Брайан Кребс раскритиковал сайт ФСБ за технический уровень исполнения

Компания KrebsOnSecurity Брайана Кребса пыталась связаться с Федеральной службой безопасности и обнаружила технические недостатки на сайте службы.

d0e24ca0031708b29c6bda40921a8e90.jpg

Кребс решил связаться с ФСБ, чтобы проверить высказывания российского хакера Владислава «BadB» Хорохорина, бывшего международного торговца украденными кредитными картами, который отсидел семь лет в федеральной тюрьме США. Сейчас он владеет украинской консалтинговой компанией по кибербезопасности. Ранее Хорохорин рассказал, что считает метод связи с ФСБ через сайт небезопасным.

Первое, что отметил Кребс: веб-адрес сайта ФСБ начинается с http: // вместо https: //, то есть, любая информация, которой обмениваются посетитель и сайт, будет видна всем, у кого есть доступ к этому трафику.

Чтобы отправить зашифрованное сообщение, нужно сначала установить CryptoPro, приложение только для Windows, которое загружает библиотеки шифрования ГОСТ ПК. Но в случае с ФСБ можно также установить их собственный клиент, который включает код CryptoPro. На сайте ФСБ есть опция «Передать значимую информацию в оперативные подразделения», и она включает запрос на установку приложения «генерации случайных чисел».

27b242e530daa332db43e8ee3704778a.png

Хорохорин говорил, что этот генератор чисел был отмечен 20 различными антивирусами и продуктами безопасности как вредоносный. По его словам, под видом генератора случайных чисел выгружался троян.

9fa0861d59af39eb254f0474a50ff0e7.png

Хакер советовал при обращении в ФСБ использовать виртуальную машину и «скафандр, желательно, находясь в другой стране».

По словам Кребса, большое количество инструментов безопасности, используемых VirusTotal или другими подобными службами «песочницы» для вредоносных программ, неправильно помечают безопасные файлы как подозрительные. Так, в конце прошлого года похожий инцидент случился с Dell, и два десятка антивирусных инструментов помечали несколько ее драйверов как вредоносное ПО.

Кребс, однако, решил проверить свое утверждение и обратился к Лэнсу Джеймсу, основателю Unit221B, нью-йоркской фирмы по кибербезопасности. Джеймс сказал, что программа ФСБ не является вредоносным ПО, по крайней мере, с точки зрения действий в отношении компьютера пользователя. Однако он уподобил метод шифрования «одноразовому VPN, использующему отдельный ключ для каждой загрузки» и назвал его «ужасным».

Джеймс отмечает, что метод шифрования работает по ГОСТу, и ложные срабатывания антивируса вызваны определенным поведением, которое может быть истолковано как вредоносное. Данные VirusTotal демонстрируют, что часть содержимого файла соответствует правилам обнаружения, созданным для обнаружения программ-вымогателей. Он включает программные процедуры, которые стирают журналы событий из системы пользователя.

dc64a9d713f45cad6862636ad8fb3cb2.png

Джеймс написал и скомпилировал короткую программу на C ++, которая использовала шифр ГОСТ, но не имела сетевых компонентов. Затем он загрузил файл для сканирования на VirusTotal. Шесть антивирусных систем отметили ее как потенциально вредоносную. Механизм машинного обучения Symantec присвоил ей название угрозы «ML.Attribute.HighConfidence». Ранее аналогичный статус был присвоен программе ФСБ.

KrebsOnSecurity установила программное обеспечение ФСБ на тестовый компьютер, используя отдельный VPN, и сразу же подключилась к Интернет-адресу, который в настоящее время назначен ФСБ (213.24.76.xxx). Программа предложила сгенерировать случайность для ключа шифрования, и, когда это было сделано, появилось пояснение на русском языке о том, что соединение установлено.

f30955c78605ff365d47c9cd90d18f3d.png

Возникла специальная ссылка, и по ней открылась страница, где можно было оставить сообщение для ФСБ. Кребс спросил спецслужбу, как она может прокомментировать то, что их программа широко помечается как вредоносная. Ответа он так и не получил.

d8b58eb6eddc5e9a5d6c77c87fafacc6.png

Между тем ФСБ недавно запустила веб-сайт, доступный только через Tor. Он уже не просит посетителей загрузить программное обеспечение, прежде чем связываться с ними.

© Habrahabr.ru