LINUX.ORG.RU
ФорумTalks

Deep Packet Inspection, Y.2770 как начало регулирования Интернета.

 , y.2770,


0

2

оставлю это и это здесь.

Немного издалека

министр юстиции Нидерландов направил в Палату представителей национального Парламента своё предложение о введении правовых механизмов для принуждения к выдаче шифровальных ключей. Предполагается, что оно будет применяться к подозреваемым в терроризме и сексуальном насилии над детьми.

Первоначально с этой инициативой выступил сам Парламент, потребовавший у Минюста изучить вопрос реализуемости такой меры после ряда сообщений в СМИ о том, что полиция столкнулась с трудностями при попытке получить доступ к зашифрованному компьютеру некоего лица, подозреваемого в действиях сексуального характера по отношению к несовершеннолетним. Однако никаких свидетельств системному характеру данной проблемы представлено не было.

Министерство подготовило подробный отчёт, рассматривающий проблему совместимости предложенной меры с правом обвиняемого не свидетельствовать против себя, а также аналогичный законодательный опыт других государств и тенденции развития технологий. Отчёт был представлен Парламенту наряду с законотворческими предложениями.

В отчёте утверждается, что, хотя подобная мера входит в противоречие с правом обвиняемого хранить молчание, данное право не препятствует применению этой меры в случаях, когда оно перевешивается легитимными интересами общества. В обоснование такой позиции отчёт приводит четыре критерия, установленных Европейским судом по правам человека для определения допустимости требований о принуждении к выдаче ключей шифрования:

1 вид и размер мер принуждения;
2 интересы общества;
3 наличие соответствующих сдерживающих механизмов и гарантий;
4 порядок использования расшифрованной информации.

...

Наконец, авторы отчёта рассмотрели вопросы правоприменения и развития технологий. Они делают вывод, что средства шифрования получают всё более широкое развитие, а применение отрицаемого шифрования затрудняет доказывание наличия зашифрованной информации как таковой.

Авторы выражают сомнения в эффективности предложенных мер в отношении серьёзных преступников; по их мнению данные нормы будут работать только против мелких правонарушителей.


По существу

... Другое важное событие произошло на конференции 6 декабря 2012 года. В этот день по инициативе Китая был официально утвержден стандарт Y.2770 по глубокой инспекции пакетов (Deep Packet Inspection, DPI).

Против инициативы Китая выступила Германия, представители которой заявили, что МСЭ не должна делать стандартом технические средства, которые позволят в дальнейшем усилить контроль над телекоммуникационным контентом. По мнению представителей Германии, это может привести к расширению цензуры и стать препятствием для свободного обмена информацией. Однако выступление немецкой стороны не возымело должного эффекта и стандарт Y.2770 был утвержден.

В силу того, что обсуждение и принятие документа, регулирующего цели, порядок и условия применения нового стандарта проходило на закрытом заседании, многие детали относительно DPI в настоящее время остаются конфиденциальной информацией. Вместе с тем, технология DPI уже определенное время используется крупными провайдерами и корпорациями для интеллектуального управления трафиком в своих сетях. Основным применением DPI в настоящее время является обнаружение и блокировка вирусного ПО, ограничение отдельных приложений, забивающих канал (BitTorrent), управление скоростью соединений. Судя по по опубликованным в сети данным, с помощью технологии DPI также можно встраивать цифровые «водяные знаки» в mp3-файлы, вычислять аудиоконтент, защищенный авторским правом или идентифицировать незаконно раздающих лицензионный контент пользователей BitTorrent. Это достигается за счет фильтрации сетевых пакетов по их содержимому. При этом DPI анализирует не только заголовки пакетов, но и все содержимое трафика.

Вместе с тем, задолго до голосования были выявлены факты, когда технология DPI применялась также для мониторинга за личной жизнью людей.

