Все началось с того, что что я таки решил проверить, не утекают ли запросы к DNS из TOR-прокси. Говоря по-русски - если я использую TOR с правильно настроенным firefox (где указано явно, что запросы к DNS нужно разрешать через прокси) -действительно ли всё так.
Вооружившись tcpdump, отрубив все браузеры кроме FF я просто лазил по некоему сайту в течение получаса. Учитывая что контент лежит на всяких cdn-ах, нащелкать запросов разных к DNS - более чем достаточно.
Выглядело все примерно так:
sudo tcpdump -i en0 | grep -v "192.168.1.118" | grep "192.168.1.104" >tcpdump.txt
где 192.168.1.118 - коробочка с openwrt и тор (мы просто игнорируем обращения к ней), а 192.168.1.104 - текущий ноут. Если верить dhcp.
Файлик народился на пару сотен килобайт.
Дальше отсекаем все лишнее - фильтруем всякие evernote, one mediahub, ARP запросы и прочий шлак вроде imap.yandex.ru
Файл становится более читаемым.
Когда я добрался до фильтрации MSN-мессенджера, который висел в данный момент в системе и работал “напрямую”, внимание привлек очень странный адрес:
19:55:13.522640 IP 192.168.1.104.55051 > dd-wrt.homegroup.domain: 52244+ A? login.live.com.nsatc.net
Компьютер настойчиво пытался “разрешить адрес”, начинающийся с login.live.com и заканчивающийся на… нечто, под названием nsatc.net
Дальнейшее можно считать полным бредом, детским лепетом и не думать об этом вообще, но в свете последних событий с господином Сноуденом (боже, помилуй его грешную душу) первые три буковки (NSA) очень как-то привлекли внимание.
Идем на webnames.ru, например и спрашиваем, кто есть nsatc.net. Ответ превосходит все ожидания:
МarkMonitor is the Global Leader in Online Brand Protection. МarkMonitor Domain Management(TM) MarkMonitor Brand Protection(TM)
MarkMonitor AntiPiracy(TM) MarkMonitor AntiFraud(TM)
Professional and Managed Services
Бла бла бла
Registrant: Domain Administrator Level 3 Communications, LLC El Dorado Blvd.
Гугл выдает интересную выдачу по запросу "nsatc.net"
В частности - чью-то паранойю “Is windows update is poisoned” и ссылкой сюда https://groups.google.com/forum/#!topic/public-dns-discuss/JA3aKzSowNE
Где, вобщем тоже виден этот самый nsatc.net
А вот эти ребята http://forum.ixbt.com/post.cgi?id=print:7:42685 - жалуются, что тоже мол показывает черти-куда.
Допустим, что это могучий load balance, пусть себе.
Но вернемся к людям, которые зарегали данный домен - некая Level 3 Communications LLC.
Вот, например, документ от FCC, одобряющий передачу неких телекоммуникационных активов этой компашке http://transition.fcc.gov/Daily_Releases/Daily_Business/2013/db0531/DA-13-1290A1.txt
Статья в википедии http://en.wikipedia.org/wiki/Level_3_Communications.
Ну и конечно же официальный сайт http://www.level3.com/, из которого понятно только одно - что это некий “серьезный бизнес”. И сотрудничает с правительством США и U.K.
А вот этот источник - http://www.jareds-blog.com/known-nsa-shell-companies/ утверждает напрямую, что мол да, имеют мол отношение к NSA. Инфа, судя по всему, взята с одного из таких сайтов http://cryptome.org/info/
Короче, в лучших традициях говноблоггерства можно сделать далекоидущий вывод, что мол да, мол следят изо всех сил, прям вот до сих пор следят, негодяи.
А можно просто самостоятельно собрать tcpdump и посмотреть, что куда уползает и не верещать.
И вообще, если для кого-то открытие, что все что вы постите в фейсбук, и прочий гуглоплюс оседает черти где - то поздравляю вас, скорее всего вы овощ, и вас нужно лишить права пользоваться электронными устройствами.
Посерьезнее, товарищи. Слова классика “как слово наше отзовётся” в 21 веке приобретают совершенно другой смысл.