Власти Туниса подают пример, как можно эффективно расправляться с оппозицией в интернете. Вместо фильтрации трафика они просто удаляют враждебные аккаунты.
Местное издание The Tech Herald раскрывает технику взлома. Для пользователей в Тунисе страницы Facebook, Gmail и Yahoo при соединении по HTTP вместо HTTPS поступают с "добавкой" в 10 строк кода. Этот JavaScript служит для сбора логинов и паролей. Вот образцы модифицированных страниц Gmail, Yahoo и Facebook. Очевидно, скрипт внедряется на уровне ISP.
Возможно, сбор паролей у оппозиции начался ещё в июле 2010 года, когда местный провайдер-монополист впервые блокировал протокол HTTPS для пользователей внутри страны.
Специалисты по безопасности из независимых компаний подтвердили вредоносность скрипта и попытались объяснить механизм его работы. Получив данные для авторизации, он шифрует их слабым криптоалгоритмом и помещает в URL, добавляя пять случайных символов, так что получается адрес вроде www.google.com/wo0dh3ad. К нему из браузера отправляется GET-запрос, который перехватывается на уровне национального ISP.
Дальше требуется только расшифровать полученные данные и использовать их в нужный момент для входа в чужие аккаунты.
Вообще-то, причастность правительства Туниса к этой хакерской атаке не доказана, но специалисты считают, что вряд ли какие-то посторонние злоумышленники могли компрометировать всю сетевую интернет-инфраструктуру страны. Тем более государственный провайдер-монополист Tunisian Internet Agency (принадлежит министерству связи) и раньше был уличён в фильтрации трафика: в апреле 2010 года они заблокировали доступ из Туниса к сайтам Flickr, YouTube и Vimeo. (http://habrahabr.ru/blogs...)
Комментарии