Всего месяц назад количество людей, интересовавшихся устройством интернет-инфраструктуры Северной Кореи, было крайне мало. Интерес вспыхнул на фоне спекуляций относительно хакерской атаки на Sony. Один эксперт по безопасности решил пристально изучить национальный северокорейский браузер и нашел много странностей, сообщает «Лаборатория Касперского».

Браузер Naenara (чье название по-корейски означает «моя страна», тем самым напоминая слоган запущенного в мае 2014 года российского госпоисковика «Спутник» – «вокруг страны» – здесь и далее прим. Softodrom.ru) является производной от устаревшей версии браузера Mozilla Firefox и входит в состав операционной системы Red Star, повсеместно используемой в Северной Корее (очевидно, прообраз российской национальной ОС). Северная Корея известна жестким контролем над средствами связи и деятельностью своих граждан, и онлайн-сфера не является исключением.

Роберт Хансен (Robert Hansen), вице-президент подразделения WhiteHat Labs компании WhiteHat Security и известный эксперт по безопасности, недавно смог получить копию браузера Naenara и детально его изучить. Он сразу обнаружил, что каждый раз при загрузке браузер первым делом делает запрос по немаршрутизируемому IP-адресу http://10.76.1.11 Этот адрес недоступен из сетей вне КНДР.

«Здесь начинается самое интересное: это означает, что вся национальная сеть КНДР является немаршрутизируемым IP-пространством. Вы все правильно поняли; они относятся ко всей своей стране так, как отнеслась бы компания малого или среднего бизнеса к корпоративному офису, – пишет Хансен в блоге о своих находках. Вся Северная Корея использует одну сеть класса «А» (16 777 216 адресов). У меня всегда складывалось впечатление, что они просто притворялись, что владеют крупными блоками IP, блокируя все и выборочно пропуская исходящий трафик через списки управления доступом. Как оказалось, не притворялись!»

Все это позволяет северокорейским чиновникам контролировать, какой именно трафик входит и выходит из национальной сети (очевидно, прообраз российской сети «Чебурашка»).

«Кто-то может предположить, что назначение этой огромной, растянувшейся на всю страну, ЛВС в том, чтобы регламентировать, что именно доступно пользователям и что доступно извне», — пишет Хансен.

Но это лишь кусочек загадки. Эксперт также изучил то, как браузер Naenara работает с электронной почтой, календарями, сертификатами и другими элементами, и обнаружил еще множество странностей. К примеру, КНДР создала систему, которая позволяет точно определить, когда пользователь устанавливает анти-фишинговые и анти-зловредные списки из национальной базы.

«Это означает, что время установки (microtime) отсылается на «материнский корабль» каждый раз, когда кто-то скачивает анти-фишинговые и анти-зловредные списки (с адреса 10.76.1.11) через браузер. Этой временной метки достаточно для того, чтобы деанонимизировать пользователей, что и послужило причиной, по которой Google включил эту функцию в браузер», — утверждает Хансен.

Также каждый раз, когда браузер падает, на главный IP-адрес КНДР автоматически отправляется отчет, давая специалистам понять, что именно служит причиной падений, и, возможно, предоставляет новые данные об уязвимостях.

«Это весьма полезно при отладке и поиске эксплойтов к Firefox, без необходимости отсылать информацию в американскую компанию Mozilla», — пишет Хансен.

В Северной Корее вся электронная почта также направляется через главный IP-адрес, как и календарные отметки. И, что неудивительно, браузер Naenara принимает только один сертификат — тот, что был выдан правительством.

«Это означает, что будет крайне легко применить атаку «человек посередине» (Man in the middle) ко всем исходящим HTTPS-соединениям, так что, даже если официальные органы откроют исходящий доступ к API геокодирования Google на базе JSON, это не поможет, поскольку и соединение, и его содержимое могут ими контролироваться», — заявил Хансен.

Специалистам уже давно было известно, что правительство Северной Кореи жестко контролирует онлайн-перемещения своих граждан, и новые детали того, как эта система работает, позволяют понять, какие технические решения были реализованы.

«Странно, что они могут все это сделать с одного единственного IP-адреса. Возможно, у них есть какие-то системы распределения нагрузки, но в целом использовать один IP-адрес для управления целой страной — плохое решение по ряду причин. DNS гораздо гибче, но тоже приводит к замедлению работы, что особенно заметно в стране, где скорость Интернета и так весьма низка. Я подозреваю, что КНДР, скорее всего, использует прокси и через URL распределяет основные функции на различные кластеры машин», — добавил Хансен.

взято отсюда