Пользователь
30,2
рейтинг
4 марта 2014 в 15:42

Разработка → Перехват разговоров ФБР с помощью Google Maps

Сетевой инженер Брайан Сили (Bryan Seely) устал от обильного спама на картах Google Maps. Он неоднократно обращался в Google с просьбой улучшить модерацию объявлений и даже открыл аккаунт в твиттере с публикацией примеров, но без толку. Тогда находчивый инженер придумал способ, как обратить на себя внимание.



Он разместил на Google Maps несколько фальшивых объявлений, указав адреса ФБР и Секретной службы США, но свои собственные номера телефонов. Когда люди звонили по этим номерам, Брайан направлял звонок на настоящие номера спецслужб — и включал аудиозапись.

Записав пару разговоров для доказательства (1, 2), он пошёл с ними в местное отделение Секретной cлужбы. Агенты встретили «шпиона» с надлежащим радушием: его положили на пол лицом вниз, зачитали права и отвели в комнату для допросов. Впрочем, ему удалось объяснить спецслужбам, что он на их стороне. В почтовой переписке один из агентов даже назвал его «героем» за то, что он выявил серьёзную уязвимость. Через несколько часов Брайана отпустили.

Проблема с фальшивыми объявлениями на Google Maps существует уже как минимум четыре года. Спамеры зарабатывают тем, что продают «раскрученные» места, которые выходят на первые строчки по поисковым запросам с учетом местоположения пользователя. Некоторые просто размещают объявления шутки ради.





После этой истории компания Google отреагировала быстро и убрала некоторые из фальшивых объявлений, хотя по сути проблема осталась.

Ну, а фальшивый офис Секретной службы Брайан удалил с карт самостоятельно, по просьбе спецслужб, сделав скриншот на память.
Анатолий Ализар @alizar
карма
749,5
рейтинг 30,2
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (68)

  • +2
    Интересно, а в России подобная техника будет работать или нет?
    • +101
      Будет скорей всего, с той лишь разницей, что не отпустят :)
      • +21
        И героем не назовут :)
        • +21
          человек просто перестанет существовать как в 1984
          • 0
            А что было в 1984?
            Ну кроме того, что я в этот год начал свое существование. :)
            • +8
              Роман «1984» Джорджа Оруэлла.
              • +3
                Хотя на самом деле случился этот роман в 1948 году =)) Автор просто переставил последние цифры местами.
            • +2
              почитайте этот роман, многое станет понятно
              • +1
                Правильно минусуют: «Мы» Замятина более значимая антиутопия!
                • +1
                  Мало того — «1984» написан под впечатлением от «Мы».
                  • 0
                    Замятин вообще как никогда актуален
                    Разумеется, это непохоже на беспорядочные, неорганизованные выборы у древних, когда — смешно сказать — даже неизвестен был заранее самый результат выборов. Строить государство на совершенно неучитываемых случайностях, вслепую — что может быть бессмысленней? И вот все же, оказывается, нужны были века, чтобы понять это.
          • +5
            Гуантанамо, где без суда и следствия сидит народ со всего мира, принадлежит США, а не России. Сколько можно уже? И это не единственная спецтюрьма США.
            • +1
              Так там же не граждане США, значит с их точки зрения все в порядке.
    • +3
      Лучше не пробовать)
    • +25
      Разве что прослушивать ФБР и Секретную службу и отдавать записи в ФСБ :)
      • +46
        Как в советском анекдоте «Я тоже могу выйти на Красную площадь и крикнуть что Рейган дурак.»
        • +18
          Если так сделает несколько человек, то их всё равно загребут. На всякий случай.
    • +14
      Была уже на хабре пара-тройка случаев, когда люди, указывающие фирмам на дыры в их программных сервисах, оказывались в итоге на скамье подсудимых по искам от этих же фирм. Вряд ли ФСБ обладает лучшим чувством юмора, так что скорее всего у нас это не прокатит.
      • +1
        В том-то и проблема. На западе по другому такие баги рассматривают.
  • +26
    Mitm — real life.
    • +20
      MITM IRL — так вернее :)
  • +11
    Я когда-то сделал трехстраничный сайт про призыв какого-то года с несколькими статьями, так люди теперь думают что это сайт регионального военкомата и пишут мне жалобы, запросы и заявления на электронку. Спрашивают как правильно косить, жалуются на командование, требуют свои пенсии.
    • +1
      Напомнило: tema.livejournal.com/1108337.html
    • +2
      А мне периодически разные люди пишут письма, думая, что я — техподдержка GMail. Причину выяснить не удалось.
      • +1
        А вы спросите в следующий раз у того кто напишет, пусть скажет где взял ваш адрес.
        • +1
          Пробовал. Не признаются.
          • +1
            А вы притворитесь техподдержкой и скажите, что проводите соц опрос с целью повышения качества обслуживания)))
    • +4
      Я в 2004 году написал в блоге про сайт kremlin.ru (у которого была очень странная верстка в то время). С 2009 года мне в комментарии пишут послания президенту РФ.

      Написал пост об этом в 2009 году, обращения к президенту стали писать в новый пост.
      • +1
        Жуть какая. Спам боты, и те адекватнее…
  • +1
    и даже запустил аккаунт

    Что он сделал? Куда запустил?

    Хотелось бы объяснения в чем суть уязвимости. Просто по моему перевод неточен, и уязвимость не описана достаточно. В чем ущерб для спецслужб от таких объявлений?
    • +2
      Он разместил на Google Maps несколько фальшивых объявлений, указав адреса ФБР и Секретной службы США, но свои собственные номера телефонов. Когда люди звонили по этим номерам, Брайан направлял звонок на настоящие номера спецслужб — и включал аудиозапись.

      Получил возможность прослушивать звонки в спецслужбы, которые шли через его номер, указанный в липовых объявлениях. А там мало ли какую информацию могут люди сообщить туда…
      • +1
        Ну так это не совсем уязвимость по отношению к гуглу. Вон человек выше писал про такую же штуку с нашими военкоматами. Кто мешает так же создать сайт спецслужбы со своим номером телефона? Речь то именно о том что это было провернуто с помощью гуглокарт. Я бы назвал статью просто немного по-другому. Что то вроде «Последствия немодерируемой рекламы».
        • +1
          Тут смысл в том, что этой особенностью размещения объявлений в гуглокартах могут воспользоваться злоумышленники. В частности вот Вам дали пример со спецслужбами…
    • +4
      Уязвимость в том, что на картах гугл не модерируются карточки мест и туда легко размещать спам. Чувак же продемонстрировал, что это не просто спам, а может быть реально опасен утечкой звонков, например.
      Спецслужбы тут, как бы, не при чём. Просто использовались для наглядной демонстрации уязвимости.
  • +6
    Никогда бы не подумал, что кто-то будет звонить в ФБР по поводу спама про выигрыш в лотерею. Интересно, много ли таких звонков они получают?
    (это я про записи разговоров, ссылки на которые дал автор)
    • +1
      Ты не понял идею. Человек звонит как он думает в ФБР и в итоге попадает на номер ФБР и делится «наболевшим». Только прикол в том, что он сначала попал на номер из объявления, который прослушивает совершенно посторонний человек.

      А теперь идея — фейковый номер банка. Люди найдя его поиском и считая, что звонят в банк будут попадать в банк. Только через номер постороннего, который спокойно прослушает процедуру авторизации — номер страховки, последние цифры счета или кредитки.
      • +1
        Никогда бы не подумал, что кто-то будет искать контакты банка не на сайте этого банка…
        • +2
          Уровень доверия к картам довольно высок, а люди ленивы. Результат — поиск в гугле «Банк крутобанк» — по геолокации получаем подмешанный в поиск в самом начале результат с картой и конактными данными. Да я бы и сам позвонил. Зачем переходить на сайт банка если телефон — вот он уже?
          • +2
            Потому что у таких «левых» источников данных довольно большая латентность по отношению к первоисточнику.
            — Алё! Прачечная?
            — ....! Министерство культуры!
        • +1
          Вы видимо не встречали людей, которые, видя в адресной строке браузера надпись «искать в Яндексе», вводят в нее «яндекс» чтобы перейти на яндекс и оттуда искать нужную информацию? Вспомните шутку про «ввести в поиск Google слово Google»…
          Ведь очевидно, что огромное количество людей не понимает структуры интернета, они не понимают что есть сайты официальные и подставные и т.д., что можно сразу заходить на нужный сайт, набрав его URL, а не вбивая в поисковик. А омнибоксы (объединение адресной строки и строки поиска) фактически делают ситуацию еще хуже в плане повышения «интернет-грамотности» таких людей.
        • 0
          А почему нет? Ищешь сайт банка, а находишь сразу телефон — дело сделано. Звонишь и попадаешь в банк (транзитом).
          Может понадобиться найти отделение в определенном месте. Сам гугл может услужливо в обычном поиске выдать в том числе ссылку и на свои карты по этому фейку.
        • +1
          Иной раз проще у поисковика спросить контакты, чем на сайте банка найти. А уж если это какой-нибудь gov, то тем более.
      • 0
        Почему, я то как раз понял идею и мой комментарий касается записи такого вот разговора американского гражданина с представителем ФБР
        • 0
          Простите, перечитал комментарий и свой. Сильно удивлен, такое впечатление что я вообще отвечал на что-то другое написанное. Я в недоумении.
    • +2
      Никогда бы не подумал, что кто-то будет звонить в ФБР по поводу спама про выигрыш в лотерею.

