Jump to content
Калькуляторы

Уже накопили на СОРМ4? Начинайте копить на СОРМ5

ФСБ совместно с Минкомсвязью и Минпромторгом начала обсуждение анализа интернет-трафика. Разница в позициях ведомств заключается в том, что спецслужбы предлагают расшифровывать весь трафик в режиме реального времени

Позиция ведомств сходится в том, что хранение шифрованного интернет-трафика, что предусмотрено «законом Яровой» не имеет смысла, поскольку что-либо найти там будет затруднительно, сообщает газета «Коммерсантъ». Если ФСБ выступает за том, чтобы расшифровывать весь интернет-трафик россиян и анализировать его по ключевым параметрам, то министерства настаивают на том, чтобы расшифровывать лишь тех абонентов, которые привлекут внимание правоохранительных органов.

 

Как отмечает издание, по «закону Яровой» владельцы интернет-площадок обязаны сдавать ключи шифрования по требованию ФСБ. Однако, как сказал один из собеседников газеты, в интернете огромное количество сайтов, которые не являются организаторами распространения информации и используют защищенное https-соединение. Понять, что человек делал в Сети, можно лишь после расшифровки трафика.

 

Один из вариантов решения проблемы — установка на сетях операторов оборудования, способного выполнять MITM-атаку. Пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно — с сервером, к которому обращался пользователь.

 

С тем, что организация MITM – один из возможных путей, согласился основатель «Энвижн Групп» Антон Сушкевич. По его словам, это «позволит бороться с терроризмом в прямом эфире, а не какое-то время спустя».

 

Трое собеседников газеты указали, что для анализа трафика планируется использовать DPI-системы, которые и сейчас применяются многими операторами. В России есть ряд компаний, которые разрабатывают DPI-системы, например РДП.РУ. Генеральный директор последней Сергей Никулин сообщил газете, что если использовать систему «во зло», то это позволит шпионить за всеми абонентами, а это в свою очередь породит риск нарушения конституционных прав граждан.

 

Подробнее на РБК:

http://www.rbc.ru/society/21/09/2016/57e1e6349a7947290ef7a4e5?from=main

Share this post


Link to post
Share on other sites

Самое главное на что надо упирать, что подобные функции нельзя доверять провайдеру. В таком случае получится что каждый админ сам себе АНБ. Ибо доступ к расшифрованному трафику абонентов это и кредитные карты и банк-клиен и еще много чего. На пушечный выстрел к этому хранилищу подпускать людей без особого уровня допуска нельзя. Пусть собирают национальную базу куда операторы будут трафик зеркалить.

Share this post


Link to post
Share on other sites

это «позволит бороться с терроризмом в прямом эфире, а не какое-то время спустя».
предлагаю не в прямом эфире бороться, а заранее - те в инет выпускать после ЭКЗАМЕНОВ и по специальным правам! Остальным хватит и тв с книгами!

Share this post


Link to post
Share on other sites

Самое главное на что надо упирать, что подобные функции нельзя доверять провайдеру. В таком случае получится что каждый админ сам себе АНБ. Ибо доступ к расшифрованному трафику абонентов это и кредитные карты и банк-клиен и еще много чего. На пушечный выстрел к этому хранилищу подпускать людей без особого уровня допуска нельзя. Пусть собирают национальную базу куда операторы будут трафик зеркалить.

На каком основании вы считаете, что этими данными в собственных целях не будут пользоваться сотрудники ФСБ?

Сотрудник МВД Захарченко яркая демонстрация того, что все люди при наличие возможности будут извлекать для себя пользу,

в том числе из информации, к которой они получили доступ по долгу службы.

 

На самом деле фактически ФСБ предлагает узаконить атаку, то есть заведомо незаконный механизм доступа...

Возникает вопрос - кто тут хакер террорист вообще?

Share this post


Link to post
Share on other sites

На самом деле фактически ФСБ предлагает узаконить атаку, то есть заведомо незаконный механизм доступа...

