Где находятся сервера вайбера
Мессенджер Viber разместил в России серверы с персональными данными граждан в соответствии с новым законом, который вступил в силу в сентябре. Об этом «Известиям» рассказала московский представитель компании Viber Media Елена Грачева.
Как отмечает издание, в текущем году Роскомнадзор не будет проверять Facebook, Twitter, Google, Samsung и другие интернет-сервисы на предмет соблюдения этого закона. Проверки начнутся в 2016 году.
19 октября 2015 в 14:55 Ответ для рукиЖимолостиЮристы Viber Media уверены, что мессенджеры попадают под закон, обязывающий хранить персональные данные россиян в России. Согласно обновленной версии закона «О персональных данных», которая вступила в силу 1 сентября 2015 г., интернет-компании должны хранить на территории России данные граждан нашей страны. В 2015 году Роскомнадзор, по словам представителей этого ведомства, не будет проверять Facebook, Twitter, Google, Samsung и другие интернет-сервисы на предмет соблюдения этого закона. Проверки начнутся в 2016 году.
Известно, что свои сервера в России переносят eBay, PayPal, AliExpress. В прессе также была информация, что сервера в Россию переносит Google, однако, по некоторым данным, эта информация не соответствует действительности. Google действительно разместил в России сервер, но для одного из локальных проектов.
По утверждению источников на рынке, в Google рассматривают возможность отказаться от российского рынка. — Google пока будет наблюдать, как исполняется упомянутый выше закон, а уже потом принимать решение, — отмечает источник. При этом компания начала перемещать из России свои офисы разработки. Процесс начался еще с конца 2014 года. Первым был расформирован московский офис разработки. В августе 2015 года — питерский. В компании Google от комментариев по этому поводу воздержались.
По мнению интернет-омбудсмена Дмитрия Мариничева, мессенджеры скорее всего подчинятся закону «О персональных данных». По его словам, в случае нарушений закона владельцы мессенджеров будут оштрафованы, если после этого все останется по-прежнему, сервисы-нарушитали полагается заблокировать. — Думаю, что в текущей ситуации нужно только соблюдать закон, — добавил Мариничев.
Администрация второго по популярности в нашей стране мессенджера Viber разместила в России свои сервера с персональными данными граждан РФ. Об этом «Известиям» рассказала московский представитель компании Viber Media Елена Грачева.
Юристы Viber Media уверены, что мессенджеры попадают под закон, обязывающий хранить персональные данные россиян в России.
Согласно обновленной версии закона «О персональных данных», которая вступила в силу 1 сентября 2015 г., интернет-компании должны хранить на территории России данные граждан нашей страны.
В 2015 году Роскомнадзор, по словам представителей этого ведомства, не будет проверять Facebook, Twitter, Google, Samsung и другие интернет-сервисы на предмет соблюдения этого закона. Проверки начнутся в 2016 году.
Известно, что свои серверы в России переносят eBay, PayPal, AliExpress. В прессе также была информация, что серверы в Россию переносит Google, однако, по информации источников «Известий», эта информация не соответствует действительности. Google действительно разместил в России сервер, но для одного из локальных проектов.
По утверждению источников на рынке, в Google рассматривают возможность отказаться от российского рынка.
— Google пока будет наблюдать, как исполняется упомянутый выше закон, а уже потом принимать решение, — отмечает источник.
При этом компания начала перемещать из России свои офисы разработки. Процесс начался еще с конца 2014 года. Первым был расформирован московский офис разработки. В августе 2015 года — питерский. В компании Google сообщили «Известиям», что «это обычная практика укрупнения инженерных офисов, которую мы проводили во многих странах».
— В целом [для FireChat] серверы — это телефоны [пользователей сервиса], — рассказал Меркуров.
По мнению интернет-омбудсмена Дмитрия Мариничева, мессенджеры, скорее всего, подчинятся закону «О персональных данных». По его словам, в случае нарушений закона владельцы мессенджеров будут оштрафованы, если после этого все останется по-прежнему, сервисы-нарушитали полагается заблокировать.
