LINUX.ORG.RU
ФорумTalks

Владельцы ресурсов и закон о связи


0

0

Вот стало интересно, а обязаны ли владельцы конечных ресурсов (например торрент-трекеров) хранить и предоставлять уполномоченным лицам информацию об адресах посетителей? Например, если им захочется выяснить, какой IP залил очередной торрент.

★★★★★

Даже если они и не обязаны, кто может гарантировать вам что владельцы конечных ресурсов и те самые "уполномоченные лица" не являются одними и теми же лицами, например?

anonymous
()

> а обязаны ли владельцы конечных ресурсов (например торрент-трекеров) хранить и предоставлять уполномоченным лицам информацию об адресах посетителей?

Да, при наличии соответствующей санкции. Т.е. в теории при подозрении, что некто распространяет варез. Тогда могут возбудить дело, и производить обыски и изъятия улик.

Теоретически возможне другой вариант. Торрент-сервак проверяют на лицензионность софта, допустим, с серваком всё впорядке, но в ходе проверки выясняется, что им пользовались с целью распространения вареза, тогда против конкректных пользователей возбуждаются дела и начинается следствие.

Но это в теории.

Я не понимаю, зачем вобще хранить ip'шники? Да, я знаю, что серваку надо вести статистику? Но зачем хранить ip? Брать от них md5 и использовать вместо ip. А если кому-то что-то надо, пусть берёт RainBow-таблицы и до посинения реверсит.

Думаю, написать патч для сервака, заставляющего превращать при получении ip в их md5 и дальше использовать их не составит труда.

atrus ★★★★★
()
Ответ на: комментарий от atrus

> Я не понимаю, зачем вобще хранить ip'шники? Да, я знаю, что серваку надо вести статистику? Но зачем хранить ip? Брать от них md5 и использовать вместо ip. А если кому-то что-то надо, пусть берёт RainBow-таблицы и до посинения реверсит.

Наверное все-таки проще сперва узнать обязан ли ты хранить IP. Кроме того, совсем не факт, что при реверсе наступит посинение, учитывая, что размер пула уникальных адресов, обращения которых к вашему ресурсу зарегистрировал вышестоящий провайдер в своих логах, заведомо меньше 2^32. Тем более, что при отображении данных меньшей разрядности (32бит адреса) на 128бит хеш он на выходе с высокой вероятностью можно ожидать однозначно определенный IP - т.е. имхо теряется необратимость преобразования. От этого только доп. вопросы к вам возникнут - какой практический смысл в хранении адресов в форме хеша, зачем вы это делали - не сообщник ли вы этого преступника, залившего торрент?

P.S.

С другой стороны я не понимаю вопрос топикстартера. Разве торрент - это не просто указатель на то место, где лежат данные? Зачем рыть логи сервера, когда он и так отдаст вам торрент?

anonymous
()
Ответ на: комментарий от atrus

> Брать от них md5 и использовать вместо ip. А если кому-то что-то надо, пусть берёт RainBow-таблицы и до посинения реверсит. Думаю, написать патч для сервака, заставляющего превращать при получении ip в их md5 и дальше использовать их не составит труда.

На Атлоне-2000 расшифровка 6-буквенного пароля из 96(?) возможных символов ASCII с использованием RainBow-таблиц заняла порядка минуты. С IP будет ещё легче.

acheron ★★★★
()
Ответ на: комментарий от acheron

> расшифровка 6-буквенного пароля

Это не расшифровка пароля, а подбор одного из бесконечного множества паролей, чей хеш эквивалентен заданному. Это другая задача.

anonymous
()
Ответ на: комментарий от anonymous

>то владельцы конечных ресурсов и те самые "уполномоченные лица" не являются одними и теми же лицами, например?

Улики, собранные незаконным путём силы не имеют

DNA_Seq ★★☆☆☆
()

емнип, обязаны три года. но это "одна бабка сказала"

Muromec ☆☆
()
Ответ на: комментарий от atrus

>Торрент-сервак проверяют на лицензионность софта

я что-то не догнал особо. это что ментам сейчас можно вот так вот прийти и забрать любой сервер на предмет "проврить лицензионность софта" и рыться там?

Muromec ☆☆
()
Ответ на: комментарий от Muromec

> я что-то не догнал особо. это что ментам сейчас можно вот так вот прийти и забрать любой сервер на предмет "проврить лицензионность софта" и рыться там?

