I.インシデント：なぜSMSを読んだのですか？

過去の夏のイベントは、機密データが検索エンジンに直接または間接的に漏洩することに関連しており、メディアから親切に提供されたニュースをフォローするすべての人に影響を与えました。 ロシア連邦市民の検索ロボットと個人データは「システムナイフ」に分類されました。 私たちはもう少し掘り下げて、私生活がどのように「完全に見える」かを調べます。



夏場の真っmedia中に、メディアは、最大のモバイルオペレーターの1人のユーザーからのSMSテキストを含むWebページからのニュースリークについて互いに対立しました。 この事実の理由に関する多くの洗練された多かれ少なかれ適切なバージョンの中で、ついにアイデアが明らかになり、それは研究の結果によって裏付けられました。 rdot.orgフォーラムの参加者は、「 C3〜RET 」という仮名の下で、小さな研究論文を発表しました 。これにより、メディアでの新しい出版物の別の非常に良いベクトルが設定されました。



同時に、研究者は「カツレツからハエ」を分離しましたが、ディガーはますます多くの検索エンジンを作成して、個人データを処理するWebリソースの所有者と、サーバー上でこれらのデータを容赦なく統合した検索エンジンの所有者を侵害しました。 このようなリークの例として、検索エンジンのキャッシュに含まれる次の情報を挙げることができます。



1）親密な店のバイヤーの個人データ。



2）「公式使用用」のスタンプが付いた書類。



3）VKontakteソーシャルネットワークの写真を削除しました。



4）ロシア鉄道のチケットの購入者の個人データ。

表面状態

本当に事件はありましたか？ 「プロパガンダ部門」によって美しく説明されているWebリソースと検索エンジンの直接的な衝突は、実際には、他の検索エンジンの例のように、一般に公開されたGoogleハッキング技術にすぎません。







よく知られている事実は誰もが強調するようになりました：検索ロボットの文書化された機能は、ルートWebリソースの特別な「robots.txt」ファイルに含まれていないページや、偶然Yandexによって提案された特別なHTMLタグ「noindex」を持つページのインデックス作成を禁止しています。 ただし、Yandexの人物の「スケープゴート」だけがインデックス化の文書化された手段のみを使用した場合、おそらく誇大広告はすぐに停止し、この資料は公開されません...

真実を求めて

主に検索エンジンキャッシュでのSMSのリークに関連する研究者の主要な調査結果とインシデントの原因の予備バージョンは、ほぼ次のように定式化されます：ショートメッセージ送信ゲートウェイのクライアント側で、検索エンジン開発会社からブラウザーにインストールされた拡張機能が、この側へのすべてのユーザーデータの転送を引き起こしました検索エンジン。 モバイルオペレーターがゲートウェイへのアクセスを一時的に閉じた後にGoogleのキャッシュから親切に提供されたSMSゲートウェイWebページのソースコードを簡単に見て、メッセージの送信元の指定ページにJavaScriptコードが含まれていることを確認しました。 Yandex.Metricaサービスの一部。これはWebマスター向けのツールであり、Webページの訪問者に関する統計を生成するように設計されています。 したがって、 Yandex検索エンジンのキャッシュに機密情報が漏洩する可能性のある別のチャネルに直面しています。



ユーザー同意書を知っていると、最終的に次のパラグラフで反逆罪になります。



「8。 ...訪問のセッションを記録する機能は完全に自動的に動作し、ページに投稿され、第三者（訪問者）がユーザーのサイトのページのフィールドに入力した情報の内容と意味を分析する方法を知りません。コンテンツに関係なく完全に記録します。 ...」



つまり、ユーザーはYandex.Metricaスクリプトがすべてを無差別に記録することを理解しています。 私たちのタスクは、具体的に何を決定することです。



この仮説をテストするために、検索結果での後続の識別のために、上記のJavaScriptと一意のテキストを含む3つのページが作成されました。 フォームdefetech.ru/ p4ste3stOfYaの最初のページは、 Yandex検索ロボット用に開かれていました。 もう1つ-faultech.ru/4tom1cprOfitがrobots.txtファイルに入力されます。 この機能が検索ボットで利用可能な場合、ページアドレスはリンクを選択する可能性を除外します（これにより、問題のインシデントでいわゆるインテリジェントスキャンが行われたかどうかを推測できます）。 表示された公開ページ（ defechech.ru/p4ste3stOfYa ）についてボットに迅速に通知するために、ボットへのリンクがルートページ（ fectech.ru ）に配置されました。



二日後。 結果を慰めます：JSコードの配置は、検索ボットに対して閉じられたページのインデックス作成に影響しませんでした。 さらに、公開ページのインデックス作成も行われていません。これは、World Wide Webの境界にテストページが存在する非常に短い時間についてのみ言え、検索ロボットが一意のデータに到達できないことを意味します。 それでも、Web開発者向けの分析システムのコードはページのインデックス作成を引き起こしませんでした。つまり、少なくともこの段階では、検索システムへのデータ漏洩のチャネルにはなりません。 Yandexの代表者の声明によると、リークを特定した後、 Yandex.Metricaは適切な修正を行いました（ http://bit.ly/qFtSs5-検索システムの代表者によるコメント）。 詳細は指定されていません。 先に進みます。