Несмотря на то, что 6 декабря 2012 года на блоге МСЭ было опубликовано сообщение, что ситуация взята под контроль и утвержденный стандарт Y.2770 не разрешает доступ к личной информации пользователей, вероятность того, что DPI не будет применяться для шпионажа, исключить нельзя. При этом надо учитывать, что указанный стандарт теперь является официально разрешенным на территории стран-участниц МСЭ, что дает властям право использовать его в своих целях.

★☆

Последнее исправление: Umberto (всего исправлений: 1)

идентифицировать незаконно раздающих лицензионный контент пользователей BitTorrent

Что они могут сделать с шифрованным трафиком?

Homura_Akemi
()

вероятность того, что DPI не будет применяться для шпионажа, исключить нельзя

facepalm.mkv.xz

tailgunner ★★★★★
()
Ответ на: комментарий от Homura_Akemi

Что они могут сделать с шифрованным трафиком?

сказать, что ты предположительно террорист, а далее читай про Нидерланды :3

Umberto ★☆
() автор топика
Ответ на: комментарий от Homura_Akemi

Что они могут сделать с шифрованным трафиком?

-j DROP

plm ★★★★★
()
Ответ на: комментарий от Homura_Akemi

Провайдерам такая идея не придётся по вкусу.

Ну, это пока что. Потихоньку «правообладатели» придут к выводу, что белый список — единственный реальный способ борьбы с интернетом. И тогда правительства стран внезапно примут соответствующие законы. И будут сайты добавляться в список по запросу, после предварительной тщательной проверки. И будут ревизоры, заходящие примерно раз в полгода на каждый из сайтов, чтобы проверить, что там ничего запрещённого нет.

Sadler ★★★
()
Последнее исправление: Sadler (всего исправлений: 1)

хотя подобная мера входит в противоречие с правом обвиняемого хранить молчание, данное право не препятствует применению этой меры в случаях, когда оно перевешивается легитимными интересами общества
интересами общества

Гребаные фашисты.

Ok
()
Ответ на: комментарий от Deleted

Траф вычисляем. Начать надо с выдергивания прибитых гвоздями дефолтных портов. Далее наложить патчей на SSL в связи с тем что сжатые данные в нем выделяются по длине. Вобщем остается только одно - создание сети с нуля. С независимыми днс серверами, с другим более надежным протоколом. Вместо SSL написать свои реализации и т.д. и т.п. Но это никогда не произойдет - одни будут пытаться слиться с общим трафиком, другие находить подобные нарушения. Скоро любой переданный пакет в сети придется подписывать днк. Нет днк - нет доступа =\

gh0stwizard ★★★★★
()
Ответ на: комментарий от gh0stwizard

Вобщем остается только одно - создание сети с нуля. С независимыми днс серверами, с другим более надежным протоколом. Вместо SSL написать свои реализации и т.д. и т.п.

man i2p

Deleted
()

В силу того, что обсуждение и принятие документа, регулирующего цели, порядок и условия применения нового стандарта проходило на закрытом заседании, многие детали относительно DPI в настоящее время остаются конфиденциальной информацией.

Секрет против своих граждан. Как это мило.

При этом надо учитывать, что указанный стандарт теперь является официально разрешенным на территории стран-участниц МСЭ, что дает властям право использовать его в своих целях.

Вообще-то тут я чего-то не понимаю. По-моему, власти любых стран что хотели то и применяли и применяют в своих целях, независимо от наличия или отсустствия стандарта.

anonymous_incognito ★★★★★
()
Ответ на: комментарий от Deleted

кэп намекает

а на базе каких сетей это организовано?

