[Recent Entries][Archive][Friends][User Info]
| September 21st, 2016 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 09:19 am [Link] |     ФСБ совместно с Минкомсвязи и Минпромторгом начала обсуждение анализа интернет-трафика. Разница в позициях ведомств заключается в том, что спецслужбы предлагают расшифровывать весь трафик в режиме реального времени. Позиция ведомств сходится в том, что хранение шифрованного интернет-трафика, предусмотренное «законом Яровой», не имеет смысла, поскольку что-либо найти там будет затруднительно, сообщает газета «Коммерсантъ». И если ФСБ выступает за то, чтобы расшифровывать и анализировать по ключевым параметрам весь интернет-трафик россиян, то министерства настаивают, чтобы это касалось лишь тех абонентов, кто привлечет внимание правоохранительных органов. Как отмечает издание, по «закону Яровой», владельцы интернет-площадок обязаны сдавать ключи шифрования по требованию ФСБ. Однако, как сказал один из собеседников газеты, в интернете огромное количество сайтов, которые не являются организаторами распространения информации и используют защищенное https-соединение. Понять, что человек делал в Сети, можно лишь после расшифровки трафика. Один из вариантов решения проблемы — установка на сетях операторов оборудования, способного выполнять MITM-атаку. Пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно — с сервером, к которому обращался пользователь. С тем, что организация MITM один из возможных путей, согласился основатель «Энвижн Груп» Антон Сушкевич. По его словам, это «позволит бороться с терроризмом в прямом эфире, а не какое-то время спустя». Трое собеседников газеты указали, что для анализа трафика планируется использовать DPI-системы, которые и сейчас применяются многими операторами. В России есть ряд компаний, разрабатывающих DPI-системы, например RDP.ru. Генеральный директор последней Сергей Никулин сообщил газете, что если использовать систему «во зло», то это позволит шпионить за всеми абонентами, что в свою очередь породит риск нарушения конституционных прав граждан. ОТСЮДА 
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Comments | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Не согласен. Распил - вовсе не безнадежное дело. Наоборот, очень выгодное. (Reply to this) (Parent) Расшифровывать весь трафик онлайн? Отличная идея, весь бюджет России туда ляжет, даже на дирижопли не останется! (Reply to this) (Thread)
да ну бросьте, вон на Кубу "весь" интернет раз в неделю на лодке завозят в смысле, топ-100 000 самых популярных сайтов (Reply to this) (Parent) И где она "оппозиция", которая еще пару дней назад рвалась в "думу", чтобы защищать наши права? Вот же! Боритесь! Ан нет... (Reply to this) (Thread)
я бы сказала "зачем"?))) Ну, пусть порасшифровывают -кто обрабатывать-то будет?))) (Reply to this) (Parent) Они делают то, что могут и что считают нужным. А вы вообще непонятно чего от них хотите. Мало того, что не помогаете, так еще и претензию внятно сформулировать не можете. Это всё же не результат их действий. На поле условно три игрока: государство, оппозиция и вы. Кого обвинять? (Reply to this) (Parent)
>Один из вариантов решения проблемы — установка на сетях операторов оборудования, способного выполнять MITM-атаку. Пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно — с сервером, к которому обращался пользователь. Бред полный. Декриптующий посредник в TLS - сферический конь в вакууме. Существует ровно 1 (один) квант времени, виртуально, в больном воображении. Хотя и этого кванта времени может хватит для распила и отката. В этом в РФ есть специалисты. (Reply to this) (Thread)
Ну почему же. Если посредник обладает сертификатом целевого сайта (см. требование "предоставить ключи") и определяется клиентом как целевой сайт (подмена DNS провайдером) - то что помешает установить нормальное защищенное соединение между клиентом и посредником? Пока в процессе не задействована "независимая третья сторона", находящийся вне влияния провайдера сервер-арбитр - проверить истинность подобного соединения не получится. Другой вопрос, что тут количество работы вырастает в разы, а надежность будет зависеть от скоординированности. Но опять же, одно дело - тайный незаметный перехват, другое - официально "закрытая корпоративная сеть" с белым списком разрешенных внешних ресурсов "в интересах вашей же безопасности". Тут только VPN строить, причем так, чтобы его запретить у них не получалось чисто технически. Они к этому все равно придут, так что уже сейчас надо воспринимать это как работу в условиях противодействия противнику. Такое государство, оно не может не пытаться все взять под контроль. Ему не нужен Интернет, технологии, прогресс и прочее в том духе. А если сайт не предоставляет ссл, автоматом в блок? И что тогда от того интернета останется? Вк и Одноклассники?
