Downgrade-a

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Downgrade-a » Безопасность сетевая » Слежение за пользователями сети.СОРМ


Слежение за пользователями сети.СОРМ

Сообщений 1 страница 11 из 11

1

Есть такая система СОРМ Система технических средств для обеспечения функций Оперативно-Розыскных Мероприятий и рассказ одного Анона Читать
Скопирую текст, если вдруг не откроется сайт

Читать

Как некоторые из вас уже знают, я работал несколько лет на одну крупную фирму (название, ясное дело, говорить не буду), связанную с ИБ (Украина), в отделе компьютерной криминалистики (computer forensics).

Сейчас я уже там не работаю и поэтому хочу рассказать вам о некоторых интересных вещах, с которыми мне пришлось там столкнутся, а именно об анонимности хакеров, использующих связки VPN + SOCKS.

Для начала в общих чертах, что там происходило: отдел компьютерной криминалистики в этой фирме производит компьютерно-технические экспертизы (КТЭ) для судов по различным делам (DDOS, фишинг и т.п.), а также занимается детективной деятельностью (производит сбор информации из открытых и не совсем (закрытые форумы, например) источников для Интерпола) и расследованием инцидентов для крупных корпораций (инсайд). В этом отделе я занимался тестированием судебного ПО для производства СКТЭ (всякие парсеры логов, реестра и т.п.), но мне приходилось сталкиваться и с детективной деятельностью.

Итак, перейдем к делу. Вы покупаете VPN, находите SOCKS и делаете что-нибудь плохое, используя связку VPN + SOCKS. Что при этом происходит? Ваш трафик шифруется, передается на сервер VPN, дешифруется, передается на сервер SOCKS, а оттуда уже идет к серверу назначения. Казалось бы, анонимность обеспечена двумя уровнями, но на самом деле это не так. На моей практике было 4 случая, когда подобная схема юным хакерам не помогала и 2 дела дошли до суда (в качестве доказательств суду были представлены логи со средств, описанных ниже, а также данные, полученные при исследовании компьютерных носителей), а также 3 случая, когда был также безуспешно использован VPN без каких-либо дополнительных средств (в первом случае это сокс-прокси), в этом случае до суда не дошло только одно дело (примирение сторон).

Итак, как же вычисляют наивных хакеров, использующих VPN?

Когда вы хотите купить VPN, то вы ищите подходящий сервис исходя из определенных критериев (проверенные люди, высокий аптайм, низкие цены, отсутствие логов), но дело в том, что не вы одни ищите сервис VPN, и у заинтересованных людей уже есть список соответствий диапазонов IP адресов VPN контор с конкретным провайдером услуг (ДЦ, хостинг), т.е. если на вас поступает в правоохранительные органы жалоба (при этом плохие действия вы совершали через VPN), то они по имеющемуся IP адресу могут вычислить по своим внутренним базам данных фирму, предоставляющую хостинг VPN-сервису и даже если владелец сервиса отключил ведение логов и не желает сотрудничать, они могут собрать необходимые логи при помощи специального оборудования. В США, например, (человек из Украины использовал связку VPN + SOCKS с сервером VPN в США) во всех датацентрах по закону устанавливается оборудование легального перехвата, наиболее распространенное — Solera. В Европе распространено оборудование Netwitness (http://www.mantech.com/), в России — СОРМович (http://sormovich.ru/), на Украине я встречался с Solera и E-Detective (http://www.edecision4u.com/).
Что же делает это оборудование? Пока вы ничего не подозреваете и продолжаете использовать VPN, это оборудование автоматически пишет весь входящий и исходящий трафик (современное оборудование может писать ВЕСЬ трафик на скоростях до 20 Гбит/сек в течение нескольких часов на дисковый массив), и автоматически сопоставляет тайминги принятых и переданных пакетов, с целью воссоздать ту часть логов, которая отсутсвтует на VPN сервере. Могут ли перехваченные пакеты использоваться как доказательство в суде? Может, сам видел. Доказательство было признано допустимым исходя из того, что совпадало время прибытия и отправки пакетов (с маленькой задержкой), количество и размеры пакетов. Так, что, товарищи, преценденты уже есть!

А что же происходит в случае, если поверх VPN используется SOCKS?

Тут особо ничего не меняется, т.к. SOCKS не шифрует трафик и все вышеописанное оборудование может его корректно обработать. Но тут остается вопрос — как узнать, какой VPN сервер скрывается за SOCKS? Тут уже в дело вступает Интерпол, который трясет на предмет наличия логов либо владельца/хостера сервера, либо проделывает аналогичный финт с перехватом с SOCKS.

