Qui es-tu Ultrareach ?

nsaNos investigations d’hier sur la société Ultrareach et le logiciel qu’elle édite, Ultrasurf, nous ont ouvert des portes pour le moins curieuses. D’origine américaine, la société édite une solution initialement développée, sur le papier, à destination des dissidents chinois. Une entreprise américaine très attachée aux libertés des dissidents politiques chinois ? Oui, pourquoi pas, mais ça ne colle pas vraiment avec le peu d’éléments que nous avons trouvé.

A votre avis, quelle genre d’entreprise :

  • édite un spyware, en le mettant à jour très régulièrement avec de nouveaux malwares et une couche de routage complexe;
  • le diffuse gratuitement à très grande échelle depuis le début des années 2000 ;
  • n’a qu’un seul contact connu : un nom attaché à une adresse Gmail ;
  • dispose d’une adresse physique fantôme à laquelle on trouve un Best Buy Auto ;
  • … et obtient des budgets du congrès américain ?

La piste syrienne ne tient plus un instant la route, la vérité est ailleurs. Cette affaire est un sacré sac de noeuds, c’est notre seule certitude à ce jour.

Twitter Facebook Google Plus email


32 thoughts on “Qui es-tu Ultrareach ?”

  1. L’ayant utilisé à une époque pour profiter de services vidéos réservés aux résidents américains, le service rendu s’est vite trouvé plutôt moyen : débit approximatif dans mon cas, et surtout, un service qui a relativement rapidement « cessé » de fonctionner.
    Ceci dit, je passais par le pug-in FF et ne le lançais qu’en cas de besoin. Au moins, peu de fuites et de regrets ^^

  2. En espérant que ce commentaire ne sera pas mal interprété….

    On pourrais penser à un partenariat Israëlo-américain sur ce coup là vu les intérêts en jeux dans cette révolution…

  3. Si c’est un produit qui est distribue depuis 10 ans, et avec une maintenance en plus c’est qu’il doit bien y avoir un objectif premier. Ca me rappel les histoires de Backdoor sous Debian… mais comment mettre en place des backdoor chez les autres? En tout cas, il se peut que vous ayez lever un lievre. GG

  4. Je ne vois pas les preuves qui permettent de qualifier Ultrasurf de « spyware ».

    – l’executable est encrypté avec EXECryptor. La raison en est simple: éviter qu’on découvre trop facilement les mécanismes utilisées pour trouver les destinations des tunnels

    – si l’executable est encrypté, un anti-virus ne peut certainement pas juger si c’est un spyware ou pas en le scannant. Il devra utiliser un système d’heuristics et tout le risque de faux positifs qui va avec

    – la raison de la modification des certificats est expliqué dans leur FAQ, http://www.ultrareach.com/faq.html (chercher « Tamperproof »)

    Toutefois, Ultrasurf passe (principalement) par les serveurs d’Ultrareach ce qui veut dire qu’au lieu de se faire surveiller par un gouvernement (chinois ou autre) on se fait surveiller par une boite privée qui n’a de compte à rendre à personne. Tout le monde sait qu’il y a une forte valeur marchande à savoir quels sites les gens visitent.

          1. Tu sais bluetouff, j’ai dejà codé des trucs qui n’avait rien à voir avec de la secu informatique qui etaient detecté par les antivirus, alors que je sais ce qui a dedans.

            Idem pour pour wpe (Winsock Packet Editor)

        1. 63.245.213.91 appartient à : Mozilla Corporation
          L’ip est utilisée pour :
          Extend.mozilla.org
          addons.mozilla.org
          amo.zlb.nl.mozilla.com

          concernant le port 1046 c’est un port ouvert en local qui pointe sur du HTTPS donc rien d’incorrect. Une application n’ayant pas le droit d’ouvrir un port en dessous de 1025

          une machine extérieur (appartenant à mozilla) n’aurait pas pu ouvrir le port 1046 sur l’ip 192.168.0.2 pour la simple et bonne raison qu’elle n’est pas accessible depuis Internet.

          de ce côté là il n’y a pas de problème.

    1. « – l’executable est encrypté avec EXECryptor. La raison en est simple: éviter qu’on découvre trop facilement les mécanismes utilisées pour trouver les destinations des tunnels »

      Les destinations doivent être faciles à trouver. Suffit de lancer le soft et de sniffer le traffic pour voir où il se connecte.

      1. En fait on trouve un fast food à l’adresse ou il donne lulsec.
        Mais si sunnyvale c’est la silicon valey et qu’on trouve autre chose qu’un best buy auto à l’adresse d’ultrareach.

        Meme pour la silicon valey la proximité entre les deux à quelque chose de louche.

        En fait, je ne comprends pas pourquoi subitement, on met dans le meme lot, un 4 juin (avant hier), ultrareach et lulzsec.
        Le nombre de hits sur le fichier pastebin à quelque chose de louche.
        Je ne trouve pas d’autres trace de lien que sur ce blog sur blogspot. Peut etre un hit bot ?

        Il y a bien des traces d’un « David Davidson » associé sur internet à anonymous, mais ne le connaissant pas, je ne vois pas d’ou sort ce nom.

