Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет kouzdra ([info]kouzdra)
@ 2006-01-23 15:27:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
На каменные темы
Неоднократно встречался с такой забавной абберацией воспириятия, когда люди опасались обсуждать по телефону темы,
которые не боялись обсуждать по e-mail. Хотя прослушивание телефона - намного более трудоемкая вещь, чем
отслеживание e-mail (и прочих каналов передачи текстовой информации)

(Добавить комментарий)


[info]aspirantus
2006-01-23 15:46 (ссылка)
Но запись звонка много доказателтнее, чем письмо. почту подделать очень просто.

(Ответить) (Ветвь дискуссии)


[info]qwerty
2006-01-23 23:40 (ссылка)
C корректным RFC-822-заголовком трудно. В нем упомянуты все серверы, через которые проходило письмо. На серверах есть логи, которые тогда тоже нужно подделывать.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]polter
2006-01-24 05:44 (ссылка)
Подделать нужно лишь один сервер :)
если вообще нужно

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]qwerty
2006-01-24 06:51 (ссылка)
Если эксперты тупые, то можно и сервера не подделывать. Если ж не очень, то придется подделывать всю цепочку.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]polter
2006-01-24 08:57 (ссылка)
подделать/обмануть нужно исходный сервер
далее письмо пойдет по той же цепочке, что и отправленное(бы) настоящее
зачем цепочку-то всю?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]qwerty
2006-01-24 19:59 (ссылка)
Да. Остаются его логи и авторизация доступа.

(Ответить) (Уровень выше)


[info]ifp5
2006-01-24 11:08 (ссылка)
Ну вот я как раз такой человек. Некоторые темы я не обсуждаю по телефону:
1) потому что не хочу чтобы их услышали коллеги
2) потому что в нашей конторе пишутся ВСЕ телефонные разговоры


Хотя прослушивание телефона - намного более трудоемкая вещь, чем
отслеживание e-mail (и прочих каналов передачи текстовой информации)


Гм. Категорически не согласен, даже в рамках предприятия это не так.

(Ответить) (Ветвь дискуссии)


[info]kouzdra
2006-01-24 11:39 (ссылка)
C почтой все еще проще. Ее даже слушать не надо.

(Ответить) (Уровень выше) (Ветвь дискуссии)

На примере предприятия
[info]ifp5
2006-01-24 12:17 (ссылка)
Это с телефонией проще. Платишь деньги вендору и он ставит коробку которая всю телефонию автоматически пишет. Все.

Теперь возьмем большую сеть предприятия. Например, нашу контору. У нас есть десятки IP сетей для внутреннего употребления: офисная, технологические и пр. Все это живет поверх TDM, ATM, SDH, Ethernet (up to 10 Gbit/s), DWDM и пр. Попробуй проконтролируй куда и кому я пошлю письмо. :) (* я обычно пользуюсь своим почтовым сервером за пределами конторы, куда хожу по ssh *)

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]kouzdra
2006-01-24 12:22 (ссылка)
Так это просто значит, что ваша security дурью мается (в чем ничего удивительного нет).

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 12:38 (ссылка)
Может быть и мается, они передо мной не отчитываются. Хотя непонятно, как это следует из моих слов. У нас этих секьюрити аж три штуки: внешняя, внутренняя и информационная. Я более-менее представляю что происходит в информационной (т.к. пересекаюсь по долгу службы).

Вы согласны, что контролировать IP сложнее? :) Какие ваши аргументы, если нет?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]kouzdra
2006-01-24 12:42 (ссылка)
Не согласен. Согласен, что ваша security их даже не пытаетяс контролировать.
Если взять фирму за модель государства - то после похода ssh на чужой сервер Вы бы попали в поле зрения слулжбы безопасности (если, конечно, конкретно Вы можете к чему-то идметь доступ).

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 12:55 (ссылка)
> Согласен, что ваша security их даже не пытаетяс контролировать.

Ну вообще-то пытается и частично контролирует.

> Если взять фирму за модель государства - то после похода ssh на
> чужой сервер Вы бы попали в поле зрения слулжбы безопасности

Общий внешний трафик всей нашей сети порядка нескольких петабайтов (1 петабайт == 1048576 гигабайт). SSH я могу протуннелировать в HTTP или хоть в DNS, на общем фоне никто и не заметит, как бум контролировать?

> если, конечно, конкретно Вы можете к чему-то идметь доступ

Инженерам (к которым я отношусь) такой доступ необходим. У продавцов, бухгалтерии и прочих клерков доступа ессно нет: лотусовая почта и HTTP-прокси, так и живут.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 13:11 (ссылка)
Трафик имеется в виду за месяц.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]kouzdra
2006-01-24 13:30 (ссылка)
Ну вот считаем - топорная прикидка - 1 терабайт в рознице стоит $400.
Итого - 2-3 миллиона в мес. - верхний предел. При этом траффик довольно неплохо жмется - в http еще и много повтороов. Ну и оптом дешевле будет. Вполне бюджетно.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 13:44 (ссылка)
> Итого - 2-3 миллиона в мес. - верхний предел.

Если объединять это хозяйство в массивы, то подороже, сушественно. Всякие там NAS'ы и SAN'ы игрушки довольно дорогие.

Проблема, однако, в том, кто будет это все анализировать?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]kouzdra
2006-01-24 13:51 (ссылка)
А программки анализировать будут. Там все довольн просто - строятся типовые профили пользователей, ищутся отклонения - например использование криптографии или, скажем любовь к ssh соединениям с непостоянным набором хостов - вполне так критерии. etc.

Я в свое время имел дело с радиопрослушкой - с этой точки зрения - iNet - мечта идиота: самое узкое место было как раз то, что надо сажать операторов, которые со слуха вбивают все это дело в комп. Дальше как раз ясно что делать. Постоянно пытались изобрести какие-то железки, которые хотя бы в первом приближении фильтровали лажу.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 15:12 (ссылка)
> А программки анализировать будут.

Допустим я буду посылать ssh через туннель собственной конструкции. Способов туннелирования IP бесконечное количество (теоретически). Следовательно, задача алгоритмически неразрешима.

> Я в свое время имел дело с радиопрослушкой - с
> этой точки зрения - iNet - мечта идиота

Слишком велики потоки информации (и постоянно растут). Инет это, скорее, мечта стеганографиста. :)

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]kouzdra
2006-01-24 15:22 (ссылка)
Ну будешь. По этому критерию сразу же выделяешься в группу из нескольких сотен таких на всю страну. В случае пересечения с группой работников закрытых предприятий - получаешься такой один и можно начинать разбираться.

География твоей активности, временные их характеристики и прочее никуда не денутся. Ну связался ты с хостом xxx по закрытому каналу. Активность на твоем канале все равно прослеживается. Корреляция с активностью того хоста, куда ты зашел - выделяется. Далее - вполне правдоподобно предположение, что они взаимосвязаны (если это прокси какого-то роде. если нет = то это уже само по себе интересно - что это за хост такой).

Сиысл же - не содержание переписки анализировать. Там обычно анализировать почти нечего (да и криптографию и без всех этих наворотов никто не отменял). Смысл понять, на что смотреть. Вот это-то и удобно делать.

В мою бытность в армии использование закртытого канала выделяло его намного лучше, чем любой открытый текст. И очень неплохо характеризовало его принадлежность. И это - при прослушке военных переговоров, где использование шифрования более обычно.

Инет это, скорее, мечта стеганографиста. :)

Стеганография обычно довольно легко выявляется стат.анализом. Как раз ручную выделять сложно.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 15:37 (ссылка)
> Ну будешь. По этому критерию сразу же выделяешься в группу
> из нескольких сотен таких на всю страну.

Закрытый канал еще найти надо. Вот пример туннеля: я инкапсулирую свои данные в опции IP пакетов или еще куда, благо места много. При этом общаюсь с каким-нибудь "легальным" хостом, не вызывающим подозрений, например, www.cisco.com. Опции с моими данными я могу обрабатывать даже не на самом www.cisco.com, а на транзитном маршрутизаторе.

