Ответ Порнхаба Роскомнадзору
Ребята, если мы дадим вам Премиум-аккаунт, вы разбаните Порнхаб в России?
Есть вменяемые люди, способные пояснить за все эти блокировки? Без кудахтанья про нравственность, повышение рождаемости и т.п.? Какова реальная цель, распил бюджета? Китайский фаервол?
раскрыть ветку (25)
Ну что вы как в детском саду.
Курочка по зернышку клюет. Так и в политике: они не могут запретить все сразу. Это будет долгий и длительный процесс, втирание об успехах в сми, закрытие ресурса за ресурсом. Учитывая, что аппаратные средства шифрования под запретом в нашей стране для физических лиц, то единственный вариант скрыть трафик - программное шифрование. В течение десятилетия будет строиться великий Российский файервол, который сумеет отслеживать все и обо всех (прям как в Китае). И когда он будет готов, то примут новый закон о запрете криптографии (то есть VPN с шифрованием, опять же как в Китае) для физических лиц.
Добро пожаловать в относительно недалекое будущее. Мы точно до него доживем.
А то что параллельно с этим идет огроменный распил бюджета, делает создание файерволла еще более заманчивым: видимость работы для тысяч бюджетников, деньги налогоплательщиков, современные технологии и видимость прогрессивной ИТ-страны + реальные данные о пользователях
раскрыть ветку (22)
Мой юношеский максимализм требует бунта после твоих слов. Не дрочить же нам опять на вкладыши
раскрыть ветку (8)
Есть разные способы обойти и этот запрет. Просто они на данный момент не актуальны, пока криптография в законе
раскрыть ветку (7)
Да я все это понимаю, мне zenmate даже выключать лень. меня расстраивает сам факт вмешательства власти в интернет. Мои фантазии о будущем омрачены новыми тучами или кровью.зависит от настроения
раскрыть ветку (6)
а вот отключение vpn сторонних это №1, что нужно делать всегда. и включать ТОЛЬКО когда тебе нужно зайти на заблоченный сайт. иначе все твои https соединения, пароли контакта, карточек и тд и тп доступны в открытом виде)
сторонние впн это хорошо. но очень больно, при отсутствии понимания, как оно работает
раскрыть ветку (5)
Как приятно получать толковые замечания и полезные знания без упоминания твоей тупости
раскрыть ветку (1)
иначе все твои https соединения, пароли контакта, карточек и тд и тп доступны в открытом виде)
А почему так? Я представляю VPN со стороны как шланг с жидкостью, состав которой невозможно узнать снаружи
раскрыть ветку (2)
когда ты пользуешься прокси(а все эти левые сервисы именно прокси, а не vpn), то будто говоришь "вот этот прокси - мое доверенное лицо". он стоит на границе закрытого сегмента сети и открытой глобальной сети, соответственно знает о том, какой трафик ходит от тебя к нему в явном виде.
я уже в комментариях писал разницу прокси и VPN. ниже ссылка
ещё комментарии
Так это же круто - сколько неадекватов сразу покинет страну! Жильё в цене упадёт, освободится место для здоровых, нормальных людей, которые не валят за бугор как тараканы по первому же отключению интернета.
Не, серьёзно, вдумайтесь: вполне ли здоров на голову человек, способный сменить ПМЖ из-за отключения интернета?
ещё комментарий
Как то совсем тошно стало после таких слов и осознания, что нихерашеньки с этим не сделать.
раскрыть ветку (1)
"Правильную" криптографию невозможно отследить и заблокировать. Можно хоть в ICMP пакетах (пинги) поднять туннель зашифрованных данных и хрен кто это пойдем когда. Китайцы легко обходят свой фаерволл и у нас будут даже если до такого маразма дойдет.
раскрыть ветку (8)
что значит "правильную"?
современный шифратор без закладок на длинном симметричном предварительно распределенном ключе тебе выдаст тупо набор символов по биномиальному закону распределения, который хрен ты расшифруешь. Как определить его в пакете? Элементарно.
Здесь проблема не в том, как обойти, а как не попасться, обходя запреты. Провайдер, заметив что от тебя идет такой трафик (на минуточку, пакет от яровой как раз и предлагает такие анализаторы трафика), не будет разбираться, что же там внутри. Он просто вызовет полицию, которая ворвется к тебе в хату и раскурочит твой комп на предмет нарушений закона.
Просто попрошу не говорить больше очевидную околесицу про невозможность отслеживания и блокирования криптографически зашифрованных данных в IP-сетях. Если не согласен, то предлагаю продолжить разговор, тк мне есть, что сказать здесь)
раскрыть ветку (7)
Как определить его в пакете? Элементарно.Ну и как же? Не надо мне про "распределение" говорить. Блочный шифр можно банально в Base64 "обернуть" и уже будет совсем другое распределение. Аналогичные "обертки" можно создавать, которые вообще будут делать поток трафика, похожим на что угодно - на обычный телефонных разговор, где просто молчат (спрятать трафик в низком уровне фоновых помех) или скажем на обмен данных с игровым сервером с проприетарным протоколом и т.д. И все это можно еще делать с рандомизацией портов и серверов. Или вообще в виде одноранговой сети, по типу DHT.
Просто попрошу не говорить больше очевидную околесицу про невозможность отслеживания и блокирования криптографически зашифрованных данных в IP-сетях.
Давай по-спокойнее. Ты лучше задумайся над тем, что запретить весь шифрованный трафик нереально. HTTPS, VoIP и прочие, вполне легальные сервисы. Запретить HTTPS - считай вообще запретить Интернет. Мы же такой сценарий не рассматриваем? А если не запрещать HTTPS - то каким же образом провайдер отделит "легальный" HTTPS от "нелегального"? А внутри TLS туннеля может быть уже что угодно.
Могли бы - уже б давно кто-то бы умел блокировать торрент-трафик. А пока даже это нельзя сделать. Поэтому и блокируют только сайты.
раскрыть ветку (6)
Могли бы - уже б давно кто-то бы умел блокировать торрент-трафик. А пока даже это нельзя сделатьэто делается элементарно. Просто нет сейчас достаточного количества анализаторов в распоряжении провайдеров, которые в реал-тайм будут все это дело контролировать. И нет прямого доступа к этим анализаторам у правоохранительных органов. Если не совсем ясно как, то советую почитать курс JNCIS-Sec
Запретить HTTPS - считай вообще запретить Интернетнахрена запрещать https? достаточно иметь корневой сертификат, как в Казахстане пытались недавно сделать. Если ты знаком с криптографией (а я думаю знаком), то понимаешь, что это плевое дело расшифровать данные, имея такой сертификат.
Думаю, это ответ на вопрос "каким же образом провайдер отделит "легальный" HTTPS от "нелегального""
спрятать трафик в низком уровне фоновых помехэто называется максировка сигнала под белый шум. не изменяет того факта, что передаются данные, ибо это пакетная передача данных по сетям общего доступа, где всегда присутствует заголовок в открытом виде. Не наебешь) такая схема прокатывает на сетях синхронной передачи данных, где оборудование стоит и смотрит в канал своим шифратором и генератором БШ. Только у тебя денег не хватит на такое
Блочный шифр можно банально в Base64 "обернуть" и уже будет совсем другое распределениеи такие же зашифрованные данные, которые анализатор не лизнет
Не надо мне про "распределение" говорить
именно о нем и надо говорить
п.с. уточни пожалуйста, сколько лет опыта в ТКС и в ИБ и кем работаешь. Лично у меня стык этих двух отраслей - профильная тема и опыта в ней около 6 лет. Даром что в 2015 году перестал заниматься чистой эксплуатацией и теперь программирую протоколы и разрабатываю те самые анализаторы и контроллеры)
раскрыть ветку (5)
нахрена запрещать https? достаточно иметь корневой сертификат, как в Казахстане пытались недавно сделать. Если ты знаком с криптографией (а я думаю знаком), то понимаешь, что это плевое дело расшифровать данные, имея такой сертификат.
Весь остальной мир, Google, Apple и т.д. тоже будут свой сертификат "казахстанским" подписывать, чтобы они могли расшифровать? Или все CA будут свои корневые ключи сливать "в Казахстан"?
У HTTPS возможно устроить MITM. Только ресурсов не хватит весь HTTPS трафик шифровать-расшифровывать на своих устройствах по 2 раза. Да и не только HTTPS есть.