При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат. Способа определения куда ты реально подключился тупо не будет вообще.

 

Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь.

Share this post


Link to post
Share on other sites

При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат. Способа определения куда ты реально подключился тупо не будет вообще.

Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь.

Да покупайте наздоровье. Можно прямо сейчас, на свой сайт, тогда на него точно не будет ругаться браузер, что оно не той системы после СОРМ5. Механизм же отзыва при утрате доверя сохранности секретного ключа к сертификату заложен в самой инфраструктуре и не рассматривается как конец света, а есть обычная рутина.

Share this post


Link to post
Share on other sites

На каком основании вы считаете, что этими данными в собственных целях не будут пользоваться сотрудники ФСБ?

 

Во первых не надо путать теплое с мягким в смысле МВД и ФСБ, это сильно разные структуры. Во вторых сотрудники американского АНБ и так уже имеют доступ (как минимум потенциальный) ко всем этим данным пусть и другим путем. В третьих контролировать условный десяток сотрудников ФСБ намного проще (ну это хотя бы возможно теоретически) чем контролировать всех админов всех интернет провайдеров в стране!

Share this post


Link to post
Share on other sites

При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат. Способа определения куда ты реально подключился тупо не будет вообще.

Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь.

Да покупайте наздоровье. Можно прямо сейчас, на свой сайт, тогда на него точно не будет ругаться браузер, что оно не той системы после СОРМ5. Механизм же отзыва при утрате доверя сохранности секретного ключа к сертификату заложен в самой инфраструктуре и не рассматривается как конец света, а есть обычная рутина.

Забыл уточнить: купил у товарища лейтенанта, который серт на MitM DPI грузит. :-))))

 

И пока пропажу не попалят - гуляй, рванина! ;-)

Share this post


Link to post
Share on other sites

Забыл уточнить: купил у товарища лейтенанта, который серт на MitM DPI грузит. :-))))

Есть более дешовые методы погулять до посадки.

Share this post


Link to post
Share on other sites

При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат.

Неверно. Правильный MitM для каждого сайта воспроизводит (кроме ключа и корневой подписи) тот сертификат, что был. Так что сертификаты будут разные. Хоть и не достоверные.

 

Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь.

Который сертификат в каждой точке расшифровки (те как минимум у каждого провайдера?) стоит. Эти черные ящики с сертификатом внутри внезапно станут очень интересными для хакеров.

 

Да покупайте наздоровье. Можно прямо сейчас, на свой сайт, тогда на него точно не будет ругаться браузер, что оно не той системы после СОРМ5.

А теперь надо объяснить это хрому по поводу гугловских сайтов. Там требования "сертификат должен быть от тех-то" прямо в дистрибутив вшит.

 

Механизм же отзыва при утрате доверя сохранности секретного ключа к сертификату заложен в самой инфраструктуре и не рассматривается как конец света, а есть обычная рутина.

1) Для этого надо сначало узнать, что сертификат сперли.

2) Механизмы отзыва именно корневых сертификатов - крайне кривые. Практически 'ручками вынести из списка доверенных'

Share this post


Link to post
Share on other sites

Да чушь все это.

Ну расшифруют https c помощью MitM, а с остальным что делать?

Те же мессенждеры например?

Толку от всего этого будет ровно ноль - у господ полицейских все равно не получится за 5 минут раскрыть дело, а очень хотелось.

Ясно только одно -что бы они там не придумали - платить за это будет провайдер. Просто слить трафик куда то не прокатит.

Поэтому готовьте деньги. Какая по сути разница за что платить - за кучу хардов для хранения трафика на нужной железке (свою поставить не дадут) или за черный ящик для расшифровки оного.

Share this post


Link to post
Share on other sites

Неверно. Правильный MitM для каждого сайта воспроизводит (кроме ключа и корневой подписи) тот сертификат, что был. Так что сертификаты будут разные. Хоть и не достоверные.

