Адрес для входа в РФ: exler.world

ФСБ предложила расшифровывать весь интернет-трафик россиян

21.09.2016 16:04  7138   Комментарии (137)

Слегка психоделическое.

В рамках исполнения «пакета Яровой» ФСБ вместе с Минкомсвязью и Минпромторгом обсуждает возможность расшифровки и анализа всего интернет-трафика россиян, пишет «Коммерсант» со ссылкой на несколько осведомленных источников.

ФСБ, рассказал собеседник издания, выступает за расшифровку всего трафика в режиме реального времени и анализа его по ключевым параметрам. В свою очередь, другие ведомства настаивают на расшифровке трафика только тех пользователей, которые чем-либо привлекли внимание правоохранительных органов.

В качестве одного из вариантов расшифровки, сообщили источники издания, рассматривается установка на сетях операторов оборудования, способного выполнять MITM-атаку (Man in the Middle). Такое оборудование, пояснили собеседники газеты, расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром.

Для анализа нешифрованного и уже расшифрованного трафика планируется использовать DPI-системы (Deep Packet Inspection), которые и сейчас применяются многими операторами, например для фильтрации сайтов, включенных Роскомнадзором в список запрещенных, утверждают источники. (Отсюда.)

По этому поводу интереснейший комментарий Леонида Волкова. Для тех, кто по каким-то причинам не может прочитать комментарий в Facebook, цитирую Леонида здесь вот по этой записи.

Быстрый комментарий к новости дня (потом напишу подробнее):
«ФСБ предлагает расшифровывать весь интернет-трафик россиян».

1. До ФСБ дошло, наконец, что «пакет Яровой» полностью бессмысленен. Потому что сейчас доля шифрованного трафика в рунете больше 50% и стремительно растет. А «пакет Яровой» предполагает хранение миллионов тонн этого шифрованного трафика, без возможности его расшифровать. И ищет новые пути. Это хорошо.

2. Путь, которые они предлагают, называется «государственный MiTM». MiTM = man-in-the-middle = «человек посередине» — это вид хакерской атаки, который заключается в том, что злоумышленник П встраивается в шифрованный канал между абонентами А и Б, и когда А и Б думают, что шифруют сообщения друг другу, на самом деле они шифруют их все в адрес П, который вскрывает их, а потом перешифровывает и отправляет дальше.

3. Очень наглядно показывает ход их мысли и уровень представлений о жизни. Помните из детства книжки про Владимира Ильича и жандармов и суровую царскую цензуру с перлюстрацией и чернила из молока? Вот это в точности оно и есть. Хотят все письма вскрывать и читать, а потом конверты заклеивать так, чтобы нельзя было догадаться, что письмо читали. Цифровая перлюстрация. Сейчас тотальная перлюстрация положена в отношении писем, которые идут с зоны и на зону. Но для ФСБ, детей вертухаев — вся страна это зона.

4. Проблемка заключается в том, что (см. пункт 2) MiTM — это вид хакерской атаки. Для всего используемого в интернете ПО попытка подмена сертификата для перешифровки контента выглядит именно и только так и реакция (автоматическая) будет соответствующей: как только операционная система или браузер выявят, что предъявлен поддельный сертификат, они его тут же забанят. (Это я конечно очень грубо, не вдаваясь в технические детали. Ну и нельзя исключать, что ФСБ пойдет договариваться, чтобы их сертификат предустанавливался в списки доверенных — это предмет для отдельного разговора). То есть работать все это не будет.

5. Пример: в декабре 2015 года в Казахстане пытались реализовать эту схему. КазТелеком бодро объявил абонентам, что они все обязаны установить себе государственный сертификат и с 1 января 2016 года весь трафик будет шифроваться на него. Через пару дней, однако, это сообщение с сайта КазТелекома исчезло и было объяснено «технической ошибкой». Очевидно, потому что нашелся умный человек, который объяснил, что через неделю после того, как у всех абонентов появится «государственный сертификат», интернет в Казахстане просто перестанет работать.

6. Прозвучали важные три буквы: DPI (deep packet inspection — глубокий анализ пакетов). ФСБ говорит: хотим не просто расшифровывать трафик «на лету», но и делать DPI, то есть в онлайн-режиме искать слова «бомба», «Путин», «жулики и воры», «дача Медведева», «Крым», «Володин — гей», «покемоны», «Чайка» и другие, которые в данный момент времени признаны угрожающими основам конституционного строя и национальной безопасности Российской Федерации. Хорошо известно, чьи уши торчат за DPI: это главный «национал-патриот» рунета Игорь Ашманов (сопредседатель партии «Великое Отечество», политического структуры НОДа) и супруга его Наталья Касперская. У них есть софт для DPI и для семантического анализа, они очень давно с ним носятся и мечтают продать государству и подороже.

