Кто взрывает дома?

Развенчание мифа об анонимности в Сети

Информация в наш век становится уже не только средством для развития, понимания или контроля процессов, но и мишенью для атаки. Безотносительно к содержательной части информации в каждом конкретном случае интересен сам феномен попыток информационного варварства, который со времен пожара в Александрийской библиотеке технологически ушел уже далеко вперед, хотя, по сути своей природы, остался таким же низким и примитивным. На сегодняшнем примере попутно проиллюстрируем положение дел с "проблемой" сетевой анонимности, которая сложилась в нынешнем Интернете. И речь пойдет даже не о каких-то сверхъестественных системах типа СОРМ или гигабайтных логах, ведущихся спецслужбами на всех от момента их рождения, а об обычном обывательском уровне, с которым в Сети имеет дело каждый из нас.


Не TCP/IP моё IP

Из праздного любопытства попробуем пощупать за мягкие места анонимусов, стоящих за прицелом уже популярной в России "низкоорбитальной ионной пушки" (именно так называют своё кибероружие создатели сайта), которые за не столь богатый срок успели провести мощнейшие DDoS-атаки сайтов партии Единой России, ФСБ, сайта студии Михалкова и других видных политических, общественных и сетевых деятелей Рунета. Технически суть проекта очень проста: зайдя на сайт проекта ПутинВзрываетДома, каждый сочувствующий может воочию наблюдать большую красную кнопку, нажав которую, он становится пассивным соучастником DDoS-атаки на целевой сайт путем запуска у него в открытом браузере javascript'a, генерирующего поток ложных запросов на указанный целевой сайт-жертву. Если, как в случае с партией Единая Россия, у сайта было 300 000 уникальных посетителей, нажавших эту кнопочку, то, конечно, сайт главной российской политической партии пропал из зоны видимости довольно быстро, и, как ехидно констатирует анонимус с проекта ПутинВзрываетДома, "у них не было никаких шансов". Получается, что это своего рода социально-ориентированный DDoS-проект - каждому зашедшему дают право высказать свою гражданскую позицию, пусть и в несколько неконструктивном и противозаконном виде.

Зайдя на сайт проекта ПутинВзрываетДома, каждый сочувствующий может воочию наблюдать большую красную кнопку, нажав которую, он становится пассивным соучастником DDoS-атаки на целевой сайт.

Что же касается вызывающего вопросы названия самого проекта (так как этот вопрос звучит наиболее часто), тут сделана отсылка к известным событиям 2000 года со взрывами жилых домов (ru.wikipedia.org/wiki/Взрывы_жилых_домов_в_России). Позже трактовка названия сайта изменилась на более мягкую, вот что в поздних интервью об этом говорят сами авторы ресурса: "Дело в том, что один из наших программистов, который, кстати, работает в компании, занимающейся коммерческим сносом зданий, был внешне похож на Путина, и когда была открыта свободная регистрация доменов в зоне .рф, мы в шутку зарегистрировали домен путинвзрываетдома.рф, а после проведения пары успешных атак стали смеяться, дескать, он "взрывает дома... и сайты!"".

Здесь же мы просто мимоходом отметим интересную эволюционную особенность: за 100 лет пролетариат успешно сменил мостовые булыжники на настоящее оружие XXI века - совершенные и мобильные DDoS-машины, с помощью которых всё тот же чумазый пролетариат, время от времени вылазя из-под земли, по-прежнему пытается бузить насчет своих каких-то весьма туманных прав. Впрочем, хватит отвлечений и пояснений о сути рассматриваемого нами сегодня проекта, переходим к поиску таинственного жизнерадостного анонимуса, за ним стоящего.

За 100 лет пролетариат успешно сменил мостовые булыжники на настоящее оружие XXI века - совершенные и мобильные DDoS-машины.


Парсеры не спят

Конечно, начнем сразу с whois, вот вывод этой службы для домена putinvzrivaetdoma.org:

Registrant Name: Helga Putana
Registrant Street1: Lenina street 10, ap. 29
Registrant City: Moscow
Registrant Phone: +7.49523498745
Registrant Email: [email protected] 

Не обращаем внимание на смелую девушку-администратора с солидной татарской фамилией, а сразу вырываем из выдачи контактный e-mail "brigadioeedr@gmail.com" и вбиваем его в строку поиска Google. Как и ожидалось, информации не густо, данный адрес почты встречается у некоего пользователя на одесских форумах, но этого слишком мало, поэтому ожесточенно роем дальше. Пытаемся восстановить пароль этого e-mail в Gmail - Google любезно подсказывает, что адрес запасного e-mail начинается на u, сам домен из трех букв, домен первого уровня - net. Спорю на любое количество пива, что это почта в домене ukr.net - таком же популярном у украинцев, как в Беларуси tut.by!

Пробиваем хостинг сайта putinvzrivaetdoma.org на соседей, т.е. смотрим, какие ещё сайты хостятся на данном IP (делающих это сервисов в Интернете полным полно). Работающих доменов (сайтов) на этом сервере не много, это a.anon.fm и anon.fm. Быстро прогоняем их через whois:

Registrant Name: Pavel Zhovner
Address: 10 Lenina str. Apt. 1 Odessa 68001 UA
Phone Number: +380.986506942

Если сравнить с первоначальным адресом, то улица идентична, человек опять из Одессы (Украина), но это пока только косвенные улики...

