Да..да... Что касается темы "борьбы с терроризмом", под который принимался закон Яровой, то "на месте злоумышленников" можно было бы организовать асинхронный обмен данными: запрос по одному каналу ("А"), ответ по другому ("Б"). Причем эти каналы можно менять с определенной периодичностью и заранее определенной последовательностью, т.е. запрос сперва по "А",""C","D" а ответ по "B", "D", "A". Причем эти логические каналы могут быть разделены как на уровне приложений, так и на уровне среды, например: запрос по WhatsUp, ответ по Skype, запрос по Telegram, ответ по Viber и т.д. (на уровне среды — запрос по gsm/3g на смартфон, ответ по ethernet на комп) Для доп. интереса можно периодически менять аппараты (т.е. разные IMEI, MAC), менять Sim-ки и перемещаться по городу, меняя базовые станции сотового оператора (IP).
Метод два — оффлайновый. Менее гиморройный, но более медленный: каждый ставит себе на комп pgp-программу и перед отправкой шифрует контент каким-нить устойчивым ключом от 256-бит. Даже при перехвате сессии данные не пострадают. Можно использовать буржуйскую бесплатную почтовую систему, например yahoo.com и т.п.
Что касается честного бизнеса и сайтов-кредиток и пр., уже давно есть сервис PayPal, который занимается авторизацией платежей интернет-торговли и выступает гарантом сделки.
Простите, но это детский лепет. PGP точно так же беззащитна перед MItM, а что ПэйПэла — то он ничуть не безопаснее прочих эквайреров. Разве что, взломав ваш пэйпэл, злоумышленник получит доступ сразу ко всем платёжным средствам, привязанным к вашему эккаунту...
Смена канала — это оргмера. Ей и так пользуются все. Но неужели вы думаете, что при перехвате трафика с вашего мобильного устройства (на котором все эти "каналы" замыкаются) это ЗАМЕТНО усложнит расшифровку? :-)
В пэйпал "обычно" люди завязывают специальную карту, которую заводят для инет-торговли, куда переводят ограниченные деньги с основной в размере проводимой транзакции, причем внутри банк-клиента (куда заходят с sms-авторизацией и/или аппаратным ключом). Тут безусловное слабое звено — сайт самого банка, но от которого не уйдешь.
Почему PGP беззащитна перед MitM? MitM атакует канал, или сеанс, а не данные. Вроде как другой уровень OSI, не так ли?
Ну, вероятно, речь про ключ длиной в 256 бит, он выглядел относительно беззащитным уже на заре. Циммерман вроде как в первой же версии по дефолту 768 прописал.
Мдя, пытаться электроникой бороться с тем, что может не поддаться "расшифровке" ещё "дедовскими" до компьютерными методами.. это весьма странно, скорее всего действительно распил и слежка за благонадёжностью к правящей ОПГ. (:
Террористы же легко могут ввести свой "код" напр.:
1-я цифра номер книги 2-я номер страницы в ней 3-я номер абзаца 4-я номер слова в нём.
И тогда, без знания конкретных книг и их номеров, полученных при личном контакте, да ещё и цифрами отправляемыми в эксель табличке с количеством каких-ть обычных товаров, которых на рынке тысячи, то попробуй догадайся? А если ещё иносказаниями говорить, да на диалекте конкретной народности?
Если пересылается только информация которая не более чем косвенные ссылки на никуда не пересылаемое "хранилище", то можно совсем не шифровать, делая как показано выше. Фиг кто догадается, имхо. =)
Всё это очень хорошо, но вы говорите не о шифровании, а о кодировании.
Беда кодирования в том, что закодированный текст сохраняет достаточно много признаков исходного. Скажем, если кодирование посимвольное — то частоты символов остаются, если кодирование пословное — там семантические и грамматические аспекты начинают играть роль.
В общем случае, конечно, существуют принципиально невзламываемые коды. Но использование их — достаточно неудобная процедура.
1234 кг 2345 руб, причём построчно, можно слово кодировать то в количестве товаров, то в его стоимости. Как тут статистически выяснить, что за цифрами скрываются неизвестные слова неизвестного языка? Только человек мог бы понять отсутствие корреляции, между количеством и итоговой стоимостью.. Не будет же "их" система, ещё и все расчеты пересчитывать? А может потом ещё и пользователю оповещение присылать, мол у вас в такой-то табличке, ошибочка в расчётах, не? )))
Во времена Петра I было много групп так называемых "лесных" и "лихих" людей, изъяснявшихся на своём, "тарабарском языке", и он издал указ, уличенных в этом "развешивать на деревьях, и рубить без разбору".
Насчет кодирования — есть же свёрточные коды, наиболее простые из них это контрольные суммы типа CRC16 или 32 — есть в любом исполняемом файле,драйверах, и т.д. Наиболее трудно взламываемые — асимметричные, на основе расчетов эллиптических кривых.Делаем алгоритм кодирования, и встраиваем в сборщик TCP или UDP пакетов и разборщик.
Тут два варианта — пускай дрочатся и терабайты "мусора" анализируют. Или находят того кто это сделал и устраивают "показательную расправу",чтоб больше желающих не было.
Знаете чё, народ. Пользы от этого закона две — "Анна на шее" у Яровой, и интерес к устройству https. Вот по поводу последнего, кому интересно идите на letsencrypt.org, там и документация(правда на англицком) и сертификаты за дарма дают, можно поэкспериментировать, если охота.
чё вы к этой фигне привязались, говорюж, что работа https сама-по-себе даже не требует наличия CA, ключи можно руками ставить. Это просто удобный метод. Хотите застукать MiM? Да просто плюнте ему любой лажовый сертификат, он его подтвердит, поскоку других вариантов у него нет, закрытыми ключами-то он по-любому не владеет. Всё на самом деле просто до безобразия.
Простите, но, быть может, вам стоит подучиться, а?
Просто для справки: у меня в корпоративной сети предприятия ВЕСЬ https-трафик, заходящий в сеть, перешифровывается. И уже не первый год. Что вы собираетесь делать с "лажовым" сертификатом — я не знаю... Но никто вам ничего подтверждать не будет: трафик просто перешифруется на бордере.
Отследить MItM можно только если изучать сертификаты. Ну так их никто и не скрывает. Вы можете удалить сертификат моего бордера со своего компьютера. Только у вас после этого будет недоступен https. И всё.
Закон Яровой, фактически, узаконил на законодательном уровне то, что в большинстве корпоративных сетей раньше работало на уровне внутренних документов Компании.
ваш перешифровывальщик очевидно получает подтверждение для КАЖДОГО сертификата для КАЖДОГО сервера с которым соединяется. Т. е. если он фейковый CA то у него два варианта либо проверить сертификат на реально CA(палево), либо давать положительный ответ на всё(то же палево).
маленько добавлю — курс учебный такой есть как "Реализация Сisco BGP (Border Gateway Protocol — протокол граничного шлюза)" в сетях и маршрутизаторах Cisco.
тов.Ивонин по-своему прав, говоря что Закон Яровой, фактически, узаконил на законодательном уровне то, что в большинстве корпоративных сетей раньше работало на уровне внутренних документов Компании.
Но любая крупная или международная контора или стратегическая, если она не хочет,чтобы в ее траффик "совали нос",покупает цисковское оборудование и соотв.образом настраивает,отчасти тому способствует коррупционная политика, проводимая Дж.Чамберсом с самого дня основания корпорации в мировом масштабе
Это правда не гарантирует, что АНБ или ЦРУ не смогут, а вот ФСБ и ФСТЭК с их программами сотрудничества и сертификации по К9 явно "на шаг позади". Правда, такую вещь как 0-day эксплоиты в Cisco IOSах получение привилегированного доступа и слив/подмена конфигов никто не отменял, но это уже другой уровень.
Тому пример на Хабре — как украинский ЦИК в январе 2015г "уделали".
Скажите, а вы всегда сможете поднять такой vpn? :-)
Скажем, у меня из сетки это получается только у тех, кому это явно разрешено. Неужели вы думаете, что провайдеры не могут сделать те же настройки, если это будет легитимизировано законом?
провайдер может разрешить и запретить определенные порты, а данные которые передаются в зашифрованном виде, а уж тем более делать выборку по впн — там разрешить 256битный ключ, а там запретить 2048битный ключ не может
да и вообще, просто те, кому это реально потребуется скрыть что-то важное — скроют, используют другие каналы интернета, да в конце концов используют синхронный доступ в интернет через спутник :)
Очень нужен один гаджет — глушилка вайфая с проверкой на пароль WEP и WEP2. Как только девайс находит устройство с паролем, глушит его до тех пор, пока пароль не снимут :)
Результат применения такой приблуды представляете? :D
Конечно представляем. Битой по зубам от техника провайдера, который замучался выезжать на вызовы "у меня ничего не работает, обрыв, наверное" — в лучшем случае.
Нарушение федерального закона "О связи" с административными/уголовными последствиями в зависимости от суммы ущерба, которую повесят на вас — в худшем.
Не стОит этого делать. Вы представляете себе, что будет, когда (именно "когда", а не "если"!) окружающие узнают, кто их задалбывал? Ведь эту приблуду Вы потом не извлечете без помощи опытного проктолога. Оно Вам надо?
Скажем так: кроме данных моих карт мне лично скрывать практически нечего. Пароли для удалёнки — так это я и так скрою. Поскольку поднять VPN с гарантией от MItM-атаки смогу — банально перенеся с работы ключевые данные на флешке...
А вот всякие эквайринговые сервисы — тут да... тут не хотелось бы делиться...
В РФ будут штрафовать за несанкционированный доступ в Интернет
Выход в Сеть "без предъявления документов" теперь может обернуться для россиян большими неприятностями. Как сообщает "Коммерсант", Роскомнадзор предложил штрафовать и привлекать к административной ответственности физических лиц — владельцев беспроводных сетей, которые предоставляют доступ в Интернет неавторизованным клиентам.
Для этого надзорное ведомство намерено внедрить специальное программное обеспечение, позволяющее идентифицировать пользователей.
По данным Роскомнадзора, в общественных местах по всей стране действует более 18 тысяч точек Wi-Fi, в 5 с половиной тысячах из них пользователи осуществляют выход в Сеть без идентификации личности.
В настоящее время административная ответственность за подобные нарушения предусмотрена лишь в отношении юридических лиц — на операторов связи заводят дела, которые затем передаются в ФСБ, и штрафуют на 40 тысяч рублей.
Но, как выяснил Роскомнадзор, около 2,5 тысячи сетей Wi-Fi, через которые пользователи выходят в Интернет анонимно, организованы физлицами. Их-то и предлагается преследовать по всей строгости российского закона.
Мало того, что сейчас простая домохозяйка уже знает что такое IP-адрес, скоро все будут знать что такое MAC-адрес и как его периодически менять... , а также что такое "кукизы" и как их чистить :)
Я про другое, я про пользователей, пользующихся этими открытыми сетями: если "к тебе придут", как к физ.лицу, то ты "я — не я и корова не моя". Т.е. на основании чего штрафовать физика?
И, кстати, не понятно, если установить один роутер в режиме ретранслятора, а другой в режиме AP (точки доступа), кого будут привлекать?
Ну, я вижу это так примерно: в поддержку закона Яровой выпускаются подзаконные акты, регламентирующие доступ к частным вай-фай-раутерам. После этого привлекается абонент канала от провайдера до вай-фай-точки. А в договор с абонентом провайдеры вносят ссылку на вышеназванный подзаконный акт.
Сейчас этот механизм отрабатывается на крупных корпоративных клиентах. Скажем, если я подключаю свою корпоративную сеть к интернету, то я должен предоставлять провайдеру данные на всех её пользователей, которые могут этим интернетом воспользоваться. Это прописано в договоре. Без этого мне могут просто отказать в подключении.
Хорошо, что пока в этом до конца всё не утряслось, и поэтому мы можем этим манкировать — там противоречия с законом о ПДн пока не развязаны...
Не совсем понятно как предоставить провайдеру данные всех пользователей. Это MAC-и или паспортные данные? И как провайдер будет за NAT-ом определять кто именно из (зарегистрированных?) пользователей куда ходил?
У нас просят паспортные данные. Мы пока не даём. А что до "кто именно куда ходил" — это задача админа: сохранить эти логи и иметь возможность просмотреть их, скажем, за последние полгода.
Ну будут паспортные данные единичных физлиц (лицо "А"). А по "закрытым" сайтам будут ходить третьи лица (лица "В"). Не смогут же привлекать лицо "А" за деяния лица"В"? Если у чела крадут авто и совершают преступление на его машине, он же не отвечает перед законом.
Помню, раньше, лет 10-15 назад в Договорах с провайдерами тоже была подобная строка или подобный пункт, тогда в 90% случаев провод от провайдера втыкался сразу в комп клиенту. Сейчас, во-первых, мир смартфонов, во-вторых, все знают, что даже домашние роутеры умеют подменять MAC, в-третьих, число анонимных прокси "почти бесконечно". Кто и как будет следить за всем этим?
Вы не понимаете. Я — как администратор корпоративной сети — должен зачем-то предоставить паспортные данные всех пользователей, которые, скажем, за текущий месяц пользовались корпоративным интернетом.
Если по чьим-то действиям за этот период возникнут вопросы, то всё равно обратятся ко мне, а я уже должен буду раскопать в логах бордера — что за пользователь и с какого устройства произвёл "подозрительные" действия.
Именно поэтому я и не предоставляю провайдеру паспортных данных всех пользователей: не вижу — где и как они могут понадобиться провайдеру.
Вот это мне интересно: по какому закону, точнее статье, сис.админ ОБЯЗАН (или ДОЛЖЕН) хранить логи? ("Иногда" ребята из управления "К" приходят и, показывая книжечки и ссылаясь на "закон о связи", ТРЕБУЮТ предоставить логи, дескать "есть закон", но номер статьи не говорят, типо "почитайте".) Я не юрист и считаю, что любой клиент провайдера, физлицо или юрлицо, не обязан даже понятия иметь что такое прокси, логи, ААА, IP, МАК и прочая хрень.
Незнание закона не освобождает от необходимости следовать ему. Соответственно, есть формулировка "знания и навыки, которыми человек обязан обладать в силу занимаемой должности". Суды на неё часто ссылаются, например, в делах по контракту.
Что до смартфонов и прочего: меня совершенно не волнует мак устройства, с которого выходит пользователь. Потому что авторизация идёт по пользователю, а не по устройству. И именно так работают в подавляющем большинстве корпоративных сетей.
А пользователь чётко знает, что за все действия, выполненные из под его эккаунта, отвечает он.
Что до анонимных прокси или VPN — то это нетривиальная задача для пользователя внутри корпоративной сети. Большинство их закрыты, и списки постоянно обновляются.
Если провайдера перевести на такую же систему — то владельца точки доступа вполне можно сделать крайним.
Что мешает пользователю на стороне (например, дома) поставить ssl vpn-сервер и из офиса (с рабочего места) настроить канал? Что увидит админ корпоративной сети? Что он в логах покажет "дядям в погонах"?
Расшифровывать всё и вся это неинтересно. Вот продавить поправку к закону и получить эннадцать миллиардов из бюджета пообещав сделать эту чудо-систему к 20 — 25 году вот это куда интереснее. Плюс кругом госинтересы, гостайна... Кто проверит-то куда деньги ушли. А там уж или шах или ишак...