находят владельца, угрожают посадкой "ключи от интернета", "реестр СМИ" не находят -- да, как порнхаб (Reply to this) (Parent)
> то что помешает установить нормальное защищенное соединение между клиентом и посредником? Destination side of TLS. Агрегат TLS TARGET+PROXY+CLIENT должен настолько протокольно согласован, что для вставки нужно будет переписывать весь серверный софт. То есть изобретать новый TLS, со штабом кгб внутри. Насколько это осуществимо в РФ, нетрудно представить. Тому кто участвовал в госпроектах и госпрограммах. А тут на подходе новые версии TLS. Ааааа!
Не поможет. Речь не идет о взломе протокола, речь о подмене целевой системы на систему-эмулятор, с ведома и при участии эмулируемого. Когда клиент находится в таком окружении, что в принципе не должен узнать о подмене. Все переписывать не нужно, новые протоколы изобретать не нужно, нужно просто загнать клиента в Чебурнет, и принудить к сотрудничеству тех, кто заинтересован в этом клиенте.
>Все переписывать не нужно, новые протоколы изобретать не нужно, нужно просто загнать клиента в Чебурнет, и принудить к сотрудничеству тех, кто заинтересован в этом клиенте. Не, в вашем спиче главное не то, что это альтернативная реальность (извините, это профессиональное), а то что вы уже и веревку принесли, и мыльце, и гвоздик забили. И это основное в данном случае.
Я всего лишь анализирую возникшую ситуацию и вижу набор возникающих возможностей: что может сделать условный противник, и как на это можно отреагировать. Вы говорите, что это невозможно - а я знаю как это реализовать, по крайней мере сейчас. Это тоже как бы профессиональное :) Просто они "за" - а я "против". Вы не хотите воспринимать мысли о том, что это возможно - но те, кто это будет делать, плевать хотели на ваши и мои желания, они просто сделают свой ход, потому что могут. Как уже сделали с DPI, блокировкой сайтов по спискам и т.д. Не надо недооценивать противника - это путь к проигрышу.
>Вы говорите, что это невозможно - а я знаю как это реализовать, по крайней мере сейчас. Мне трудно ссылаться даже на основы проектно-программного управления, посольку практически никто в России не знает, а то что есть нечто вроде песни самоеда на нартах. Первое для успешной деятельности это разделямое видение общего будущего, результата будущей деятельности. Второе, хария-соглашение о генеральных целях у всех стекхолдеров, не на бумаге, а действительности. Третье, четкое понимамание об генеральных ограничениях, требованиях и рисках. Даже беглое приложение критериев успешности к данной местности показывает развал программы изменений на обозримом периоде. Коррумпированная среда имеет массу игроков с противоречащими даже самим себе тактиками действий, сегодня они об одном, завтра о другом. А в подобных программах-проектах необходимо выдерживать четкие стратегические цели на период много лет, и иметь достаточную степень консолидации усилий, и именно институциональных усилий. А в реальности это тактическое коррупционное действо и попытка расширить влияние, именно это реальные цели, и результат никого не особо не интересует. Можно ли при современных технологиях построить качественные трассы? Можно, это уже обкатанные технологии. С четким пониманием интвестиционной емкости, стоимости владения и удельных затрат на метро-год. Но мы имеем суперхайвеи в EU, CN, US, ... но в не РФ. См первые три пункта. Можно ли... но в не РФ. См первые три пункта. Можно ли... но в не РФ. См первые три пункта.