      А вы думали там одни Малдеры и Скалли работают, которые заняты только гонянием за пришельцами/заговорами? ;)
    • +1
      А разве плохо, что у них есть куда жаловаться на подобный спам?
  • +17
    По случайности мой адрес электронной почты оказался схожим с адресом электронной почты одного из российских госорганов. Оба аккаунта (мой и госоргана) — на бесплатной почтовой службе.

    Почти каждое утро я получаю бюджеты, отчеты по поручениям, запросы судов, жалобы и т.п. Пытался предложить перенаправлять это в сам госорган. Но, как оказалось, это им совершенно не интересно…
    • –1
      Попробуйте другой госорган другого государства. Может, там больше заинтересуются этой информацией!
  • +2
    Кто-то слушал эти записи? Они ржачные такие, у нас бы любая структура послала человека лесом с такими вопросами, а тут сдиели, объясняли.
    • +5
      Ну так кто будет искать телефон ФБР в гуглокартах? :) Те, кто действительно обладает важной информацией скорее всего зайдут на сайт ФБР и там найдут телефон. А еще лучше — придут в штаб-квартиру.
      • +2
        Можно просто поднять трубку, сказать что-нибудь о скороварках, террактах, шпионаже — и ФБР уже будет на связи.
    • 0
      А что там, а то не все знают язык на разговорном уровне.
      • +1
        В фбр кадр позвонил с целью зарепортить что ему на мыло пришел спам о том, что он выиграл миллион баксов. Ему сказали что у них на сайте fbi.gov есть для этого кнопочка специальная.
        В secret service хотели узнать mailing address for the inspector general. Ей сказали что у них такого не существует, есть только inspections division. Спросили что хочет зарепортить, а она отблагодарила и повесила трубку :)

        Я не знаю как они могут так серьезно отвечать на такую чушь… особенно доставил звонок в ФБР.
        • 0
          В secret service хотели узнать mailing address for the inspector general. Ей сказали что у них такого не существует, есть только inspections division. Спросили что хочет зарепортить, а она отблагодарила и повесила трубку :)


          Вообще, моего внутреннего параноика такой воробушек бы напряг.

          Не, ну понятно что это скорее всего tin foil hat brigade… но…
    • 0
      Да, в Америке шлют вежливо. И еще благодарят при этом за звонок.
  • +1
    отличная штука. а телефонных спамеров (правовые системы, 1C, etc) можно ещё фильтровать по номеру исходящего телефона и отправлять либо на самих себя (есть прецеденты, разговоры «ой, а я тоже из компании — <>» доставляют), либо на ФАС (на ФАС почему-то у нас никто не попался)
  • +5
    У гугла вообще загадочная модерация. В adwords резались мои объявления типа «При покупке кастрюли, книга рецептов в подарок» по слову «рецепт» с таким комментарием: «Объявления с рекламой лекарств только при предъявлении сертификата электронной аптеки»
  • +5
    Раньше удивлялся, зачем операторы после «здравствуйте» называют название организации. Как будто я не знаю, куда звоню. Потом понял. Теперь удивляюсь, когда не называют.

    От MITM это не защищает, конечно, но полезно в случае неправильно набранного номера.
    • 0
      Зато они не называют название организации, когда перезванивают: «Здравствуйте, это интернет-магазин, вы тут оставляли заказ...».
      Ну, не все, конечно, но частенько такое встречается.
  • –8
    Ой дебил. Пошел в гэбуху с полными карманами улик. Ему офигенно повезло что не посадили, у нас бы закрыли лет так на 20 за шпионаж и измену родине.
    • 0
      Улик? В чем его вина, в чем злой умысел? Состава-то нет.
      • –3
        Состав найдут, было бы желание.
  • +1
    По приведенной в посте ссылке написана прямая речь:
    I could make a duplicate of the White House and take every inbound phone call from the White House

    Поясните пожалуйста, он говорит «take every call FROM White House», т.е. уязвимость позволяет получить звонки из Белого Дома, а не В него?

    У меня проблемы с английским или я не понял статью? Если люди звонят в ФБР, но на номер этого парня, то все понятно. Но как заставить Белый Дом звонить на твой номер, т.е. как перехватить звонок FROM Белый Дом?
    • 0
      речь идет о входящем звонке — «inbound phone call»
      • –1
        То есть, «inbound call from Vasya» по-русски значит «входящий звонок Васе», несмотря на «from»?
        • +3
          «take from White House», а не «every call from White House».
          • –1
            Вон оно чё, Михалыч… Спасибо за разъяснения.
            Ну «every» все равно бы не получилось, только те, которые по подложным телефонам бы шли.
  • 0
    Выявление уязвимостей рядовыми пользователями системы — основа Менеджмента относительно качества. И только поощряя такую деятельность можно улучшать систему! Есть и противоположная ситуация, называется «Потемкинские деревни» и полная деградация в реале.)

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.