多くのYandex検索エンジンは複数のYandexで満たされているため、Googleの同様のJSコードのアクションを表面的に調査するという決定が下されました。 スニファーログの簡単な検査により、このスクリプトのアクティビティの結果が示されました。これは、ユーザーアクションに関する統計情報をGoogleアナリティクスサービスに転送することで構成されています 。 この情報の中には、コードが配置されているページのアドレスがあります。つまり、Googleは少なくともこのページの存在を「知っている」ことを意味します（コードは、リソースのWeb管理パネルにGoogleによって表示される統計を生成するために使用されますが、より多くのデータが残っています）。

ガス放電効果

検索エンジン開発者がブラウザの拡張機能の形で提供する追加ソフトウェアの動作を分析した結果、これらの拡張機能のサードパーティのアクティビティが明らかになり、サードパーティへの情報漏洩につながる可能性がありました。 ガス減衰効果との類似性を引き出すと、機密データ漏洩チャネルを初期化する効果の大きさを視覚的に視覚化できます。 正確な科学のジャングルに入ることなく、この崩壊のプロセスを示す写真を見てみましょう。外力の影響下で、素粒子のグループは他の素粒子のグループと衝突します。 それらは同様に衝突を起こし、結果として雪崩効果が見られます。 私たちの場合、機密情報またはその一部は素粒子として機能し、漏洩チャネルを介してネットワークのさまざまな部分に到達し、その結果、その普及のために公開されます。 したがって、検索エンジンにアクセスした結果として匿名化された個人データは、所有者を一意に識別できます。







Yandex.BarとGoogle.Toolbarの例を使用して、検索エンジン開発者のユーザーブラウザー用に上記の拡張機能を開くデータリークチャネルを詳しく見てみましょう。



Googleツールバーのアクティビティを調べると、スニファーログで、ユーザーの現在のページのアドレスがGoogleのサービスの1つに送信される行に気付くことができます。 さらに、ブラウザでアクションを実行しない場合、プラグインのバックグラウンドアクティビティに気付くことができます。一定の頻度で、Googleのサービスの1つが「セーフブラウジング」という示唆的な名前で呼び出されます。 呼び出しの頻度は、プラグインが大量のデータを送信するためです。





Googleツールバーのバックグラウンドアクティビティ。





Yandex.Barは、HTTPS接続を介したデータの転送にもかかわらず、HTTPを介して同時にデータを送信します。



Yandexの同様の製品に注目します。 調査の結果を「より熱く」するために、戦闘環境でのプラグインの動作を検討します。ロシアの大手銀行の1つに設置された人気のあるインターネットバンキングシステム「HandyBank」で支払い操作を行います。



ジャンルの古典：プラグインはページアドレスを検索エンジンサービスに転送します。 支払い取引の詳細を入力し、「次へ」をクリックします。 インターネットバンキングシステムのスクリプトは、GET要求で入力されたすべての情報を転送し、これにより、Yandexサービスへの機密情報の転送が引き起こされます。 傾斜...さらに、システムのベンダーから。







クイック検索に加えて、 Yandex.Barは、ユーザーが現在のページに入力したデータをスペルチェックする機能を提供します。 このオプションと表示内容を有効にします：プラグインは、特別に構成されたXMLファイルで支払い取引の詳細に関するすべての情報をYandexスペルチェックに転送します（このファイルの構造は、対応するスクリーンショットで明確に表示されます）。 このすべてのYa.Barは、安全でないHTTPプロトコルを介したHTTPS接続をバイパスしてサーバーに転送されます。

アナリストの目を通して

検索エンジンは、タコが触手でWebスペース内の最も遠隔の情報リポジトリに到達しようとしていることを連想させます。 これらの触手は、検索ボットに限定されるものではなく、さまざまなプラグイン、Web開発者ツール、およびその他の有用なサービスに過ぎません。一方では、エンドユーザーの生活を簡素化するために検索エンジン自体から親切に提供され、他方では、インデックス作成手順の簡素化を目的としています「インターネット全体。」



検索エンジンの活動を監視するための出発点として役立ったこのニュースへの特別な注意は、ロシアのIS産業を揺るがしたFZ-152を中心に展開した出来事によって間接的に引き起こされる可能性が非常に高い。 公開されたSMS通信と隅に置かれたMegafonは、個人データのセキュリティが低いと思われることの鮮明なデモンストレーションであり、更新された定義によれば、人間のような生き物によって作成されたほとんどすべての情報が含まれています。 しかし、それは別の話です。