        Ca pourrait etre de l’intox pure.
        Le parallele entre lulzsec et ultrareach pourrait etre de l’intox pure.
        Reste que si c’est le cas, la synchronicité avec les articles de reflets laisse à penser que la personne qui a posté le truc sur pastebin fréquente ce site web.

        S’agissant de ultrareach:
        http://img69.imageshack.us/img69/1467/ultrareach.jpg
        (source: http://kepler.sos.ca.gov/cbs.aspx)
        la compagnie n’existe plus et l’adresse qui est donnée n’est pas la meme…

        Si c’est le gvt americain qui soutient, peu importe que la société existe ou pas….
        Apres tout, ils font ce qu’ils veulent dans leur pays…

        L’existence de la société ultrareach n’est pas un critere pertinent pour dire qui est ou non à la cia…

        Je confesse ne pas avoir le niveau technique pour suivre l’analyse de paquet.

        Donc scenario:
        Des types ont racheté le nom de domaine et verole un ancien logiciel de protection pour le transformer en malware.

        T’en pense quoi bluetouff ?

        ps:

        ca reagit vite, hein ?
        http://en.wikipedia.org/wiki/Ultrasurf

        1. http://img694.imageshack.us/img694/1567/alanhuang.jpg

          c’est un agent immobilier, le numero de téléphone est le meme que sur le whois.
          L’hypothese « on a repris le site pour y faire des conneries » est donc un peu moins plausible (telephone attribuable).

          Ici je retombe sur l’adresse que j’avais avant:
          http://domaintraker.com/ultrareach.com

          (copie d’ecran des sociétés de californie)

          pour l’adresse:

          ca correspond a un business center:
          http://www.loopnet.com/Listing/15689893/830-Stewart-Drive-Sunnyvale-CA/

          ou on trouve du … cloud computing:
          http://www.drivehq.com/help/doc/DriveHQServiceManual/DriveHQServiceManual.pdf

          par exemple…

          Comme je disais, l’adresse ne prouve pas grand chose dans notre cas.
          Ne pouvant pas parler des specificités du logiciel, je m’abstiendrai d’interpretations.

          Pour le mode de financement, ca pourrait etre le don…

  5. C’est au départ des adeptes de la secte Falun Gong, le dirigeant d’Ultrareach est Alan huang. Deux papiers avec plus d’info :
    http://www.wired.com/magazine/2010/11/ff_firewallfighters/3/
    et

    http://www.washingtonpost.com/opinions/why-has-the-state-department-run-into-a-firewall-on-internet-freedom/2011/04/03/AFYnn9eC_story.html

    Vu qu’ils sont financés par les mêmes qui financent Voice Of America (Broadcasting Board of Governors) ca ressemble vachement à une devanture de la CIA.

  6. TOR est également sponsorisé par des institutions louches et le Congrès américain. Cela ne veut pas dire qu’il faut soupçonner touts les exit nodes de sniffing.
    Un autre WHOIS sur http://www.wujie.net/, la filière chinoise d’Ultrasurf rapporte une autre adresse que gmail.
    Par ailleurs, ce soft est recommandé par EFF.org dans un PDF téléchargeable depuis la page https://www.eff.org/deeplinks/2011/05/documenting-tools-beating-internet-censorship

    1. « Cela ne veut pas dire qu’il faut soupçonner touts les exit nodes de sniffing. »
      Justement si, il vaut mieux soupçonner tous les exit-nodes de sniffing, et ne jamais envoyer d’infos sensibles en clair via TOR, ou alors utilisé une connexion https.
      Pas parce qu’ils seraient financés par le gouvernement américain, mais parce qu’ils peuvent le faire.

  7. En gros le malware était déjà dans le logiciel. Vu que c’est un logiciel Windows closed source, rien d’extraordinaire, fantasmer sur les sectes ou la CIA c’est digne du réseau Voltaire, faut se calmer …. Du coup la véritable info, c’est qu’il faut se méfier des anonymisers.

  8. En se basant sur des retours utilisateurs d’UltraSurf, on peut affirmer que certains sites wz sont bloqués par les « proxys » de ce service, ce qui met un sérieux doute sur sa neutralité. Il faut bien admettre néanmoins que depuis dix ans si rien n’a vraiment fuité, c’est que cette société a une qualité de discrétion pro du niveau de services secrets. Méthodes à la Wikileaks, rassurant ou sujet à parano, il faut choisir son camp lors de son utilisation. A noter que Kaspersky le détecte souvent, selon la version, comme une application maligne…

  9. Nulle part je n’ai vu dans ces pages mentionner le nom de Sophidea.

    $ host ultrareach.com
    ultrareach.com has address 65.49.14.20
    ultrareach.com mail is handled by 10 mail.ultrareach.com.

    $ host mail.ultrareach.com
    mail.ultrareach.com has address 65.49.14.64
    mail.ultrareach.com mail is handled by 10 mail.ultrareach.com.

    $ whois 65.49.14.20
    […]
    Sophidea, Inc. HURRICANE-CE1805-0934 (NET-65-49-14-0-1) 65.49.14.0 – 65.49.14.255

    Une recherche rapide sur google montre que Sophidea possède aussi le bloc 65.49.2.0/24 et reçoit son courrier à l’adresse (proxy):
    2710 Thomes Avenue, suite 884, Cheyenne, WY, United States

    Fausse piste ou bien ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *