А чё Саурон победил?

Киберполиция продолжает массовую незаконную слежку за пользователями в Украине, действия полиции не только незаконны, но и несут угрозу национальной безопасности, собранная информация сливается на Россию

Два года назад, в январе 2020, в издание “Полтавщина” пришло письмо из департамента Киберполиции с просьбой установить на сайте скрипт для слежки за пользователями https://cutt.ly/DOiN0mE У каждого пользовательского устройства есть небольшие отличия - разные версии браузеров, разное разрешение экрана, шрифты - все эти мелкие детали позволяют создать своеобразный “отпечаток”. Есть библиотеки, такие как FingerprintJS, которые позволяют собирать “отпечатки. Если человек оставил анонимный комментарий через VPN о том, что полиция вместо того чтобы ловить мошенников, проводит “контрольные закупки” на OnlyFans, а затем тот же человек заходит без VPN на сайт интернет-магазина, то база отпечатков позволяет деанонимизировать пользователя с большей или меньшей степенью уверенности. Подобная слежка без ордера без сомнения незаконна. Когда полицию буквально схватили за руку, они заяили, что таким способом проверяют “уровень доверия общества” к полиции https://cutt.ly/8OiN5Eb С моей точки зрения скандал, связанный с незаконной слежкой в Интернете опустил уровень доверия в область отрицательных величин.

Из этой истории Киберполиция извлекла определенный урок - не попадаться. В декабре 2021 года на сайте платежной системы iPay.ua появился еще один скрипт https://archive.is/liSCV в домене cdnjs.cloubflare[.]com. С первого взгляда даже не очень заметна небольшая опечатка clouBflare вместо clouDflare. Сам скрипт выглядит полной бредятиной, но есть очень простой способ выяснить, что он делает. Открываем “панель разработчика” и просим вывести все переменные из текущего окна: for (var b in window) if (window.hasOwnProperty(b)) console.log(b + " = " + window[b]); userAgent (название и версия браузера), language, deviceMemory, итд - скрипт собирает всю информацию, шифрует ее с помощью библиотеки JSEncrypt и отправляет на сервер. Перед нами очередной трекер. Есть даже ссылка на исходный код "'new Fingerprint()' is deprecated, see https://github.com/Valve/fingerprintjs2#upgrade-guide-from-182-to-200") Более того, охотники на камхор забыли в коде ключ шифрования: ----- BEGIN RSA PRIVATE KEY ----- MIIEowIBAAKC… Даже самые примитивные формы жизни вроде авторов программ-вымогателей знают, что так делать нельзя.

Теперь постараемся выяснить куда еще мамкины пинкертоны распихали свои закладки? Нам поможет SEO-сервис для отслеживания ссылок https://webtechsurvey.com/website/cdnjs.cloubflare.com/backlinks/websites Список скорее всего не полный, но даже в нем около сорока сайтов: Запорожский Национальный Университет, Харьковский университет строительства и архитектуры, Винницкий национальный технический и целый ряд интернет-магазинов.Теперь самое интересное, куда уходят данные? Может показаться, что IP 78.108.181[.]141 расположен в Чехии, а счет провайдера обслуживает банк на Кипре и регистрация на Сейшелах, но это иллюзия, потому что домен славного хостера yeshost[.]RU. Там же хостился сайт Кинокрад. И у меня к киберполиции остался только один вопрос: Are you ohueli tam sovsem? Я хочу знать кому именно пришла в бестолковку идея устроить массовую слежку без ордера и слить всю информацию вместе с ключами на сервер российской компании? (Не говоря уже о том, что эта инфраструктура может быть использована для кражи карточек из iPay и supply-chain атаки на сайты, установившие скрипт)

Вже через пару годин Ви будете мати можливість прослухати дуже корисну лекцію.

На видео последствия вчерашней термобарической бомбардировки (РСЗО ТОС-1А советского производства) Королевской саудовской армией боевиков-хуситов.