— Думаю, что в текущей ситуации нужно только соблюдать закон, — добавил Мариничев.
По мнению директора Российской ассоциации электронных коммуникаций Сергея Плуготаренко, принятое администрацией Viber решение является следствием их активного развития на российском рынке и тех перспектив, которые мессенджер связывает с Россией.
— Насколько я могу судить, бóльшая часть мессенджеров, предполагающих регистрацию пользовательских аккаунтов, связь их с электронной почтой или мобильным номером, фотографией и геопозицией пользователя, и особенно — с его платежными реквизитами, должны предпринять усилия для локализации баз с персональными данными российских пользователей на территории России, — говорит Плуготаренко. — Однако, как мы все помним из требований закона и разъяснений Минкомсвязи и Роскомнадзори, не запрещается ни трансграничная передача персональных данных — при условии их первичного сбора, обработки и хранения на территории России, — ни работа распределенных облачных систем и сервисов.
С кaждым днем все больше владельцев смартфонов отдают приоритет мобильным мессенджерам, популярный представитель которых — Viber, позволяющий удобно объединить переписку на разных устройствах. Неудивительно, что исследованию их безопасности в последнее время уделяется пристальное внимание. Думаешь, Viber полностью надежен и нeспособен тебя подвести? Ну что ж, давай посмотрим, насколько это соответствует истине.
Исследование уязвимостей Viber
Не так давно стало известно об уязвимости в iMessage. Как обнаружил независимый исследователь Росс Маккиллоп (Ross McKillop), предварительный просмотр URL раскрывает данные об IP-адресе пользователя, версии ОС и другие данные об устройстве. Причина заключалась в том, что при построении превьюшки запросы отправлялись непосредственно с устройства. Таким образом, когда iMessage запpашивал данные о каком-либо сайте, то раскрывал адрес пользователя и сведения о его устройстве.
Более корректная архитектура мессенджера предполагает предварительное кеширование контента на своих серверах и дальнейшую загрузку уже оттуда, как это реализовано, например, в Facebook, Twitter и Skype. Давай разберемся, как строится preview по URL в Viber и какие последствия может иметь маленький недочет в проектировании ПО.
На этот раз Viber успешно перенаправил обоих участников переписки — это говорит о том, что Viber выполняет верификацию картинки с помощью начального HEAD-запроса.
А теперь давай проведем эксперимент с cookie. Разместим на сервере простой скрипт для генерации картинки со значением из cookie, увеличивая его на единицу при каждом запросе:
В .htaccess дoбавим записи:
Эксперимент с cookie
[ad name=»Umi 600×217″]
Особенности Windows-клиента Viber
А теперь заглянем в директорию Viber, обычно это C:\Users\username\AppData\Local\Viber . Наличие файла Qt5WebEngine.dll , как и UserAgent Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_4) AppleWebKit/537.36 (KHTML, like Gecko) QtWebEngine/5.6.0 Chrome/45.0.2454.101 Safari/537.36 , который мы наблюдали при создании миниатюр, подсказывает, что используется Qt-модуль QtWebEngine . Надо сказать, что в большинстве Windows-версий популярных браузеров реализован механизм аутентификации с помощью NTLM, имеющий по умолчанию ограниченный список ресурсов, вход на которые выполняется автоматически.
NTLM-аутентификация
В Firefox разрешенные ресурсы задаются полем network.automatic-ntlm-auth.trusted-uris в редакторе настроек about:config . По умолчанию данный список пуст.
В Chrome и IE политика безопаснoсти в отношении NTLM-аутентификации строится на основе настроек IE ( Tools > Internet Options > Security > Internet > User Authentication > Logon ). По умолчанию там задан парамeтр Automatic logon only in Intranet zone , разрешающий автологин только внутри интрасети.
Компонент QtWebEngine в Qt Designer
Запросы NTLM-аутентификации в WireShark
Эксплуатация
Рассмотрим возможные сценарии атаки, используя то, что мы знаем о Viber.
