З моменту підписання указу Президента України про санкції щодо російських IT-компаній минуло 10 днів. За цей час тема обходу блокування Vkontakte, “Однокласники”, сервісів “Яндекс” і Mail.ru стала трендом. Багато хто спробував обійти блокування, навіть не розуміючи, наскільки є небезпечними такі дії.
Звісно, акція з розблокування соцмереж та інших заборонених сайтів подається під соусом «зробимо український інтернет вільним» і «безкоштоно». Аде давайте вивчимо цей сервіс детальніше. Почнемо з групи у VK.
З опису групи бачимо, що у власників сервісу є щонайменше два сайти: vkunblock.com и vkonline.xyz. За інформацією whois vkunblock.com був зареєстрований учора (26.05.2017), а vkonline.xyz — 18.05.2017. Інформація про власника домену закрита, а сам сервіс використовує Cloudflare, що дає йому змогу приховати справжні IP-адреси своїх серверів (і, як наслідок, заважає встановити географічну належність сервісу).
Для подальшого аналізу доведеться встановити розширення з Chrome Web Store.
Розширення складається з чотирьох файлів JavaScript: analytics.js (скрипт схожий на Google Analytics), app.js, chrome.js і пустого proxy.js.
В app.js найцікавіше для нас — це URL: https://pac.safe-proxy.com/coahpcpgfnnaddeelpphpifmgfobflog.pac
PAC — Proxy Automatic Configuration — файл для автоматичних налаштувань проксі. Цей файл містить правила, які вказують, які проксі-сервери в яких випадках браузер має використовувати.
На цей момент файл коду має такий вигляд:
cdnSrv
і imSrv
— в них адреси серверів, які використовуються. Автори сервісу розбили «санкційний список» на три частини, для кожної з цих частин використовується проксі-сервер, а для сайтів не зі списку — пряме з’єднання (без проксі).Наш список для аналізу сайтів поповнився двома іменами: safe-proxy.com
і freevpn.pw
. Друге ім’я відкидаємо відразу: це проксі-сервер, який надає однойменний сервіс, що не має стосунку до VK Unblock. Їхні сервери використовують як резервні на випадок, якщо safe-proxy.com
не зможе обробити запит.
Для safe-proxy.com
дані whois показують, що домен створили 22.05.2017, дані про власника закриті, а як DNS-сервери використовуються ті самі сервери Cloudflare, що й для vkunblock.com
и vkonline.xyz
. Здавалося б, знову невдача. Але ні, річ у тім, що Cloudflare може приховувати IP-адреси тільки для звичайних сайтів, які використовують протокол http або https. А для проксі-сервера це не працює. Отже, IP-адреси для hole.safe-proxy.com
і imhole.safe-proxy.com
будуть справжніми.
Отже,
imhole.safe-proxy.com: 95.213.205.98
hole.safe-proxy.com: 213.196.53.28
hole.safe-proxy.com: 88.212.244.244
hole.safe-proxy.com: 213.196.53.36
95.213.205.98 (мережа 95.213.205.0/24) — це IP-адреса, яка належить російському хостинг-провайдеру «Селектел» (для довідки: VK також використовує дата-центр цього провайдера)
88.212.244.244, 213.196.53.28 і 213.196.53.36 — IP-адреси серверів, які надає ТОВ «Єдина мережа» (рос. – «Единая сеть», московська компанія, що має філіали в Далласі (США) та Амстердамі (Нідерланди).
Ще один цікавий момент: VK Unblock використовує HTTP-проксі, не HTTPS. Різниця між ними в тому, що в першому випадку використовують незахищене з’єднання (і провайдер, як захоче, може бачити спробу встановити з’єднання із «санкційним сайтом» через проксі), а в другому — захищене.
Чим поганий VK Unblock? По-перше, цей сервіс пропонує українцям країна-агресор. Після подій у Криму і на Донбасі в доброту і безкорисливість «братського народу» ми не віримо. По-друге, власник ресурсу може вести журнал доступу. Власне, доступ до проксі з якоїсь державної мережі буде запротокольовано, а сам факт спроби обходу блокування чиновником — черговий компромат. По-третє, немає гарантії, що власник ресурсу одного чудового дня не почне проксувати трафік не тільки для VK, а й, наприклад, для Facebook чи будь-яких урядових ресурсів (залежно від IP-адреси клієнта). Перетворивши HTTP-проксі в SOCKS, сервіс буде пропускати через себе і запити DNS з можливістю підміняти відповіді для конкретних користувачів сервісу. Можливості обмежуються тільки тим, до чого здатен власник ресурсу.
Будьте пильними. Шукаючи обхідний шлях, не потрапляйте у пастки, розставлені агресором і шахраями.