The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"история непонятного трафика akamai technologies"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (Обнаружение и предотвращение атак / Другая система)
Изначальное сообщение [ Отслеживать ]

"история непонятного трафика akamai technologies"  +/
Сообщение от deepscan48 (ok) on 19-Окт-16, 23:34 
Уважаемые форумчане!
Данный пост был создан что-бы поделиться с сообществом информацией, которую возможно кто-то из вас сочтет интересной или полезной, а так-же спросить совета у более компетентных участников. Попробую не сильно разводить воду, просто хотелось услышать если кто-либо сталкивался с чем-то подобным, или возможно какие нибудь ваши советы и мысли. Так-же заранее прошу не пинать слишком сильно так как в сфере ит безопасности я чуть менее чем полный нуб. Тем не менее на мой взгляд этой теме самое место в данном разделе, пускай даже если в качестве интересной истории.

Итак, начну по порядку. Началось все с того что после цепи определенных событий была поставлена цель настроить свою систему с обеспечением хотя-бы минимально разумного уровня безопасности. Все до чего мои руки пока успели добраться, это проверка роутера и установка антивируса с файрволлом. Но даже на данном этапе, сказать что полученные результаты меня удивили было-бы не сказать ничего.

Оказывается существует некая компания по имени Akamai Technologies, являющаяся посредником трафика между крупнейшими мировыми сервисами в интернете и конечными пользователями. Установленный файрволл Windows firewall control показывает что на ip адреса принадлежащие данной конторе (23.78.113.15 - 95.100.8.218 - 95.100.8.218) регулярно и очень настойчиво стучится процесс explorer.exe который по идее этого делать не должен. Поправьте если я ошибаюсь. Механизм происходящего до конца мне не ясен, но с самого начала было очевидно что происходит что-то не очень понятное, т.к. уведомления о попытках соединения приходят во время определенных действий (выхода системы из сна, открытия и работы с папками, документами, браузером итд).

Поверхностное гугление выявило дальнейшие результаты. Оказывается сервисы Akamai Technologies, и так стоящей чуть ли не на самом верху "пищевой цепочки" роутинга в интернете, глубоко интегрированы с такими популярными приложениями как acrobat reader и flash. То есть по факту выясняется что при установке по меньшей мере двух из самых часто используемых приложений adobe на персональный компьютер, (в каких то случаях?) ваши личные данные начинают пересылаться компании Akamai. Было бы интересно узнать что это за информация и каким образом это отображено в их пользовательском соглашении.

Если быть совсем кратким, то похоже что после установки acrobat reader с их официального сайта, виндовсом создается некий непонятный пользователь с именем из трех ромбовидных симболов, внутри папки которого и содержится исключительно информация adobe acrobat, каким то образом связанная с попытками соединиться с приведенными айпи адресами. Возможно есть и входящий трафик с них тоже, но проверить это я еще не успел. Но как бы все это ни странно звучало, как минимум в этих фактах я уверен практически на все сто, поскольку систему как раз устанавливал недавно с нуля и до установки компонентов adobe данного пользователя не присутствовало (хотя точно помню что видел точно такого же юзера когда копался в папках одной из прошлых сборок системы).  

Что мы имеем в остатке:
-Некая компания очень высокого ранга обрабатывает трафик между крупнейшими сервисами в интернете и конечными пользователями
-Компания тесно интегрирована с очень популярным по которое устанавливается пользователями на свои пк
-Установка компонентов по и обмен информацией происходит без явного уведомления пользователя в неком полу-теневом режиме по умолчанию
-Информация присутствующая в интернете по данному вопросу на первый взгляд очень разрозненна узко специализированна и скудна

В связи с чем и хотел спросить у вас всех - нормально ли это? Софт какой-то непонятной компании лезет ко мне на компьютер и начинает слать трафик куда-то, не ставя при этом в известность меня. На англоязычных форумах пишут что основатели Akamai из Израиля и США каким-то образом связаны со спец. службами, производя сбор пользовательской информации. Прилагаю пару скриншотов для наглядного подтверждения всего вышеописанного. Сталкивался ли кто-нибудь с этим вопросом? Как можно глубже проверить всю информацию и процессы в системе что-бы понять что именно происходит? Возможно ли в данном случае использование глубоко интегрированных технологий легитимной компании в своих целях например некими третьими лицами?