Комментарии
Метод два — оффлайновый. Менее гиморройный, но более медленный: каждый ставит себе на комп pgp-программу и перед отправкой шифрует контент каким-нить устойчивым ключом от 256-бит. Даже при перехвате сессии данные не пострадают. Можно использовать буржуйскую бесплатную почтовую систему, например yahoo.com и т.п.
Что касается честного бизнеса и сайтов-кредиток и пр., уже давно есть сервис PayPal, который занимается авторизацией платежей интернет-торговли и выступает гарантом сделки.
как-то так...
Смена канала — это оргмера. Ей и так пользуются все. Но неужели вы думаете, что при перехвате трафика с вашего мобильного устройства (на котором все эти "каналы" замыкаются) это ЗАМЕТНО усложнит расшифровку? :-)
Почему PGP беззащитна перед MitM? MitM атакует канал, или сеанс, а не данные. Вроде как другой уровень OSI, не так ли?
Конкретно для PGP — уязвим запрос вами открытого ключа второй стороны.
Длина ключа тут роли не играет.
Террористы же легко могут ввести свой "код" напр.:
1-я цифра номер книги 2-я номер страницы в ней 3-я номер абзаца 4-я номер слова в нём.
И тогда, без знания конкретных книг и их номеров, полученных при личном контакте, да ещё и цифрами отправляемыми в эксель табличке с количеством каких-ть обычных товаров, которых на рынке тысячи, то попробуй догадайся? А если ещё иносказаниями говорить, да на диалекте конкретной народности?
Если пересылается только информация которая не более чем косвенные ссылки на никуда не пересылаемое "хранилище", то можно совсем не шифровать, делая как показано выше. Фиг кто догадается, имхо. =)
Беда кодирования в том, что закодированный текст сохраняет достаточно много признаков исходного. Скажем, если кодирование посимвольное — то частоты символов остаются, если кодирование пословное — там семантические и грамматические аспекты начинают играть роль.
В общем случае, конечно, существуют принципиально невзламываемые коды. Но использование их — достаточно неудобная процедура.
1. Малазийские бананы
Насчет кодирования — есть же свёрточные коды, наиболее простые из них это контрольные суммы типа CRC16 или 32 — есть в любом исполняемом файле,драйверах, и т.д. Наиболее трудно взламываемые — асимметричные, на основе расчетов эллиптических кривых.Делаем алгоритм кодирования, и встраиваем в сборщик TCP или UDP пакетов и разборщик.
Тут два варианта — пускай дрочатся и терабайты "мусора" анализируют. Или находят того кто это сделал и устраивают "показательную расправу",чтоб больше желающих не было.
Просто для справки: у меня в корпоративной сети предприятия ВЕСЬ https-трафик, заходящий в сеть, перешифровывается. И уже не первый год. Что вы собираетесь делать с "лажовым" сертификатом — я не знаю... Но никто вам ничего подтверждать не будет: трафик просто перешифруется на бордере.
Отследить MItM можно только если изучать сертификаты. Ну так их никто и не скрывает. Вы можете удалить сертификат моего бордера со своего компьютера. Только у вас после этого будет недоступен https. И всё.
Закон Яровой, фактически, узаконил на законодательном уровне то, что в большинстве корпоративных сетей раньше работало на уровне внутренних документов Компании.
тов.Ивонин по-своему прав, говоря что Закон Яровой, фактически, узаконил на законодательном уровне то, что в большинстве корпоративных сетей раньше работало на уровне внутренних документов Компании.
Но любая крупная или международная контора или стратегическая, если она не хочет,чтобы в ее траффик "совали нос",покупает цисковское оборудование и соотв.образом настраивает,отчасти тому способствует коррупционная политика, проводимая Дж.Чамберсом с самого дня основания корпорации в мировом масштабе
Это правда не гарантирует, что АНБ или ЦРУ не смогут, а вот ФСБ и ФСТЭК с их программами сотрудничества и сертификации по К9 явно "на шаг позади". Правда, такую вещь как 0-day эксплоиты в Cisco IOSах получение привилегированного доступа и слив/подмена конфигов никто не отменял, но это уже другой уровень.