7. РЕЗЮМЕ.
У меня для вас только хорошие новости.
— «Пакет Яровой» в нынешнем виде будет похоронен; ФСБ признает, что он абсолютно лишен смысла;
— Предлагаемое вместо него решение звучит многократно более дешево и разумно, но при этом не будет работать все равно (что хорошо для всех нас), а если и будет работать, то будет легко обходиться (защититься от MiTM нетрудно);
— В битву за распил государственных денег, выделяемых на «контроль за интернетом» включаются новые силы: если «пакет Яровой» в изначальном виде отвечал бизнес-интересам производителей СОРМа и группы Чемезова, то предложения ФСБ им резко противоречат, тут совсем другие бенефициары;
— Пока они будут между собой драться (возможно, с применением огнестрельного оружия) с интернетом не будет происходить ничего плохого.

21.09.2016 16:04
Комментарии 137

Это не будет работать и по чисто практическим причинам. Например, это разрушит все дистанционные услуги финансовых институтов, бирж, банков. Гэбульники будут у них тупо воровать и проворачивать такие махинации, которые им пока не снились. Они и сейчас воруют у банков, судя по всему.
22.09.16 12:41
0 0

hummer: А вы уверены, что такой центр выдающий серверу ФСБ сертификат FB не нарушает какие-то международные соглашения?

Да нет там соглашений. Есть список доверенных корневых сертификатов в вашей операционке или браузере. Это ваша сторона и вы можете (вас обяжут) поставить туда любой. Все механизмы взаимоотрношений с этими сертификатами не выходят за пределы соединения [Ваш компьютер]--[аппаратура слежения]



hummer: И главное, т.к. никому нет смысла доверять такому центру секретную информацию

Центру ни кто ни какой информации не даёт. Снаружи всё выглядит абсолютно прозрачно.



hummer: то это ничем не отличается от просто блокировки трафика.

Кто будет это делать и как? Россияне перестанут пользоваться интернетом? Все буржуи забанят все российские айпишники?



hummer: Гэбульники будут у них тупо воровать и проворачивать такие махинации, которые им пока не снились. Они и сейчас воруют у банков, судя по всему.

Они, конечно, конченые уроды, но далеко не дебилы. Они сейчас могут "украсть" любой банк и любое предприятие, хоть все сразу, но не делают этого (ну, то есть, делают, но уже не так тупо прямолинейно как это было с Ходором), поскольку понимают, что просто разрушат экономику. Им этого не надо.
22.09.16 13:49
0 0

либерастов

Хихи. Даже не прячет ольгинское мурло. Какие же кремлевские нацисты ничтожные.
22.09.16 10:31
0 0

А вот в штатах а вот в штатах а вот в штатах а вот в штатах

Новые пиемнтоты такие же убогие, как и оригинальный.
22.09.16 10:30
0 0







да с чего все решили, что "ВЕСЬ" трафик будет расшифровываться? для этого никаких мощностей не хватит

насколько я представляю логику работы СОРМа - он конкретных абонентов пишет, а никак не всех. И MITM, и DPI тоже только для "избранных"







ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ



к устройству системы технических средств по обеспечению функций

оперативно-розыскных мероприятий на узлах телематических служб





6. Функциональные требования



6.1. УС СОРМ должно осуществлять съем, обработку и передачу на ПУ всей информации, принимаемой и отправ­ляемой конкретными пользователями.

6.2. Отбор УС СОРМ информации, принадлежащей конкретному пользователю узла ПД или ТМС, должен осуществляться по следующим параметрам отбора:

- постоянный IP адрес;

- имя учетной записи пользователя (login);

- электронный адрес (e-mail);





Это открытая информация, читай сколько угодно




















22.09.16 03:25
0 0

Можно было указать примеры запросов и суть заметки становится ясна.

Если у Ашманова есть софт, который эффективней для поставленной задачи, то надо брать, что тут не так? Или "личную неприязнь испытываю", так по сравнению с безопасностью граждан это сущие пустяки.

А Конституцию и подлатать можно.
21.09.16 20:28
0 0

в одной госкорпорации так и работает выход в интеренет ( принудительная подмена сертификата на лету). Но имеют право, все-таки это их внутреннее корпоративное дело, как осуществлять свою безопасность
21.09.16 20:21
0 0

Demetrio:
в одной госкорпорации так и работает выход в интеренет ( принудительная подмена сертификата на лету). Но имеют право, все-таки это их внутреннее корпоративное дело, как осуществлять свою безопасность


совсем не в одной, это типовое решение, много раз видел его в офисах крупных организаций. Развернуть, если можно положить на компы еще один ЦС сертификат, очень просто. Именно из-за этого не понимаю, почему сертификат ФСБ в MITM применении уничтожит Интернет.
21.09.16 20:34
0 0

У нас тут в Беларуси просто разгул демократии, по сравнению с вами в последнее время.
21.09.16 20:18
0 0

Alex Exler: Проблемка заключается в том, что (см. пункт 2) MiTM — это вид хакерской атаки.

Ужас какой 😉



Alex Exler: Для всего используемого в интернете ПО попытка подмена сертификата для перешифровки контента выглядит именно и только так и реакция (автоматическая) будет соответствующей: как только операционная система или браузер выявят, что предъявлен поддельный сертификат, они его тут же забанят.

Бред не имеющий отношения к закону Яровой.

По тому закону они хотят расшифровывать трафик не подменяя сертификата . Именно для этого они хотели чтобы все дружно сдали ключи.

Но и трюк с подменой сертификата вполне работает для большинства сервисов.

Например, NSA и mail.ru: dxdt.ru

"Из контекста очевидно, что перехват производится при помощи подмены серверного сертификата на другой, но тоже легитимный, выпущенный тем или иным хорошо известным удостоверяющим центром, чтобы не вызывать предупреждения системы безопасности в браузере."

Против этого, теоретически, может помочь HPKP: en.wikipedia.org

Но,


его пока мало кто использует: news.netcraft.com
не понятно, что мешает фильтровать трафик нормально и подменять не только сертификат, но и ещё чистить HTTP заголовки от Public-Key-Pins или добавлять нужные пины?

Ну и напоследок:

en.wikipedia.org


21.09.16 19:27
0 0

Опять же, я не специалист, но я читал что для взлома шифрования с открытым ключом подходит только схема man-in-the-browser, т.е. по-другому говоря должны хакнуть ваш компьютер. Вот поэтому я перестал пользоваться антивирусом по фамилии госпожи упомянутой в исходном сообщении. Гэбэшные уши оттуда торчали и раньше, не даром антивирус Касперского был издавна запрещен в западных корпорациях.
21.09.16 19:25
0 0

Банки будут первые, кто на это не пойдёт. Они и раньше подозревали ментов и нечисть из управления К в организованном воровстве через интернет-банкинг.
21.09.16 19:07
0 0

Я вот думаю... Если ФСБ будет расшифровывать трафик, то потом его, расшифрованный, нельзя доверять каким-то там провайдерам. А значит, о его хранении пусть болит голова у ФСБ.
21.09.16 18:57
0 0

Я что-то не пойму - но ведь против систем с открытытм ключом схема митм не действительна?
21.09.16 18:44
0 0

Camel1000: Я что-то не пойму - но ведь против систем с открытытм ключом схема митм не действительна?

Так подмена сертификата идет на этапе начального обмена. Ты уже у себя шифруешь чужим ключом.
21.09.16 19:13
0 0

Camel1000: Я что-то не пойму - но ведь против систем с открытытм ключом схема митм не действительна?

Если клиента удалось уговорить доверять корневому сертификату взломщика, и если нет public key pinning, то работать будет.
21.09.16 19:12
0 0

Camel1000: Я что-то не пойму - но ведь против систем с открытытм ключом схема митм не действительна?

Почему же?
21.09.16 19:08
0 0

а что конкретный пользователь будет делать, когда увидит, что сертификат условно не гуглевский, а ФСБ-шный? Вздохнет и перестанет пользоваться поисковиком номер один?
21.09.16 18:17
0 0

Demetrio: а что конкретный пользователь будет делать, когда увидит, что сертификат условно не гуглевский, а ФСБ-шный? Вздохнет и перестанет пользоваться поисковиком номер один?