> Стеганография обычно довольно легко выявляется стат.анализом.

Для plain текстов, наверное, да. Для IP трафика сомневаюсь. Особенно что касается стеганографии в мультимедийных данных, заголовках различных протоколах и пр.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]kouzdra
2006-01-24 15:44 (ссылка)
Заголовки - хорошо структурированный поток информации. Наверняка ловится обычным стат. анализом. С мультимедией - думаю тоже самое. Будут какие-то отклонения от "типовых" спектров. Причем, скорее всего - очень характерные - например - шум окажется не вполне шумом.

В принципе - вон адаптивные спам-фильтры - совсем тривиальный статистический анализ - а работают очень неплохо.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 15:58 (ссылка)
> Заголовки - хорошо структурированный > поток информации.

Не согласен.
1) Заголовки надо выделить в общем потоке, что требует знания всех в мире протоколов, а также особенностей их реализации на каждом хосте.
2) Некоторые из них постоянно меняются, например, передается timestamp с точностью до миллисекунды. Можно использовать последний для передачи своей информации, точность не сильно ухудшится, а поймать невозможно.

> Причем, скорее всего - очень характерные - например - шум окажется не вполне шумом.

Хе-хе. Почти что тема моего диплома. :) Как правило, такие критерии требуют больших объемов выборки, обходится следовательно.

> В принципе - вон адаптивные спам-фильтры - совсем тривиальный статистический анализ -
> а работают очень неплохо.

Задача сильно проще. Поток информации структурированный и однородный.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]kouzdra
2006-01-24 16:08 (ссылка)
Некоторые из них постоянно меняются, например, передается timestamp с точностью до миллисекунды. Можно использовать последний для передачи своей
информации, точность не сильно ухудшится, а поймать невозможно.

Это скорее всего даже особенно ловить не надо - поедут частоты. Грубо говоря кодом Хаффмена будет паковаться заметно лучше, чем реальная информация.


(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 17:05 (ссылка)
Частоты будут одинаковые по-моему, предполагая что у меня будут передаваться шифрованные данные.

Давайте подытожим. Вы считаете, что реально собрать и структурировать все эти петабайты информации в виде тысяч протоколов, в том числе и наложенных (а также учитывая особенности реализации протоколов), разобрать по полям и проанализировать при существующих технологиях за разумное время?

(Ответить) (Уровень выше)

Re: На примере предприятия
[info]kouzdra
2006-01-24 13:31 (ссылка)
Ну так - я уже говорил - keylogger в клаве и проблема решена. Либо специальной proxy, который будет лог вести.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: На примере предприятия
[info]ifp5
2006-01-24 17:10 (ссылка)
Не решена, кстати. Например есть сотрудники, пользующиеся PDA без клавиатуры и своими и корпоративными.

(Ответить) (Уровень выше)

Re: На примере предприятия
[info]kouzdra
2006-01-24 12:23 (ссылка)
Впрочем - может они просто правильные клавы заказывают? Тогда - никаких претензий.

(Ответить) (Уровень выше)


[info]ifp5
2006-01-24 12:42 (ссылка)
Что касается СОРМ, то на IP сетях с ним пока все "не слава богу", а в телефонии полный порядок, и в традиционной и в мобильной и в VoIP.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]kouzdra
2006-01-24 12:48 (ссылка)
Ну полный или не полный - но у магистральных провайдеров думаю все давно в порядке. У конечных - без всякого СОРМа подробные логи ведутся. На пару этого более чем достаточно.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ifp5
2006-01-24 12:56 (ссылка)
Дело в том, что я работаю в "магистральном провайдере" и про ситуацию с СОРМ немного в курсе, хотя им непосредственно не занимаюсь.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ifp5
2006-01-24 13:03 (ссылка)
Как обстоит дело в мелких я тоже в курсе, т.к. работал в мелких ISP и в одном из них общался с ФСБ непосредственно, а также обрабатывал запросы из МВД.

(Ответить) (Уровень выше)