Всем буду очень признателен за любые ответы и комментарии.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "история непонятного трафика akamai technologies"  +/
Сообщение от deepscan48 (ok) on 19-Окт-16, 23:45 
Ссылки на скриншоты:

http://prnt.sc/cweziy
http://prnt.sc/cwf0g6
http://prnt.sc/cwf19s
http://prnt.sc/cwf0uu


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "история непонятного трафика akamai technologies"  +/
Сообщение от Denis (??) on 20-Окт-16, 01:39 
> Было бы интересно узнать что это за информация

google://tcpdump OR wireshark

> Если быть совсем кратким, то похоже что после установки acrobat reader с
> их официального сайта, виндовсом создается некий непонятный пользователь с именем из
> трех ромбовидных симболов, внутри папки которого и содержится исключительно информация
> adobe acrobat, каким то образом связанная с попытками соединиться с приведенными
> айпи адресами. Возможно есть и входящий трафик с них тоже, но
> проверить это я еще не успел.

Во-первых, опять-же network analyzer, во-вторых, первой же ссылкой по "akamai on my computer" выходит https://www.akamai.com/uk/en/solutions/products/media-delive...

Итог: это нормально, если вы не следите за тем что и где у вас устанавливается.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "история непонятного трафика akamai technologies"  +/
Сообщение от deepscan48 (ok) on 20-Окт-16, 09:11 
> google://tcpdump OR wireshark

спасибо, попробую дампы трафика тогда записать.

> Итог: это нормально, если вы не следите за тем что и где
> у вас устанавливается.

все дело как раз таки в том что никаких подобных программ совершенно точно не устанавливалось, и разрешение на установку в рамке других программ не давалось, ибо это и было одним из объектов пристального внимания после переустановки системы. описание софта по ссылке мягко скажем немного не соответствует тому что в действительности происходит. я бы понял еще если все было как описано там, но у меня нет никакой консоли управления, в программах софт их не светится, а лишь присутствует какой-то глубоко интегрированный процесс которые нужно еще поискать, что выглядит крайне странно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "история непонятного трафика akamai technologies"  +2 +/
Сообщение от олхнтп on 20-Окт-16, 02:08 
с разморозкой

akamai - весьма внушительная по размерам CDN и много ещё чего

как с твоей паранойей психиатр тебе разрешает сидеть на 10ке ?

google: windows 10 spying

ставь любую нормальную (не мелкомягкую) ось и не парь моск уже давно всем (кроме тебя) известными фактами

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "история непонятного трафика akamai technologies"  +/
Сообщение от deepscan48 (ok) on 20-Окт-16, 09:26 
> с разморозкой

не знаю что и сказать, спасибо наверное. шоковая терапия тоже говорят инструмент.

> ставь любую нормальную (не мелкомягкую) ось и не парь моск уже давно
> всем (кроме тебя) известными фактами

психиатр не возражает, я сижу на восьмерке) читал про кортану немного и всю остальную политику их, неприятно конечно, но такой осадок не вызывает как счас. мягкие хотя-бы пытаются предоставить иллюзию выбора когда выбираешь степень приватности. тут же меня удивляет просто цинизм, на тебе прогу в систему и все тут

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "история непонятного трафика akamai technologies"  +/
Сообщение от Led (ok) on 21-Окт-16, 00:35 
вендузятник должен страдать.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "история непонятного трафика akamai technologies"  +/
Сообщение от deepscan48 (ok) on 23-Окт-16, 06:32 
угу. а для линуксов с маками эксплойтов не пишут. конечно конечно
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "история непонятного трафика akamai technologies"  +/
Сообщение от Аноним (??) on 24-Окт-16, 00:11 
> угу. а для линуксов с маками эксплойтов не пишут. конечно конечно

Эксплоиты-то пишут, только какое они имеют отношение к теме разговора? Может, вы имели в виду что-то другое?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

7. "история непонятного трафика akamai technologies"  +/
Сообщение от Square1 on 22-Окт-16, 09:10 
Дочитал до
>существует некая компания по имени Akamai

и дальше просто читать не стал.

Уважаемый...Akamai - крупнейшая CDN сеть.
Идите читать что такое CDN.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "история непонятного трафика akamai technologies"  +/
Сообщение от Павел Самсонов email on 22-Окт-16, 14:23 
Да перестаньте, это детские иллюзии. Всем нам хотелось в детстве один сайт - один коннект. Но на самом ты открываешь одну страничку, а твой комп просто веером создаёт десятка два три сетевых соединений. Тот же firefox постоянно коннектится на сеть amazonaws.com. Какая разница akamai или amazon... Google имеет сотни серверов и постоянно в DNS выдает разные IP. Обучать персональный файервол в современном интернете очень затруднительно. Один какой нибудь дурацкий баннер заставит браузер коннектится на apport или rambler и задолбаешься на вопросы отвечать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "история непонятного трафика akamai technologies"  +/
Сообщение от deepscan48 (ok) on 23-Окт-16, 07:02 
благодарю за ответ, но действительно не секрет что в интернете много чего происходит. интерес в данном случае вызвало именно то что сугубо внутренние процессы самой операционной системы вдруг пытаются соединиться с данной cdn сетью. это, согласитесь уже гораздо более непонятно, особенно в связи с пунктом третьим:

"Возможно ли в данном случае использование глубоко интегрированных технологий легитимной компании в своих целях например некими третьими лицами?"

