с учетом того, что в Сети я с 1993 года) {о реферальном спаме конечно же знаю, но это “оказался” не он}; век живи – век учись {ирония}.

Причем, важно отметить, что изначально (теоретически) я допускал возможность наличия некой технической проблемы, т.к. в мою локальную сеть включен и мой внешний веб-сервер [сайты: karagodin.comstepanivanovichkaragodin.org]. Именно по этой причине я детально и пытался уточнить у провайдера, о каком именно “проблемном” устройстве идет речь? Но, когда выяснилось, что “проблема” именно в моем личном ноутбуке, то тут уже стало всё совсем интересно и интригующе!

Но, у истории есть предистория.

Несколько недель назад я начал отмечать странности с обычным интернетом. Складывалось такое впечатление, что кто-то снифит трафик (причем ещё и фильтруя его) (как будто стоит какой-то или буфер, или трестируется некая новая СОРМ-система). Например, некоторые сайты не грузились (причем сегментно, тематически), либо грузились частично (битыми блоками, с потерей части .css-стилей и т.п.), почтовые программы при этом начинали жаловаться на проблемы с подлинностью сертификатов соединения и пр. Но, стоило включить VPN, как все эти непонятные технические сбои мгновенно исчезали. При этом, работа моего веб-сервера (у него свои порты) была всегда в полном порядке. Проблемы были именно на уровне рядового устройства, подключенного к роутеру и пытающегося выйти во внешний интернет.


Оригинал в Facebook: https://www.facebook.com/karagodin/posts/10154735949676475


Статус:

Расцениваю произошедшее как кибератаку, с использованием социальной инженерии.

Итог – периметр удержан, атака отбита.

Атакующая сторона достоверно не подтверждена, но определена как наиболее вероятная – [изъятые данные] (не для публичного оглашения).


7 августа 2017 года (на 7-й день после события) я заключил договор обслуживания с новым интернет-провайдером.


Общественная реакция:


Последняя редакция: 11:104 (Мск), 24.10.2017