Нет, они обязаны предоставить санкцию прокурора на обыск/изьятие. При этом проверка/изьятие, должна проводится в присутствии понятых, как и при обычном обыске. Без соблюдения этих формальностей, действия ментов не являются законными.

fmj
()
Ответ на: комментарий от anonymous

> Это не расшифровка пароля, а подбор одного из бесконечного множества паролей, чей хеш эквивалентен заданному. Это другая задача.

Не вижу принципиальной разницы. Или существуют 2 разных 32-битных IP-адреса с одинаковыми хешами?

acheron ★★★★
()
Ответ на: комментарий от acheron

> Не вижу принципиальной разницы. Или существуют 2 разных 32-битных IP-адреса с одинаковыми хешами?

Проверить, в общем-то, несложно. 4 миллиарда комбинаций перебрать — мелочи.

Поэтому надо переходить на IPv6. Там уже можно с хэшами жить, в принципе.

anonymous
()
Ответ на: комментарий от anonymous

>Поэтому надо переходить на IPv6. Там уже можно с хэшами жить, в принципе.

Только в принципе. Потому что на деле можно перебирать только активные айпишники.

true
()

Вообще-то по умолчанию в логах и так всё пишется. Только в случае торрента наличие запроса к трекеру не означает, что данные действительно были скачаны либо переданы.

true
()
Ответ на: комментарий от true

> Вообще-то по умолчанию в логах и так всё пишется. Только в случае торрента наличие запроса к трекеру не означает, что данные действительно были скачаны либо переданы.

Ну свидетели могут добровольно прийти в милицию и дать показания о том, как они сами того не желая, оказались втянутыми в перадский обмен защищенными последовательностями байтов и оказать всемерное сотрудничество с органами, предоставив им все свои логи. Таких людей, пока ещё не догадывающихся о своём желании посотрудничать, можно найти немало, выявляя их айпишники и затем пробивая реальные адреса по IP. А от свидетелей суд не отмахнется - вот же куча живых людей, утверждает что падонак закачивал в их компьютеры запрещённые байты.

anonymous
()
Ответ на: комментарий от true

> Только в принципе. Потому что на деле можно перебирать только активные айпишники.

Неа, там фокус есть. Один v6-адрес можно записать много какими вариантами, за счет сокращений с "::" и подобного. Сделать намеренную денормализацию, посчитать десяток хэшей от разных форм (и запомнить один случайный) - не проблема. А вот перебирать - уже плохо.

anonymous
()
Ответ на: комментарий от anonymous

> Сделать намеренную денормализацию, посчитать десяток хэшей от разных форм (и запомнить один случайный)

Если закон обязывает хранить - то он должен описывать что именно он обязывает хранить. А если не обязывает - то какой смысл расходовать носители на хранение полученного бесполезного говна?

anonymous
()
Ответ на: комментарий от Muromec

> я что-то не догнал особо. это что ментам сейчас можно вот так вот прийти и забрать любой сервер на предмет "проврить лицензионность софта" и рыться там?

Зависит от того, где вы держите сервер. Если дома, то опять же нужна санкция, а для неё - обоснования. Если на колокейшн, то, по идее есть варианты. Я точно не знаю механизм, но по конторам ходят проверяющие. Значит, в принципе, могут и к провайдеру зайти.

atrus ★★★★★
()
Ответ на: комментарий от anonymous

> Кроме того, совсем не факт, что при реверсе наступит посинение, учитывая, что размер пула уникальных адресов, обращения которых к вашему ресурсу зарегистрировал вышестоящий провайдер в своих логах, заведомо меньше 2^32.

А х. его з. Хеш-то не один на треккере будет хранится. Значит подозреваемый диапазон придётся перебирать для каждого из хешей в базе треккера. Насколько это сложная задача - не знаю.

> зачем вы это делали

С целью унифицировать алгоритмы обработки статистики между ipv4 и ipv6 клиентами. :)

atrus ★★★★★
()
Ответ на: комментарий от acheron

> На Атлоне-2000 расшифровка 6-буквенного пароля из 96(?) возможных символов ASCII с использованием RainBow-таблиц заняла порядка минуты. С IP будет ещё легче.

ORLY? А если в строку?

xxx.xxx.xxx.xxx = 15 символов. Насколько я помню, RainBow только до 9. Про ipv6, который можно в полную форму развернуть ещё круче. :)

atrus ★★★★★
()
Ответ на: комментарий от anonymous

> Если закон обязывает хранить

Обязывает хранить кого? Обычниый пользователь не является провайдером и не обязан ничего хранить.

> какой смысл расходовать носители на хранение полученного бесполезного говна

Оно не бесполезное. Торрент треккеру нужно хранить статистику по клиентам для корректной работы.

atrus ★★★★★
()
Ответ на: комментарий от atrus

> Обязывает хранить кого?

