-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Modyfikowanie treści przez ISP [Aktualizacja]

04 kwietnia 2013, 17:23 | Aktualności | komentarzy 16

Czy poszczególne strony internetowe wyglądają dokładnie tak, jak pokazuje to nasza przeglądarka? Niestety, nie zawsze. Jak się okazuje, niektórzy dostawcy Internetu (ISP) w locie modyfikują treści przesyłane do swych klientów.

Pewien amerykański ISP – CMA Communications – został właśnie złapany na przesyłaniu ruchu HTTP swych klientów poprzez transparentny serwer pośredniczący (z ang. proxy). Sam ten fakt nie byłby jeszcze bardzo niepokojący, gdyby nie to, że dostawca przy okazji… modyfikuje oraz wstrzykuje własne treści!

Przyglądając się źródłom stron serwowanych przez CMA Communications klienci zauważyli, że na końcu każdego z dokumentów dołączony zostaje skrypt:

<script src=”http://nodes.r66t.com/node_api/eeb77492-852f-11e2-af82-12313d316a64/entry/main.js”></script>

Wstrzykiwany kod odpowiada za wyświetlenie na dole każdej ze stron dodatkowej reklamy.

Zielony baner został wstrzyknięty przez ISP!

Zielony baner został wstrzyknięty przez ISP!

Jakby tego było mało, skrypt podmienia również niektóre oryginalne reklamy zawarte na wyświetlanej stronie internetowej!

ISP podmienia również reklamy w serwisach internetowych

ISP podmienia również reklamy w serwisach internetowych

Na internetowych reklamach można zarobić naprawdę sporo, pokusa jest więc ogromna. Jednak tego typu działania budzą stanowczy sprzeciw. Dostawcy Internetu modyfikujący witryny internetowe poprzez wstrzykiwanie zewnętrznych skryptów to bardzo niebezpieczny precedens.

W jaki sposób zwykli internauci mają być pewni, że oglądana strona internetowa dotarła do nich w takiej postaci, w jakiej została utworzona? Co jeśli bliżej nieokreślonym włamywaczom uda się podmienić lub zmodyfikować skrypt serwowany przez ISP? Jak zwykle, czekamy na wasze opinie w sprawie, a być może kiedyś zauważyliście już podobne praktyki któregoś z ISP?

W jaki sposób możemy wykryć transparentne proxy dla ruchu HTTP?

Ponieważ w tego typu przypadkach ingerencja dotyczy zazwyczaj tylko ruchu HTTP, możemy użyć narzędzia takiego jak tracetcp. Jest to program podobny do znanego narzędzia traceroute, jednak zamiast protokołów ICMP/UDP w tracetcp zastosowano protokół TCP. Dzięki temu, porównując trasy np. dla HTTP oraz FTP możemy wykryć (nasze podejrzenia powinny wzbudzić różnice w zaobserwowanych trasach) obecność transparentnego serwera pośredniczącego.

[Aktualizacja 06-04-2013]

W związku ze znacznym rozgłosem całej sprawy, doczekaliśmy się reakcji samego ISP, czyli firmy CMA Communications… otóż dokonano następujących zmian w regulaminie.

Effective Date: These Terms and Conditions of Use are effective as of April 4, 2013.
PLEASE READ THROUGH THIS AGREEMENT CAREFULLY, AS IT CONTAINS IMPORTANT INFORMATION REGARDING YOUR LEGAL RIGHTS, REMEDIES AND OBLIGATIONS.
I. GENERAL
R66T, LLC (“R66T”) designs, develops, installs, and manages their proprietary BlueSky, digital publishing and content management system (the “Publishing Platform”) which contains among other things a digital layer which enables aggregated, curated, and created multimedia content and digital information presented in many digital formats, originating from multiple sources, including: R66T, ETAN Industries Inc. d.b.a. Cable Management Associates (“CMA”), advertisers and sponsors, and other digital publishers (together the “Information”), to be gathered, stored, and shared (collectively “Published”) with all wired and wireless devices connected to CMA local-area (“LAN”) and wide-area (“WAN”) networks, for the purpose of inserting Information that is informational, promotional, entertaining, location-based, and generates advertising and sponsorship revenue for R66T and CMA. The services (“Services”) provided by R66T for use by you (“you” or “your”) on the CMA cable internet network requires that all persons or entities using the Services agree to the following terms and conditions (“Terms and Conditions”). By accessing and/or using the Services, you are acknowledging that you have read, understand, and agree without limitation or qualification to be bound by these Terms and Conditions and the related Privacy Policy (available at www.R66T.com and incorporated herein by reference).

Czy waszym zdaniem to załatwia sprawę? W związku z wątpliwościami dodam również, że usługi oferowane przez CMA Communications są płatne.

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Patryk

    Adblock :-) albo flashBlock i wtedy włączać tylko tam gdzie się chce, lub te które się chce.

    Odpowiedz
  2. Mateusz

    Przypomina się historia telnetu i ssh. Pozostaje przejście z HTTP na HTTPS, co na pewien czas zablokuje takie niecne praktyki. Coraz więcej stron wykorzystuje szyfrowanie nie tylko do zabezpieczania transakcji finansowych ale i „zwykłego” ruchu.

