Массовый MitM: как они это сделали?

0

4

http://tjournal.ru/paper/antisanctions-safari-yandex-browser

Технический директор «Комитета» Илья Чекальский выяснил, что заглушка отображается на страницах, содержащих коды статистики «Яндекс.Метрики» или Google Analytics. Проблема исчезает, если убрать коды счётчиков или изменить протокол http на https у ссылок скриптов. Как предполагает Чекальский, злоумышленники совершают атаку man in the middle на уровне магистрального провайдера (например, «Ростелекома») или точки обмена трафиком (например, MSK-IX). Вместе с тем, Клименко и Чекальский считают, что причина проблемы может быть во взломанных роутерах.

Мне както не верится что это происходит у магистралов, но вроде уже были случаи с модификацией трафика. Хотя все может свестись к тому что в телефоне завелся adware прокси?

Ссылка

←	Форум консерваторов в СПБ

Какой прикупить посоветуете?

→

Если это на уровне MSK-IX - то это просто эпик фейл десятилетия! Ждем подробностей.

ncrmnt ★★★★★
(22.03.15 22:43:05 MSK)

Ответ на: комментарий от ncrmnt 22.03.15 22:43:05 MSK

Если это на уровне MSK-IX

что значит «на уровне MSK-IX», там у каждого провайдера своё оборудование, общий только роут-сервер, который маршруты BGP рассылает

Harald ★★★★★
(22.03.15 22:47:15 MSK)

В начале марта к нам обратился пользователь ЦП

Harald ★★★★★
(22.03.15 22:49:58 MSK)

Ссылка

Ответ на: комментарий от Harald 22.03.15 22:47:15 MSK

Даже если на уровне провайдеров(!), а их несколько кого порутили, как минимум... Все равно эпик.

ncrmnt ★★★★★
(22.03.15 22:54:08 MSK)
Последнее исправление: ncrmnt 22.03.15 22:54:40 MSK (всего исправлений: 1)

Интересно, кто же копает под яндекс таким способом.

Solace ★★
(22.03.15 23:03:33 MSK)

Ответ на: комментарий от Solace 22.03.15 23:03:33 MSK

Может и сами. Дураки — они напористые.

~~Stahl~~ ★★☆
(22.03.15 23:16:04 MSK)

Ссылка

Ответ на: комментарий от ncrmnt 22.03.15 22:54:08 MSK

Еще есть вероятность, что это MitM в вайфай сетях создаваемый каким либо зловредом.

Deleted
(22.03.15 23:24:30 MSK)

Ссылка

Бугага, да таких баннеров полно. Максима-телеком в Москве в публичном метрошном wifi вставляет свои говно-js в каждый ответ для показа своих банеров на любом сайте.

Не вижу ничего нового.

~~zgen~~ ★★★★★
(22.03.15 23:48:47 MSK)

Ссылка

Ответ на: комментарий от Solace 22.03.15 23:03:33 MSK

Все намного проще - это заработок, причем приличный по деньгам. Яндекс покупает установки своего браузера через cpa сети и не только, часто закрывая глаза на методы установок.

А после подгрузки js редиректа через google adsense я уже ничему не удивляюсь :) Причем фиксил это гугл довольно долго.

~~xtraeft~~ ★★☆☆
(22.03.15 23:59:48 MSK)
Последнее исправление: xtraeft 23.03.15 00:00:46 MSK (всего исправлений: 1)

Ссылка

У aviaforum.ru обычный http, без https.
У https://sportbox.ru самоподписанный сертификат, но контент тоже через http весь отдаётся.
А для http любой промежуточный хоп фактически митм. Так что может кто и побаловался. :)

imul ★★★★★
(23.03.15 00:05:09 MSK)