Владельцев конечных ресурсов (например торрент-трекеров) (см. начальный пост)

> Обычниый пользователь не является провайдером и не обязан ничего хранить.

Но его можно.. хм.. стимулировать знаете-ли. Да и безо всяких логов, показаний множества людей, подтвеждающих, что они на своих экранах видели как такого-то числа в такое-то время злостный IP 666.666.666.666 закачивал на их контуперы чужую интеллектальную собственность - в принципе должно быть достаточно имхо. Ведь считается же доказанной вина, если пара-тройка свидетелей опознают преступника? А тут почему бы нет?

> Оно не бесполезное. Торрент треккеру нужно хранить статистику по клиентам для корректной работы.

Ога щаз. Как вы предлагаете работать с данными, полученными описанным способом: "посчитать десяток хэшей от разных форм (и запомнить один случайный)"? Их можно просто брать из /dev/random

anonymous
()
Ответ на: комментарий от anonymous

> Владельцев конечных ресурсов (например торрент-трекеров) (см. начальный пост)

Можно ли ссылку на закон? Начальный пост о том, что торрент сервер сам, без указки их хранит. И могут потребовать выдачи.

> Но его можно.. хм.. стимулировать знаете-ли.

Обсуждать незаконные действия не имеет смысла. И так понятно, что могут войти домой, махнуть корочкой и взять что надо. А будешь возбухать - "найдут" наркотики. С адвокатом отмазаться, скорее всего удастся, но года 3 крови попьют.

> Как вы предлагаете работать с данными, полученными описанным способом

Это не я предлагал. Но можно делать и так. Ведь в памяти сервер может хранить ip. И соответствия хэшам. А самому серверу искать проще, он-то ip клиента знает. Генерит все возможные варианты, считает хэши и находит искомый запросом к базе. Потом запоминает, что этому подключению соотвествует этот ключ.

atrus ★★★★★
()
Ответ на: комментарий от DNA_Seq

>Улики, собранные незаконным путём силы не имеют

Это не улики. Улики будут, когда к тебе домой придут, и всё что искали на винчестере обнаружится.

anonymous
()
Ответ на: комментарий от anonymous

> Как вы предлагаете работать с данными, полученными описанным способом: "посчитать десяток хэшей от разных форм (и запомнить один случайный)"? Их можно просто брать из /dev/random

Это я предлагал. Что нам эти данные дают - так это возможность, видя конкретного клиента с конкретным IP сказать есть он (один из хэшей его IP) в нашей базе или нет. Но сложно наоборот - видя запись в базе сказать IP клиента.

Для IPv4 это 4 миллиарда комбинаций (пук в лужу про rainbow tables до 9 символов отметаем) даже если не выкусывать блоки, с которых никак не могло быть доступа. Это не так и сложно и перебрать. А вот для v6, да еще и в разных формах записи - уже сложнее.

anonymous
()
Ответ на: комментарий от atrus

Слушайте, atrus, хватит играть в марковский автомат без предсостояний.

> Можно ли ссылку на закон?

Какой закон? Это и есть часть вопроса - предписывается или нет. Тот пост, на который вы отвечали, учитывал два варианта: если владельцы ресурсов обязаны - то одно, если нет - то другое.

> Это не я предлагал.

Так комментировали-то вы фразу, относящуюся к этому.


>> Но его можно.. хм.. стимулировать знаете-ли.

> Обсуждать незаконные действия не имеет смысла. И так понятно, что могут войти домой, махнуть корочкой и взять что надо. А будешь возбухать - "найдут" наркотики.

Это не обязательно незаконные действия. В данном случае - это вообще элементарные законные действия: любой участник торрент-сети одновременно является и распространителем контента для других участников - так что до него априори можно докопаться. Потом заключить сделку. Было бы желание выцепить несколько подростков с несильно чистыми на руку родителями, провести профилактическую беседу, разъяснить что шило в мешке не утаишь, что все знают чем эти подростки занимаются в интернете, но к ним претензий не имеется, а вот если бы они помогли доблестной милиции в поимке опасного рецидивиста - это было бы очень хорошо, и, глядишь, где-нибудь зачлось бы при случае, вот например у участкового жалоба лежит по поводу очередного пьяного дебоша в вашей квартире и мы как раз размышляли - опять ограничиться беседой или передавать дело в суд.. Короче, желающих посодействовать при необходимости всегда можно найти и без всяких незаконных вещей.

anonymous
()
Ответ на: комментарий от anonymous

> Какой закон? Это и есть часть вопроса - предписывается или нет.