Umberto ★☆
() автор топика
Ответ на: комментарий от Deleted

Просвещай себя, а не верь слухам!

http://www.irongeek.com/i.php?page=security/darknets-i2p-identifying-hidden-s...

i2p в нынешней реализации «просвечивается» и причем очень хорошо. Неважно, какой трафик ты гоняешь снаружи, но если сопоставят трафик «снаружи» и трафик «внутри» i2p прижать к стенке тебя как два пальца об асфальт. Под трафиком понимаются «дела» :)

gh0stwizard ★★★★★
()
Ответ на: комментарий от XVilka

Во-первых, это 1%, во-вторых, тут уже можно писать детектирующий софт, в-третьих, если будет проводиться тотальная проверка серверов перед добавлением в белый список, то сайты, предлагающие стеганографические системы, будут вскоре закрыты. Так что всё равно задача выполнена на 99.5% .

Sadler ★★★
()
Ответ на: комментарий от gh0stwizard

1. Banner grabs of both eepSites inside of I2P, and against know IPs participating in the Darknet, to reduce the anonymity set of the servers.
2. Reverse DNS and who is lookups to find out more information concerning the IPs of the I2P nodes.
3. TCP/IP stack OS finger printing.
4. Testing I2P virtual host names on the public facing IP of I2P nodes.
5. Compare the clock of the remote I2P site, and suspected IP hosts on the public Internet, to our own system's clock. We did this via the HTTP protocols «Date:» header.
6. Command injection attacks.
7. Web bugs to attempt to de-anonymize eepSite administrators or users. (This turned out more problematic than we originally thought)

Похоже на проблемы кривых рук у администратора хоста

Deleted
()

Предполагается, что оно будет применяться к подозреваемым в терроризме и сексуальном насилии над детьми.

Я удивляюсь, как при таком количестве разнообразных мероприятий против террористов и педофилов они до сих пор ещё их не уничтожили.

Mitre ★★
()

Вместе с тем, задолго до голосования были выявлены факты, когда технология DPI применялась также для мониторинга за личной жизнью людей.

Ага.

Targeted advertising

Because ISPs route the traffic of all of their customers, they are able to monitor web-browsing habits in a very detailed way allowing them to gain information about their customers' interests, which can be used by companies specializing in targeted advertising. At least 100,000 United States customers are tracked this way, and as many of 10% of U.S. customers have been tracked in this way. Technology providers include NebuAd, Front Porch, and Phorm. U.S. ISPs monitoring their customers include, Knology, and Wide Open West. In addition, the United Kingdom ISP, British Telecom, has admitted testing technology from Phorm without their customers' knowledge or consent

Из вики.

Mitre ★★
()
Ответ на: комментарий от Deleted

Вообще в статье это и доказывается. Я говорил о другом, что траф i2p наружу всегда льется через одни и теже порты. После того, что мы выяснили, что ты тот кто нам нужен атаку MiTM для i2p организовать со стороны провайдера несложно и тогда весь твой трафик станет раскрытым. Как это организовать нагуглишь сам. Вот еще видео в догонок, раз не веришь ребятам с блекхата :)

http://www.irongeek.com/i.php?page=videos/cipherspaces-darknets-an-overview-o...

gh0stwizard ★★★★★
()

2 интересы общества;

Вот тут то общество и схватят за жабры, в интересах общества.

Deleted
()
Ответ на: комментарий от gh0stwizard

Бида пичаль и куда теперь анонимусу податься?

Satou ★★★★
()
Ответ на: комментарий от gh0stwizard

С другой стороны MiTM не будет работать до тех пор, пока твой открытый ключ не сопоставят с реальным ip. А невозможности этого при достаточной прямоте рук вроде как еще никто не отменял.

Вот еще видео в догонок, раз не веришь ребятам с блекхата :)

Я же не осилю 2 часа такого крутого видео. Лучше что-нибудь в текстовом формате.

Deleted
()
Ответ на: комментарий от Mitre

А кто там за педофилами и террористами охотится?

Это нужно у тебя спрашивать :) Ты ж вещал, что кто-то кого-то уничтожит. Русский язык он такой.