Вы подходите к вопросу с точки зрения того, как это должно быть правильно сделано, чтобы был полезный результат :) А будет сделано примерно так: - Главный сказал - Хочу! - можем сделать? - Нууу, в теории.... - Да или нет?! - Да... - Так, кто у нас занимается этой шнягой? Спустим им распоряжение, пусть мозгуют! И понесется по лавкам: одни хотят прикрыть задницу и отчитаться, на использование им пофиг, другие хотят получить отдел и бюджет, чтобы самому руководить, третьи просто видят интересную тему "а не предложить ли наши сервера?!", четвертые пишут кандидатскую "Методы обеспечения информационной безопасности путем преодоления криптографической защиты" или еще что-то типа того, сверху грозят банхаммером, если результата не будет, сбоку выползает какое-нибудь Федеральное Управление Удостоверяющих центров со своими хотелками "дайте денег и оборудование!", к ним тут же подбегают "а не предложить ли наши сервера?!", в приемной начальников уже топчутся представители пяти известнейших в узких кругах компаний с предложениями разработки ПО и продажи лицензий... И вот это все в итоге родит что-то, что формально будет решать задачу. Если денег хватит. Пусть криво, косо, кое-как - и так сойдет! (с) (тм) Какие стекхолдеры, какие стратегические цели?! Но при этом у пользователей будут проблемы - из-за коекакерской реализации и из-за необходимости отчитаться об успешном внедрении. Кстати, о проблемах: буквально вчера нажаловались тут знакомые, что у них все сайты перестали открываться, кроме домена .ru. Вот просто вот так вот перестали и все: DNS-сервера, выдаваемые провайдером, отресолвливали только домены .ru, а все остальное - пустой ответ сервера. Видимо, что-то настраивали там у себя. Суверенную систему доменных имен, например - независимую от общемировой. А вы говорите - стейкхолдеры... :)
>Вы подходите к вопросу с точки зрения того, как это должно быть правильно сделано, чтобы был полезный результат Я не намерен тратить жизнь на словесный онанизм и разваливающиеся бесцельные проекты. Вариантов как не пообедать есть миллион, как пообедать - только один. Пообедать. Как и вариант достичь результата. >Какие стекхолдеры, какие стратегические цели?! Обыкновенные. Стейкхолдер = участник, имеющий интерес и отношение к делу. Вор, бандит, бездельник или сумашедший всегда будут уверять, что других вариантов-путей не было. Если никто не предоставит вариантов как сделать с иным, общеполезным результатом и не оговорит действительные цели, и не проверит соотвествие им, то будет прав вор, бандит, бездельник и сумашедший. Так что ваша позиция, по моему, просто трепотня на ветру. Bla-bla-bla. По меньшей мере. Докторов, кто ставит диагноз, дохера. Каждый первый. Как сделать как-попало - тоже самое. Здравые решения преставить некому. (Reply to this) (Parent)
всё уже работает, почитайте про казахский интернет например естественно абонент будет знать, что его прослушивают, ему весь софт про это говорит так а куда ты денешься с подводной лодки
>всё уже работает, почитайте про казахский интернет например тихо проект сдох. ибо x509 и tls. занимаюсь созданием IP сетей с 1999 года.
"а ещё я знаю кунфу, карате, тэквондо и много других страшных слов!" салага, я с 1995 админил-юзал потиху "создавать сеть" это смешно -- воткнул кабеля в раутер и включил софт, от так создатель! а, ещё вместо DHCP там статические давали видимо так тихо, что никто никаких следов не оставил, новостей не писали? пруф или брехня
>"а ещё я знаю кунфу, карате, тэквондо и много других страшных слов!" >салага, я с 1995 админил-юзал потиху >>видимо так тихо, что никто никаких следов не оставил, новостей не писали? "старость иногда приходит одна" (c) на твоем месте я бы извинился. ибо иначе будешь похожим на обыкновенного постовкового агрессивного мудака. да, выбора нет.
языком лязгает пишет "матёрый создатель сетей", а извиняться мне? н-да, богатое воображение у ебанарика пошёл ты нахер, пиздобол дешевый, буду я ещё вприсядку плясать почитай википедию про mitm например, потом про tls вякай ну обнаружит юзер, что его прослушивает, ну потыркает в неработающие прокси и сайты, впн попытается с тем же результатом, закроет браузер -- и что дальше? сиди в сапёра играй? или ставь митм серт и жри что дают
>н-да, богатое воображение у ебанарика пошёл ты нахер, пиздобол дешевый, буду я ещё вприсядку плясать ты будешь вприсядку плясать у своего работдателя, когда он скажет. И как скажет. когда ты пишешь подобную хуйню на сайте, ты действительно чувствуешь себя настоящим мужчинкой? =) тебе девки-то дают? или ты на клавиатуре оттягиваешся? продолжай, мне забавно, люблю флуд =) (Reply to this) (Parent) "так а куда ты денешься с подводной лодки" VPN, напримЭр. Кучи их в интернетах, за вполне вменяемые небольшие деньги, машаллах.
1. впн можно блокировать. 2. уже введена административная ответственность за использование несертифицированных средств шифрования. (Reply to this) (Parent)
это пока ваших провайдеров не обязали блокировать впны, и не сажают за использование а вот в КНДР и блокируют, и сажают если в рф будут сажать -- будете дальше пробовать юзать? или свобода дороже? Многоумные гебнюки собираются запретить туннелирование между двумя компьютерами? Ну-ну. Проще тогда уж сразу тырнеты запретить, как бесовское изобретение. Сажать за подключение к другому ПК через туннель? Даже при всей ебанутости нынешнего режима, это представляется абсурдным и малореальным. А использование ВПН для серфинга недоказуемо. Да, буду продолжать дальше юзать. И? (Reply to this) (Parent) Что мешает запилить собственный ВПН сервер с блэкджеком и шлюхами на арендованном в еровпе железе? Масимум на что шакалята будут способны - закрыть доступ к публичным ВПН-серверам, которые раздают этот сервис широкому кругу пользователей. А так у недоучек руки коротки. Как крокодил, который хочет проглотить луну.