Тому пример на Хабре — как украинский ЦИК в январе 2015г "уделали".
vpn c 4096битным ключем, вот что реально способно остудить любителей "поперехватывать"
Скажем, у меня из сетки это получается только у тех, кому это явно разрешено. Неужели вы думаете, что провайдеры не могут сделать те же настройки, если это будет легитимизировано законом?
И потом: зачем регулировать длину ключа, если можно полностью прикрыть любой vpn? ;
да и вообще, просто те, кому это реально потребуется скрыть что-то важное — скроют, используют другие каналы интернета, да в конце концов используют синхронный доступ в интернет через спутник :)
Результат применения такой приблуды представляете? :D
Протяну к Ноуту еще один провод.
Нарушение федерального закона "О связи" с административными/уголовными последствиями в зависимости от суммы ущерба, которую повесят на вас — в худшем.
А вот всякие эквайринговые сервисы — тут да... тут не хотелось бы делиться...
----------------------------
22.09.2016 09:56
В РФ будут штрафовать за несанкционированный доступ в Интернет
Выход в Сеть "без предъявления документов" теперь может обернуться для россиян большими неприятностями. Как сообщает "Коммерсант", Роскомнадзор предложил штрафовать и привлекать к административной ответственности физических лиц — владельцев беспроводных сетей, которые предоставляют доступ в Интернет неавторизованным клиентам.
Для этого надзорное ведомство намерено внедрить специальное программное обеспечение, позволяющее идентифицировать пользователей.
По данным Роскомнадзора, в общественных местах по всей стране действует более 18 тысяч точек Wi-Fi, в 5 с половиной тысячах из них пользователи осуществляют выход в Сеть без идентификации личности.
В настоящее время административная ответственность за подобные нарушения предусмотрена лишь в отношении юридических лиц — на операторов связи заводят дела, которые затем передаются в ФСБ, и штрафуют на 40 тысяч рублей.
Но, как выяснил Роскомнадзор, около 2,5 тысячи сетей Wi-Fi, через которые пользователи выходят в Интернет анонимно, организованы физлицами. Их-то и предлагается преследовать по всей строгости российского закона.
Пользоваться чужими аутентификационными данными, конечно, можно будет в этом случае... Но так это и сейчас можно.
И, кстати, не понятно, если установить один роутер в режиме ретранслятора, а другой в режиме AP (точки доступа), кого будут привлекать?
Сейчас этот механизм отрабатывается на крупных корпоративных клиентах. Скажем, если я подключаю свою корпоративную сеть к интернету, то я должен предоставлять провайдеру данные на всех её пользователей, которые могут этим интернетом воспользоваться. Это прописано в договоре. Без этого мне могут просто отказать в подключении.
Хорошо, что пока в этом до конца всё не утряслось, и поэтому мы можем этим манкировать — там противоречия с законом о ПДн пока не развязаны...
Помню, раньше, лет 10-15 назад в Договорах с провайдерами тоже была подобная строка или подобный пункт, тогда в 90% случаев провод от провайдера втыкался сразу в комп клиенту. Сейчас, во-первых, мир смартфонов, во-вторых, все знают, что даже домашние роутеры умеют подменять MAC, в-третьих, число анонимных прокси "почти бесконечно". Кто и как будет следить за всем этим?
Если по чьим-то действиям за этот период возникнут вопросы, то всё равно обратятся ко мне, а я уже должен буду раскопать в логах бордера — что за пользователь и с какого устройства произвёл "подозрительные" действия.
Именно поэтому я и не предоставляю провайдеру паспортных данных всех пользователей: не вижу — где и как они могут понадобиться провайдеру.
А пользователь чётко знает, что за все действия, выполненные из под его эккаунта, отвечает он.
Что до анонимных прокси или VPN — то это нетривиальная задача для пользователя внутри корпоративной сети. Большинство их закрыты, и списки постоянно обновляются.
Если провайдера перевести на такую же систему — то владельца точки доступа вполне можно сделать крайним.