nemo_lynx Posted September 21, 2016 · Report post ФСБ совместно с Минкомсвязью и Минпромторгом начала обсуждение анализа интернет-трафика. Разница в позициях ведомств заключается в том, что спецслужбы предлагают расшифровывать весь трафик в режиме реального времени Позиция ведомств сходится в том, что хранение шифрованного интернет-трафика, что предусмотрено «законом Яровой» не имеет смысла, поскольку что-либо найти там будет затруднительно, сообщает газета «Коммерсантъ». Если ФСБ выступает за том, чтобы расшифровывать весь интернет-трафик россиян и анализировать его по ключевым параметрам, то министерства настаивают на том, чтобы расшифровывать лишь тех абонентов, которые привлекут внимание правоохранительных органов. Как отмечает издание, по «закону Яровой» владельцы интернет-площадок обязаны сдавать ключи шифрования по требованию ФСБ. Однако, как сказал один из собеседников газеты, в интернете огромное количество сайтов, которые не являются организаторами распространения информации и используют защищенное https-соединение. Понять, что человек делал в Сети, можно лишь после расшифровки трафика. Один из вариантов решения проблемы — установка на сетях операторов оборудования, способного выполнять MITM-атаку. Пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно — с сервером, к которому обращался пользователь. С тем, что организация MITM – один из возможных путей, согласился основатель «Энвижн Групп» Антон Сушкевич. По его словам, это «позволит бороться с терроризмом в прямом эфире, а не какое-то время спустя». Трое собеседников газеты указали, что для анализа трафика планируется использовать DPI-системы, которые и сейчас применяются многими операторами. В России есть ряд компаний, которые разрабатывают DPI-системы, например РДП.РУ. Генеральный директор последней Сергей Никулин сообщил газете, что если использовать систему «во зло», то это позволит шпионить за всеми абонентами, а это в свою очередь породит риск нарушения конституционных прав граждан. Подробнее на РБК: http://www.rbc.ru/society/21/09/2016/57e1e6349a7947290ef7a4e5?from=main Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted September 21, 2016 · Report post Откудаж вы паникеры беретесь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abab Posted September 21, 2016 · Report post Самое главное на что надо упирать, что подобные функции нельзя доверять провайдеру. В таком случае получится что каждый админ сам себе АНБ. Ибо доступ к расшифрованному трафику абонентов это и кредитные карты и банк-клиен и еще много чего. На пушечный выстрел к этому хранилищу подпускать людей без особого уровня допуска нельзя. Пусть собирают национальную базу куда операторы будут трафик зеркалить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SergoINFOLAN Posted September 21, 2016 · Report post это «позволит бороться с терроризмом в прямом эфире, а не какое-то время спустя».предлагаю не в прямом эфире бороться, а заранее - те в инет выпускать после ЭКЗАМЕНОВ и по специальным правам! Остальным хватит и тв с книгами! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pers123 Posted September 21, 2016 · Report post Самое главное на что надо упирать, что подобные функции нельзя доверять провайдеру. В таком случае получится что каждый админ сам себе АНБ. Ибо доступ к расшифрованному трафику абонентов это и кредитные карты и банк-клиен и еще много чего. На пушечный выстрел к этому хранилищу подпускать людей без особого уровня допуска нельзя. Пусть собирают национальную базу куда операторы будут трафик зеркалить. На каком основании вы считаете, что этими данными в собственных целях не будут пользоваться сотрудники ФСБ? Сотрудник МВД Захарченко яркая демонстрация того, что все люди при наличие возможности будут извлекать для себя пользу, в том числе из информации, к которой они получили доступ по долгу службы. На самом деле фактически ФСБ предлагает узаконить атаку, то есть заведомо незаконный механизм доступа... Возникает вопрос - кто тут хакер террорист вообще? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 21, 2016 · Report post На самом деле фактически ФСБ предлагает узаконить атаку, то есть заведомо незаконный механизм доступа... При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат. Способа определения куда ты реально подключился тупо не будет вообще. Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted September 21, 2016 · Report post При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат. Способа определения куда ты реально подключился тупо не будет вообще. Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь. Да покупайте наздоровье. Можно прямо сейчас, на свой сайт, тогда на него точно не будет ругаться браузер, что оно не той системы после СОРМ5. Механизм же отзыва при утрате доверя сохранности секретного ключа к сертификату заложен в самой инфраструктуре и не рассматривается как конец света, а есть обычная рутина. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abab Posted September 21, 2016 · Report post На каком основании вы считаете, что этими данными в собственных целях не будут пользоваться сотрудники ФСБ? Во первых не надо путать теплое с мягким в смысле МВД и ФСБ, это сильно разные структуры. Во вторых сотрудники американского АНБ и так уже имеют доступ (как минимум потенциальный) ко всем этим данным пусть и другим путем. В третьих контролировать условный десяток сотрудников ФСБ намного проще (ну это хотя бы возможно теоретически) чем контролировать всех админов всех интернет провайдеров в стране! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 21, 2016 · Report post При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат. Способа определения куда ты реально подключился тупо не будет вообще. Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь. Да покупайте наздоровье. Можно прямо сейчас, на свой сайт, тогда на него точно не будет ругаться браузер, что оно не той системы после СОРМ5. Механизм же отзыва при утрате доверя сохранности секретного ключа к сертификату заложен в самой инфраструктуре и не рассматривается как конец света, а есть обычная рутина. Забыл уточнить: купил у товарища лейтенанта, который серт на MitM DPI грузит. :-)))) И пока пропажу не попалят - гуляй, рванина! ;-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vodz Posted September 21, 2016 · Report post Забыл уточнить: купил у товарища лейтенанта, который серт на MitM DPI грузит. :-)))) Есть более дешовые методы погулять до посадки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted September 21, 2016 · Report post При наличаи повсеместного использования государственного MitM пользователи вообще на все HTTPS будут видеть только один сертификат. Неверно. Правильный MitM для каждого сайта воспроизводит (кроме ключа и корневой подписи) тот сертификат, что был. Так что сертификаты будут разные. Хоть и не достоверные. Зато какая лафа какирам! Один раз спер/купил сертификат ФСБ и хрен кто когда обнаружит, что ты весь его трафик мониторишь. Который сертификат в каждой точке расшифровки (те как минимум у каждого провайдера?) стоит. Эти черные ящики с сертификатом внутри внезапно станут очень интересными для хакеров. Да покупайте наздоровье. Можно прямо сейчас, на свой сайт, тогда на него точно не будет ругаться браузер, что оно не той системы после СОРМ5. А теперь надо объяснить это хрому по поводу гугловских сайтов. Там требования "сертификат должен быть от тех-то" прямо в дистрибутив вшит. Механизм же отзыва при утрате доверя сохранности секретного ключа к сертификату заложен в самой инфраструктуре и не рассматривается как конец света, а есть обычная рутина. 1) Для этого надо сначало узнать, что сертификат сперли. 2) Механизмы отзыва именно корневых сертификатов - крайне кривые. Практически 'ручками вынести из списка доверенных' Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Negator Posted September 21, 2016 · Report post Да чушь все это. Ну расшифруют https c помощью MitM, а с остальным что делать? Те же мессенждеры например? Толку от всего этого будет ровно ноль - у господ полицейских все равно не получится за 5 минут раскрыть дело, а очень хотелось. Ясно только одно -что бы они там не придумали - платить за это будет провайдер. Просто слить трафик куда то не прокатит. Поэтому готовьте деньги. Какая по сути разница за что платить - за кучу хардов для хранения трафика на нужной железке (свою поставить не дадут) или за черный ящик для расшифровки оного. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
