LINUX.ORG.RU
ФорумTalks

ФСБ планирует дешифровать весь интернет-трафик россиян в режиме реального времени

 , , , ,


0

4

Кратко: https://www.youtube.com/watch?v=aPHtkX2eoD8
ФСБ, Минкомсвязь и Минпромторг обсуждают набор технических решений, которые позволят дешифровать весь интернет-трафик россиян в режиме реального времени. Об этом со ссылкой на собственные источники сообщает газета «Коммерсантъ».

В опубликованной статье сообщается, что обсуждаемая ФСБ технология является частью реализации нашумевшего «пакета Яровой».

Хранить эксабайты шифрованного интернет-трафика не имеет смысла — в нем ничего не найдешь. ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме real-time и анализировать его по ключевым параметрам, условно говоря, по слову «бомба», а министерства настаивают на расшифровке трафика лишь по тем абонентам, которые привлекут внимание правоохранительных органов.

— Источник газеты «Коммерсантъ» в Администрации президента.

Одним из обсуждаемых вариантов дешифровки является установка на сетях операторов специального оборудования, способного выполнять MITM-атаку. Судя по всему, механизм SSL/TLS не будет являться помехой для выполнения атаки, так как сертификаты будут выдаваться российским удостоверяющим центром. В статье не сообщается, будет ли обязательна установка корневого сертификата УЦ для работы SSL на территории РФ (подобно тому, как это сейчас сделано в Казахстане), но позиция ФСБ намекает на то, что без принудительной установки сертификатов дело не обойдётся.

Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта — пользователем. Получается, что пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно — с сервером, к которому обращался пользователь.

Оборудование расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром (УЦ).

— Источник газеты «Коммерсантъ» в Администрации президента.

☆☆

Последнее исправление: StReLoK (всего исправлений: 3)
Ответ на: комментарий от targitaj

А США MiTM использует?

Но в любом случае мы дали политическое убежище Сноудену, для которого в США готова параша как раз за разоблачения о слежке. Значит мы не должны так же поступать.

te111011010
()
Последнее исправление: te111011010 (всего исправлений: 1)
Ответ на: комментарий от te111011010

обожемой, мамкина контрасракера закроют за обсуждение!! ксж!! лавров жпг

targitaj ★★★★★
()
Ответ на: комментарий от Quasar

Сделают санкцию в виде двушечки за саму попытку такого посылания и всего делов. Тут главное - политическое решение. Если решат поставить секреты вне закона, то уж поставят, можешь не сомневаться.

asaw ★★★★★
()
Ответ на: комментарий от nighthawk

о, еще один «умный». Охоспади, какой смешной день. Они НА САМОМ деле думают, что центры сертификации... а что с ними? они висят в воздухе? их деятельность никак не регулируется? обоссаться как смешно

targitaj ★★★★★
()
Ответ на: комментарий от te111011010

А США MiTM использует?

Им же, наверное, не нужно? Основная масса серверов с данными у них на территории, проще договориться и брать переписку прямо из датацентров.

Deleted
()

позиция ФСБ намекает на то, что без принудительной установки сертификатов дело не обойдётся.

Это будет реализовываться обязаловкой предустановки патченых пакетов браузеров на ноуты с предустановленой ОС? Просто если хоть кто-то отдельно скачает браузер с сайта Google или Mozilla, то это не сработает

Я уже вижу расширения, которые сравнивают отпечаток сертификата который получил бразур и этого сертификата, скачанного из другой страны

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)

Еще вопрос, правда ли, что в Беларуси запрещен зашифрованый WiFi (ну и наверное SSL/TLS) или я что-то не так понял?

vertexua ★★★★★
()
Ответ на: комментарий от YLoS

Это писатели методичек настолько выдохлись или вам просто методички ещё не раздали?

redgremlin ★★★★★
()
Ответ на: комментарий от vertexua

Просто если хоть кто-то отдельно скачает браузер с сайта Google или Mozilla, то его закроют по новой поправке о запрете на скачивание данных с «непозволительных» ресурсов.