Sadler ★★★
()
Ответ на: комментарий от Deleted

Там есть независимый распределенный аналог днс и другие более надежные протоколы.

Когда ты его стартуешь в первый раз, откуда он пиры берёт? Думаю, внутри какой-то список серверов, причём довольно маленький.

Если бы все эти торы, i2p и прочее обходились ВООБЩЕ без серверов, т.е. сетку сканили в поисках пиров, тогда можно было бы разговаривать. Но сканы такие будут по полдня занимать и за них будут больно бить провайдеры.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Когда ты его стартуешь в первый раз, откуда он пиры берёт? Думаю, внутри какой-то список серверов, причём довольно маленький.

Сначала пытается искать их по DTH, если не получится, то из списка серверов. Узлы, полученные при начальной инициализации не могут быть конечными нодами.

Deleted
()
Ответ на: комментарий от winddos

Твоя ссылка к сабжу никак не относится, хоть почитал бы.

Мы тут обсуждаем, что станет если интернет будет под колпаком. Готовимся к 21.12.2012 :)

P.S. DPI может следить не только за открытым текстом, но и за подозрительным трафиком, а i2p, tor как раз генерируют подобный трафик. Да, тебе не предъявят обвинений, но поставят на «прослушку» без твоего ведома, автоматической системой слежения SkyNet или как-то так.

gh0stwizard ★★★★★
()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от Mitre

Я удивляюсь, как при таком количестве разнообразных мероприятий против террористов и педофилов они до сих пор ещё их не уничтожили.

с ведьмами ещё не так боролись - но пока люди не поумнели - ничего не помогало.

Anonymous ★★★★★
()
Ответ на: комментарий от gh0stwizard

Я говорил о другом, что траф i2p наружу всегда льется через одни и теже порты.

В I2P порты по дефолту рендомные идут.
Или ты имеешь ввиду трафик «вне i2p»?

После того, что мы выяснили, что ты тот кто нам нужен атаку MiTM для i2p организовать со стороны провайдера несложно и

тогда весь твой трафик станет раскрытым.
Твой трафик в i2p можно раскрыть только если стащить приватные ключи твоего роутера или роутера сервера.
Т.к кроме промежуточного шифрования там идет шифрование point to point.

Как это организовать нагуглишь сам. Вот еще видео в догонок, раз не веришь ребятам с блекхата :)

Ты видео смотрел?
Там везде рассматриваются недостатки кривых рук пользователей или администраторов eepsite: утечка данных, утечка dns, яваскрипты или время на сервере.
Не указано ни одной проблемы самого по себе i2p, кроме возможности заддосить некоторые сервера выполняющие роль директорий.
Тут проблема лишь в том, что sponge не хочет всех пользователей плагина делать раздающими нодами, поэтому трекеров мало и в теории их можно положить.

Если у тебя есть свои мысли как сделать сам протокол надежнее - велкам в IRC, zzz там постоянно сидит и принимает совершенно все багрепорты без исключения.

winddos ★★★
()
Ответ на: комментарий от gh0stwizard

Мы тут обсуждаем, что станет если интернет будет под колпаком. Готовимся к 21.12.2012 :)

Это не повод постить пруф линки в который о MiTM ничего не говорится, и «делать лицо» будто там описаны какие то проблемы архитектуры.

P.S. DPI может следить не только за открытым текстом, но и за подозрительным трафиком, а i2p, tor как раз генерируют подобный трафик. Да, тебе не предъявят обвинений, но поставят на «прослушку» без твоего ведома, автоматической системой слежения SkyNet или как-то так.

Ну так если потребуется, то в i2p не сложно будет сделать маскировку трафика, скажем под видом ssh и ssl коннектов.
Просто здесь и сейчас это не нужно, есть куда более важные проблемы типа стабильности архитектуры при большом количестве хостов, этим сейчас в основном и заняты девелоперы.