    Inną kwestią jest podstawianie odpowiednich/sprofilowanych reklam przez autorów danego serwisu (lub zewnętrzne narzędzia) już na etapie generowania strony. Jedyne skuteczne lekarstwo to znieczulica – mózg zamazuje reklamę i ją olewa :)

    Odpowiedz
  3. Kiedyś Orange w swoim Orange Free kompresowało „na brzydko” obrazy i doklejało do HTML jakiś skrypt doklejający do tagów img title typu „Press coś tam for full quality image…”, nie można było się tego pozbyć tak normalnie… Coś w stylu blueconnect Compressora ale na siłę…

    Odpowiedz
  4. Pepis

    @Sopel Orange Free cały czas kompresuje obrazki w locie przy połączeniu GPRS ;) przy 3g jest normalnie.

    Odpowiedz
  5. Z tego co pamiętam, kompresja dotyczyła całego ruchu WWW wysyłanego przez komórkę, niezależnie od pakietu. IIRC użytkownik nie był informowany w żaden sposób, zdjęcia zaczynały źle wyglądać (ludzie m.in. na Blox narzekali). Ale z tego co pamiętam jeśli ktoś korzystał z aplikacji Orange, to dawało się to wyłączyć. Czy może trzeba było włączyć usługę VPN jakąś? Nie pamiętam.

    Co gorsza, proxy Orange wpływało też na treść – psuło CSS/JS jakiegoś serwisu (AdTaily?). Stara sprawa, nie dogrzebię się do szczegółów, tu jest jeden ze śladów w komentarzach (nie chodzi o mój komentarz) http://blog.4zal.net/2011/02/10/nieprzezroczyste-proxy-orange/

    Odpowiedz
  6. micra

    W Polsce powszechne jest – głównie u mniejszych ISP zwracanie nierozwiązanych zapytań DNS jako wskazań na serwery z reklamami, np. wpisując gaeeeezeta.pl i zakładając, że taki adres nie istnieje DNS operatora przekierowuje na jakąś witrynę z reklamami. I nie, nie jest to celowo zarejestrowana nazwa – ta nazwa nie istnieje – bo u innego operatora nazwa nie jest zwracana.

    Mojemu ISP powiedziałem, że nie życzę sobie takich praktyk i się wycofali, ale sami też się nadziali, bo pracownikom źle działały niektóre usługi – nie mogli wykryć, czy są w firmie, czy na zewnątrz – bo na zewnątrz zawsze otrzymywali jakiś nieistniejący adres IP.

    Odpowiedz
  7. moris

    @Sopel, wystarczy headers zmodyfikować o Pragma: no-cache lub Cache-Control: no-cache

    Odpowiedz
  8. Bandziorek

    Narzedzie nazywa sie tcptraceroute. Tracetcp jest dla windowsa niestety.

    Odpowiedz
  9. PW

    Administratorzy serwerów WWW mogą przeszkadzać w tego typu działaniach ustawiając odpowiednie nagłówki CSP, które w przypadku nowszych przeglądarek pozwolą na ładowanie skryptów tylko z podanych miejsc.

    Problem będzie jednak wtedy, gdy skrypt zostanie wstrzyknięty bezpośrednio w zawartość (to też można wyłączyć, ale wtedy samemu nie można wykorzystać skryptów inline na stronie) lub serwowany ze spreparowanej domeny serwera docelowego, takiej samej dla której przeprowadzana jest modyfikacja przez ISP.

    Inny sposób to po prostu włączone SSL/TLS.

    Odpowiedz
  10. A co jeśli w niektórych przypadkach podmieniane są całe strony???
    Jaką mam pewność, że czytam oryginalną treść sekuraka???
    Czy da się to wykryć w każdym przypadku???
    Czy da się przed tym zabezpieczyć???

    Odpowiedz
    • Pytam poważnie.

      Odpowiedz
      • Pewności to nie ma, trzeba by przejść na SSL only np. na sekuraku. Co do ISP to czasem można się też tego pozbyć (choć gwarancji nie ma) – np. wykupienie stałego IP powoduje że nie musisz mieć auto-kompresji…

        Odpowiedz
  11. @sekurak
    „1. Zobacz dodatkowo:
    http://sekurak.pl/mechanizm-http-public-key-pinning/
    http://sekurak.pl/hsts-czyli-http-strict-transport-security/

    Jeśli dobrze wszystko zrozumiałem, to ten mechanizm key pinning jest żartem, bo co stoi na drodze w podesłaniu zmodyfikowanego lub nie wysłaniu w ogóle tego nagłówka klientowi???

    Odnośnie HSTS:
    „Działa on tak, że jeżeli przeglądarka zobaczy, że witryna wysyła ten nagłówek, to przez czas określony w nagłówku cała komunikacja będzie się odbywać po HTTPS”

    Powtórzę. Co stoi na drodze w podesłaniu zmodyfikowanego lub nie wysłaniu w ogóle tego nagłówka klientowi???

    Odpowiedz
    • @sekurak
      Mam racje? Jeśli nie to dlaczego???

      Odpowiedz

Odpowiedz na moris