это называется максировка сигнала под белый шум
Не белый шум это. Кодеки голосовые вносят свои гармоники. Ими (кодеками) кстати тоже можно играться и прятать трафик там. Равно как и Base64 - совсем не белый шум.
Ты прям в какую-то бондиану ударился. Конечно же при желании криптоаналитик сможет найти. Но надо знать где искать. Мы же говорим не о поиске террористов или 9 млрд. А о сраных торрентах и порнхабе. Автоматом из трафика в несколько Tbps такое найти? Ну-ну.
Но если продолжать бондиану - трафик много где можно "спрятать". Ты можешь сделать сайт прогноза погоды, а в HTML коде или в куках, под комментарием "ID сессии" передавать кусок данных. Да или даже сам размер пакета может нести данные.
Ты много говоришь о теории, зачем-то курсы по ИБ привел в пример. Но никакой реальной практики.
Давай я тебе вышлю pcap-дамп трафика на 10Мб хотя бы, в котором будет несколько пакетов с шифрованным трафиком, а остальной нормальный. Сможешь опознать пакеты с "недопустимым трафиком"?
раскрыть ветку (4)
зачем-то курсы по ИБ привел в примерв этом курсе очень неплохо написаны текущие возможности современного железа и способы залезть под кат пакетов различных протоколов от канального уровня и выше. ты просто отклонился от темы и спросил "как блокировать торрент-трафик" - я тебе посоветовал литературу
в HTML коде или в куках, под комментарием "ID сессии" передавать кусок данныхэто изврат, а не передача данных. Как минимум нарвешься на срабатывание автоматики анализатора по аномальным таймерам при каждом реконнекте (опять же, читай курс JNCIS-Sec), если захочешь передать не 5 слов, а 50мб видео. Мы не о террористах речь ведем.
Приводи уже сразу пример о передаче данных ручкой на лысине + несколько месяцев ожидания, пока волосы не отрастут.
Не белый шум это. Кодеки голосовые вносят свои гармоники. Ими (кодеками) кстати тоже можно играться и прятать трафик тампризнаю, не дочитал про то, что фоновые помехи именно в телефонном разговоре. Но если быть внимательным, мы изначально начали с тобой говорить не о том как спрятать, а как анализировать трафик открытый и отличать его от зашифрованного. понимаешься разницу? хорошенько спрятать инфу в открытых данных вполне реально, не нужно быть гением, но нить разговора не теряй и не уходи от основной темы. Собственно потому и вопрос к тебе: как ты собираешься скрыть факт шифрования payload tcp/udp или в протоколах выше по иерархии?
У HTTPS возможно устроить MITM. Только ресурсов не хватит весь HTTPS трафик шифровать-расшифровывать1) не расшифровать, а дешифровать, раз уж ты о митм атаке заговорил.
2) ресурсов даже на 1-подъездный дом не хватит
Весь остальной мир, Google, Apple и т.д. тоже будут свой сертификат "казахстанским" подписывать, чтобы они могли расшифровать
просто погугли "национальный сертификат безопасности". Для властей сделать это - раз плюнуть. Никакие телодвижения не требуются от "всего остального мира, Google, Apple и тд"
Но никакой реальной практики
это все более чем реальная практика. и я не понимаю твоего недовольства, когда я привожу в подтверждение теорию
Давай я тебе вышлю pcap-дамп трафика на 10Мб
высылай. Только по нашей изначальной теме: как отличить зашифрованный трафик от открытого в современных IP-сетях, а не фоновый шум в записи, структуру которого мне придется лопатить неделю и выискивать информацию. temp_for_nstorm@mail.ru
раскрыть ветку (3)
способы залезть под кат пакетов различных протоколов от канального уровня и вышеЛет 9 назад еще игрался и l7-filter на Linux. Залезай сколько хочешь на любой уровень и любые правила пиши свои, хоть regexp. Смысл только в том, что torrent-трафик с шифрованием не имеет определенных паттернов, чтобы его можно было вычислить. Я не говорю о коннектах к трекеру и нешифрованный обмен пирами. Если клиент настроен на работу только с зашифр. соединениями - паттерн обнаружить не получится.
Собственно потому и вопрос к тебе: как ты собираешься скрыть факт шифрования payload tcp/udp или в протоколах выше по иерархии?