Тогда не очевидно, что перемещая планшет/ноут из точки в точку не получишь за день несколько раз РАЗНЫЕ сертификаты для одного домена.

Или будет централизованное хранилище сертификатов, что еще круче как лакомый кусочек для взломщиков.

 

Ну и, даже подмена данных в сертификате пользователю все равно не позволит вообще никак идентифицировать кто там у него посередь соединения, ФСБ или взломщик и на тот-ли сайт попал SSL проксик.

 

Вобщем, жопа полная с доверием.

 

Какая по сути разница за что платить - за кучу хардов для хранения трафика на нужной железке (свою поставить не дадут) или за черный ящик для расшифровки оного.

В предложении фундаментальная ошибка. Использован не тот союз: надо "и" а не "или". Т.е., без вариантов: и тыщик для расшифровки, и куча дисков для хранения.

Share this post


Link to post
Share on other sites

Ну и, даже подмена данных в сертификате пользователю все равно не позволит вообще никак идентифицировать кто там у него посередь соединения, ФСБ или взломщик и на тот-ли сайт попал SSL проксик.

За этим будет MitM узел следить и на не те сайты не пускать. (Что, интересно, они будут делать с самоподписанными сайтами/соединениями?)

Share this post


Link to post
Share on other sites

Т.е., без вариантов: и тыщик для расшифровки, и куча дисков для хранения.

дешифрованное порно проще дедуплицировать

Share this post


Link to post
Share on other sites

Ясно только одно -что бы они там не придумали - платить за это будет провайдер. Просто слить трафик куда то не прокатит.

Поэтому готовьте деньги. Какая по сути разница за что платить - за кучу хардов для хранения трафика на нужной железке (свою поставить не дадут) или за черный ящик для расшифровки оного.

Как это не получится куда то слить? Мы тут с коллегами обсудили , некоторые говорят что даже за самих себя поручится не смогут если такое будет лежать под боком в открытом виде.... Провайдеру такой доступ совершенно не возможно иметь.

Если хотят создать, аналог американского наследника эшелона под названием Призма, то вопросов нет. Но нахрена же туда пускать провайдеров то админить? Тут блин Сноуденов не оберёшся , не говоря уже о Митниках.

 

дешифрованное порно проще дедуплицировать

 

Именно! А еще, зело компактней и надежней это все вместе централизованно держать.

Edited by abab

Share this post


Link to post
Share on other sites

Как это не получится куда то слить? Мы тут с коллегами обсудили , некоторые говорят что даже за самих себя поручится не смогут если такое будет лежать под боком в открытом виде.... Провайдеру такой доступ совершенно не возможно иметь.

Если хотят создать, аналог американского наследника эшелона под названием Призма, то вопросов нет. Но нахрена же туда пускать провайдеров то админить? Тут блин Сноуденов не оберёшся , не говоря уже о Митниках.

Чего-то я Вас не пойму. Ну стоит вот у Вас прямо сейчас СОРМ-2, там тоже 12 часов трафика пишется. И что? Сильно туда Ваш сисадмин может залезть и что-то выудить? Про хакеров вообще молчу - со стороны инета съемник СОРМ-2 это просто кусок провода, не более. Доступ к нему есть только с порта, который в сторону пульта УФСБ торчит.

Share this post


Link to post
Share on other sites

Да чушь все это.

Ну расшифруют https c помощью MitM, а с остальным что делать?

Так и https не расшифруют. Гугл и мозилла не пустят mitm сертификаты всяких там фсб.

Но, черный ящик, который контролирует весь трафик в обе стороны вполне ожидаемо, как минимум точечно/регионами отключать интернет позволит.

Share this post


Link to post
Share on other sites

Но, черный ящик, который контролирует весь трафик в обе стороны вполне ожидаемо, как минимум точечно/регионами отключать интернет позволит.

