четверг, 2 июня 2011 г.

О базах сотовых операторов



Скачать базы данных ведущих сотовых операторов таких как: мтс, мегафон, билайн, теле2, утел, смартс, индиго и прочих не так то легко как может показаться. В Интернете полно предложений о продаже баз данных, но их актуальность и работоспособность вызывает большие сомнения, и чаще всего они не приносят, ни какой пользы, как результат - впустую потраченное время и средства...."
(C) Очень искренние и грамотные мошенники, "Сайт очень искренних и грамотных мошенников", тысячи их

Поводом к написанию этой заметки стала публикация в твиттере журнала "Персональные данные" (@Privacyjournal) информации о появлении в открытом доступе "баз" персональных данных абонентов (ПДн) сотового оператора "Билайн" и не очень сотового оператора "ГИБДД": http://goo.gl/ZGnuG (похоже, что исходная заметка со ссылкой на torrent-файл для закачки "базы" была удалена, поэтому привожу ссылку на более поздний твит по данной теме).

В первую очередь, хочу принести свои извинения редакции журнала за столь резкую реакцию на данную публикацию. Разумеется, сразу же обвинять этих ребят (и девчат, конечно же :)) в распространении ссылок на вредоносное ПО было не вполне корректно с моей стороны, исправляюсь и пожелаю журналу долгих лет существования, интересных статей и роста аудитории читателей. Однако, разобраться в том, что же на самом деле было выложено на torrent-трекере, думаю, интересно не только им, но и остальным хоть и немногочисленным, но читателям моего блога, так почему бы не сделать это прямо сейчас?

Сразу хочу оговориться: все, что опубликовано в данной заметке, является выражением моего личного мнения и не может расцениваться как официальная либо неофициальная позиция каких-либо компаний, госслужб, третьих лиц и т.п.

За 6 лет работы в отрасли информационной безопасности, я неоднократно сталкивался (и продолжаю сталкиваться, чем дальше, тем чаще) с информацией о появлении в публичном доступе ПДн абонентов сотовых компаний. Однако, за все это время, в ходе постоянных проверок достоверности данной информации, я не встречал ни одного подтверждения массового нарушения конфиденциальности абонентских ПДн. В файлах, которые якобы содержали эти базы находилось все, что угодно, но не то, что было обещано: медиа-файлы, базы госслужб, операторов фиксированной связи и т.п. Единственными, хоть как-то имеющими отношение к нашей предметной области, были базы одного сотового оператора, утекшие еще в начале века и не менее "свежие" базы некоторых операторов стран СНГ.

Разумеется, мой скромный опыт никоим образом не доказывает, что таких баз в открытом доступе нет или не может появиться в обозримом будущем. К сожалению, инсайдерские атаки по-прежнему остаются одной из наиболее актуальных угроз, а с ростом числа госслужб, имеющих возможность получать ПДн абонентов по запросу, расширяется также и площадь потенциальной утечки этой информации, почти целиком находящаяся вне контролируемой зоны непосредственного оператора ПДн. Но должна же была, за столько лет, хоть раз попасться настоящая и актуальная база, если предложениями об их покупке пестрит весь рунет?! Видимо нет. Забегая вперед, скажу, что с распространением подобных баз связано сразу несколько мошеннических схем, направленных на нанесение ущерба отнюдь не операторам сотовой связи, но тем, кто решит ими воспользоваться. Но об этом чуть позже, а теперь приступим к изучению вновь выложенной на торрентах "базы"...

Скачанный по распространяемому torrent-файлу дистрибутив, представляет собой исполняемый файл Windows, с именем "База билайн России.exe", размером 10894040 байт и MD5-хэшем 5FCA913094E2DFF15D0D2C73BEC3AFD4, созданный при помощи ПО, распространяемого сервисом Zipcoin. Zipcoin является оператором микроплатежей и, в числе прочего, предлагает партнерство по распространению премиум-контента в архивах, закрытых паролем, узнать который можно путем осуществления платежа на данном сервисе. Похоже, что кроме мошенников и разработчиков малвари этим сервисом мало кто пользуется, поэтому сигнатуры кода, присутствующие в архивах, созданных на базе данного сервиса, внесены в базы некоторых производителей антивирусного ПО: http://goo.gl/413jI. Детальный анализ данного файла и эксперименты с ПО Zipcoin для создания подобных архивов, показали отсутствие какого-либо вредоносного ПО в составе дистрибутива, кроме самого распаковщика Zipcoin.

