Am 25. August präsentierte der russische Programmierer Leonid Evdokimov "SORM Defects" auf der Chaos Constructions IT-Konferenz in St.Pete...
Internet-Provider setzen Sniffer für SORM ein
Evdokimov sagt, dass ein Bekannter im April 2018 auf eine IP-Adresse im Rostelecom-Netzwerk aufmerksam wurde, die offene Statistiken über den Benutzerverkehr enthielt. Er sagt, dass er zunächst vermutete, dass dies die IP-Adresse eines so genannten „Packet Sniffer“ war, den Rostelecom vermutlich zum Abfangen und Protokollieren des Datenverkehrs verwendete. Sie versuchten vermeintlich damit herauszufinden, wie der Messenger Telegram die Blockierungen der russischen Regierung umgeht. Dennoch fand Evdokimov keine Anhaltspunkte dafür, dass Rostelecom den Traffic von Telegram abfangen wollte. Stattdessen spekulierte er darauf, dass dies ein Teil der Echtzeitüberwachung der russischen Regierung sei. Schließlich wollte er der Spekulation auf die Schliche kommen und machte sich auf die Suche mit dem Opensource-Scanner „ZMap“. Dabei fand er heraus, dass mindestens 20 russische Interet-Provider (ISP) 30 weitere „Paket-Sniffer“ in Ihren Netzwerken einsetzen.Offene FTP-Server bestätigten seine Spekulationen
Bei seiner Recherche fand Evdokimov offene FTP-Server mit Echtzeitslogs. Bei der Auswertung der Daten, entdeckte er alle gesammelten Kundendaten. Zu denen gehören die Handynummern, E-Mail-Adressen, IP-Adressen, Messenger-Daten und sogar GPS-Koordinaten.All these data make it possible to determine exactly whose traffic this is, and which clients they are,” -EvdokimovEvdokimov informierte anfangs die ISPs, um herauszufinden was los war. Von den Internet-Anbietern erfuhr er, dass es sich um eine Art Standardbox des SORM-Entwicklers und Revizor-Systems handelte. Woraufhin ihm auch ein Insider im Mai 2018 mitteilte, dass das Sniffer-Equipment von MFI-Soft stammt – einem der größten Anbieter des SORM-Equipments.
“This is a standard box from MFI Soft. When we were buying this kind of thing, nobody told us about any ‘features’ like this. Theoretically, it shouldn’t be looking at the Internet, but the vendor should be keeping an eye on this, so he’s requesting remote access. So it’s part of the deal to be able to turn it inside out. One operator posts an ACL [access-control list], and the other hopes the vendor is right in the head. The reasoning is something like ‘FSB – security.’ […] In principle, it’s still pretty innocuous statistics […] but who knows what else is there.”In seinem Vortrag zeigte der Programmierer, wie er die veröffentlichten Daten nutzen konnte, um die MAC-Adressen verschiedener Router und sogar die GPS-Koordinaten von Dutzenden von Menschen im Dorf Dagestani in Novosilske zu ermitteln.