А по телефонии такая железка (отключающая регионами и без участия операторов) есть? Если нет - то почему это для интернета такое надо?

Share this post


Link to post
Share on other sites

Но, черный ящик, который контролирует весь трафик в обе стороны вполне ожидаемо, как минимум точечно/регионами отключать интернет позволит.

Это не есть мегазадача чекистов, это их вообще не волнует. Отключить инет они и сейчас могут на любой территории буквально по звонку, тут не зачем сложности с черными ящиками. Поверьте, знаю что говорю.

Да и потом, чисто технически лишать инета население проще всего в точках обеспечения связности - на техплощадках крупнейших магистральных операторов и в крупных иксах. Таких точек в разы меньше, чем провайдеров - контролировать проще.

 

Мегазадача в другом - сделать систему автоматического выявления и хранения компромата. Под термином "компромат" тут подразумевается широчайший спектр - что кому надо. Техническое обеспечение старой ментовской традиции "был бы человек, а статья найдется...". Бонусом к этой мегазадаче идет гарантированное обеспечение карманного IT-бизнеса очень уважаемых и высокосидящих погонов. Ибо, как известно, "черный ящик" могут состряпать многие, а вот продавать нет...

Share this post


Link to post
Share on other sites

Да чушь все это.

Ну расшифруют https c помощью MitM, а с остальным что делать?

Так и https не расшифруют. Гугл и мозилла не пустят mitm сертификаты всяких там фсб.

Тю, тоже мне проблема. Просто запретят использование таких браузеров. А при всех случаях попыток установления прямых защищённых соединений интернет будет блокироваться, а для восстановления доступа с паспортом писать объяснительую к специальному человеку в органах.

Share this post


Link to post
Share on other sites

Еще какая проблема! Могли бы запретить, все было бы гораздо проще. А пока даже закон - это так, только разговоры.

Share this post


Link to post
Share on other sites

А при всех случаях попыток установления прямых защищённых соединений интернет будет блокироваться, а для восстановления доступа с паспортом писать объяснительую к специальному человеку в органах.

Зачем такие сложности? Разве что для обеспечения занятости населения на должностях "специального человека в органах". Ну так это ж надо ему зряплату платить, а "денег нет, это по всей России так" (с) Д.А.М.

Вы что, ни разу не автолюбитель? Скорость хоть раз на камеру превышали? Письмо счастья получали на уплату услуги получения удовольствия от быстрой езды штрафа? Вот по аналогии и тут также сделают - попытался пошаманить с инетом == пришло письмо счастья с ценником за попытку. 2 попытки == пришло уже другое письмо - повестка в суд. Заметьте - все абсолютно автоматически, да еще и бюджет при этом наполняется.

Share this post


Link to post
Share on other sites

Зачем такие сложности? Разве что для обеспечения занятости населения на должностях "специального человека в органах". Ну так это ж надо ему зряплату платить, а "денег нет, это по всей России так" (с) Д.А.М.

 

Дык, как гаишники в анекдоте - "я думал палку выдали, и крутись как можешь, а тут еще и зарплату дают".

Share this post


Link to post
Share on other sites

Тю, тоже мне проблема. Просто запретят использование таких браузеров. А при всех случаях попыток установления прямых защищённых соединений интернет будет блокироваться, а для восстановления доступа с паспортом писать объяснительую к специальному человеку в органах.

Если мы можем запретить неугодный браузер, то MitM вообще не нужен. Сертифицированный браузер от государства может самостоятельно сессионные ключи TLS соединений куда надо отправлять.

 

И, кстати, хочу напомнить, что некоторые крупные операторы MitM уже балуются. В целях блокировки конкретных адресов на https сайтах. Браузер, разумеется, вопит, так что непонятно, насколько это осмысленно. Однако с данной затеей браузер вопить перестанет. Ненадолго, правда - пока черные списки сертификатов не пополнят.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.