После недавнего скандала во время обыска в компаниях "Укргазвидобування" и "Dragon Capital" из-за использования программного комплекса "Стахановец”, который якобы передает данные на сервера ФСБ, мы решили самостоятельно проверить правда ли "Стахановец” сливал данные в РФ и более 300 крупных компаний просто не замечали данной утечки.
Лабораторный стенд:
- Для исследований было развернуто 2 виртуальные машины с ОС Windows 10 в режиме сетевого моста.
- Для мониторинга и логирования трафика воспользуемся утилитой Tshark.
- Еще нам пригодится Windows 10 firewall control для логирования создаваемых исследуемым ПО подключений.
На сайте разработчика предлагают скачать пробную версию программного обеспечения, ей и воспользуемся. Полагаем, что пробные версии, как никто сливают статистику разработчику. Для получения пробной версии необходимо заполнить анкету, после чего на почту высылается ссылка для скачивания.
Для программы есть 2 варианта установки:
- продвинутая, подразумевает, что необходимо установить и настроить БД и веб интерфейс приложения самостоятельно;
- установка в один клик устанавливает все компоненты на одну машину и задает стандартные настройки для сервера.
Т.к. опытный пользователь (администратор) скорее всего следит за происходящим в компании и не допустит утечки данных, воспользуемся версией "в один клик”, возможно это внушит ПО уверенность, что за ним не следят и оно с радостью начнет отправлять данные ФСБ или хотя бы на IP не из нашей локальной сети.
Перед установкой нас предупреждаю, что данная версия программного обеспечения является бесплатной и пользователи, за которыми будет вестись наблюдение, будут знать о том, что за ними следят.
Ниже представлен список процессов, использующих сетевые подключения, которые были добавлены после установки сервера "Стахановец”. Это пригодится, чтобы проанализировать логи брандмауэра на предмет подключений к внешним IP.
Разрешим всем созданным сервисам доступ к локальной сети и сети интернет и включаем логирование всех подключений, используя Windows 10 firewall control. Также запустим tshark на запись всего трафика.
Периодически на протяжении 3х дней будем имитировать работу, создавая документы, читая почту и новости в соц. сетях. И как очень строгий начальник будем следить за своими действиями, используя различные функции "Стахановец”.
По истечении 3х дней работы проанализируем собранные данные. Для серверной машины все проще, т.к. мы легко можем отделить трафик "Стахановца” от остальных приложений по названию процессов, которые нас интересуют. В логах не оказалось запросов на какие-либо сервера вне локальной сети.
На клиентской машине, т.к. "Хост-процесс для служб” используется не только "stkhsvc”, но множеством системных служб, необходимо проверить кому принадлежат IP адреса, к которым обращался "Хост-процесс для служб Windows”. После удаления дубликатов, локальных, multicast и broadcast осталось 53 IP адреса, местоположение серверов проверено через https://www.maxmind.com/ru/geoip-demo.
Представлена только часть IP, чтобы не перегружать отчет информацией.
В таблице оказались такие названия:
-
Microsoft Corporation
-
Microsoft Corp
-
Akamai Technologies
-
First Telecommunication Center LLC
-
Level 3 Communications
-
Dataline LLC
-
Microsoft bingbot
-
Facebook Ireland Ltd
- Microsoft Limited
Но ничего связанного с ФСБ или Российской Федерацией, если судить по названию, нет.
Если сравнить полученный список, со списком используемых IP до установки "stkhsvc”, видно, что после установки новых адресов не добавилось.
Подобная описанной выше операция была проведена с трафиком, записанным tshark, дампы tshark содержат информацию о всех подключениях вне зависимости от процесса.
Для выделения всех IP из трафика можно использовать команду:
tshark -r <input file> -T fields -e ip.dst -e ip.src > output.txt
Конечно, подобный эксперимент не являются доказательством того, что "Стахановец” не отправлял данные. И больше носит повествовательный характер. Однако дает небольшой "плюс один” ко мнению, что разработчиков решили оклеветать.
Конечно, у компаний, к которым пришли доблестные сотрудники, могла быть установлена совершенно другая версия той же программы, в которой есть функционал для слежения, но поверить, что системные администраторы подобных компаний не замечали утечек, крайне сложно.
Платная версия программы наверняка может попадать под определение "ШПЗ” из-за возможности скрыто следить за действиями пользователя, однако каких-либо свидетельств, что в открытой демо версии информация идет куда-то, кроме сервера приложения, в ходе эксперимента не выявлено.
P.S. Дампы, использованные в данном эксперименте, решено не выкладывать, чтобы не раскрывать IP некоторых сервисов, у желающих не должно возникнуть проблем при желании повторить эксперимент.