Вбиваем теперь ФИО ("Pavel Zhovner") этого пока потенциального анонимуса во всемогущий Google, терпеливо фильтруем богатую выдачу его бурной сетевой жизни, пока... не находим на третьей странице серпа его пост на Хабрахабр, где этот анонимус прямым текстом наивно спрашивает у публики: "15 ноября 2010 года я зарегистрировал домен путинвзрываетдома.рф. 26 января 2011 года был закрыт мой хостинг с формулировкой: "площадка стала предметом следственных действий, проводимых ФСБ РФ. В целях недопущения изменения контента эта площадка была заблокирована." Мне инкриминируется статья 273 УК РФ. Можно ли как-то вернуть домен в этой ситуации, будучи не резидентом РФ?". Благо, здравый смысл у него взял вверх, и он удалил этот пост уже через час после публикации, но этого мало, - крик о помощи навсегда застрял в кэше Google, откуда мы и выковыриваем его бережно на свет божий.


Срываем сетевые маски

То, что за putinvzrivaetdoma.org стоит, как он сам про себя говорит, "не резидент РФ", было ясно ещё в самом начале нашего забега, но этот откровенный пост приносит нам вожделенные подробности, которых мы так жаждали: на профиле автора поста на Хабрахабр получаем все его детали: Павел Жовнер, Украина, Одесса. Контактный e-mail - [email protected]. Так-так-так, на его личном домене zhovner.com, кстати, есть и его одесский телефончик: +38 (098) 650-69-42. Сопоставляем телефон с выдачей whois для домена a.anon.fm, а также с последними цифрами телефона в сервисе восстановления пароля [email protected] - видим, что это один и тот же телефон и человек из Одессы. Ну, теперь понеслась... Уже целенаправленно "курим" поиск Google по конкретному человеку. В том числе находим в кэше Google давнее объявление об устройстве на работу с его кратким резюме (я думаю, это как раз подойдет ФСБ/ОАЦ для заведения его личной карточки в своем архиве учета):

Жовнер Павел Васильевич
Возраст: 22 года
Откуда: Украина, Одесская обл., Одесса
Образование: Неоконченное высшее Одесский политехнический университет (Спец. системы и сети)
Опыт работы: Обслуживание локальной сети из 30 машин, unix-шлюз, подсчет трафика, консультация пользователей (2,5 лет)
Моб. тел.: +38(098)6506942
Профессиональные навыки: Администрирование сетей TCP/IP; Обслуживание и монтаж ЛВС; Опыт администрирования UNIX-подобных ОС

Найдя его Twitter и ЖЖ, можно узнать о нем все, в том числе какие у него личные проблемы и чем вообще, так сказать, живет и дышит этот молодой и амбициозный анонимус. Но, в силу ограниченности места для этой статьи, опустим эти выдающиеся личные факты, достаточно точного адреса проживания для его полной деанонимизации, а проблемы с девушкой Олей (и многое другое, описанное в его журнале) - это уже, скорее, дополнительный штрих для составления психологического портрета соответствующим службам, которым теперь, в век неуёмного научно-технического прогресса, для этого даже не нужно отрывать зад от теплого насиженного места в кабинете с зарешеченными окнами.

Но это ещё не все: дело в том, что его параллельный проект (anon.fm), на который, как мы помним, он пожалел отдельный сервер и экономии ради разместил на putinvzrivaetdoma.org, - фактически на одной площадке с полукриминальным ресурсом, - позволяет узнать многое и о его ближайших соратниках. Судя по существующим экаунтам на putinvzrivaetdoma.org, можно утверждать, что Павел - лидер проекта ПутинВзрываетДома, тогда как за техническое администрирование и дизайн/верстку отвечают ещё два отдельных человека, кстати, тоже граждане Украины.

К сожалению, на этом увлекательном месте, когда я уже стал пробивать "сообщников" Павла, жена в императивной форме послала меня за кефиром - не мне вам рассказывать, сколько часов я пробегал, пока-таки купил его (попав при этом под проливной дождь). Поэтому, когда, наконец, вернулся домой и уселся за компьютер, познав великую мощь социально-ориентированной экономики на себе, сил и желания продолжать этот поиск уже не осталось. Впрочем, это не мешает мне удовлетворенно остановиться на достигнутом, чтобы на примере этого проекта проиллюстрировать банальный, в общем-то, факт: если вы интернетчик со стажем - на вас можно "нарыть" такое количество информации, что даже будь вы анонимусом в бегах, пользующимся прокси и одноразовыми ноутбуками, найти и жестоко покарать вас (при способствующей этому карме) не составит особого труда, поверьте мне на слово. Поэтому не стоит тешить себя напрасно мыслями об "анонимности в Сети": чем дальше развивается Сеть, обрастая сервисами и собственной коллективной историей - тем в более призрачный миф превращается эта самая анонимность.

Не стоит тешить себя напрасно мыслями об "анонимности в Сети".

Игорь САВЧУК

Версия для печатиВерсия для печати

Рубрики: 

  • 1
  • 2
  • 3
  • 4
  • 5
Всего голосов: 0
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Простите, но об этом все давно знают. Что к чему?
Аватар пользователя Jin
Уважаемый Игорь, вы б лучше раскрыли личности тех, кто атакует http://charter97.org/ и http://udf.by/ Вот это был бы материал. А так, на Лурке, про p-v-d значительно веселее написано.
Нагло стырено с хабрахабра: http://habrahabr.ru/blogs/infosecurity/116730/