После запуска файла, появляется диалоговое окно следующего содержания:



Нажав на кнопку "Извлечь" мы получаем, вероятно самое главное окно в этом дистрибутиве:


Однако, автор дистрибутива явно хочет поиметь по 150р с каждой распаковки этого архива. Архива, якобы содержащего и так уже украденную информацию. Правда, получить код "разархивации", не играя на руку столь алчному человеку, оказалось достаточно легко: 3901131352. Введя этот код в соответствующее поле ввода, мы получаем возможность понаблюдать за процессом распаковки файла, скрытого в архиве и, наконец, видим:


Разумеется, "Открыть папку" - это все, что нас сейчас интересует. Не медлим:


Видим какой-то файл с иконкой инсталлера и именем "База Бирайн.exe". Автор, похоже, так торопился, что даже не потрудился исправить опечатку. Не буду приводить характеристики и этого файла, т.к. после его запуска нас ожидает настоящий сюрприз:


Для тех, кто не узнал последнюю картинку: R-Studio - одна из мощнейших программ по восстановлению данных с жестких дисков и, несмотря на свою стоимость, оправдывает ее на все 100%. Я не привел характеристики последнего exe-файла только потому, что они полностью (ну, кроме имени) совпадают с характеристиками инсталлятора R-Studio rsd_en_5.exe. А вот базы нет и на этот раз, увы :( Равно, как и не было бы 150р в том случае, если бы мы заплатили за этот архив. Zipcoin предлагает жаловаться на их сайте о несоответствии реального контента заявленному, но как сформулировать нашу претензию? "Ожидали получить краденую базу ПДн, а получили демонстрационную версию утилиты для восстановления данных"? Расчет автора архива понятен - жаловаться никто не станет, если он конечно в здравом уме и трезвой памяти.

На самом деле, то, что там нет никакой базы было понятно сразу, из размера этого файла. Давайте посчитаем: допустим, что речь идет об абонентской базе в 62 миллиона человек (цифра взята отсюда и актуальна на 2009-ый год). Для хранения паспортных данных абонента, его мобильного номера и всего прочего едва ли хватит 500 байт, но допустим. Получаем ~28 гигабайт информации и, заметьте - это еще без индексов полей, по которым будет осуществляться поиск. Разумеется, после компрессии, дистрибутив будет "весить" несколько меньше, но способов получить без потерь при сжатии из 28 гигабайт 10 мегабайт просто не существует. Все просто, как видите :)

Подобных мошеннических схем достаточно много, но преследуют они лишь две цели, иногда одновременно. Это, во-первых, заражение пользовательского компьютера вредоносным ПО, а во-вторых, вынуждение пользователя расстаться с некоторой (обычно небольшой) суммой в процессе установки подобного ПО. Очень близко к данным схемам находятся также всевозможные предложения о "пробить человека по базе", "предоставить распечатку телефонных и SMS-переговоров", "запеленговать абонента" и тому подобные. Я не утверждаю, что среди этих мошенников нет настоящих и честных преступников, которые за полученные деньги действительно осуществляют перечисленные правонарушения, но пока мне такие не встречались, к сожалению. Хотя, наверное, все же к счастью.

Потенциальным же пользователям подобных "баз" могу только пожелать счастливой и долгой жизни на свободе, т.к. нарушение прав человека на тайну его личной жизни, переписки и защиты ПДн, коими и является использование подобных баз и сервисов, на волне популяризации ФЗ №152 и моды на защиту прав человека, может закончиться весьма и весьма плачевно.

На этой позитивой ноте, предлагаю считать расследование журнала "Персональные данные" закрытым. Хотя, если есть еще примеры - присылайте, почему нет? ;)

14 комментариев:

  1. Максим Горлов2 июня 2011 г., 21:12

    Великолепно, маэстро! :)

    ОтветитьУдалить
  2. Владимир Кочетков2 июня 2011 г., 21:14

    Спасибо. Правда после того их твита, у меня глаз до сих пор дергается :)

    ОтветитьУдалить
  3. Владимир, отличный материал! Спасибо!. А мы  ждем ответы  от  Билайна, ГИБДД и , собственно, самого портала 

    ОтветитьУдалить
  4. Николай Домуховский4 июня 2011 г., 12:14

    Гы...
    А вообще на заказуху похоже.
    Таких "предложений" в иннете, как правильно замечено - тысячи тысяч. Почему надо публиковать информацию о каком-то одном, ничем не выделяющимся из остальных?

