LINUX.ORG.RU
ФорумSecurity

Почти детективная история

 , , ,


3

5

Сегодня сподобился таки выяснить, что нового в новой версии одной среды разработки, и увидел какие-то нездоровые соединения по HTTPS с сетью 1e100.net:

$ netstat -4 -p | grep seamonkey
(Not all processes could be identified, non-owned process info
 will not be shown, you would have to be root to see it all.)
tcp        0      0 anthrax:44441 a104-126-161-235.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:60367 74.125.131.95:https     ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:55755 bam-7.nr-data.net:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:34895 ec2-52-17-140-88.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:40711 ec2-52-18-226-11.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:58230 lk-in-f155.1e100.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:38400 server-205-251-21:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:47717 173.194.122.222:https   ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:40707 ec2-52-18-226-11.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:44442 a104-126-161-235.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:40708 ec2-52-18-226-11.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:40706 ec2-52-18-226-11.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:40710 ec2-52-18-226-11.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:60455 173.194.122.192:https   ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:40709 ec2-52-18-226-11.:https ESTABLISHED 17902/seamonkey
tcp        0      0 anthrax:42138 ec2-54-217-236-18:https ESTABLISHED 17902/seamonkey

В результате гугления было выяснено, что *.1e100.net, как и следует из названия, — это принадлежащий Google сервис проверки подлинности сайтов.

Буквально первая же ссылка ведёт на SuperUser.com, и комментарии там жгут:

Because Google loves you and just wants you to be happy. Like a benevolent big brother watching your every move and giving you the creepily specific targeted advertising you subconsciously know you need.

Окей, но мой браузер — ни разу не Chrome. WTF?!

  • Отключаю к чертям весь safe browsing (browser.safebrowsing.* в about:config).
  • Отключаю OCSP (security.OCSP.enabled=0).
  • Сношу HTTPS Everywhere.

На выходе same shit — мозилла лезет, куда не следует.

Окей, я не ленивый. Поднимаю BIND 9 и добавляю новую зону:

$TTL    604800
@       IN      SOA     ns.1e100.net. root.1e100.net. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns.1e100.net.
@       IN      A       127.0.0.1
@       IN      AAAA    ::1
*       IN      A       127.0.0.1
*       IN      AAAA    ::1

Перезапускаю BIND, переписываю /etc/resolv.conf. Теперь всё должно работать:

$ host li-in-f155.1e100.net
li-in-f155.1e100.net has address 127.0.0.1
li-in-f155.1e100.net has IPv6 address ::1

Запускаю мозиллу — она снова лезет не туда (я наблюдаю ровно тот же вывод, что и в первом листинге, т. к. обратный DNS по-прежнему работает):

$ dig -x 173.194.220.155 | grep -A1 'ANSWER\ SECTION'
;; ANSWER SECTION:
155.220.194.173.in-addr.arpa. 84939 IN  PTR     lk-in-f155.1e100.net.

Причём сброс DNS-кэша операционной системы, её перезапуск и, наконец, запуск браузера с «чистым» профилем и без расширений тоже ни к чему не приводит. Напрашивается один из двух выводов:

  • либо Safe Browsing — это неотключаемая «фича», и через какой-то сервис браузер продолжает получать список IP-адресов для соединения по HTTPS,
  • либо источник проблемы не на клиенте, а на сервере, и какой-то чёртов JavaScript выполняет роль DNS (разумеется, уже без UDP-запросов на 53-й порт) в обход локального DNS (вы уж простите за конспирологические теории),
  • либо, наконец, я недонастроил локальный DNS.

Соответственно, вопрос: WTF и как с этим бороться? В кодовой базе SeaMonkey 2.40 (Firefox 43) «захардкоженных» IP-адресов и строк вида «1e100.net» я не нашёл.

И, чтобы два раза не вставать, вопрос №2.

Попутно, на волне паранойи, решил запретить на уровне DNS всякие facebook.com, fbcdn.net, fb.com, vk.com и прочую дрянь. Отлично, теперь при вводе в строке адреса браузера «fb.com» открывается локальный Apache. Я доволен. Но есть одно «но».

При попытке зайти на http://facebook.com (который, напомню, разрешается в 127.0.0.1) браузер пытается перейти на https://facebook.com, при том, что на моём локальном Apache не сконфигурирована HTTP Strict-Transport-Security и никаких HTTP 302 он тоже, разумеется, не шлёт. Причём версии браузеров трёхлетней давности такой ерундой не страдают.

WTF?! Опять начинаю искать в кодовой базе — и нахожу просто прелестное.

Без малого 3000 доменов, к которым надо ходить строго так, как приказал Большой Брат, описаны в файле security/manager/ssl/nsSTSPreloadList.inc.

И это ещё полбеды. Есть ещё security/manager/ssl/StaticHPKPins.h, содержащий фингерпринты X.509-сертификатов всё тех же сайтов.

Вопрос: как выключить этот чёртов HPKP (на этапе компиляции либо через about:config)? Хочу свой facebook.com с блэкджеком и шлюхами шахматами и поэтессами.