Как спастись от подобного?

Есть два выхода: перенести сервера в Индию/Пакистан и т.п., либо использовать другие средства обеспечения анонимности (например, Тор). Очень важно учитывать, что даже Индия использует средства перехвата (причем более активно, там далеко не демократия!), причем использует преимущественно средства российского производства (http://cybercop.in/). Так что вывод, стоит ли доверять странам «третьего мира», а также «не ведущим логи сервисам» — за вами.

Прецендент уже были и я их видел.

Вот что говорит Вики Перейти и один форум Перейти

Всё это под соусом приказа Министерства связи и массовых коммуникаций РФ от 19 ноября 2012 г. № 268 Ознакомиться который в итоге НЕ ПРИНЯТ (или официально не вступил в силу ).
З.Ы. Вики про СОРМ 3 вообще не знает ничего =)

0

2

В дополнение компании предоставляющие услуги установки систем СОРМ 2  СОРМ 2 
И немного Лурка Читать
Работа центра наблюдений СОРМ-2 разработки НТЦ ПРОТЕЙ основана на технологии глубокого анализа трафика (DPI), что позволяет легко идентифицировать протоколы передачи данных от пользователя и гибко управлять ими в режиме реального времени. Например, вести запись всего Skype трафика в сети или только с определенных IP/MAC адресов или установить полный запрет на пропуск определенного типа трафика и т. д.

http://www.protei.ru/products/sorm-2/

http://www.protei.ru/upload/doc/Catalog_SORM.pdf

Анализируемые протоколы

Центр наблюдения СОРМ-2 обеспечивает детектирование трафика WEB-приложений, E-mail, протоколов файлового обмена, в том числе P2P, голос/видео поверх IP, потоковое видео, трафик Internet-месседжеров (ICQ, Skype и другие), шифрованный тарфик и различные протоколы прикладного уровня. Список анализируемых протоколов постоянно актуализируется и расширяется.

http://www.protei.ru/products/sorm-2/features/

0

3

Об этой системе давно в курсе. Собственно, вполне себе логичное продолжение интернета как коммерческой и оборонной сети. Считайте конттразведкой. Насколько я помню, СОРМ вообще разрабатывался в нулевые, тогда даже какое-то бурление вызвал среди интернетчиков.
Вообщем-то,сама идея не такая уж ужасная, смущает возможность злоупотреблений и чрезмерный контроль. Причём вот какая штука - пока в Internet не стали писать про группы во вконтактике, где подстрекают молодёжь к самоубийству, никакая слежка за траффиком не раскрыла авторов этих групп. Как только журналисты зашевелились - система сработала. Вопрос об эффективности встаёт.

0

4

informatik написал(а):

Вопрос об эффективности встаёт.

Ну всё же уже есть следующее поколение СОРМ, о котором там тихо шепчутся в торах. Думаю тотальная ещё давно свершилась, Сноуден ещё рассказывал про тотальную в Америке, не думаю что у Нас опаздывают с политическими технологиями.

0

5

qwaka1 написал(а):

Сноуден ещё рассказывал про тотальную в Америке, не думаю что у Нас опаздывают с политическими технологиями.

Да нет конечно, не опаздывают. Сейчас слежка ведётся почти во всех странах. Вопрос скорее в другом - ладно бы всякая сволочь, которая в сети преступления против личности готовит, но сколько с виду нормальных людей сливают провайдерам личную информацию.

0

6

informatik написал(а):

личную

Да инсайдерам пофиг, сливают что есть.

0

7

Есть одна причина не паниковать. СОРМ есть у 10-27% провайдеров.

0

8

down-grader написал(а):

10-27% провайдеров.

К 1 января 2017 года, компании операторы, должны показать свои планы внедрения подобной системы.

0

9

qwaka1 написал(а):

К 1 января 2017 года, компании операторы, должны показать свои планы внедрения подобной системы.

Планы мы должны были предоставить и в 2010, и в 2014.
Планы и СОРМ - две большие разницы.

0

10

down-grader написал(а):

Планы и СОРМ - две большие разницы.

Если так, то очень вери гуд =)

0

11

down-grader написал(а):

сть одна причина не паниковать. СОРМ есть у 10-27% провайдеров.

Спасибо за цифры, я думал, будет выше.
Вот только я не паникую, потому что понимаю, что работаю в коммерческой государственной сети. Пусть воротят, что хотят.

0


Вы здесь » Downgrade-a » Безопасность сетевая » Слежение за пользователями сети.СОРМ


Рейтинг форумов | Создать форум бесплатно