Т.е i2p заблочить если и можно будет, тол только способом разделения интернета на куски.
А пока есть страны где существует возможность поднять входные ноды в сеть под видом ssh/https серверов будет возможность доступа в неё.

winddos ★★★
()
Ответ на: комментарий от Deleted

Сначала пытается искать их по DTH

Откуда твой DHT узнает, на какой IP постучать? Из астрала?

Либо сканирование, либо готовый список откуда-то.

Узлы, полученные при начальной инициализации не могут быть конечными нодами.

Достаточно их отсечь чтобы в сеть нельзя было войти.

yu-boot ★★★★★
()
Ответ на: комментарий от winddos

В I2P порты по дефолту рендомные идут.

какая вообще разница какие порты, какое шифрование, ранее упомянули стего, если DPI способно детектить неопознанный траффик => прислать уведомление или повестку, согласно тем правовым актам, которые буду приняты.

лень искать обзор одного исследования, где указывалось, что порядка 30% графики на файлообменниках наполнено стего.

ещё постоянно рассматривают те или иные изъяны тора, i2p, забывая, что всё оно «овер провода провайдера» со всеми вытекающими.

Umberto ★☆
() автор топика
Ответ на: комментарий от Umberto

какая вообще разница какие порты, какое шифрование, ранее упомянули стего, если DPI способно детектить неопознанный траффик => прислать уведомление или повестку, согласно тем правовым актам, которые буду приняты.

Ещё раз повторюсь: сделать маскировку трафика не сложно, просто это не является первостепенной задачей.

Ну а если будут банить ssl, ssh трафик то это уже будет вообще жесть и ни о каких i2p речи не будет, т.к вероятно за него будут расстреливать.
А если нет, то скажи спасибо проприетарщикам и копирастам, благодаря им кроме общепринятых шифрованных протоколв есть ещё 100500 проприетарных копирастических вроде rtmp, так что будет под что маскироваться.

ещё постоянно рассматривают те или иные изъяны тора, i2p, забывая, что всё оно «овер провода провайдера» со всеми вытекающими.

Это так потому, что пока несвободный интернет выгоден только всякими рашкам и китаям.
Самое плохое что может случится - их от него отрежут вместе с их протоколами и инициативами.

winddos ★★★
()
Ответ на: комментарий от yu-boot

Либо сканирование, либо готовый список откуда-то.

Ну так готовый список можно разместить где угодно: в виде картинки, в твитторе, в фейсбуке или мало ли ещё где.
При этом подделать его будет невозможно, потому как есть цифровые подписи.

Единственная проблема и слабое место - люди, но ведь доверенные люди могут вообще никогда не палить свои данные.

winddos ★★★
()
Ответ на: комментарий от winddos

а если будут банить ssl, ssh трафик то это уже будет вообще жесть

вот примерно в этом направлении и идёт.

Это так потому, что пока несвободный интернет выгоден только всякими рашкам и китаям.
Самое плохое что может случится - их от него отрежут вместе с их протоколами и инициативами.

этого не будет ни при каких вариантах, ибо буржуинские копирайтообладатели пусть хоть и потявкивают, но являются второстепенными, а первостепенные задачи - манипуляция общественным мнением и прочими информационными трендами на территориях России и того же Китая.

Umberto ★☆
() автор топика
Ответ на: комментарий от winddos

Ну так готовый список можно разместить где угодно: в виде картинки, в твитторе, в фейсбуке или мало ли ещё где.

Важно, что в программе зашито, с какого IP или набора IP брать картинку и т.д.. И пока программа туда не стукнется, она не узнает о других пирах. Блокируем этот «начальный» IP и все сосут болт.

Особый кайф добавляет то, что emule и насколько я знаю i2p даже НЕ СОХРАНЯЮТ список полученных пиров после выключения и всякий раз ломятся на сервер за ними.

yu-boot ★★★★★
()
Ответ на: комментарий от yu-boot

Блокируем этот «начальный» IP и все сосут болт.