> Сажать за подключение к другому ПК через туннель? Даже при всей ебанутости нынешнего режима, это представляется абсурдным и малореальным. да, а хранить весь трафик -- образец логичности и здравомыслия > буду продолжать дальше юзать. И? тебя посодют, а ты не воруй нельзя закон нарушать! сапог начальника свят! > Масимум на что шакалята будут способны - закрыть доступ к публичным ВПН-серверам, которые раздают ох ох ох DPI предполагает, что при обнаружении ЛЮБОГО трафика непонятного протокола соединение к ЛЮБОМУ хосту-порту будет рубиться звонок провайдеру: -- у вас интернет не работает -- как вы определили? -- поставил впн, а оно не коннектит! -- ожидайте, опергруппа за вами уже в пути
Выход есть всегда, вы же понимаете :) Можно на сервер туда-сюда картинки гонять, например. По протоколу HTTP. Придется что-то дописать, конечно, пожертововать скоростью - но так или иначе решение есть почти всегда. Даже на зоне малявы по дорогам заряжают, несмотря на шмоны, а тут тем более. (Reply to this) (Parent)
Это вполне возможно технически. Вот так это работает со стороны пользователя: https://quip.com/N07UAXChSjRR (Reply to this) (Parent)
Срочно нужна еще одна секретная служба, которая будет следить за следящими! И т.д.
За дело берутся профессионалы. Картинки с котиками надо анализировать особенно тщательно. Вдруг там зашифрован тайный призыв к восстанию? (Reply to this) (Thread)
Вы будете смеяться, но стеганографию никто не отменял. Призывы в картинках с котиками? Лехко! Тут просто совпадение интересов множества лиц. Кто-то одержим профессиональной паранойей. Кто-то может нехило заработать на производстве шапочек из фольги. Кто-то решает интереснейшую техническую задачу защиты. А санитаров в этот дурдом вызвать и некому :)
Тут-то нооскоп и пригодится. Он все знает и без ключей. По определению
Как говорят англосаксы: too much knowledge makes the head bald. Что в переводе значит - от чрезмерного знания голова [у Родины] лысеет.
А остались еще права, которые не нарушили? (Reply to this) (Thread)
Придумаем и нарушим, делов! (Reply to this) (Parent)
А самое интересное будет, когда приватные ключи провайдеров окажутся доступны третьим лицам, которые не прочь поперехватывать, например, банковскую авторизацию. Эм. Они отдают себе отчет, что любые операции с картами через инет при таком раскладе становятся с точки зрения Visa/MC небезопасными, потому последние получают право смело банить любого экваера, предоставляющего услуги принятия платежей с карт через инет в РФ? Ну, то есть, про любые платежи в инете с карт очень скоро можно будет забыть во всей стране, потому как экваеры врядли пойдут на конфронтацию с визой и мастеркардом(обычно это печально кончается). В принципе, это разрешимо, но есть нюанс. ФСБ придется допустить иностранных аудиторов к своему оборудованию и документации по процессу сбора и хранения инфы! Чего никогда не произойдет по понятным причинам. Упс. (Reply to this) (Thread) Для всех остальных есть карты "русский мир"
(Reply to this) (Parent)
Охренеть. Правоохранительный государственный орган обсуждает с министерствами, как нарушать законодательство. Законодательство разумеется дура (лекс), но написано чётко: ХРАНИТЬ. "А давайте не хранить! Что, а как депутаны? да утрутся." -- предлагает госорган. Надо им подсказать, что если "не хранить" , то при улучшении анализатора не будет возможности перемотать и переанализировать. В целом -- Казахстан №2. Теперь понятно, почему закрыли порнохаб. С таким трафиком никакая расшифровка не справится. (Reply to this) (Thread)
ютуб поди гораздо больше трафика генерирует... (Reply to this) (Parent)
каждому при рождении вживлять в лоб видеокамеру и микрофон, и расшифровывать ничего не надо | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small}
![[info]](http://lj.rossia.org/img/imported-profile.gif){kind=small}