Исправлено во имя простоты.

znenyegvkby
()
Ответ на: комментарий от te111011010

Как? Хотели прослушивать, но им это не удастся

Не нужно всех сажать. Достаточно сделать так, чтобы каждого было за что посадить.

mandala ★★★★★
()
Ответ на: комментарий от Rost

Оператор нормальной зарубежной VPS сдаст ключ только по решению суда. Причём зарубежного суда, а не российского.

Ты ведь понимаешь, почему ввели блокировки сайтов? Потому что руки коротки и зарубежные хостеры не бегут разделегировать домены и отключать сервера по первому требованию.

KivApple ★★★★★
()
Ответ на: комментарий от znenyegvkby

Ну в некоторых тоталитарных странах (Северная Корея) принято разрешать радиоприемники настроенные на одну одобренную частоту, невмешательство во внутренее устройство гарантируется пломбой на корпусе. Распломбировал - слушаешь южнокорейскую лживую пропаганду, пройдемте с нами

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от KivApple

Ты ведь понимаешь, почему ввели блокировки сайтов?

Не ввели никаких блокировок сайтов, сайты как работали, так и работают, как вообще, так и у тех, кто ими пользуется. Почему ввели заведомо нерабочий закон тоже вполне ясно — кормушка для бедных родственников, кому от трубы не перепадает, а мозгов на работу устроиться не хватает.

redgremlin ★★★★★
()
Ответ на: комментарий от slon

Кое-где, это ваше КГБ никуда и не пропадало.

Более того, как работавший на сотовые сети, могу много чего интересного рассказать. Например, откуда у мегафона взялся сервис локации абонента, который еще и для коммерческого использования рекламируют. Есть-то он и у тройки, и у еле2, но до идиотизма с продвижением как услуги додумался только мегафон.

svr4
()
Последнее исправление: svr4 (всего исправлений: 1)
Ответ на: комментарий от vertexua

При этом у каждого горожанина двдишник и пачка развлекательных южных киношек (не пропаганда, а художественные фильмы/пропаганда им не уперлась).

Я же уже говорил, что не надо всех контролировать как при тру тоталитаризме. Достаточно просто заставить всех нарушать закон. Когда все де-факто «преступники», то они очень лояльны.

mandala ★★★★★
()
Ответ на: комментарий от vertexua

Похрен там всем на него. Да и сайты в большинстве не блокируются, кроме разве что «чартера борт 97». По сравнению с которым эха москвы - верх адекватности.

Другое дело, что роутеры самого распространенного провайдера идут с бэкдором, который там делает почти неотключаемую нешифрованную точку, в которую в свою очередь могут ломиться все желающие. Отака херня, малята. Хотя там и так задорукие техники где-то до 2014 ставили пароль на основную точку 12345678, со всеми вытекающими.

svr4
()
Последнее исправление: svr4 (всего исправлений: 2)
Ответ на: комментарий от mandala

Потому что, как бе, создавалось оно по запросу дяденек из ФСБ. И нефиг это вообще афишировать абонентам.

svr4
()
Ответ на: комментарий от svr4

Прочитал про их услугу. И чем она плоха, с учётом того что местоположение абонента и так технически хорошо определяется (это особенность самой системы из базовых станций) и это все нормальные люди знают?

Добавляем резервный телефон в доверенный список у основного. И в случае утери телефона или кражи следим за ним. PROFIT.

Правда, я считаю, что система должна быть иной. Любой человек должен иметь право придти в офис оператора, предъявить паспорт и узнать текущее местоположение всех своих телефонов. Ибо техническая возможность есть, а телефон моя личная собственность - с чего бы я не имел права знать, где он находится.