Пользователь может и не будет против, а вот chrome — будет, он просто не станет получать никаких данных с этого сервера.
21.09.16 19:57
0 0

С чего товарщ взял, что кагебешный митм работать не будет? Сертификат забанят буржуйские сайты? Ну, так нефиг на буржуйские ходить, а свои обяжут внести гб-сертификат в доверенные. Тогда и "спутник" и руссопедия и начнётся совершеннейшее щастье с чебурашконетом.
21.09.16 18:09
0 0

Жив старый анекдот:
Приходит мальчик к программисту с дискетой: "Дяденька, а скачайте мне весь Интернет на дискету, хочу весь его прочитать"

Мальчик вырос, и пошёл служить в ФСБ. И снова приходит с дискеткой к дяденьке-програмисту "Дяденька, а скачай мне на дискету интернет, весь, расшифрованный, хочу весь его прочитать!".
21.09.16 17:36
0 0

Alex Exler: — «Пакет Яровой» в нынешнем виде будет похоронен; ФСБ признает, что он абсолютно лишен смысла;

не совсем понимаю почему. Он же сам выше писал что хранить зашифрованный трафик (которого больше половины) бессмысленно, ну так будут хранить расшифрованный, делов то. Ключевые фразы "путин бомба" ловить сразу, остальное потом на усмотрение КГБ.

Дорогие Россияне финансово вполне потянут оба решения и все останутся счастливы.
MM2
21.09.16 16:48
0 0

MM2: Ключевые фразы "путин бомба" ловить сразу, остальное потом на усмотрение КГБ.

За Вами уже выехали 😄
22.09.16 00:53
0 0

[quote]Советник президента РФ по вопросам развития интернета Герман Клименко считает, что государство имеет право расшифровывать интернет-трафик, технически это возможно. Об этом он заявил журналистам в кулуарах форума "Интернет + Финансы".

]tass.ru
Ждем очередную порцию дифирамбов в адрес этого деятеля.
21.09.16 16:36
0 0

Вообще не понмиаю истерию вокруг "пакета Яровой". Спецслужбы России имеют в своем арсенале 14 оперативно-розыскных мероприятий, в том числе "наблюдение" которое при наличии санкции суда может заключаться в том, что вам пол или потолок от соседей просверлят и вставят камеру с которой будет видет ваш монитор, и не надо будет ничего дешифровывать. Просто когда говоришь по телефону (пишешь в интернете) заранее допускай, что это могут прослушивать и контролировать. А самое главное - жить надо так, чтобы не было скучно установленному за вами наружному наблюдению.
21.09.16 16:35
0 0

Cenderbaum:
Вообще не понмиаю истерию вокруг "пакета Яровой". Спецслужбы России имеют в своем арсенале 14 оперативно-розыскных мероприятий, в том числе "наблюдение" которое при наличии санкции суда может заключаться в том, что вам пол или потолок от соседей просверлят и вставят камеру с которой будет видет ваш монитор, и не надо будет ничего дешифровывать. Просто когда говоришь по телефону (пишешь в интернете) заранее допускай, что это могут прослушивать и контролировать. А самое главное - жить надо так, чтобы не было скучно установленному за вами наружному наблюдению.


Нарушение статьи 23 часть 2 Конституции для вас коненчно норма и не повод истерить.
21.09.16 17:03
0 0

Cenderbaum: Вообще не понмиаю истерию вокруг "пакета Яровой"

Когда услуги всех телекомунникационных провайдеров подорожают в несколько раз, поймете.
21.09.16 17:02
0 0

Cenderbaum:
Вообще не понмиаю истерию вокруг "пакета Яровой". Спецслужбы России имеют в своем арсенале 14 оперативно-розыскных мероприятий, в том числе "наблюдение" которое при наличии санкции суда может заключаться в том, что вам пол или потолок от соседей просверлят и вставят камеру с которой будет видет ваш монитор, и не надо будет ничего дешифровывать. Просто когда говоришь по телефону (пишешь в интернете) заранее допускай, что это могут прослушивать и контролировать. А самое главное - жить надо так, чтобы не было скучно установленному за вами наружному наблюдению.


Действительно, зачем беспокоиться о законах вообще?

Ведь преступник может не уметь читать и пробьет вам топором голову...
21.09.16 16:43
0 0

Пользуясь случаем, хочу передать привет незашифрованному интернет банкингу
21.09.16 16:34
0 0

ага, главное, чтоб когда будут расшифровывать - , а то Интернет это ж штука хрупкая, ненадежная 😄)
21.09.16 16:20
0 0

Alex Exler: ФСБ признает, что он абсолютно лишен смысла;

Признать - точно не признают. Просто будет вялотекущая возня, но с возможностью испортить жизнь кому угодно.
21.09.16 16:16
0 0
Теги
Сортировать по алфавиту или записям
BLM 21
Calella 143
exler.ru 272
авто 443
видео 4002
вино 359
еда 500
ЕС 60
игры 114
ИИ 29
кино 1582
попы 192
СМИ 2762
софт 930
США 132
шоу 6