И в следующих версиях ничего забанить будет уже нельзя, т.к вместо одного способа бутстрапа с одним источник будет 5 способов и 9001 источник.

Особый кайф добавляет то, что emule и насколько я знаю i2p даже НЕ СОХРАНЯЮТ список полученных пиров после выключения и всякий раз ломятся на сервер за ними.

Ну а зачем им это делать, если сейчас не нужно обходить всякие блокировки?

winddos ★★★
()
Ответ на: комментарий от Umberto

вот примерно в этом направлении и идёт.

Копирастам из США это не нужно, т.к им самим нужны шифрованные протоколы.
Да и вообще им выгодна постоянная борьба, суды а не отсутствие возможности пиратить.
Ведь самые активные копирасты первыми разорятся если люди станут покупать контент. :)

а первостепенные задачи - манипуляция общественным мнением и прочими информационными трендами на территориях России и того же Китая.

Ну вот и посмотри на тот же Китай.
Для контроля населения там не нужно банить даркнеты, т.к ими все равно никто пользоватся не будет.

А настоящих револлюционеров там просто расстреляют без суда и следствия, и без протоколов для анализа данных.
В России же расстреливать не будут, а посадят за наркоту или ещё по какой статье.

winddos ★★★
()
Ответ на: комментарий от winddos

В России же расстреливать не будут, а посадят за наркоту или ещё по какой статье.

это как апофеоз. перед этим есть определение шифротраффика, потом «на карандаш», после оперативные мероприятия и тп. при наличии потокового DPI вычленять забавных пользователей станет гораздо проще, а какие применять меры - дело десятое.

Ну вот и посмотри на тот же Китай.

ну вот и смотрю, они его и протолкнули.

по инициативе Китая был официально утвержден стандарт Y.2770 по глубокой инспекции пакетов (Deep Packet Inspection, DPI).

Umberto ★☆
() автор топика
Ответ на: комментарий от anonymous_incognito

По-моему, власти любых стран что хотели то и применяли и применяют в своих целях, независимо от наличия или отсустствия стандарта.

возможно всё более прозаично, скажут провайдерам, мол, стандарт есть? - есть, вот и закупайте за свои оборудования для организации DPI, подключайте к сормам.

Umberto ★☆
() автор топика
Ответ на: комментарий от Umberto

при наличии потокового DPI вычленять забавных пользователей станет гораздо проще, а какие применять меры - дело десятое.

Строго доказывать немного лень, но рискну утверждать, что для любого DPI возможна маскировка одного типа трафика под что-то другое таким образом, что текущих вычислительных возможностей узла с DPI не хватит для разделения типов трафика за любое наперед заданное время.

anonymous_incognito ★★★★★
()
Последнее исправление: anonymous_incognito (всего исправлений: 1)
Ответ на: комментарий от tailgunner

Начнем с того, что самые активные копирасты контента вообще не производят, они живут исключительно на деньги с судов и живут только ради судов.
Если «пираты» исчезнут, то лоббируемые ими политики потеряют поддержку медиа-индустрии, т.к будет не на чем выезжать.
Плюс откатывать этим конторам никто не будет, они сразу же загнутся.

Во вторых когда все покупают контент, то куда больший процент людей задумывается над тем, на что и почему они тратят деньги.
Получается, что продать говно становится невыносимо сложно, а значит компании у которых отдел юристов больше всех остальных тоже быстренько пойдут на дно.

А самое главное, что если все были готовы платить за контент, то схемы вроде кикстартера или просто прямых платежей автору стали бы развиваться намного быстрее чем сейчас.
Т.е через пару лет большинство паблишеров просто выкинули бы с рынка.

Именно поэтому им совершенно не выгодно кого то там побеждать, куда выгоднее отсуживать по 100к баксов с носа, а так же выпрашивать у правительства дотации на новую яхту.

winddos ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.