    ОтветитьУдалить
  5. При чем здесь показуха??? Вы внимательно читали все посты? Вопрос не  в показухе,  вопрос в том, КАК заинтересованные организации "реагируют" на  подобные факты. А это- лишь пример одного из них..

    ОтветитьУдалить
  6. Александр6 июня 2011 г., 10:42

    Понятно, что этих предложений, что называется, over 9000. Но надо же с чего-то начинать... Нас, к сожалению, меньше чем мошенников.

    ОтветитьУдалить
  7. Владимир Кочетков6 июня 2011 г., 13:56

    Дело в том, что коль скоро выясняется, что самой базы там нет, то законные операторы ПДн перестают быть заинтересованными по вполне понятным причинам: борьба с мошенничеством в сфере высоких технологий и распространением вредоносного ПО - зона ответственности несколько иных органов и структур.

    ОтветитьУдалить
  8. Владимир Кочетков6 июня 2011 г., 14:03

    Безусловно надо. В первую очередь, надо чтобы каждый, расставшийся с очередными 150р подавал заявление о факте мошенничества. Чего он не сделает, т.к. у самого "рыло в пуху", ибо придется признаться в умысле на нарушение тайны переписки, 152 ФЗ и т.п. Пока будет спрос на подобную информацию, начинать можно только в том случае, если там хотя бы будет настоящая база. А если ее нет и те, кто лишились небольшой суммы денег в результате распространения подобных "баз", не спешат заявлять о понесенном ущербе, привлечь к ответственности распространителей юридически нереально. 

    P.S: А "нас, к сожалению, меньше" - это кого именно? o_O

    ОтветитьУдалить
  9. Александр6 июня 2011 г., 15:55

    добропорядочных сотрудников журнала "Персональные данные"))

    ОтветитьУдалить
  10. Владимир Кочетков6 июня 2011 г., 17:36

    Ааа... А то я, грешным делом, на своей волне, подумал, что у меня в комментариях представители БСТМ отметились :D

    ОтветитьУдалить
  11. Николай Домуховский6 июня 2011 г., 20:16

    В подобной ситуации, с чего бы вы не начали - обвинения в не совсем честных намерениях не избежать.
    Хорошо, если ваш мотив был погоня за дешевой сенсацией, но немного зная, как появляются подобные репортажи, я останусь при своем куда худшем мнении.

    ОтветитьУдалить
  12. Мне кажется тут отдел фрода недоробатывает. Сервисы предоставляются под брендом Билайн (я про 150 рублей). Значит их нужно либо сделать качественными либо отобрать аккаунт у дистрибутора номера.
    Это ж потеря в доверии -> потеря в имидже -> потеря бренда -> финансовые потери. Следовательно этот вопрос к фроду :)

    А про размер базы - ход мыслей верный.

    ОтветитьУдалить
  13. Владимир Кочетков18 июня 2011 г., 19:47

    Этот короткий номер арендуется ZipCoin'ом у всех сотовых операторов на территории РФ. Сервис предоставляется под брендом ZipCoin. Причем здесь бренд Билайн?

    ОтветитьУдалить
  14. Соглашусь с автором,что размер базы данных должен быть гораздо внушительнее чем 10мб потому как только в базе МТС уже абонентов перевалило за 1000000 по России уже давно и это колоссальная информация,начиная от ксерокопии вашего паспорта и грубо говоря размером трусов... Не соглашусь с ним только в том,что эта информация недоступна!!! Пример тому,достаточно потратить где то от 200-300р в переходе метро и приобрести диск с подобной информацией,на счет интернета я ничего говорить не буду,я сам лично держал в руках такой диск в руках,это была БД ГИБДД ,мне достаточно было ввести регистрационный номер машины и модель и у меня вся инфа на этого хозяина. Сильно я не заморачивался по поводу этого диска, просто хочу добавить,что вся инфа любой БД,давно доступна для любого юзера который ищет эту инфу!!!! Если вы покупаете сим-карту регистрируясь у оператора связи,если берете где  нибудь кредит,покупаете машину или являетесь владельцем авто,а так же у вас где то был прокол с законом,то знайте,ваши данные уже в какой нибудь базе!!! P.S По поводу дисков в метро я не вру,потому как не заинтересован в этом,просто такие диски на витрине не стоят у всех на виду,нужно правильно задать вопрос продавцу,а бы кому они их не толкают,ведь все таки это СЕКРЕТНАЯ инфа))))))))      

    ОтветитьУдалить

Пожалуйста, будьте вежливы к автору и остальным посетителям этого блога