Извините, но мне казалось, что *я* дал ответ ещё первым сообщением. Нет, обычным людям не предписывается ничего хранить. Но предоставить доступ, при наличии санкций придётся. Если у вас другие сведения, то прошу источник.

atrus ★★★★★
()
Ответ на: комментарий от atrus

> Ведь в памяти сервер может хранить ip.

Как было убедительно показано ранее, баллончик со сжатым воздухом позволяет сделать содержимое ОЗУ доступным третьим лицам.

Напомню о чем речь шла (тему зарезали модераторы) - компьютер выключается, память охлаждается и переставляется в компьютер третьего лица, где и копируется на его носитель: в охлажденном состоянии современные планки динамического ОЗУ хранят данные без рефреша минутами.

anonymous
()
Ответ на: комментарий от atrus

> Извините, но мне казалось, что *я* дал ответ ещё первым сообщением. Нет, обычным людям не предписывается ничего хранить. Но предоставить доступ, при наличии санкций придётся.

Ну так с вас и ссылки на соответствующие нормативные акты.

anonymous
()
Ответ на: комментарий от anonymous

> Это я предлагал. Что нам эти данные дают - так это возможность, видя конкретного клиента с конкретным IP сказать есть он (один из хэшей его IP) в нашей базе или нет. Но сложно наоборот - видя запись в базе сказать IP клиента.

Ну да, расчет десяти хешей вместо одного, на каждое обращение клиента - в перспективе в десять раз осложнит подбор ответного IP :-)

Я не понимаю как тут можно защитить клиента.

Единственный способ защиты я вижу - это каждому пераду выложить дистрибутив Линукса на кач и отклонять нешифрованные соединения. Соответственно - пусть власти пойдут потом докажут не скачивая контент, что перад раздавал не линукс.

Хотя как перад сможет защититься от свидетельских показаний - вот это любопытно.

anonymous
()
Ответ на: комментарий от atrus

> Насколько я помню, RainBow только до 9

Откуда данные? По-моему, насколько сгенерируешь таблицы, на столько и будет :)

acheron ★★★★
()
Ответ на: комментарий от atrus

extern hash_t any_complicated_hash_function(uint32_t ip);
uint32_t crack_hash(hash_t hash) {
    for (uint32_t rv = 1; rv > 0; ++rv) {
        if (hash_eq(any_compilcated_hash_function(rv), hash)) {
            return rv;
        }
    }
    return 0;
}

И вообще все эти хеши — фигня, через пару лет квантовые компьютеры будут всё это ломать за секунды.

Legioner ★★★★★
()
Ответ на: комментарий от atrus

> Обязывает хранить кого? Обычниый пользователь не является провайдером и не обязан ничего хранить.

Вот это-то я и хотел узнать. В прицнипе вопрос можно было сформулировать так: А можно ли на сервере отключить любое логирование IP и не прикопаются ли с вопросов типа "а по закону вы должны сохранять информацию о тех, кто заходит на сайт".

init ★★★★★
() автор топика
Ответ на: комментарий от anonymous

> Как было убедительно показано ранее, баллончик со сжатым воздухом позволяет сделать содержимое ОЗУ доступным третьим лицам.

А теперь вы не пойми кого строите? Речь шла о выявлении тех, кто когда-то что-то качал, а не о спецоперации в стиле "миссия не выполнима".

atrus ★★★★★
()
Ответ на: комментарий от acheron

> Откуда данные?

Был где-то сайт, где можно было подобрать коллизию по хешу. Там до 9 символов обещали находить.

> По-моему, насколько сгенерируешь таблицы, на столько и будет :)

Насколько я помню, они остановились на 9 потому что с каждум следующим символом объёмы таблиц жутко росли. А так, в теории, можно к каждому хешу иметь таблицу коллизий и гарантированно быстро восстанавливать. :)

atrus ★★★★★
()
Ответ на: комментарий от atrus

> Был где-то сайт, где можно было подобрать коллизию по хешу. Там до 9 символов обещали находить.

Если не путаю, там ASCII-only, а объём таблиц ~250M.

acheron ★★★★
()
Ответ на: комментарий от init

> А можно ли на сервере отключить любое логирование IP и не прикопаются ли с вопросов типа "а по закону вы должны сохранять информацию о тех, кто заходит на сайт".

Кажется в ЖЖ есть сообщества юристов, можно пропробовать найти точный ответ там. Потому что покопавшись в законах я таких требований даже для операторов не нашёл.

atrus ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.