KivApple ★★★★★
()
Ответ на: комментарий от KivApple

Определяется она... Короче, не очень она определяется. В городе +- 90 метров, вроде. Ну и плюс телефон колбасит переходами из LTE в 3G плюс с одной базы на другую, так что потенцияльный вор его может просто вырубить на радостях.

svr4
()
Последнее исправление: svr4 (всего исправлений: 1)
Ответ на: комментарий от svr4

И нефиг это вообще афишировать абонентам.

Сноуден не одобряет!

mandala ★★★★★
()
Ответ на: комментарий от svr4

Если чисто логически подумать, то сотовая сеть состоит из огромного количества базовых станций, местоположение которых точно известно. Также каждая базовая станция знает уровень сигнала до абонента (телефон то уровень сигнала показывает, с чего бы базовой станции этого не уметь). То есть триангуляция положения - вопрос сугубо софта, причём достаточно простого софта (сложности могут возникнуть только с интеграцией с софтом БС, а имея данные об уровнях сигналов и доступ к гуглу сама триангуляция пишется за несколько часов в худшем случае). А значит предполагать, что такой фичи у операторов нет, это надо быть совсем дауном.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от svr4

А это уже совсем другой вопрос. Может я телефон вообще в лесу потерял и ищу теперь. Техническая возможность есть - извольте предоставить мне законное право узнать, где моя частная собственность сейчас находится. Use case'ы придумаю как-нибудь.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от KivApple

Там еще азимут конкретной антенны надо знать. Только как всегда, «Петька - есть один нюанс». И в этом случае даже не один - например в 4G сетях оно вообще не работает, абонент добровольно-принудительно выбрасывается в 3G и гоняется как минимум по 3 ближайшим базам. Что показывает при этом индикатор сети, лучше не видеть.

svr4
()
Ответ на: комментарий от svr4

В городе +- 90 метров, вроде.

Для определения примерного местонахождения ребёнка/старой бабушки(риск потери памяти)/супруга (конечно же с обоюдного согласия) хватит. Это не слежка, а безопасность.

mandala ★★★★★
()
Ответ на: комментарий от svr4

Так наоборот же хорошо. Люди будут сознательнее и понимать какие очевидные возможности у опсосов есть. Ещё бы поняли, что какой-нибудь ВК хранит всю их переписку и фотки, даже удалённые - и вообще замечательно было бы.

KivApple ★★★★★
()
Ответ на: комментарий от svr4

Если абонента устраивает, что его индикатор сети на какое-то время будет странно себя вести, то почему бы и нет?

Если я потерял телефон, то мне, очевидно, вообще пофиг что там индикатор показывает. Если я хочу кому-то сообщить где я, то я готов потерпеть несколько секунд с глючащим интернетом.

Я решительно не понимаю твоего недовольства. У оператора возможность определять твоё положение будет всегда чисто технически. Во всяком случае при текущей модели сети. Точно также как у какого-нибудь ВК чисто технически всегда будет возможность хранить всю твою переписку и фотки. Вопрос сугубо в их добросовестности, но любой здравомыслящий человек понимает, что на одну добросовестность в серьёзном деле надеяться нельзя. Будет ли всё это читать ФСБ - опять же никто тебе не скажет.

Так что плохого в предоставлении этой услуги простым смертным? При условии, что чтобы получить твоё местоположение, надо предоставить явное разрешение.

KivApple ★★★★★
()
Последнее исправление: KivApple (всего исправлений: 1)
Ответ на: комментарий от targitaj

Дорогой друг! Я таких, которые рассказыают про «такие-то технологии» и «всех под колпаком» больше 10 лет слушаю. Ни разу, подчеркиваю, ни единого раза дальше закатывания глаз, иронии и создания на лице сложного выражения не пошло. Даже истории про скайп и ББ самому приходилось приносить. Сломаешь тренд?

