Отзыв на Отклик

Всем привет!

Этот пост вызван недавними обсуждениями в Точке Сбора судьбы проекта Отклик. Напомню, что он разрабатывался в течение долгого времени командой BlackNode, которая распалась. На текущий момент одним из разработчиков выложены исходники Отклика, но нет внятного ридми и какой-либо документации. К сожалению, нельзя говорить о полном соответствии исходников описанию в оригинальном канале. Потому дальше под Откликом будет пониматься текущая выложенная версия.

Если в двух словах, Отклик сейчас представляет собой Masscan с децентрализованной базой хранения результатов. Обмен данными между узлами (запущенными Откликами) происходит с использованием Tor и IPFS. Подробного описания этого механизма нет, но эксперимент по запуску показал, что это работает.

Изначально заявлялось о полной анонимности как о фишке Отклика, эта же тема и была затронута в недавнем споре. Необходимо сначала выделить следующее:

1. Анонимность взаимодействия между узлами сети Отклика обусловлена самим приложением. В настоящее время мы можем только верить на слово одному из разработчиков, слившему исходники, так как другие представители BlackNode неизвестны, как и их истинные мотивы создания Отклика. При этом пока нет никаких исследовательских статей об устройстве и особенностях сети (но есть критика).

2. Анонимность сканирования с помощью Masscan невозможна. Сама суть массового сканирования заключается в попытке подключения ко множеству портов множества IP-адресов. В Отклике для Masscan включен сбор баннеров - ответов сервера. Это будет веб-страница для 80 порта или приветствие SSH для 22 порта. Разумеется, большинство онлайн-сервисов логируют запросы к себе, потому IP, с которого производится сканирование, остаётся в логах работающих серверов.

Недавний спор был вызван теоретической возможностью засветить свой IP в баннерах. Некоторые HTTP-сервера настроены отображать ошибку доступа запрещено для ТВ.ОЙ.АЙ.ПИ, кто-то намеренно может сделать страницу вида ваш айпи передан в ФСБ. Нет статистических данных на этот счёт, но вероятность подобного по опыту сканирования Интернета кажется небольшой. В качестве пруфов: всего 13 результатов подобных баннеров по ключевым словам "ip was logged" находится с помощью Censys.

Также необходимо упомянуть, что в текущей версии Отклика включено принудительное постоянное сканирование Массканом при запуске, причем всех возможных портов. Очевидно, это увеличивает как вероятность попадания в специально спрятанный порт с вышеописанной пасхалкой, так и количество всех портов, отдающих текстовые баннеры (как минимум, всех HTTP). Но напомню, что большое количество протоколов - бинарные, и текстовые данные, включающие IP сканирующего, они не могут отдать по определению.

Как частичное решение проблемы, был создан патч для замены IP в баннере на плейсхолдер по нескольким шаблонам. Разумеется, решить проблему анонимности Масскана это не поможет, это было объяснено выше.

Дополнительно нужно упомянуть, что Masscan создает очень большое количество сетевых запросов. Это означает следующее:

• Если вы используете VPS, то провайдер не будет рад массивному трафику и коннектам к подозрительным портам. Обычно в ответ на такие запросы от владельцев подсетей в провайдера прилетает абуза (жалоба), после которой он может приостановить ваш сервер для выяснения обстоятельств.
• Если вы используете домашний интернет, тем более с белым IP, то будьте готовы к лагам интернета на высоких скоростях сканирования и добавлением IP в блеклисты. Почему происходит второе? Огромное количество устройств заражено вирусами-ботнетами. Они могут быть даже обезврежены, но организации мониторят как их, так и весь проходящий трафик, чтобы отлавливать киберугрозы. По опыту скажу, что вероятность отметки вашего IP как потенциально зараженного высока даже при случайном сканировании - достаточно запроса на порт с типичным номером C&C малвари. Провериться можно здесь.

И что теперь?

Что делать, если хочется попробовать Отклик, но без заморочек со сканированием?

Запустить, предварительно изменив параметр port_scanner/enabled в файле конфигурации data/config/otklik_config.json. До первого запуска можно поменять в default_config/otklik_config.json). Масскан стартует с запуском Отклика, но легко отключается таким способом.

Для чего сейчас можно использовать Отклик?

В качестве одного из реальных вариантов применения предлагаю запуск форка Отклика, сканирующего сеть в поисках служебных портов IP-камер. На этих портах нет баннеров, но и сканировать необязательно: можете запуститься, синхронизироваться с сетью и выгрузить список камер с помощью скрипта find_cams.py, в дальнейшем загрузив их в программу для просмотра или тому подобное.

Выводы

Подводя итог: нет оснований утверждать об анонимности Отклика - возможна утечка вашего IP, который теоретически можно связать с вашей личностью.

Однако, нет и оснований считать это непреодолимой проблемой для использования инструмента: Masscan работает так же, Неску много лет подряд использовали без информации об исходниках и при слухах о возможном вшитом ботнете, Верду использовали, даже несмотря на вшитую отправку результатов всех данных автору.

Предлагаю каждому самостоятельно взвешивать риски использования экспериментальных программ взамен новых возможностей по автоматизации нетсталкинга.