В ИБ окружении всегда востребована такая тема для обсуждения, как — отслеживание фактов взаимодействия между пользователями в популярных мессенджерах, x88 привёл алгоритм реализации данных действий, опираясь только на информацию, доступную при анализе трафика.
1. Сегментация трафика мессенджеров и зеркалирование в отдельные хранилища данных:
— C помощью DPI и фильтров (например, адресу сервера), провайдеры и СОРМ могут обнаруживать целевой сетевой трафик пользователя и применять особые правила зеркалирования (которое в РФ должно происходить для всех пользователей согласно закону Яровой).
2. Связывание аккаунта пользователя с пулом устройств и IP адресов пользователя:
— С помощью ботов, включая функциональных, вроде антиспам ботов, ботов статистики, которые многие администраторы добавляют в каналы, или же модифицированных клиентов мессенджера владельцы данных сервисов могут в реальном времени получать и логгировать сообщения, действия пользователей и техническую информацию пользователей (например user_id, онлайн статус) целевого пула (например, с выборкой по стране).
3. Связывание диалогов или звонков пользователей:
— После того, как пользователи мессенджера идентифицированы с пулом их устройств и IP адресов, достаточно по сигнатурам сообщений анализировать сегментированный трафик, фильтруя только события, связанные с полезной нагрузкой: p2p соединения, сообщения, звонки.
После этого возможны выборки активности конкретных пользователей в мессенджерах: по местоположению связанных устройств, по ФИО конкретных пользователей (и связанных с ними IP адресами у провайдеров), и т. д.
#Recon #СОРМ |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍260🔥57❤33👏25😁25🤯25🤔23🥱1