Shaman007 ★★★★★
()
Ответ на: комментарий от Shaman007

Дык все и так под колпаком. Только лично ты, я, или там вот этот человек спецслужбам нахер не нужен. А левому человеку юзать те же сервисы в сотовой сети особо не дадут (даже если он девопс конторы, которая этот софт разрабатывает). Свой телефон пингуй пожалуйста, а появится куча левых запросов - с тебя спросят.

svr4
()
Последнее исправление: svr4 (всего исправлений: 1)

Не вникая в подробности

Как узнать что на гугло почту больше безопасно ходить нельзя?
Firefox из репозитория убунты.

isildur
()

без принудительной установки сертификатов дело не обойдётся.

Изи. Обяжут всех поставщиков юзерных железок предустанаваливать правильный сертификат. Несогласных штрафовать на стотыщьмильонов и пополнять казну.

entefeed ☆☆☆
()
Ответ на: комментарий от redgremlin

Да ладно, в наших Европах( восточных, про другие не знаю) уже лет как 10 блокируют некоторые сайты. Правда судя по всему не по политическим причинам. Узнал я случайно - хотел в какую-то онлайн игру поиграть, а меня редиректнуло на сайт налоговой, с текстом как у них бомбит от недополученной прибыли :D

Rost ★★★★★
()
Ответ на: комментарий от svr4

Другое дело, что роутеры самого распространенного провайдера идут с бэкдором, который там делает почти неотключаемую нешифрованную точку

Так во всех странах мира делается, они так обеспечивают свой сервис WiFi по всему городу. Эта сеть полностью отделена от домашней

vertexua ★★★★★
()
Ответ на: комментарий от Deleted

я очень рад что вы разделили мою мысль на целых 5. Продолжайте ваши наблюдения.

snaf ★★★★★
()

Источник газеты «Коммерсантъ» в Администрации президента.

Ну вот, а вы говорите власть жирует. Наверно с зарплатами в АП не ахти, раз шпиона удалось внедрить.

ashot ★★★★
()
Ответ на: комментарий от snaf

слишком затратно по ресурсам.

И насколько затратнее расшифровка с 8000 порта, по сравнению с расшифровкой на 443 порту?

znenyegvkby
()
Ответ на: комментарий от Rost

Это если нет perfect forward secrecy. Все же PFS не такая уж и маргинальщина и даже так:

На июнь 2016 года около 52% веб-сайтов, доступных по протоколу HTTPS, использует PFS в случае, если протоколы поддерживаются браузерами

Просто ФСБ с Яровой еще не в курсе.

BigAlex ★★★
()
Ответ на: комментарий от Shaman007

Очень хорошая новость, значит я был прав и не вышло у них терминировать столько TLS/SSL'а

Ага, хотели, да не вышло.

https://bugzilla.mozilla.org/show_bug.cgi?id=1232689
http://www.kaztranscom.kz/certificate

С 1 января 2016 года в соответствии с Законом Республики Казахстан «О связи» (далее — Закон) уполномоченным органом в области связи пропуск трафика интернет-ресурсов и сервисов, расположенных за пределами страны осуществляется с использованием сертификата безопасности.

Сертификат безопасности — это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование.

В предусмотренных Законом случаях применение сертификата безопасности позволит ограничить использование зарубежных Интернет-ресурсов в противоправных целях и обеспечит возможность сохранения беспрепятственного доступа к таким ресурсам пользователям, не нарушающим законодательство Республики Казахстан.

Национальный сертификат безопасности устанавливается на все устройства, имеющие доступ к Интернет (персональный компьютер, ноутбук, планшет, смартфон).

http://pki.gov.kz/index.php/ru

И куда-то центр делся в Казахстане? Ах, да и в РФ будет свой CA В России может быть создан государственный удостоверяющий центр для выдачи SSL-сертификатов

Root-msk ★★★★★
()
Ответ на: комментарий от te111011010

Снял с Тинькова Белорусских. Курс ад. 36,5.

dk-
()
Ответ на: комментарий от znenyegvkby

нинасколько!

Вопрос неправильно поставлен. Правильный вопрос: насколько сложно слушать и дешифровывать все 65535 портов по сравнению с 1 портом

snaf ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.