Не понял. Что именно скрывать надо? Скрывать надо вообще наличие payload )
1) не расшифровать, а дешифровать, раз уж ты о митм атаке заговорил.
2) ресурсов даже на 1-подъездный дом не хватит
просто погугли "национальный сертификат безопасности".
Ты меня не понял. Я тебе про ту же схему говорил, что "нац. серт. без." и подразумевает, когда говорил про ресурсы и MitM. Там тот же принцип используется - MitM со своим сертификатом. Оно же как SSL Bump еще раньше было. Я об этом и писал - жопа это. Каждый пользователь должен поставить себе сертификат, а где это нельзя будет сделать, то работать не будет. И всё это надо у себя пропускать и обрабатывать TLS в обе стороны (client<-mitm>-server). https://habrahabr.ru/post/303736/
Всё это ужасно конечно, если и правда внедрят. Но это писец какой-то. С тем же успехом можно честно попросить поставить всех себе "TeamViewer'ы", чтобы ФСБшники могли заходить на посмотреть.
высылай
Завтра подготовлю файлик.
раскрыть ветку (2)
общий язык наконец нашли)
torrent-трафик с шифрованием
на мой взгляд достаточно будет просто закрыть провайдерам tcp/udp порты p2p сетей. я могу ошибаться, но разве это не помешает DHT extension произвести начальное соединение для выбора другого рандомного порта?
Ведь даже если payload будет зашифрован, L4 заголовок будет в открытом виде
Скрывать надо вообще наличие payload
вот это отличная фраза. и при любом раскладе и при любых законах это вполне возможно. но я вот в какую сторону клоню: если брать конкретный протокол (хоть https) и вполне реальное будущее с запретом передачи данных зашифрованной каким-либо образом (как в китае) и учесть, что твой трафик анализируется на предмет шифрования payload, то как это обойти и обмануть систему? на мой взгляд, обычными средствами никак, что я в предыдущих постах именно это и пытался донести. только если использовать свои/малоизвестные кастомные реализации сокрытия информации в другой информации, но это не для 99% населения
Я об этом и писал - жопа это. Каждый пользователь должен поставить себе сертификат
вот в этом и прикол) это полный анус. Но сам факт, что о таком говорят и такое проталкивают говорит о том, что это очень и очень вероятный путь развития и в нашей стране
С тем же успехом можно честно попросить поставить всех себе "TeamViewer'ы", чтобы ФСБшники могли заходить на посмотреть
я и работаю в этой замечательной структуре. замечательной в кавычках. те, на кого у структуры большой стояк, имеют шансы стремящиеся к нулю сокрыть какую бы то ни было приватность. хоть как шифруй и прячь, там тупо конечные станции в таких дырах, что никакой тимвьюер не нужен. а недавно был веселый случай: анализатор словил, что было 1-2 обращения на IP-адреса тора с внутренней сети структуры и пришла проверка. как думаешь, какие последствия?) да и за те же торренты нещадно дерут и строгие выписывают
раскрыть ветку (1)
закрыть провайдерам tcp/udp порты p2p сетейДа они же произвольные каждый раз. Да и DHT - да, там есть Bootstrap процедура. Но хосты для оного и порты могут быть зашиты в торрент файлы, да и просто публиковаться в сети. Ну закроют одни, появятся другие. Короче будет гонка просто "кто быстрее".
Да и про остальное вроде бы пришли к одному мнению. Я как бы тоже о том же и говорил - кто технически подкован, тот всегда найдет обход и решение. А остальным конечно проблемы могут создать. Только с этим создадуться проблемы и иного характера, не будет работать и куда легальных сервисов и софта, если такие жесткие методики применять - типа нац. сертификата и рубить весь "подозрительный" трафик просто потому, что он "ФСБшному роутеру" неизвестен.
Файл честно не успел сгенерить. Эксперементировал с настройками на реальном компе, всё готово. Но с реального компа файл ес-но светить не буду. А "тестовый стенд" сделать уже некогда опять. Да и есть ли смысл, если мы о изначально немного о разных вещах говорили, а теперь уже вроде как поняли друг друга.
Какова реальная цель, распил бюджета? Китайский фаервол?мне кажется и то и другое. Определенные люди получают зп за эту работу, ну плюс потихоньку тренируются с этими блокировками.