★★★★★

nslookup ajax.googleapis.com
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
ajax.googleapis.com	canonical name = googleapis.l.google.com.
Name:	googleapis.l.google.com
Address: 108.177.14.95
Name:	googleapis.l.google.com
Address: 173.194.222.95
Name:	googleapis.l.google.com
Address: 64.233.162.95
Name:	googleapis.l.google.com
Address: 173.194.73.95
Name:	googleapis.l.google.com
Address: 64.233.164.95
----
nslookup 64.233.164.95
Server:		127.0.0.1
Address:	127.0.0.1#53

Non-authoritative answer:
95.164.233.64.in-addr.arpa	name = lf-in-f95.1e100.net.

Так что это просто гугловская сеть

Kuzz ★★★
() 
seamonkey давно не чинили и не обновляли, что говорит свежая лиса?

Раньше обращал на это внимание, что chromium создавал похожие запросы, потом и лиса какое-то время занималась этим, потом прекратила, потом забил на это дело. Но иногда приступы здоровой паранойи одолевают ...

Можно еще заменить адреса на какие нужно через net-dns/dnsmasq. Например: address=/double-click.net/127.0.0.1

Конечно это «дары» и странно, что это нельзя отключить. Должны быть в сети дискуссии на эту тему или хотя бы патчи для выпиливания. Появилась эта гадость сравнительно недавно. Возможно пик активности приходился где-то 2014 год.

Вообще это полезно выявлять зонды конечно.
anonymous
()

Без малого 3000 доменов, к которым надо ходить строго так, как приказал Большой Брат, описаны в файле

а что не так? Как я понимаю, это защита от всякой малвари, которая ресолвит тот же facebook.com в какие-то свои адреса. Для хомяков вполне полезно. А мозилла почему-то в последнее время активно охомячивает свои продукты

f1u77y ★★★★
()

А если поступить варварски и в about:config везде затереть safebrowsing.provider?

dogbert ★★★★★
()

Ты серьезно думаешь что рекламу будут показывать на основе того, что улетело в SafeBrowsing? Или что это сохраняется вообще?

https://www.google.com/transparencyreport/safebrowsing/faq/?hl=en

Chrome users who have volunteered to share information specifically about phishing and malware sites allow us to estimate the total number of warnings

estimate the total number of warnings

И если в цивилизованом мире компания звездит в таких репортах, то есть ответственность вполне юридическая

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 3)

как выключить этот чёртов HPKP (на этапе компиляции либо через about:config)?

Ты какой-то странный. Список в коде нашёл, а несколько кликов мышкой сделать не смог. Там же проиндексированные исходники, по ним легко ищется настройка: «network.stricttransportsecurity.preloadlist».

i-rinat ★★★★★
()
Ответ на: комментарий от vertexua

А можно такую же цитату, только вроде «under no circumstances we save or share information about visitors, including, but not limited to, IP addresses, cookies, session data and profile names»? Потому что в приведенной тобой нет вообще никаких обещаний, а есть только описание, зачем это нужно.

leave ★★★★★
()
Ответ на: комментарий от leave

Вот че есть

https://www.google.com/intl/en/chrome/browser/privacy/#safe-browsing-policies

The most recent copy of the list is stored locally on your system. Google doesn't collect any account information or other personally identifying information as part of this contact. However, it does receive standard log information, including an IP address and cookies.

Google doesn't collect

However, it does receive

vertexua ★★★★★
()

У меня та же фигня. 

ec2-35-162-43-183.us-west-2.compute.amazonaws.com
Можно заблокировать этот адрес на роутере, но он каждый раз разный.

Deleted
()
Ответ на: комментарий от bass

А зачем там ставят browser.safebrowsing.enabled=false, тоесть вырубают совсем, а потом какие-то более подробные флажки вырубают. По идие не надо

vertexua ★★★★★
()
Ответ на: комментарий от bass

Ничем уже пользоваться нельзя. Хоть обратно в старую Оперу лезь.

dogbert ★★★★★
()
Ответ на: комментарий от anonymous

Вот тебе пример

/get/12141423

Код

database.store(id % 5)

Не понятно? Можен можно делать это на клиенте. Может и нельзя. Но вот пример когда это делается на сервере и пользовательская информация не сохраняется. Вот еще пример

country = database.lookup(id)

database.increase_counter(country)

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 3)

так что за соединения-то? Копал по ним глубже?

подозреваю всякие JS-ы, которые подтягиваются из гуглосерверов когда лазишь по интернету

Или у тебя такое происходит без вкладок?..

reprimand ★★★★★
()
Последнее исправление: reprimand (всего исправлений: 1)

Если сейчас родиться LORFox browser, то это будет эпично, но нет.

Promusik ★★★★★
()
Ответ на: комментарий от vertexua

В переводе это означает, что никакой «персональной информации» они о тебе не сохраняют (а ты её вводил?), но они сохраняю всю информацию, по которой можно создать твой отпечаток. Им большего и не надо, а ты чувствуешь себя в безопасности.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security