например после дальнейшего поиска выясняется что непосредственно в bios (!) миллионов устройств по всему миру непосредственно на заводе прописывается по computrace (lojack) для отслеживания в случае кражи. причем в северной америке это по, за которое по идее нужно платить, активировано сразу по умолчанию без какого-либо уведомления пользователей. прикол заключается в том, что по словам тех кто исследовал этот вопрос техническая реализация данного софта не составляет труда третьим лица использовать его в своих целях. такой вот вам киндер сюрприз. лично мне повезло отыскать свой компьютер в их списке устройств. кто-нибудь теперь посоветует как вручную биос собрать и отладить?)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "история непонятного трафика akamai technologies"  +/
Сообщение от Square1 on 23-Окт-16, 08:43 
> процессы самой операционной системы вдруг пытаются соединиться с данной cdn сетью.
> это, согласитесь уже гораздо более непонятно,

Идите читать что такое CDN.

Нет там никаких вопросов, есть ваше невежество и фантазии.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "история непонятного трафика akamai technologies"  +/
Сообщение от deepscan48 (ok) on 23-Окт-16, 08:51 
ну зачем же так грубо. то чем вы считаете невежеством и фантазией всего-лишь мое желание разобраться в вопросе. которое кстати уже дало весьма интересные результаты. советую например ознакомиться с материалом по ссылке.

https://forum.reverse4you.org/showthread.php?t=1655


Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "история непонятного трафика akamai technologies"  +/
Сообщение от Square1 on 23-Окт-16, 09:29 
> ну зачем же так грубо. то чем вы считаете невежеством и фантазией
> всего-лишь мое желание разобраться в вопросе. которое кстати уже дало весьма
> интересные результаты. советую например ознакомиться с материалом по ссылке.

В компьютерную технику могут быть встроены модули обращающиеся в процессе своей работы к сайту производителя. В каждом конкретном случае установить их наличие можно только по факту их работы.

Эти модули есть в ОС, в аппаратной части, и вот ждем что скоро появятся прямо в процессорах..

В чем вы собрались разбираться?

> https://forum.reverse4you.org/showthread.php?t=1655

Какое отношение имеет эта статья к тому что у вас после установки акробата
" виндовсом создается некий непонятный пользователь с именем из трех ромбовидных симболов"

у мя вот не создается.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "история непонятного трафика akamai technologies"  +/
Сообщение от Павел Самсонов email on 24-Окт-16, 10:30 
>[оверквотинг удален]
> компании в своих целях например некими третьими лицами?"
> например после дальнейшего поиска выясняется что непосредственно в bios (!) миллионов устройств
> по всему миру непосредственно на заводе прописывается по computrace (lojack) для
> отслеживания в случае кражи. причем в северной америке это по, за
> которое по идее нужно платить, активировано сразу по умолчанию без какого-либо
> уведомления пользователей. прикол заключается в том, что по словам тех кто
> исследовал этот вопрос техническая реализация данного софта не составляет труда третьим
> лица использовать его в своих целях. такой вот вам киндер сюрприз.
> лично мне повезло отыскать свой компьютер в их списке устройств. кто-нибудь
> теперь посоветует как вручную биос собрать и отладить?)

Ну это делают не так. Отучить болтливый софт от исходящей активности очень затруднительно. Вы не добьетесь молчаливого компа отладив весь софт начиная от биос. Тупо делают по старой схеме - непосредственный выход в интернет на предприятии запрещают и пускают через прокси, оставляют напрямую только непроксируемые сервисы, а их не очень много как правило. Там вы увидите всю статистику например squid+sarg и не нужное запретите.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "история непонятного трафика akamai technologies"  +/
Сообщение от Павел Самсонов email on 24-Окт-16, 10:34 
>[оверквотинг удален]
>> исследовал этот вопрос техническая реализация данного софта не составляет труда третьим
>> лица использовать его в своих целях. такой вот вам киндер сюрприз.
>> лично мне повезло отыскать свой компьютер в их списке устройств. кто-нибудь
>> теперь посоветует как вручную биос собрать и отладить?)
> Ну это делают не так. Отучить болтливый софт от исходящей активности очень
> затруднительно. Вы не добьетесь молчаливого компа отладив весь софт начиная от
> биос. Тупо делают по старой схеме - непосредственный выход в интернет
> на предприятии запрещают и пускают через прокси, оставляют напрямую только непроксируемые
> сервисы, а их не очень много как правило. Там вы увидите
> всю статистику например squid+sarg и не нужное запретите.

PS Бытовая схема NAT и компы за ним - это труба в которую вылетает никто толком не знает что.


Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру