Čtvrtek 19. září, 2024
Evropský rozhled

Proruský server Aeronet je prolezlý americkými službami

Ochrana soukroní v podání Aeronetu
Když před lety unikly americké diplomatické depeše, jeden z blízkých fanoušků Juliana Assange vytvořil WikiLeaks forum. S nadšením a poděkováním se ovšem nesetkal, ba naopak ztratil důvěru všech zakladatelů WikiLeaks. Proč? Stránky propojil se službou Google Analytics, která prý ve spolupráci s NSA sleduje čtenáře webů. To byl prohřešek, přes který se hlavní aktéři objevující se tehdy hlavně ve vysílání proruské televize RT prostě nepřenesli.

Aeronet.cz je bývalé uzavřené diskusní forum zaměřené na reverzní inženýrství a jiné IT dovednosti, které se po vpádu Ruska na Ukrajinu ze dne na den proměnilo v hlasnou troubu Kremlu. Něco tu však nehraje. Web totiž používá Google Analytics (GA), a to přestože se snaží u čtenářů nabudit dojem, že kráčí ve stopách hnutí Anonymous, které bylo s aktivitami kolektivu WikiLeaks vždy propojené.

Ani v samotném Rusku by z takového webu nebyli nadšení. Pro bezpečnost ruských občanů je klíčové, aby se používaly služby provozované pouze ruskými společnostmi. Výjimka je možná jenom tam, kde ruská alternativní služba zatím neexistuje. Ruská vláda právě připravuje zákonná opatření, která používání neruských služeb omezí.

 
>>Žádný WhatsApp, Viber ani Skype. Co nevymyslely ruské mozky, může být brzy tabu
 

V Americe totiž stačí jedno rozhodnutí soudu a firmy musí požadované údaje vydat americkým vyšetřovacím orgánům. Postižená osoba se o tom zpravidla vůbec nedozví. Své o tom ví islandská poslankyně Birgitta Jónsdottir, o jejíž soukromou korespondenci americké tajné služby projevily zájem a společnost Twitter jim jí vydala. A rozhodně nebyla jediná.

 
>>Na Twitteru už soukromí nehledejte

>>Google předal e-maily dobrovolníků z Wikileaks americké vládě
 

Samotná redakce Aeronetu na webových stránkách uvádí, že server zachovává přísnou ochranu soukromí svých čtenářů, uživatelské e-maily nesdílí s třetí stranou a nearchivuje IP adresy. Zároveň však nemohou zaručit, že toto neprovádí bez jejich vědomí NSA.

 
Zdrojový kór indexové stránky Aeronetu
 

Ze zdrojového kódu stránek Aeronetu sice vyčteme, že funkci pro archivování IP adres ve skriptu GA nepovolili, ale skript ovlivňuje pouze to, co oni jako správci účtu uvidí, nijak neovlivňuje to, co uvidí administrátoři z Google. Se vstupem na webové stránky Aeronetu se vám tak do počítače nahraje hned několik amerických cookies.

 
>>How to Get a Visitor’s IP Address in Google Analytics
 

Další cookies se vám do počítače nahraje, když se rozhodnete stisknout tlačítko „Chci přispět na provoz AE News“. A další, když se na webové stránce objeví embeddované YouTube video. Takže i společnost Youtube ví, že čtete Aeronet. A takhle bychom mohli pokračovat. Kdo nevěří, může si například ve Firefoxu v nastavení soukromí pod položkou „odebrat některá cookies“ tyto soubory prohlédnout. Nejlépe však učiníte, když všechna smažete a restartujete prohlížeč. Načež načtete jen stránky Aeronetu a začnete procházet stránky a články. Jak budou přibývat cookies, můžete si být jistí, že se k vám všechna dostala přes Aeronet.

Dle evropské směrnice vás na ukládání cookies do vašeho zařízení web sice upozorní, a tak je vše právně ošetřeno, nicméně to upozornění je tam kvůli vám, aby jste si předem rozmysleli, jaký to bude mít na vás dopad. My na Evropském rozhledu jsme se rozhodli jít úplně jinou cestou a všechny služby, které čtenářům nahrávaly do počítačů a jiných zařízení cookies, jsme prostě vypnuli.

Důvod, proč GA stále používají, vysvětluje Administrátor v dnes zaslaném e-mailu:

„Naše redakce používá Google Analytics ve spojení s našim anti-trollovacím modulem, který Google Analytics vyžaduje. Dalším důvodem je ranking naší stránky na vyhledávači Google. Google crawler upřednostňuje „GA-Powered“ stránky a přednostně a lépe je indexuje. A pro nás je důležité, aby v Google vyhledávači byly naše články co nejvýše a nejlépe umístěné. To je naprosto klíčový a nejdůležitější faktor.“

 
Přehled stažených cookies z Aeronetu:
 


 

GA a YouTube ovšem nejsou jediné americké služby, které používají. Veškerou ochranu webu svěřili do péče americké firmě CloudFlare.

Služba poskytuje klientům ochranu před online hrozbami díky vlastní firewallové aplikaci pro webové stránky, ochrání je před DDoS útoky, nabízí jednu z nejrychlejších DNS služeb, optimalizuje webové stránky jak pro mobilní telefony, tak počítače. V neposlední řadě nabízí optimalizaci CDN, kdy obsah stránky distribuuje po celém světě v rekordním čase, takže stránka je vždy blíž svému návštěvníkovi a načítá se mu rychleji. Hlavně ale umožňuje skrýt IP adresu hostingu, a tak službu využívají různí kyberzločinci.

Aeronet si ovšem službu CloudFlare nastavil značně nezodpovědně, a tak IP adresa skutečného hostingu je detekovatelná – 146.185.253.146. Jde o housing v Nizozemí, konkrétně v Drontenu u společnosti Swiftslots. IP adresa spadá do rozsahu otcovské petrohradské firmy Petersburg Internet Network ltd.. PTR záznam pro tuto IP adresu je server.uret.in a hostname je server1.aeronet.cz. Jedním z uživatelů je aeroot.

Kdo stále nevěří, že má Aeronet něco společného s tímto nizozemským serverem, nechť se podívá na odkaz:

 
http://146.185.253.146/~aeroot/news/index.php
 

Zajimavostí je, že uret.in je diskusní fórum věnované reverznímu inženýrství, stejně jako byl kdysi i Aeronet. Má ovšem hosting v Saudské Arábii, tedy v zemi, proti které Aeronet brojí kvůli všude přítomnému islámu.

„Cloudflare používáme kvůli jeho hlavnímu účelu, jako reverzní proxy-cache pro ukládání statického obsahu našeho webu do cloudu a zrychlení načítání stránek našeho webu na celém světě,“ píše v e-mailu Administrátor.

 
>>Jak zjistit skutečnou IP adresu hostingu webové stránky, která se skrývá za službou CloudFlare
 

mail
 

Ze síťového provozu serveru se ale zdá, že je na něm čas synchronizovaný spíš s jedním z amerických časových pásem než s Nizozemím. Když u nás bylo 14 hodin, jejich server ukazoval 8 hodin ráno. To odpovídá časovému posunu například pro Virginii. Záznam o časovém posunu ukazují FTP response zachycené síťovým nástrojem Wireshark.

 
wireshark_01

wireshark_02

wireshark_03

wireshark_05
 

Webové stránky jsou navíc zranitelné na Cross Site Scripting. Například osoby stojící za Aeronetem se za každou cenu snaží zamaskovat logovací stránku do redakčního systému WordPress. K tomu používají americký plugin better-wp-security, přestože jde o zastaralou verzi dnes vyvíjeného iThemes Security pluginu. Jimi užívaný plugin má neošetřený vstup ve Firefoxu. Když wp-login.php přepíšete do číselné podoby
 
%77%70%2D%6C%6F%67%69%6E.%70%68%70,
 
kde každé procento a dvojčíslí nahrazuje jedno písmenko, vždy vám plugin odkryje přihlašovací stránku do redakčního systému. Je opravdu zajímavé, když zjistíte, že stránky přesměrovávají na odkazy s anglickými názvy. Nedávno tak místo wp-login.php používali „entrypoint“, dnes je to „connect“.

 
http://www.aeronet.cz/news/%77%70%2D%6C%6F%67%69%6E.%70%68%70
Odkaz je použitelný pouze v prohlížeči Mozilla Firefox
 

Na Cross Site Scripting ovšem není zranitelný jenom tento plugin, ale i Visual Composer, konkrétně jeho skript js_composer, protože aktualizaci pluginů provádějí jen jednou za čas.

 
>>Visual Composer <= 4.7.3 - Multiple Unspecified Cross-Site Scripting (XSS)
 

Další podivností je zaregistrovaná doména u Domains By Proxy. To je sice společnost, která vám zajistí anonymitu ve whois výpisech, nicméně pokud budete porušovat americké zákony, jako například s autorskými právy, společnost vydá vaše registrační údaje americkým vyšetřovacím úřadům. A Aeronet takové porušování autorského zákona provádí den co den, když kopíruje bez zaplacení fotografie předních agentur Reuters, AP a AFP, jak prokazuji exif záznamy uploadovaných obrázků.

 
>>Metadata všech obrázků na portálu Aeronet.cz
>>Obrázky Aeronetu s pozitivnim výstupem steganalýzy
 

U Domains By Proxy je navíc zajímavá i skutečnost, že spadá pod registrátora domén GoDaddy. Kdo dříve sledoval alespoň trochu aktivity skupiny Anonymous, ví, že GoDaddy je hackery nenáviděná společnost, která čelila masivnímu úniku dat o svých klientech, včetně těch, kterým zajišťovala anonymitu.

Jak se ale zdá, používání amerických služeb namísto ruských Administrátorovi těžkou hlavu nedělá: „Nejsme ruský server a není (zatím) důvod používat ruské služby podobného ražení,“ uvádí Administrátor v závěru svého e-mailu.