snvoronkov Posted September 21, 2016 · Report post Неверно. Правильный MitM для каждого сайта воспроизводит (кроме ключа и корневой подписи) тот сертификат, что был. Так что сертификаты будут разные. Хоть и не достоверные. Тогда не очевидно, что перемещая планшет/ноут из точки в точку не получишь за день несколько раз РАЗНЫЕ сертификаты для одного домена. Или будет централизованное хранилище сертификатов, что еще круче как лакомый кусочек для взломщиков. Ну и, даже подмена данных в сертификате пользователю все равно не позволит вообще никак идентифицировать кто там у него посередь соединения, ФСБ или взломщик и на тот-ли сайт попал SSL проксик. Вобщем, жопа полная с доверием. Какая по сути разница за что платить - за кучу хардов для хранения трафика на нужной железке (свою поставить не дадут) или за черный ящик для расшифровки оного. В предложении фундаментальная ошибка. Использован не тот союз: надо "и" а не "или". Т.е., без вариантов: и тыщик для расшифровки, и куча дисков для хранения. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted September 21, 2016 · Report post Ну и, даже подмена данных в сертификате пользователю все равно не позволит вообще никак идентифицировать кто там у него посередь соединения, ФСБ или взломщик и на тот-ли сайт попал SSL проксик. За этим будет MitM узел следить и на не те сайты не пускать. (Что, интересно, они будут делать с самоподписанными сайтами/соединениями?) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted September 21, 2016 · Report post Т.е., без вариантов: и тыщик для расшифровки, и куча дисков для хранения. дешифрованное порно проще дедуплицировать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
abab Posted September 21, 2016 (edited) · Report post Ясно только одно -что бы они там не придумали - платить за это будет провайдер. Просто слить трафик куда то не прокатит. Поэтому готовьте деньги. Какая по сути разница за что платить - за кучу хардов для хранения трафика на нужной железке (свою поставить не дадут) или за черный ящик для расшифровки оного. Как это не получится куда то слить? Мы тут с коллегами обсудили , некоторые говорят что даже за самих себя поручится не смогут если такое будет лежать под боком в открытом виде.... Провайдеру такой доступ совершенно не возможно иметь. Если хотят создать, аналог американского наследника эшелона под названием Призма, то вопросов нет. Но нахрена же туда пускать провайдеров то админить? Тут блин Сноуденов не оберёшся , не говоря уже о Митниках. дешифрованное порно проще дедуплицировать Именно! А еще, зело компактней и надежней это все вместе централизованно держать. Edited September 21, 2016 by abab Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo_lynx Posted September 21, 2016 · Report post Как это не получится куда то слить? Мы тут с коллегами обсудили , некоторые говорят что даже за самих себя поручится не смогут если такое будет лежать под боком в открытом виде.... Провайдеру такой доступ совершенно не возможно иметь. Если хотят создать, аналог американского наследника эшелона под названием Призма, то вопросов нет. Но нахрена же туда пускать провайдеров то админить? Тут блин Сноуденов не оберёшся , не говоря уже о Митниках. Чего-то я Вас не пойму. Ну стоит вот у Вас прямо сейчас СОРМ-2, там тоже 12 часов трафика пишется. И что? Сильно туда Ваш сисадмин может залезть и что-то выудить? Про хакеров вообще молчу - со стороны инета съемник СОРМ-2 это просто кусок провода, не более. Доступ к нему есть только с порта, который в сторону пульта УФСБ торчит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted September 21, 2016 · Report post Да чушь все это. Ну расшифруют https c помощью MitM, а с остальным что делать? Так и https не расшифруют. Гугл и мозилла не пустят mitm сертификаты всяких там фсб. Но, черный ящик, который контролирует весь трафик в обе стороны вполне ожидаемо, как минимум точечно/регионами отключать интернет позволит. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted September 21, 2016 · Report post Но, черный ящик, который контролирует весь трафик в обе стороны вполне ожидаемо, как минимум точечно/регионами отключать интернет позволит. А по телефонии такая железка (отключающая регионами и без участия операторов) есть? Если нет - то почему это для интернета такое надо? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo_lynx Posted September 21, 2016 · Report post Но, черный ящик, который контролирует весь трафик в обе стороны вполне ожидаемо, как минимум точечно/регионами отключать интернет позволит. Это не есть мегазадача чекистов, это их вообще не волнует. Отключить инет они и сейчас могут на любой территории буквально по звонку, тут не зачем сложности с черными ящиками. Поверьте, знаю что говорю. Да и потом, чисто технически лишать инета население проще всего в точках обеспечения связности - на техплощадках крупнейших магистральных операторов и в крупных иксах. Таких точек в разы меньше, чем провайдеров - контролировать проще. Мегазадача в другом - сделать систему автоматического выявления и хранения компромата. Под термином "компромат" тут подразумевается широчайший спектр - что кому надо. Техническое обеспечение старой ментовской традиции "был бы человек, а статья найдется...". Бонусом к этой мегазадаче идет гарантированное обеспечение карманного IT-бизнеса очень уважаемых и высокосидящих погонов. Ибо, как известно, "черный ящик" могут состряпать многие, а вот продавать нет... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted September 21, 2016 · Report post Да чушь все это. Ну расшифруют https c помощью MitM, а с остальным что делать? Так и https не расшифруют. Гугл и мозилла не пустят mitm сертификаты всяких там фсб. Тю, тоже мне проблема. Просто запретят использование таких браузеров. А при всех случаях попыток установления прямых защищённых соединений интернет будет блокироваться, а для восстановления доступа с паспортом писать объяснительую к специальному человеку в органах. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ttttt Posted September 21, 2016 · Report post Еще какая проблема! Могли бы запретить, все было бы гораздо проще. А пока даже закон - это так, только разговоры. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nemo_lynx Posted September 21, 2016 · Report post А при всех случаях попыток установления прямых защищённых соединений интернет будет блокироваться, а для восстановления доступа с паспортом писать объяснительую к специальному человеку в органах. Зачем такие сложности? Разве что для обеспечения занятости населения на должностях "специального человека в органах". Ну так это ж надо ему зряплату платить, а "денег нет, это по всей России так" (с) Д.А.М. Вы что, ни разу не автолюбитель? Скорость хоть раз на камеру превышали? Письмо счастья получали на уплату услуги получения удовольствия от быстрой езды штрафа? Вот по аналогии и тут также сделают - попытался пошаманить с инетом == пришло письмо счастья с ценником за попытку. 2 попытки == пришло уже другое письмо - повестка в суд. Заметьте - все абсолютно автоматически, да еще и бюджет при этом наполняется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted September 22, 2016 · Report post Зачем такие сложности? Разве что для обеспечения занятости населения на должностях "специального человека в органах". Ну так это ж надо ему зряплату платить, а "денег нет, это по всей России так" (с) Д.А.М. Дык, как гаишники в анекдоте - "я думал палку выдали, и крутись как можешь, а тут еще и зарплату дают". Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Sergey Gilfanov Posted September 22, 2016 · Report post Тю, тоже мне проблема. Просто запретят использование таких браузеров. А при всех случаях попыток установления прямых защищённых соединений интернет будет блокироваться, а для восстановления доступа с паспортом писать объяснительую к специальному человеку в органах. Если мы можем запретить неугодный браузер, то MitM вообще не нужен. Сертифицированный браузер от государства может самостоятельно сессионные ключи TLS соединений куда надо отправлять. И, кстати, хочу напомнить, что некоторые крупные операторы MitM уже балуются. В целях блокировки конкретных адресов на https сайтах. Браузер, разумеется, вопит, так что непонятно, насколько это осмысленно. Однако с данной затеей браузер вопить перестанет. Ненадолго, правда - пока черные списки сертификатов не пополнят. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...