Rostelecom, der größte Breitbandzugangsbetreiber in der Russischen Föderation, bedient rund 13 Millionen Abonnenten, ohne unnötige Werbung ein System zum Ersetzen seiner Werbebanner in den unverschlüsselten HTTP-Verkehr von Abonnenten. Da die in den Transitverkehr eingefügten JavaScript-Blöcke verschleierten Code und Zugang zu dubiosen, nicht mit Rostelecom verbundenen Seiten (p.analytic.press, d.d1tracker.ru, dmd.digitaltarget.ru) beinhalteten, bestand zunächst der Verdacht, dass es sich um Geräte des Anbieters handelte kompromittiert wurde und Schadsoftware eingeschleust wurde. Software im hausinternen Router. Nach dem Absenden der Beschwerde gaben Vertreter von Rostelecom jedoch an, dass die Ersetzung der Werbung im Rahmen des Dienstes zur Anzeige von Bannerwerbung für Abonnenten erfolgte, der seit dem 10. Februar in Betrieb ist.
Werbung wird über das Bannernetzwerk mail.ru angezeigt und Bewegungen werden über d1tracker.ru verfolgt (der Prozessor wird in der Amazon-Cloud gehostet). Der Code umfasst auch Aufrufe der Ende Dezember registrierten Domain analytic.press.
Normalerweise wird entweder eine Vollbildanzeige angezeigt, die den gesamten Inhalt der Seite abdeckt, oder ein Banner wird oben auf den Seiten hinzugefügt. In den meisten Fällen wirken die platzierten Blöcke wie die Platzierung störender Werbung durch die Seiten selbst, und der Abonnent erkennt nicht, dass die Werbung tatsächlich vom Anbieter platziert wird. Beworben werden alle Arten von Dienstleistungen von Drittunternehmen (die nicht mit Rostelecom verbunden sind), einschließlich des Verkaufs von Taschenlampen.
Ein Beispiel für Inline-Code finden Sie in . Ein Teil des Codes ist verschleiert und wird dynamisch geladen, sodass es ohne eine detaillierte Analyse schwierig ist zu beurteilen, ob nur Werbung eingefügt wird oder andere Aktionen auf der Seite des Client-Browsers ausgeführt werden.
Über die Standardschnittstellen Ihres persönlichen Kontos besteht keine Möglichkeit, die Werbesubstitution zu deaktivieren, sondern nach dem Schreiben eines Anspruchs , Mitarbeiter von Rostelecom deaktivieren die Werbesubstitution für bestimmte Abonnenten. Die Frage ist, ob die Ersetzung nur den unverschlüsselten HTTP-Verkehr betrifft oder auch das Unternehmen und im HTTPS-Verkehr durch Zertifikatsersetzung blieben unbeantwortet. Auf der Website des Unternehmens sind keine Informationen über den Beginn der Änderung des Kundentransitverkehrs enthalten.
Source: opennet.ru