IP disclosure
Redirect to LAN
Предположим, нам известно, что интернет-провайдер атакуемого клиента Viber использует роутеры на GPON Home Gateway со стандартными паролями, но без выведения управления в WAN. Для перенастройки роутера необходимо выполнить вход, затем сохранить конфигурацию WAN-интерфейса. Нам уже известно, что Viber хранит cookie, благодаря чему после первого запроса аутентификации остальные выполнятся уже с идентификатором сессии. Отправим два редиректа.
и сохранение WAN-настроек:
В результате имеем открытый TR-069 на WAN-интерфейсе клиентского роутера. PHP-скрипт для реализации редиректа выглядит следующим образом:
LAN scan
Просканируем предполaгаемую локальную сеть атакуемого пользователя. Для этого нам понадобится DNS-сервер с конфигурацией зоны для network.host, содержащей следующие записи:
NTLM hashjacking
Далее происходит обмен пакетами NTLMSSP_NEGOTIATE , NTLMSSP_CHALLENGE и NTLMSSP_AUTH , а в выводе Responder’а мы получаем данные пользователя, включая NTLMv2-хеш:
Даже если пароль надежeн, hashjacking в Viber может использоваться для Relay-атак на многочисленные сервисы с NTLM-аутентификацией.
Вместо заключения
Вот такие вот дела. Как видишь, этот мессенджер тоже уязвим и позволяет проводить довольно серьезные атаки.
Мессенджер Viber, разработка которого находится в Беларуси, разместил в России серверы с персональными данными граждан в соответствии с новым законом, который вступил в силу в сентябре. Об этом «Известиям» рассказала московский представитель компании Viber Media Елена Грачева.
Юристы Viber Media уверены, что мессенджеры попадают под закон, обязывающий хранить персональные данные россиян в России.
Согласно обновленной версии закона «О персональных данных», которая вступила в силу 1 сентября 2015 года, интернет-компании должны хранить на территории России данные граждан страны.
По мнению директора Российской ассоциации электронных коммуникаций Сергея Плуготаренко, принятое администрацией Viber решение является следствием их активного развития на российском рынке и тех перспектив, которые мессенджер связывает с Россией: «Насколько я могу судить, бóльшая часть мессенджеров, предполагающих регистрацию пользовательских аккаунтов, связь их с электронной почтой или мобильным номером, фотографией и геопозицией пользователя, и особенно — с его платежными реквизитами, должны предпринять усилия для локализации баз с персональными данными российских пользователей на территории России».
В 2015 году Роскомнадзор, по словам представителей этого ведомства, не будет проверять Facebook, Twitter, Google, Samsung и другие интернет-сервисы на предмет соблюдения этого закона. Проверки начнутся в 2016 году.
По мнению интернет-омбудсмена Дмитрия Мариничева, мессенджеры скорее всего подчинятся закону «О персональных данных». По его словам, в случае нарушений закона владельцы мессенджеров будут оштрафованы, если после этого всё останется по-прежнему, сервисы-нарушители полагается заблокировать.
Согласно новым требованиям закона, будет создан «Реестр нарушителей прав субъектов персональных данных», куда будут включаться интернет-ресурсы, нарушающие требование хранить информацию о персональных данных россиян на серверах, расположенных на территории РФ. Те, кто попадет в реестр, могут быть заблокированы по решению Роскомнадзора. Ранее ведомство говорило, что может заблокировать вообще любой сайт (например, Facebook) или сервис. Законодательный инструментарий для этого есть.
Однако, по данным источников «Известий», информация о Google не соответствует действительности. Компания действительно разместила в России сервер, но для одного из локальных проектов. «Google пока будет наблюдать, как исполняется упомянутый выше закон, а уже потом принимать решение», — отмечает источник.
При этом компания начала перемещать из России свои офисы разработки. Процесс начался ещё с конца 2014 года. Первым был расформирован московский офис разработки. В августе 2015 года - питерский. В компании Google от комментариев по этому поводу воздержались.
Читайте также: