Страница 2 из 3

Евреонал против анонимности гоев в интернете

Добавлено: 06 фев
StreetRacers
Способы, которыми иверы могут запретить доступ к средствам анонимности, чтобы после этого сразу же отслеживать и вычислять опасных инакомыслящих гоев


Рунет обречённый (ссылки на статью из 2 частей)

http://blogerator.ru/page/runet-obreche ... -dpi#print

http://blogerator.ru/page/runet-obreche ... ra-2#print

(сюда на форум эти тексты скопированы для архива; в текстах есть зачёркнутые слова, так что если здесь непонятно, то читайте там)


и сюда же один из отзывов к 2 части:
Евгений
22.09.2013 в 15:53

Есть ещё пара моментов, не упомянутых автором.

Во-первых, по идее государству нет особого смысла полностью болкировать упомянутые взможности. Достаточно сделать их использование возможным "только для гиков". Например, найти и заюзать Tor-браузер может любой не-гик. При блокировании публичных нод нужно сделать действия, труднодоступные "Тёте Вале", а включение какого-нибудь "хитрого режима" уже недоступно практически всем "хомячкам". Чуть-чуть надавить - и для работы с Tor потребуются знания, "запредельные" для хоум-юзера. Самый популярный вопрос на "Ответах Мейл Ру" - где скачать такой-то фильм без торрента. Хомячкам недоступен даже торрент [ГДЛБ! это про ваш уровень развития!] - они его использовать не умеют, не говоря уже о каких-то настройках.

Второй момент в том, что запретив использование каких-то программ, можно банально отследить наличие этой программы на компьютере. Антивирусами пользуетесь? В два счёта можно договориться с производителями о некоем модуле, "стучащем куда нужно" о присутствии такой программы. Да просто занести сигнатуры в базы антивиря - и больше половины пользователей проблему не решит.

Достаточно довести задачу до степени "доступно только для гиков", а гика поставить в ситуацию "можно легко схлопотать не по детски".
(дополнительно по этой же теме можете глянуть
http://habrahabr.ru/post/209312/
"Тройной удар для Рунета: идентификация пользователей, контроль сайтов и электронные платежи")



часть 1

Рунет обреченный: замуровали, демоны

В последнее время часто возникают разговоры о текущих и будущих повальных блокировках сетевых ресурсов, о грядущей потере связности единой сети Интернет. В противовес намереньям светских властей «держать и не пущать», все чаще приходится сталкиваться с абстрактными инициативами независимо настроенной технической братии, считающей анонимность в Сети своим «священным Граалем», принимая подобные наезды государства за святотатство и кощунство. Все чаще в дискурсе этой части сетян применяются колюще-режущие по отношению к цензуре инструменты типа VPN, Tor, i2p и т.д., которые якобы разнесут в пух и прах ограничительные инициативы государства.

Ниже я предлагаю свою, противоположную точку зрения, почему все эти усилия против цензуры тщетны, — нет, технарям не получится обойти эти препоны, если против них начинает играть их родное государство.

Изображение


С чего кончается Родина?

Многие молодые технари хотят победить заразу цензуры и блокировок, воспользовавшись сервисом частного виртуального тоннеля (VPN), который позволит лихо обойти все препятствия, чинимые государством на пути любознательного гика. Давайте рассмотрим первый вариант — блокируемый сайт находится в рамках самого Рунета, т.е. хостится на серверах, подключенных к одной их многочисленных региональных сетей России, совокупность которых и принято обозначать емким термином «Рунет».

Символическая схема фильтрации Рунета для этого случая будет выглядеть примерно так:

Изображение

Пояснение к схеме — каждая из огромного множества российских сетей на данный момент обязана фильтровать весь входящий и исходящий трафик в точке сопряжения с внешними сетями.

Список для фильтрации дважды в день выгружает согласно установленной процедуры уполномоченный на то Роскомнадзор.

Таким образом, в какой бы российской сети не находился хостер, на мощностях которого размещен «забаненный сайт», как правило, хотя бы в двух точках сопряжения сетей весь транзитный трафик между ним и абонентом из «внешнего мира» будет прочищен от запрещенной информации. Получается, что если даже у вас VPN физически расположен в самой демократически свободной стране мира — США (гипотетическое утверждение), то забаненный в РФ ресурс будет вам точно так же недоступен, как и непосредственно с территории самой России.

Таким образом, мы видим, что VPN «во внешний мир» бессмысленен для сайтов, заблокированных Роскомнадзором и физически находящихся в пределах (сетях) самого Рунета. Какой смысл от того же VPN, когда все транзитные провайдеры во внешний мир отгружают лишь предварительно отфильтрованный вариант российской сетевой действительности?

Прежде чем перейти к следующему варианту, внизу привожу совсем немного статистики, чтобы помочь более емко осмыслить это первое утверждение на примере из голых цифр. По состоянию на начало 2013 года большая часть сайтов из домена .ru физически хостилась на территории РФ — именно эта часть Рунета может исчезнуть в любой момент времени из поля вашего зрения, попав по одной из многочисленных причин в реестр Роскомнадзора, — и, как я показал выше, даже могущественная технарская магия в лице VPN/Tor/etc здесь будет бессильна.

Изображение


Проблемы власти: англосаксонский домен

Хорошо, давайте рассмотрим ситуацию в отношении другой половины сайтов, которые предусмотрительно разместились за пределами той самой «я другой такой страны не знаю, где так вольно дышит человек».

Общая схема работы VPN для пользователя из России в этом случае будет примерно такова:

http://i.pixs.ru/storage/6/7/8/blogerat ... 771678.png

Как видно из схемы, пресловутые siloviki здесь ничего поделать (пока) не могут. Но как меня учили на физмате, реальная суть физических процессов наблюдаемых в природе — это непрерывная динамика, а не абстрактная статика здесь-и-сейчас. А динамика процессов, бурлящих в siloviki_land сейчас, такова — далее по пунктам.


Делаем раз: средства анонимизации вне закона

Пару недель назад общественный совет при ФСБ России, конечно, по чисто случайному совпадению, продекларировал, что он:

считает необходимым совершенствование правового регулирования деятельности юридических и физических лиц, распространяющих информацию в интернете. В связи с этим советом были сформированы предложения к законодателям о необходимости запретить использование анонимайзеров — программ, маскирующих информационные данные и IP-адрес пользователей».

Инициатива силовиков подразумевает запрет программного обеспечения или браузеров со встроенным анонимайзером (таких как браузер Tor). Кроме того, к маскирующим инструментам относятся и прокси в виде веб-сервисов — «автономные сайты, при помощи которых пользователи могут без установления специальных программ переходить с измененным IP-адресом на блокируемый сайт».

Как говорят эти же источники, подобные поправки будут скоро внесены в федеральный закон РФ «Об информации, информационных технологиях и о защите информации».

Изображение


Одновременно директор ФСБ РФ Александр Бортников заявил прессе:

Необходимо переходить от тактики выявления, фиксирования и блокирования работы сайтов, используемых экстремистами в своей деятельности, к активной информационной работе в киберпространстве».

Подготовка чего-то подобного «активного» упоминалась и раньше.

Например, опять же, чисто случайно, пару месяцев назад на письмо лидера движения «Охотники за головами» Сергея Жука в ФСБ, в котором он просил блокировать сеть Tor на территории РФ «из-за большого количества детской порнографии», ему дали успокоительный ответ, дословно:

В России на законодательном уровне рассматривается вопрос о блокировке интернет-доступа к Tor и другим анонимным серверам».

Между тем в США, где VPN, хотя и не запрещен, давно является средством деанонимизации: АНБ сохраняет всю метаинформацию на все зафиксированные сессии граждан с использованием криптографических инструментов. Иначе говоря, хотя и содержимое ваших PGP-писем или VPN-туннелей просмотреть спецслужбам легко не получится (гипотетическое утверждение), но факт того, что именно вы пользуетесь подобными инструментами, будет навсегда зафиксирован в соответствующих базах данных.

Отныне ваша сетевая активность будет превентивно отслеживаться уже в профилактических целях.

http://i7.pixs.ru/storage/7/3/0/blogera ... 771730.png


Делаем два: углубляем область контроля трафика через DPI

Но за этой юридической инициативой возникают чисто технические проблемы — для проведения соответствующих мероприятий по обнаружению и блокировке VPN-подобной активности в большинстве случаев требуется Deep Packet Inspection (DPI).

Прежде чем следовать дальше, очень кратко поясню суть DPI для людей «не в теме» — это настоящая шайтан-машина, которая умеет делать с «большим транзитным трафиком» то, что всяким файрволам, маршрутизаторам и СОРМ’ам сейчас не под силу, вот как кратко комментирует эти возможности эксперт от Cisco:

В отличие от стандартных механизмов классификации трафика, встроенных в распространенные маршрутизаторы и основанных на данных, содержащихся в заголовках 3–4 уровней OSI модели (IP,TCP/UDP), системы DPI обладают возможностями распознавать в потоке отдельные сетевые приложения (например, YouTube, P2P, Instant Messaging, Browsing и т.д.), а также извлекать, блокировать и анализировать любые инкапсулируемые на таком «пользовательском уровне» данные в режиме on-the-fly. Кроме того, система позволяет ограничивать скорость доступа к интернету отдельным пользователям, блокировать отдельные протоколы, изменять их приоритетность и параметры работы в режиме реального времени«.

Таким образом, DPI — это чудовищно производительный «сетевой микроскоп», который позволяет каждый пакет, проходящий через пограничный шлюз, распаковывать и тщательно досматривать на предмет «таможня дает добро». С недавних пор DPI стал чрезвычайно актуален после введения в России понятия «информация, запрещенная к распространению» (партия руководящие товарищи долго ждали наступления XXI века и «информационной эпохи» и вот, наконец, решились на это).

Поэтому пограничный досмотр теперь требует особенно тщательного обшаривания естественных ниш и отверстий всех проходящих информационных пакетов на предмет сокрытия там диковинного заморского инакомыслия и запретных для духовных скреп государства знаний.

Изображение

Возвращаясь к нашей истории — вы будете смеяться, но, как это водится, чисто случайно Ростелеком в последние месяцы развил просто бешеную активность по созданию своего собственного DPI. На данный момент вроде бы они уже определились, что будет внедрена именно китайская система фильтрации интернет-трафика на базе оборудования Huawei, «которая уже хорошо зарекомендовала себя у наших китайских товарищей».


Делаем три: монополизируем интерконнект во внешний мир

Да, дорогая это вещь — DPI (стоимость от 10 миллионов долларов и выше), только очень крупные провайдеры могут позволить себе это. Да и опять же, как контролировать такое количество сетей... никаких людей-роботов-DPI не напасешься, все штрафуешь их, штрафуешь... сопротивляются почему-то операторы цензуре, несознательные они какие-то, гады.

На сегодняшний день нужно признать — множество мелких региональных операторов пока и вовсе в гробу видели игнорируют Роскомнадзор и его реестры. Как в классике: «суровость российских законов компенсируется необязательностью их исполнения».

http://i6.pixs.ru/storage/7/5/9/blogera ... 771759.png

Но решение есть — в российской прессе это уже обозвали как «белорусский вариант». Речь идет о централизации операторов, которые получат эксклюзивное право на работу с иностранным интернет-трафиком. И вот опять же, чисто случайно, так совпало, что правительством РФ уже в ближайшее время планируется разделить всех операторов связи на две группы: на федеральных операторов связи (ФОС) и на обычных операторов связи (ОС). При этом ФОСы получал эксклюзивное право на работу с иностранным интернет-трафиком, а вот обычным операторам — теперь нужно подключаться к федеральным ФОСам в качестве даунлинка.

Суть новой реформы: чтобы получить статус «федеральный», провайдер должен иметь трансграничные переходы на западе и на востоке России, собственные каналы связи, доходящие до всех регионов РФ, а также точки присоединения во всех городах с населением свыше 100 тысяч человек. По мнению независимых экспертов, условия получения статуса ФОСа подогнано под... государственного монополиста Ростелекома — чисто случайно того самого, который сейчас развернул просто лихорадочное по своей спешке внедрение DPI.

Если не последует укрупнений и слияний, на данный момент в РФ нет ни одного другого телекома, который удовлетворял бы сразу всем заявленным условиям для получения статуса ФОС, кроме упомянутого РСТ.

В общем виде схема этой реформы будет выглядеть примерно так:

Изображение

Ради справедливости для российской аудитории стоит пояснить: это дело уже поздновато называть «белорусским вариантом», потому как с недавних пор здешний государственный монополист Белтелеком лишился статуса единственного шлюза во внешний мир — как ранее и обещали власти РБ, право интерконнекта получило новосозданное СООО «Белорусские облачные технологии» (их учредитель — «Национальный центр обмена трафиком»).

Возвращаясь к России: меня несколько позабавило заявление-реакция на эти планы со стороны весьма авторитетной Российской Ассоциации электронных коммуникаций (РАЭК), которая перепутала причину со следствием и на полном серьезе заявила:

Сокращение трансграничных переходов сетей передачи интернет-трафика с территории России облегчит иностранным спецслужбам контроль за ним (трафиком)«.

Прямо как в том анекдоте: облегчить контроль не иностранным спецслужбам, а в первую очередь — российским, и, конечно, это вовсе не досадный баг, а драгоценная фича. А с остальным все верно — централизация, национализация и плановая экономика в любой форме существенно облегчают жизнь всем служивым, и не только в области телекома.

http://i7.pixs.ru/storage/7/9/4/blogera ... 771794.png


Всем выйти из сумрака!

В качестве готового государственного рецепта по блокированию вольницы, льющейся из англосаксонского домена, еще раз суммируем последовательность из вышеописанных шагов:

* вводим законодательный запрет на VPN и аналоги;
* в качестве обеспечения технических мер по его исполнению монополизируем интерконнект с внешним миром, чтобы в его узкое горлышко стекался весь трафик, идущий за рубеж (и обратно) со всей страны;
* после чего ставим туда вместо пробки такую ядреную китайскую машинку с DPI, которая сможет фильтровать базары протоколы и сервисы на пользовательском уровне.

Конечно, текущее демонстративное осуществление буквально всех звеньев этой единой цепи правительством РФ — это не более как очередная случайность. И тем более это не касается технарей, они ведь очень сильно верят в сетевую анонимность: они знают Tor, VPN, торренты и другие очень страшные слова.

http://i7.pixs.ru/storage/8/1/3/blogera ... 771813.png

Что интересно, обратите внимание на разность подходов: если в упомянутой Беларуси просто законодательно запретили резидентам хостить сайты за пределами своей Родины (и что почти никто не выполняет), то в России-таки решили сделать «все по-взрослому» — развернуть полноценную систему «принуждения к миру» на базе DPI и целого ряда околоюридических подпорок.

И чем все это закончится, ребяты?

Года через 2–3 российские пользователи всяких там VPN’ов и Tor’ов начнут автоматически получать штрафы. Подобно тому как сейчас достаточно превысить скорость на определенных участках дороги — и всё: получите-распишитесь. А в некоторых, особо интересных случаях, быть может, приключится даже вариант «пройдемте, товарищ». Не буду долго расписывать этот вариант, ограничусь лишь словами о том, что «советский суд самый гуманный суд в мире».


Делаем четыре: фиксация клиента в неподвижном положении

Ну, а чтобы ерунды всякой аналогичной вместо VPN/Tor’а не писали — это ж новые сигнатуры в этот DPI вносить надо, анализировать, чего это они там понаписали такого, от дел государственных, опять же, почем зря отвлекаться, — есть уже у государства российского закончик один такой остро заточенный.

Буквально намедни довелось мне побеседовать с «известным в узких кругах» Павлом Домкиным — московским адвокатом, который специализируется именно на киберпреступлениях и правонарушениях в области ИТ. И речь наша шла в том числе про тот самый закон, о котором я упомянул выше: «Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических средств)» (Постановление Правительства РФ от 16 апреля 2012 года № 313).

Это интервью бралось для крупного российского издания, поэтому не могу пока цитировать до его публикации, но главную суть любезно перескажу. Применяется ли этот закон к области интернета и телекоммуникаций? Да, безусловно. Запрещает ли он де-факто использование специальных криптографических средств типа протокола https или использование интернет-сервисов, применяющих в своей работе криптографические элементы и стойкое шифрование?

От прямого ответа адвокат тактично уклонился, но при этом весьма настоятельно рекомендовал российским интернет-компаниям отправить запрос в ФСБ РФ, разъясняющий легитимность использования ими любой криптографии в своих сервисах на территории РФ.

http://i6.pixs.ru/storage/8/3/2/blogera ... 771832.png

И хотя правоприменительной практики в рамках этого относительно свежего закона (пока) нет, но, опять же, финка у фраера уже блестит под пальтишком, ручка ножа приятно руку греет...


Общие выводы: наше ближайшее политкорректное будущее

Bitcoin, i2p, Tor — эй, о чем это ты, товарищ? Прямо сейчас заканчивается очередной исторический цикл, аналогичный хрущевской оттепели, — и лет эдак через 5 зарегулируют все эти полезные для инакомыслия вещи так, что при одной только установке VPN-клиента сразу завоют бешеные сирены в Комитете Сетевой Безопасности, а дверь твоей квартиры с этим компом вырежут болгаркой («хочешь, не хочешь, а по почкам схлопочешь»).

И всё, что нужно для подобного сценария, — это политическая воля, и если команда сверху будет дана (уже дана?), то совокупная мощь государственной машины просто раздавит разрозненное сообщество сетевых вольнодумцев, оставив его как минимум без коннекта, а как максимум — пригласят «искупить свой долг» (как это в песне поется: «Все мы в неоплатном долгу перед Родиной...»).

В чем-то такой поворот дел даже полезен — меня часто обвиняют в либертанстве и очернительстве памяти безвременно усопшего СССР, впереди всю эту ностальгирующую публику ждет очень полезный, чисто «эсэсэровский» опыт затыкания ртов оппонентам.

Это когда эту самую зявку будут затыкать не превосходящими аргументами и опытом, а гулагами кулаками по-деревенски прямолинейных, но зато очень сильных ребят, у которых квартира «на социальном кредите», да и вообще: «ничего личного, мы просто делаем свою работу».

http://i7.pixs.ru/storage/8/4/8/blogera ... 771848.jpg

Показатель сегодняшних настроений вверху — недавняя история со скандальным твитом председателя комитета Госдумы РФ по труду, социальной политике Андрея Исаева, где он назвал всех несогласных с ним рядовых интернетчиков «мелкими тварями».

http://i6.pixs.ru/storage/8/6/3/blogera ... 771863.png

Забавно, что этот хамоватый выпад довольно тучного депутата, чрезвычайно гибкий «креативный интернет» смог отрефлексировать асимметрично и по-своему, в очередной раз «бортанув» очередного чиновника и его высшее начальство...

http://i7.pixs.ru/storage/8/7/3/blogera ... 771873.jpg

... и пришлось даже поспешно внести ясность...

http://i6.pixs.ru/storage/8/8/7/blogera ... 771887.png

... Я как типичная, согласно классификации депутата, мелкая тварь, этот месседж приняла и впитала. И хотя я пока, по совету депутата, расслабилась и, как видите, продолжаю потихоньку корябать свои буковки «в эти ваши интернеты», насчет своих реальных перспектив никаких иллюзий не испытываю, потому как по уже старой советской привычке привык читать месседж промеж строк. Но вот эту самую молодежь, лелеющую романтический чегеварский образ СССР, бьюсь о заклад, уже в ближайшем времени ждут очень интересные ощущения от высказывания-своего-мнения в «сетях общего назначения типа Интернет».

И хотя я пишу много на эту тему и предупреждаю других мелких тварей быть поосторожней уже сейчас, спорадическое чтение форумов показывает, что сила веры в VPN/Tor еще весьма сильна и убедительна для большей части техногиков.

В качестве анонса: во второй части статьи мы сосредоточимся больше на технических аспектах и рассмотрим на примере Ирана, который достаточно эффективно блокирует Tor и VPN для своих граждан, как спецслужбы ловят злоумышленников-кардеров, скрывающихся за анонимными VPN и прокси, отдельно обсудим некоторые проблемы протокола https.

Изображение

Открыто обсуждая все эти детали, я бы хотел развеять максимализм молодых людей о безусловной надежности и неуязвимости подобных сервисов. Как говорил один популярный советский киногерой: «От себя-то убежать можно, а вот от милиции, брат, не убежишь».

часть 2

Добавлено: 06 фев
StreetRacers
Это продолжение первой части статьи, где мы обсуждали технические возможности государства, на которые некоторая часть ИТ-публики смотрит явно сквозь розовые очки. Речь шла о том, что методы обхода грядущей цензуры и фильтрации Рунета ограничены. В результате мы выяснили, что «приделывание колес» к своему серверу не спасет поросенка Петра от нависающего над ним дамоклова меча интернет-цензуры.

Сегодня мы продолжим эту актуальную тему и рассмотрим все три режима работы оверлейной сети Tor, которая нынче у многих на слуху и на которую многие возлагают неоправданно большие надежды. Также под катом речь пойдет о Great Firewall of China и его составляющих: Deep Packet Inspection, Connection probe и Support vector machines.

http://i6.pixs.ru/storage/9/5/1/blogera ... 771951.jpg

Давайте начнем с наиболее расхожего мифа — о якобы непобедимости TOR и I2P для любых форм ограничения и цензуры сетей.


О Tor’е централизованном замолвите слово

Итак, Tor не является полностью децентрализованным. И это создает вполне реальные проблемы, поскольку если запретить или ограничить доступ к корневым серверам, хранящим список доступных узлов (реестр входных точек, Tor enrty nodes), то система рушится (это т.н. «bootstrapping problem»). Например, заинтересованные могут глянуть текущий список IP всех входных нод в удобоваримом виде здесь или здесь — это входные ворота в мир Tor’a, которые можно забанить.

В общих чертах логика работы системы в штатном режиме такова:

Изображение

Хочу подчеркнуть, что подобные потенциальные проблемы блокировки — это вовсе не результат «кривой» реализации I2P или Тора — такие проблемы неизбежны by-design. Tor — это оверлейная сеть, это своего рода «надинтернет». Она не только в этот самый «регулируемый интернет» лезет за стартовыми адресами для своей инициализации, она через него дышит и живет, прокачивая свои данные и осуществляя адресацию. При таком раскладе довольно тяжело (невозможно?) абстрагироваться от нативных свойств IP-адресации, на базе которой и создали некую вывернутую наружу по своим свойствам абстрактную антисистему.

Правда, в отличие от тормозного задыхлика I2P (о котором мы поговорим ниже), в Tor предусмотрен второй эшелон обороны для случаев своего подавления, это так называемый «сетевой мост» («ретрансляторы типа мост», Tor bridge). И если с обычным режимом Tor все ясно — уже во многих странах мира Tor заблокирован, — то его «усиленные режимы работы» стоят отдельного рассмотрения, поскольку именно это решение часто называется некой вершиной среди инструментов пробивания государственного цензурирования и контроля.

Изображение


Тор в квадрате: сетевые мосты

Итак, в некоторых технических кругах считается, что полностью заблокировать Tor с помощью блэклиста нельзя, потому что он имеет специальный адаптивный механизм для обхода подобных блокировок через приватные bridge-узлы. Но отличие в работе лишь в том, что если обычные Tor relays доступны через публичные списки, то Tor bridge — это точно такой же входной Тор-узел, но выдаваемый приватно, который следует самостоятельно не привлекая к себе внимание узнать и забить в свой Тор-браузер.

Таких узлов достаточно много, но выдают их в лучших конспирологических традициях — по личному запросу с почтовых ящиков в домене @gmail и @yahoo, при этом в теле письма необходимо указать обязательную сигнальную строку-пароль: ’get bridges’ (с недавних пор также есть веб-форма, защищённая от любой тоталитарщины капчей).

http://i7.pixs.ru/storage/0/0/2/blogera ... 772002.png

Этот вариант хоть и делает жизнь пользователя неудобной, потому как требует время от времени искать и менять адреса бриджей (они также выявляются и банятся), но, тем не менее, вся эта мелкая возня усложняет жизнь властям — теперь нет единой центральной точки-списка (Tor directory), через которую можно было бы забанить всю Tor-сеть одним махом.

Это нововведение привело к новому витку противостояния. Забегая вперед, констатирую, что эта проблема со стороны властей была успешно решена посредством следующих трех ингредиентов:

* deep packet inspection для SSL;
* избирательная блокировка определённых сочетаний IP-адресов/TCP-портов;
* фильтрация по определенным ключевым словам и сигнатурам, характерным для Тора.

Этого достаточно, чтобы надежно и полностью заблокировать работу Tor’a в том числе и в режиме «сетевых мостов», что успешно продемонстрировал на своем примере Иран. Всего лишь два ИТ-специалиста Ирана полностью нейтрализовали все старания мирового сообщества, при этом сделали они это по-честному — обычный SSL/HTTPS продолжал работать более-менее исправно.

Изображение

Потом этот же трюк повторили Китай и Эфиопия, полностью зарубив весь свой Тор-трафик, включая приватные мосты.

Вот так примерно это выглядело для случая Эфиопии:

Изображение

Периодически это случается и в Беларуси, разве что в более топорном исполнении — здесь блокируется весь https-трафик во внешний мир (а на покупке DPI драгоценную валюту можно и сэкономить).

http://i6.pixs.ru/storage/0/4/3/blogera ... 772043.png


Tor obfsproxy: высшая магия скрытности

В случаях с Эфиопией и Китаем Tor Project не сдался, он ответил довольно навороченным решением — обфусицированной версией моста (obfuscated bridges, obfsproxy), которая подмешивает левые данные/пакеты, и создает что-то вроде «полиморфических» заголовков/пакетов, чтобы напрочь стереть идентичность или любую ассоциацию каждого отдельного пакета с Тор. Еще раз — это не какое-то принципиально новое решение, это просто возможность самостоятельно находить и прописывать у себя non-public Tor’s relays с поддержкой этой новой фичи-враппера, реализованной в виде подключаемого модуля.

Вот как выглядит логика работы Тора в таком «сверхсекретном» режиме:

Изображение

Да, это устранило проблему автоматического обнаружения и блокировки точек входа на транзитном шлюзе во внешний мир. Но это не решило вторую проблему: как только адреса таких обфусицированных серверов становятся известны в паблике — их IP-адреса тупо банятся в точке интерконнекта. И снова придется искать девственно новый obfsproxy, чтобы получить выход в мир иной...

Мою претензию к все возрастающей сложности мер противодействия, типа obfsproxy, можно пояснить на примере: если государственную границу ежегодно нелегально пересекают тысячи человек (и некоторые из которых, судя по всему, делают это вполне успешно), то для рядового человека «это удовольствие» практически недоступно — уж слишком много специфических умений и знаний оно требует. Obfsproxy — это реализация принципа security thru obscurity, его сила не в «пуленепробиваемой для цензуры технологии», но исключительно в секретности (или приватности) IP-адреса входящей Tor-ноды.

http://i7.pixs.ru/storage/0/7/4/blogera ... 772074.png

Постепенно такие узлы подпадают под бан, в таких случаях приходится снова искать новую рабочую ноду... эта технология не блещет совершенством технического решения, скорее это напоминает попытку взять измором одну из сторон-участников процесса противостояния...


Obfsproxy — современный неуловимый Джо

Ради справедливости стоит все-таки признать, что подобные блокировки на уровне государств заточены исключительно на стандартные и массовые решения. Как минимум, пока. Что отчасти объясняет (по принципу «неуловимого Джо») теперешнюю «рабочесть» технологии Obfsproxy — крайняя малочисленность ее пользователей.

К примеру, я знаю российского журналиста, которому коллеги делали туннель для перегонки его видео из Ирана, для чего хватило GRE based vpn’s SSH и socks/tun over ssh, что работало на ура. Джуниперовский VPN (443 порт) тоже работал в тех краях абсолютно без проблем.

Короче, если за дело брался высококвалифицированный техногик с соответствующей поддержкой из-за рубежа — этот сим-сим тут же отворялся, выпуская дух свободы наружу. Да, хорошо иметь друзей-технарей снаружи сетевой клетки, которые готовы тебе помочь в обходной коммуникации, но что делать остальному подавляющему большинству простых смертных?

Иногда возникает впечатление, что подобные блокировки — это пережиток азиатчины, — но это далеко не так. В декабре 2011 года подвиги Ирана решил повторить Казахстан — наш сосед по Таможенному Союзу. Его крупнейший транзитный оператор KazTransCom начал фильтровать свой трафик, используя расширенный DPI (по китайскому варианту). При этом он довольно хорошо чистил трафик от всех потенциальных разносчиков запрещенной информации: Tor, Tor в режиме бридж, IPsec, технологии на основе PPTP, а также от некоторых вариантов VPN работающих на базе SSL...

Изображение

Для таких случаев ответ проекта Tor остался неизменен — Obfsproxy.

http://i6.pixs.ru/storage/1/1/9/blogera ... 772119.png

Но прогресс не стоит на месте — в последнее время появляются сложные методики обнаружения Tor и в режиме Obfsproxy. Для этого применяются timing-атаки или вычисляется процент энтропии (естественности) пакета, но... пока это достаточно сложно и дорого для того, чтобы массово реализовать в режиме реального времени сразу для всей страны. Впрочем, имя ключевой технологии, которая убьет Obfsproxy и ему подобных уже известно — это SVM (о ней более подробно ниже).


I2P — последнее прибежище негодяя техногика

Очень кратко остановимся и на I2P — несмотря на множество бла-бла-бла в околотехнической среде — это не полностью децентрализованное решение. Так, при первом запуске I2P список всех активных узлов сети также тупо выкачивается в виде тарбола с «этих ваших интернетов». Таким образом, внимание: в любой момент времени доступен актуальный список адресов всех «стартовых серверов» этой пиринговой сети. Ну, и что стоит их банально забанить? Здесь даже дорогие DPI не нужны...

Именно таким образом в Иране и Китае динамически блочатся все адреса с которых бутстрапится I2P, посему эта «децентрализованная» сеть уже давно недоступна с их территории.

Изображение

Более ясно написали в ченжлоге прошлогоднего релиза I2P:

«Routers in certain countries will now automatically enable hidden mode for increased protection... For the list of countries see the thread on zzz.i2p. The only country on the list that has more than one or two I2P users is China.»

Поэтому давайте оставим в покое «неуязвимую» I2P вместе с теми самыми непобедимыми как Чак Норис «more than one or two I2P users in China».

http://i6.pixs.ru/storage/1/7/5/blogera ... 772175.png


Фильтрация по-взрослому: китайский опыт

Самое время перейти к рассмотрению передового китайского решения, элементы которого использует как Казахстан, так и Эфиопия. И как мы читали ранее — вероятно, именно это оборудование для «восстановления попранной законности» и собирается применить Ростелеком.

Описание текущего положения дел на китайском сетевом фронте начну сразу с фактов: на данный момент Great Firewall of China (GFoC) достаточно надежно блокирует весь национальный трафик из/в систем TOR, I2P и частично VPN. Технически это достигается сочетанием трех технологий-столпов:

* Deep Packet Inspection (DPI);
* Connection probe;
* SVM (support vector machines).

Симбиоз данных методов фильтрации позволяет автоматически распознавать тип шифрованного трафика с высокой степенью точности. Так как о DPI я уже упоминал выше (более подробно смотрите о нем в первой части статьи), то здесь дам лишь краткое пояснение относительно малоизвестных у нас технологий — это connection probe (иногда ее же называют reverse probe) и специфического приложения теории SVM.

Изображение

Тактика connection probe заключается в том, что любое подозрительное (по самым общим критериям) исходящее соединение во внешний мир замораживается в точке интерконнекта, после чего по указанному целевому адресу уже от имени правительственного сервиса инициируется опережающее соединение к destination IP:Port (к которому изначально и пыталось обратиться удерживаемое соединение).

Далее проводится попытка самостоятельного тестового подключения-сканирования. Если ответ сервера-назначения подпадает под паттерн запрещенных сервисов — удерживаемое соединение клиента принудительно рвется. [и в тайное электронное досье на гоя навечно добавляется пометка о мыслепреступлении, тяжесть которого зависит от некошерности запрошенного сайта, и в дальнейшем эти данные обязательно будут использованы против гоя]
Таким образом, чтобы преодолевать connection probe, теоретически нужно обфусицировать поведение не только клиента, но и сервера/протокола, его обслуживающего. Учитывая, что весь трафик в поисках крамольных сигнатур параллельно молотит все тот же DPI, то все, что преодолеет подобную комплексную защиту, — уже будет очень слабо напоминать оригинальный протокол или первоначальный сервис.

Подобные защитные схемы вынуждают создавать для их преодоления узкоспециализированные кастомные сервисы «под заказ», которые, будучи обнародованы и выложены в паблик, — сразу же попадают в стоп-лист GFoC. Здесь работа специалистов китайского НИИ Сетевой Цензуры и Пропаганды аналогична подходу антивирусных компаний, и в данном конкретном случае DPI — это поиск по сигнатурной базе, а connection probe — своего рода «запуск соединения под отладчиком», который выявляет и блокирует «нестандартные клиенты», позволяя нагло вклиниваться третьему лицу непосредственно в интимный процесс их хэндшейка (tcp session handshake).

Изображение

Третий столп — уже упомянутый Метод опорных векторов (SVM, support vector machine) — это известный алгоритм машинного обучения, который очень эффективен, когда возникает необходимость автоматически классифицировать разнородные данные. Иначе говоря, машина опорных векторов — это самообучающаяся на базе статистических методов программа, которую можно представить как двухслойную нейросеть (RBF-сеть). Желающие более полно познакомиться с математической стороной теории могут вот здесь (рус.) глянуть тематическую брошюрку от сотрудника Яндекса, а также прочитать дополнительное введение в теорию SVM (англ.) и пример ее простейшей реализации на С.

Продолжая нашу антивирусную аналогию, SVM — это своего рода эвристический движок, позволяющий с высокой степенью вероятности идентифицировать в обилии разнообразных полиморфических штаммов оригинальный вирус, чтобы принять в отношении него адекватные меры. Таким образом, с помощью SVM признаки различных протоколов и их характерные паттерны вычленяются даже в специально обфусицированном потоке данных, и чаще всего это реализуется в виде продвинутой AI-надстройки над «сверхглубокой молотилкой пакетов» — DPI (два в одном). Именно на ее развитие возлагаются надежды по обнаружению технологий типа Obfsproxy (первые успехи уже имеются).

http://i6.pixs.ru/storage/3/2/6/blogera ... 772326.png

Переходя к частностям, именно с помощью connection probe Китай регистрирует, например, SSH (вот пример такой технологии). Типы SSL-трафика данный комплекс технологий также более-менее успешно разделяет (вот дополнительное описание, видео mp4, 600Mb) этого процесса по отношению к Tor).

Об особенностях борьбы с VPN мы поговорим более подробно в следующих статьях этого цикла, но раз уж мы коснулись Китая здесь, то сообщаю: на данный момент власти Китая согласовывают законодательный проект, который предполагает разрешение VPN для лицензируемого использования.

Изображение

Иначе говоря, у юридических лиц для служебных нужд будут свои лицензированные тоннели (это будет свой собственный китайский софт), которые не будут блокироваться на трансграничном шлюзе, а физическим лицам все принудительно «порежут».

А детектирование VPN сведется к обнаружению и проверки валидности вшитой лицензии «лицензированного» тоннеля, а также к тупому «дропанью» всего остального зоопарка VPN.


Следствие всего сказанного -> немного статистики

Логично будет завершить данный теоретический экскурс статистикой количества активных пользователей Tor из ряда отобранных мною стран (ниже выборка: daily active Tor users both direct and bridge, per month by country):

http://i7.pixs.ru/storage/3/4/7/blogera ... 772347.png

Как видно, количество пользователей Tor Onion из многомиллиардного Китая даже меньше количества пользователей оной сети из Беларуси, хотя масштаб двух этих стран просто несопоставим. С одной стороны, можно подивиться изворотливости этой «отборной китайской тысячи», но с другой — кто будет спорить, глядя на эти результаты, что блокировка в масштабах всей китайской страны работает очень даже неплохо?

Если учитывать население Китая и количество прорвавшихся через его сетевую границу, то, соблюдая пропорции, при подобной блокировке в России наружу выползет около 100–150 человек максимум...

Короче, говоря о нашем будущем, важно запомнить главное:

Изображение


Принципиально-очевидные выводы, которые можно не читать

Закрывая тему, давайте кратко подытожим и осмыслим всё сказанное ранее в двух частях.

* Техногики ошибаются, сильно недооценивая государство им противостоящее. Как правило, они видят в качестве оппонентов неких низкоквалифицированных «студентов ПТУ-шников», которые пытаются на коленке «изобретать велосипеды» (вероятно, рядовые чиновники и производят такое отчасти лоховатое впечатление). И хотя в отношении некоторых небольших государств это верно, ведущие мировые державы могут позволить себе нанимать чрезвычайно квалифицированных сотрудников, предлагая им пиковые зарплаты на рынке. Даже глобальным именитым фирмам потенциально сложно конкурировать в этих вопросах с «федералами» по степени своей привлекательности, если они действительно захотят сделать кому-то оффер. Поэтому мой совет: не стоит недооценивать этих людей, если перед ними будет поставлена задача «быстро сделать вам проблему».

* Техногики допускают довольно обидный промах, полагая, что если они с помощью сильной криптографии обеспечат анонимность содержимого своего трафика, то, якобы, это само по себе гарантирует их безопасность. Как я уже объяснял в первой части — нужно быть проще. Например, если тот же VPN будет юридически запрещён, то вовсе не нужно как-то расшифровывать этот защищённый трафик чтобы уличить кого-то в распространении «запрещённой информации» (sic!) — сам факт использования VPN/Tor будет незаконным со всеми вытекающими отсюда уголовными последствиями. А детектирование использования этих сервисов конкретным абонентом ISP — по нынешним временам дело и вовсе плёвое.

* Да, любые «общественно-мотивированные» и благовидные причины блокировки будут использоваться в том числе для ограничения свободы слова. Проще пояснить это на примере: сначала Великобритания запретила онлайн-порнографию, а буквально через месяц начала массовую блокировку зарубежных VPN-сервисов под предлогом «их использования подростками для незаконного доступа к порнографии». Власти Австралии также собираются последовать примеру Туманного Альбиона в самое ближайшее время.

* Повторю главный тезис, озвученный ещё в первой части: нет, техногикам не поможет их техно-крипто-пиринг магия, если государство проявит политическую волю и действительно захочет положить конец интернет-вольнице. К сожалению, инициатива и право «последнего слова» в этом вопросе принадлежит вовсе не интернет-населению Рунета (ба, сколько напускного удивления: петиция об отмене 187—ФЗ недавно набравшая 100 тыс. голосов — полностью проигнорирована властями, — кто бы мог подумать, да?), а регуляторам территорий (клан «siloviki», см. Теорию Операторов), на которой они физически восседают.

* Решение этой и других проблем лежит не в ещё большей инкапсуляции и децентрализации в рамках сети (создание нового Super-Mega-Obfsproxy), не в ещё более глубоком погружении в виртуальность, но за пределами самого интернета. Логичная попытка государств устранить нынешний диссонанс, — когда в риале рот раскрыть без последствий невозможно («больше трёх не собираться»), а в сети местной «мерзкий госдеповский аноним» своей мыслью крамольной и античиновничьей тысячные аудитории поливает, — уже начата и, безусловно, вполне осуществима. Не нужно бороться с тупиковыми сетевыми следствиями, когда есть «риалные» причины происходящего, господа техногики.

Попытки же культивирования бессмысленной по своей сути, на каждом очередном витке, «гонки вооружений», для лобового столкновения с интересами государства — не только контрпродуктивны, но и обречены на поражение. Они также противоположны тому единственному пути во вне, который я лично назвал бы как «Вектор Навального» — то есть девиртуализация и выход из сети в риал, для активного участия в политике и общественной жизни нашей многострадальной и отчасти уже фантомной Родины.

К сожалению, есть вероятность, что поезд этот уже давно ушёл...

http://i7.pixs.ru/storage/4/1/2/blogera ... 772412.png

... и, в результате «этого развития», совершенно согласен с опасениями главы Google Russia ...

http://i7.pixs.ru/storage/4/2/2/blogera ... 772422.png

Шпионские гаджеты от АНБ

Добавлено: 23 ноя
ARX-8Laevatein
http://habrahabr.ru/post/209746/

Среди документов опубликованных Эдвардом Сноуденом, бывшим сотрудником ЦРУ и Агентства национальной безопасности США, были обнаружены материалы описывающие некоторые детали технологий шпионажа используемых АНБ. Список программных и аппаратных средств оформлен в виде небольшого каталога. Всего сорок восемь страниц отмеченных грифами «Секретно» и «Совершенно секретно», на которых дано краткое описание той или иной технологии для слежки. Данный список не является исчерпывающим. Представлены техники связанные с получением скрытого доступа к вычислительной технике и сетям, а также способы и устройства радиоэлектронной разведки связанные с мобильной связью и оборудование для наблюдения. В этой статье я расскажу об этих методах шпионажа, далее будет четыре дюжины слайдов(осторожно, трафик).

«Оригиналы» документов с описанием шпионских техник спрятаны под спойлеры. Названия технологий обозначаются заглавными буквами, однако не для всех упомянутых технологий в текстах слайдов имеется описание. Аппаратной закладкой является скрытое техническое приспособление, своего рода жучок, который позволяет получить доступ к цели или сведения о ней. Под программной закладкой понимаются скрытые программы, позволяющие получить доступ к цели программным способом, как, например, при помощи троянских коней и бэкдоров.

Компьютеры

GINSU — техника позволяющая восстановить программную закладку под названием KONGUR на целевых системах с аппаратной закладкой BULLDOZZER на PCI-шине. Например, в случае обновления или переустановки операционной системы на целевом компьютере. Данные технологии предназначены для получения удаленного доступа к компьютеру под управлением Windows от 9х до Vista.
Скрытый текст
image

IRATEMONK позволяет обеспечить присутствие программного обеспечения для слежки на настольных и портативных компьютерах с помощью закладки в прошивке жесткого диска, которая позволяет получить возможность исполнения своего кода путем замещения MBR. Метод работает на различных дисках Western Digital, Seagate, Maxtor и Samsung. Из файловых систем поддерживаются FAT, NTFS, EXT3 и UFS. Системы с RAID не поддерживаются. После внедрения IRATEMONK будет запускать свою функциональную часть при каждом включении целевого компьютера.


SWAP позволяет обеспечить присутствие программного обеспечения для шпионажа за счет использования BIOS материнской платы и HPA области жесткого диска путем исполнения кода до запуска операционной системы. Данная закладка позволяет получить удаленный доступ к различным операционным системам(Windows, FreeBSD, Linux, Solaris) c различными файловыми системами(FAT32, NTFS, EXT2, EXT3, UFS 1.0). Для установки используются две утилиты: ARKSTREAM перепрошивает BIOS, TWISTEDKILT записывает в HPA область диска SWAP и его функциональная часть.
Скрытый текст
WISTFULTOLL — это плагин к программам UNITEDRAKE и STRAITBIZZARE для сбора информации на целевой системе, использует вызовы WMI и записи реестра. Возможна работа в качестве самостоятельной программы. При наличии физического доступа к системе может производить сброс полученных в ходе анализа данных на USB-накопитель.
Скрытый текст
HOWLERMONKEY представляет собой радиопередатчик малого и среднего радиуса. Является специальном радиомодулем для других аппаратных закладок. Используется для получения данных от закладок и предоставления удаленного доступа к ним.


JUNIORMINT миниатюрная аппаратная закладка на базе ARM-системы, которая может быть сконфигурирована для различных задач. Например, такая система может быть частью других устройств для шпионажа. Обладает следующими характеристиками: процессор ARM9 400MHz, флеш 32MB, SDRAM 64MB, ПЛИС Vertex4/5 оснащенная 128MB DDR2.
Скрытый текст
image

MAESTRO-II миниатюрная аппаратная закладка на базе ARM-системы, размером в одноцентовую монету. Характеристики довольно скромные: процессор ARM7 66MHz, оперативная память 8MB, флеш 4MB.


SOMBERKNAVE программная закладка работающая под Windows XP предоставляющая удаленный доступ к целевому компьютеру. Использует незадействованные Wi-Fi адаптеры, в случае, когда пользователь задействовал адаптер SOMBERKNAVE прекращает передачу данных.


TRINITY миниатюрная аппаратная закладка на базе ARM-системы, размером в одноцентовую монету. Обладает следующими характеристиками: процессор ARM9 180MHz, оперативная память 96MB, флеш 4MB. Используется в составе других устройств.


COTTONMOUTH-I аппаратная закладка на USB, предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками. При помощи встроенного радиопередатчика может взаимодействовать с другими СOTTONMOUTH. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Существует версия под названием MOCCASIN, представляющая собой закладку в коннекторе USB-клавиатуры.


COTTONMOUTH-II аппаратная USB-закладка предоставляющая скрытый канал доступа к сети цели. Данная закладка предназначена для работы на шасси компьютера и представляет собой двухпортовый USB-коннектор на плату. Может создавать скрытый канал связи для передачи команд и данных между аппаратными и программными закладками.



COTTONMOUTH-III аппаратная закладка в USB предоставляющая беспроводной мост к целевой сети, а также загрузки эксплойтов на целевой системе. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY. Представляет собой блок разъемов(RJ45 и два USB) устанавливаемых на шасси, может взаимодействовать с другими COTTONMOUTH установленными на этом же шасси.



FIREWALK аппаратная сетевая закладка, способная пассивно собирать трафик сети Gigabit Ethernet, а также осуществлять активные инъекции в Ethernet пакеты целевой сети. Позволяет создавать VPN туннель между целевой сетью и центром. Возможно установление беспроводной коммуникации с другими HOWLERMONKEY-совместимыми устройствами. Исполнение данной закладки аналогично COTTONMOUTH-III, такой же блок разъемов(RJ45 и два USB) на шасси. В основе лежит элементная база TRINITY, в качестве радиопередатчика используется HOWLERMONKEY.
Скрытый текст
image

SURLYSPAWN — аппаратная закладка(кейлоггер), позволяющая получить по радиоканалу данные от цели(клавиатура, низкоскоростные цифровые устройства). Данные передаются в отраженном сигнале, для активации необходимо облучение закладки радиосигналом от специализированного излучателя. Кейлоггер совместим с USB и PS/2 клавиатурами, в дальнейшем планируется добавление совместимости с клавиатурами ноутбуков.


RAGEMASTER — аппаратная закладка позволяющая перехватить сигнал от VGA монитора. Закладка прячется в обычный VGA-кабель соединяющий видеокарту и монитор, установлена, как правило, в феррит на видеокабеле. Реализован захват сигнала с красного цветового канала. Представляет собой пассивный отражатель, т.е. активируется при облучении радиосигналом от специализированного излучателя.



Сети Wi-Fi

NIGHTSTAND мобильный комплекс для проведения активных атак на Wi-Fi сети, целями являются машины под управлением Windows (от Win2k до WinXP SP2). Обычно используется в операциях, в которых доступ к цели невозможен. Комплекс реализован на базе ноутбука под управлением Linux и радиооборудования. Вместе с внешними усилителями и антеннами дальность действия может достигать 13 км.
Скрытый текст
image

SPARROW II встраиваемая компьютерная система под управлением Linux. Это полностью функциональная система для сбора данных о беспроводных сетях. Для расширения функционала имеет четыре встроенных Mini PCI слота позволяющие подключить GPS-модуль и дополнительные беспроводные сетевые карты.


Серверы

IRONCHEF обеспечивает доступ к целевым системам при помощи BIOS материнской платы и использования SMM-режима для связи с аппаратной закладкой предоставляющей двухстороннюю радиосвязь. По всей видимости, такая закладка должна быть установлена на шасси системы, наподобие COTTONMOUTH-II. Для этой техники уязвимы серверы HP Proliant 380DL G5.


DEITYBOUNCE предоставляет программный доступ к серверам Dell PowerEdge при помощи BIOS материнской платы и использования SMM-режима для получения возможности запуска перед загрузкой системы. Установка может быть произведена при помощи ARKSTREAM, либо при помощи USB-флеш. После установки будет выполняться каждый раз при включении системы. Целями могут являться Dell PowerEdge 1850/2850/1950/2950 с версиями BIOS А02, A05, A06, 1.1.0, 1.2.0 или 1.3.7.


Сетевое оборудование

JETPLOW — это закладка для прошивки Cisco PIX и ASA (Adaptive Security Appliance) файрволов. Сохраняет программную закладку BANANAGLEE и содержит бэкдор. JETPLOW способен работать на файрволах Cisco PIX 500-й серии и ASA(5505, 5510, 5520, 5540, 5550)


HALLUXWATER — это бэкдор устанавливаемый в качестве обновления загрузчика в файрволы Huawei Eudemon. При перезагрузке цели установщик закладки находит необходимые точки для патча и бекдора в подпрограмме обработки входящих пакетов. Данный бэкдор сохраняется при обновлении операционной системы и автоматических обновлениях загрузчика. HALLUXWATER может работать на файрволах Huawei Eudemon 200, 500 и 1000 серии.

FEEDTROUGH представляет собой технику установки двух программных закладок BANANAGLEE и ZESTYLEAK используемых против файрволов Juniper Netscreen. Подвержены угрозе следующие модели Juniper: ns5xt, ns25, ns50, ns200, ns500 и ISG 1000. Метод отрабатывается при старте файрвола, если операционная система есть в базе данных, то устанавливаются закладки, в противном случае устройство загружается в обычном режиме. FEEDTROUGH сохраняется при обновлении операционной системы файрвола.

GOURMETTROUGH закладка для некоторых моделей Juniper, имеет возможностью пользовательской настройки. Она скрывает закладку BANANAGLEE и позволяет ее сохранить после перезагрузки или обновления ОС.


SOUFFLETROUGH закладка для BIOS файрволов Juniper SSG 500 и SSG 300 серий. Она скрывает закладку BANANAGLEE, в случае, если устройство не поддерживает добавление BANANAGLEE, открывает бэкдор. Возможны удаленное обновление и установка SOUFFLETROUGH.


SCHOOLMONTANA обеспечивает присутствие сетевых закладок. Позволяет сохраниться закладке при обновлении и замене операционной системы, в том числе и при физической замене флеш карты роутера. Основной вектор атаки направлен на модификацию BIOS. Нацелена на роутеры Juniper J-серии под управлением операционной системой JUNOS. По сути, это бэкдор разработанный для использования под FreeBSD.


SIERRAMONTANA обеспечивает присутствие сетевых закладок в роутерах Juniper М-серии. Возможности аналогичны SCHOOLMONTANA.


STUCCOMONTANA обеспечивает присутствие сетевых закладок в роутерах Juniper T-серии. Возможности аналогичны SCHOOLMONTANA.


HEADWATER — бэкдор для некоторых моделей роутеров Huawei. Бэкдор устанавливается при обновлении загрузчика. Общая схема работы аналогична другим закладкам для сетевого оборудования.

Сети GSM


CROSSBEAM — закладка в виде GSM модуля на основе встраиваемого компьютера. Может перехватывать и записывать данные передаваемые в GSM-сетях.


CANDYGRAM — эмулятор базовой станций GSM (900, 1800, 1900), предназначенный для отслеживания расположения сотового телефона цели. Каждый раз, когда телефон цели входит в зону действия базовой станции CANDYGRAM, система посылает СМС через внешний канал на телефон наблюдателя.


CYCLONE Hx9 — эмулятор базовой станций GSM, предназначенный для проведения атак на мобильные телефоны стандарт GSM 900. Позволяет осуществлять прослушивание и перехват передаваемых данных. Дальность до 32 километров.


EBSR — многоцелевая трехдиапазонный активная базовая станция GSM, с низким энергопотреблением (1 Вт). Предназначена для прослушивания и перехвата передаваемых данных. Возможно объединение в макросеть нескольких таких устройств.


ENTOURAGE — устройство для пеленгации сигналов от мобильных телефонов стандартов GSM/UMTS/CDMA2000/FRS. Для его использования необходимы антенна нужного диапазона и ноутбук(для управления).

GENESIS — устройство для радиоэлектронной разведки на основе модифицированного сотового телефона стандарта GSM. Предназначено для поиска и анализа сотовых сетей, а также определения расположения телефонов целей. Имеет возможность записи радиочастотного спектра во внутреннюю память, объем которой составляет 16GB.

NEBULA — портативная базовая станция для сетей GSM, UMTS, CDMA2000. Позволяет проводить перехват голоса и данных.


TYPHON HX — портативная базовая станция для сетей GSM (850/900/1800/1900). Имеет полную поддержку протокола GSM и управления вызовами. Тактический элемент радиоэлектронной разведки.


WATERWITCH — портативный прибор для определения координат целевых телефонов в радиусе действия.


DROPOUTJEEP — программная закладка для Apple iPhone iOS прозволяет получить удаленный доступ к телефону посредством SMS или GPRS-подключения. Для установки бекдора нужен физический доступ к устройству, возможность удаленной установки запланирована в следующих релизах.


GOPHERSET — программная закладка для SIM-карт GSM. Позволяет отправить телефонную книгу, SMS и информацию о вызовах телефона цели на предопределенный номер SMS. Загрузка на карту возможна либо через USB, либо по воздуху. В обоих случаях для установки могут потребоваться ключи для доступа к SIM-карте используемые оператором сотовой связи.



MONKEYCALENDAR- программная закладка для SIM-карт GSM. Отправляет в зашифрованном виде координаты телефона цели на предопределенный номер SMS. Технология установки аналогична GOPHERSET.


PICASSO- модифицированный телефон стандарта GSM предназначенный для сбора пользовательских данных, записи звука в помещении и отслеживания(по данных о базовых станциях). Управление и передача данных осуществляется посредством SMS.


TOTECHASER — программная закладка(под Windows CE) для двухдиапазонного(спутник и GSM) телефона Thuraya 2520. Позволяет получить пользовательские данные от телефона цели через скрытые SMS через спутниковый или GSM канал.


TOTEGHOSTLY 2.0 — программная закладка для операционной системы Windows Mobile. Обладает богатым функционалом и позволяет получить полный доступ к телефону. Управление возможно как посредством SMS так и через GPRS-соединение.


Оборудование для работы в помещении

CTX4000 представляет собой портативный излучатель непрерывного действия, предназначен для подсвета целевых систем для получения данных от установленных там закладок. Предшественник PHOTOANGLO.


LOUDAUTO — аппаратная закладка. Срабатывает «жучок» при облучении специальным сигналом, передавая в отраженном радиосигнале звук из помещения, в котором он установлен.


NIGTHWATCH — система на базе портативного компьютера предназначенная для обработки сигналов от монитора цели. Сигнал может поступать как от систем сбора информации(например, от CTX4000 или PHOTOANGLO при подсвете закладки в видеокабеле RAGEMASTER), так и от приемника общего назначения.


PHOTOANGLO — улучшенный излучатель непрерывного действия, предназначен для подсвета целевых систем и получения данных от установленных там закладок. Более портативен, чем CTX4000.


TAWDRYYARD — миниатюрный радиомаяк, срабатывает при получении радиосигнала от специализированного излучателя. Используется для поиска мест установки других закладок, таких как, например, RAGEMASTER.

По материалам FreeSnowden, LeakSource, Spiegel.

Re: Анонимности нет, смиритесь.

Добавлено: 15 сен
www.zarubezhom.com
Письмо читателя:
"Док, хочу рассказать как у меня было дело на Демотивашке, может кому интересно будет. В самом начале я клепал демы на злобу дня, потом конкретно с кафедры материал брал- тут же бан на несколько дней, затем бан получил безлимитный, просто не могу любой дем сделать-никакой, работаю через ТОР, пытаюсь через разные браузеры -никак.

Затем решил работать по коментам, всё тип-топ-засылаю на интересные демы, довольно быстро история стала повторяться-бан на несколько дней, менял ник, затем получал ещё бан. Затем самое интересное- несколько месяцев уже 3-4 имею бан просто ПО ДЕФОЛТУ НА ЛЮБУЮ АКТИВНОСТЬ- ТОР -смена личностей-айпи-цепочек-ничего не помогает.

Что интересно, очень редко через браузер Оперу в режиме турбо(основные браузеры запретили демотивашку как экстремизм,это в России) могу кое-как закинуть один комент-сразу бан, через ТОР вообще ни одного не проходит, экпериментировал- делал безобидные коменты под новым ником тоже случайно один проскакивает и бан.

Т.Е. могу предположить что с ИХ стороны технически можно легко делать такую блокировку и видимо они меня видят не зависимо от смены айпи и ников. (Хули если ТОР американские морпехи разработали).

Так что господа хорошие, думаю мы в реале лишины той анонимности которой себя тешим в инете. И как говориться думайте сами-решайте сами...

P.S Док тебе большой респект, такое ощущение ты один на демотивашке сейчас правду-матку в каментах рубишь.Может есть разница из какой страны сидишь с ними(я в этом не очень разбираюсь)И ещё Док, я поджелудочной чую, что новогоям прям пиздец в спину дышит, особенно смотря как матёрые жд когти рвут чтобы работать и жить(я не про хасидов), так как нам тогда ебошить надо и как лягушкам в бидоне барахтать ногами чтобы всбить сливки и выкарапкаться, только чую еврейский молочник бидон то крышкой закрыл уже".
- Это, Уотсон, точно читатель сказал"Молочник Тьеве" бидон крышкой уже закрыл".

Re: Анонимности нет, смиритесь.

Добавлено: 14 янв
скептик
Говорите громче, Google все записывает!


Утверждают, что Google тихонько, не делая на этом никакого акцента для пользователей, подслушивает их разговоры и хранит их у себя на серверах.

И речь даже не о том, о чем вы говорите по телефону: ваш смартфон следит за вами даже когда просто лежит рядышком на столе. Так что если вы уже давно пользуетесь смартфонами, то можете послушать свои разговоры, которые Google собирал в течение многих лет.

Компания, собственно, этого и не скрывает. Вот только узнать об этом факте можно, только если вы прочитаете огромное многостраничное «соглашение для пользователей». Разумеется, никто этого не делает!

А вы знаете как и где прослушать то, что записал Google из ваших разговоров? Вот смотрите ...

Зачем это Google? Компания дает всю собранную о вас информацию своему искусственному интеллекту. Тот учится вас понимать, подстраивается под вас и, теоретически, делает продукты Google для вас удобнее.

Вроде как звучит классно. Но есть три «но»:

1. Эта информация может попасть в руки злоумышленников, если кто-то взломает пароль к вашей учетной записи.

2. Эта информация может быть использована против вас, если у вас случится настоящий конфликт с властями.

3. Эта информация используется для того, чтобы показывать вам наиболее точную, «заточенную» под вас рекламу.

Редкий компьютер не оснащен микрофоном. Доступ к нему имеют многие приложения, но только у Google есть подходящий синтезатор речи, способный выудить из контекста фразу «Ok, Google», но и вместе с ней иные ключевые слова. Ведь не секрет, что в США роботы «изучают» ключевые фразы о терроризме, взрывчатых веществах, химических элементах, именах и фамилиях первых лиц… При обнаружении таковой происходит сортировка данных — специалисты уже лично подключаются к прослушиванию помеченных разговоров. Тоже самое может происходить с каждым из нас даже за пределами штатов, полагают лидеры Шведской пиратской партии.

Дело в том, что интернет-браузер Chrome (сборка Chromium 43) скрытым образом устанавливает на компьютер (пока замечено на OS X и Linux Debian) расширение Hotword Shared Module, которое не отображается в списке, не спрашивает никаких разрешений на инсталляцию и на свое взаимодействие с микрофоном. Эксперты отмечают, команды на микрофон отправляются даже при выключенной опции «Голосовой поиск по команде “O’кей, Google”».

Получается, что модуль постоянно прослушивает звуковой фон через встроенный в устройство микрофон и располагает возможностью определять некоторые ключевые фразы с помощью синтезатора речи, заточенного на распознавание голоса и произнесенных фраз. Ключами могут быть совершенно разные элементы конфиденциальной информации, начиная от банковских карточек и заканчивая намерениями бизнесменов и других важных персон.

Конечно, предположения Пиратской политической фракции из Швеции могут быть надуманными, однако технически для такого финта у компании Google имеется все необходимое, в том числе работоспособные алгоритмы программного синтезатора речи, применяемого для голосового помощника Google Now. Подозрителен и тот факт, что интернет-гигант производит установку в скрытом режиме (по крайней мере, в неявной форме) — установив Chrome 43.x с отключенным доступом к Сети, после подключения в системных файлах добавится расширение автоматически.

Google комментирует данную ситуацию следующим образом: «Chrome Hotword Shared Module включен в состав сборки по умолчанию и остается неактивным до тех пор, пока пользователь не активирует функцию распознавания команды “Ok, Google” в настройках браузера. И поскольку Chrome не относится к открытым приложениям, как Chromium, то любые частные (фирменные) компоненты могут входить в состав базовых функций, которые могут и не входить в список расширений, поскольку отвечают за базовую функциональность браузера».





В Google утверждают, что есть способ всю эту информацию удалить. Это все можно сделать через специальный, мало кому известный сервис. Надо только авторизоваться и все почистить.

Вот нужные вам адреса:

Вот тут https://history.google.com/history/audio хранятся все данные, которые записал микрофон вашего телефона. Если тут пока ничего нет, значит, вы просто не пользовались голосовым помощником, т.е. никогда не говорили: «ОК, Google». У меня тут оказалось пусто. А у вас?

Вот, кстати, скорее всего это те настройки, которые отвечают за запись голоса и разговоров:
Изображение


А вот https://history.google.com/history/ полное досье, которое на вас собрал Google, основываясь на том, что вы делаете в интернете.

Среди прочего, тут есть информация, где и когда вы были (точнее, ваш телефон); все, что вы искали в интернете; все странички, которые вы загружали.

Но самая полезная функция этого сервиса - возможность быстро все оттуда удалить. Вы можете выбрать флажком записи, которые хотите уничтожить, а можете удалить все сразу - одним махом. Нажмите на кнопку «Выбрать параметры удаления» в левой колонке.





Где еще можно посмотреть собранную информацию о себе:

1. Ваш профиль в Google

Google создаёт профиль с вашими основными данными – возраст, пол, интересы. Эти данные используются для показа релевантных объявлений. Вы можете просмотреть эту информацию здесь:
www.google.com/ads/preferences/

2. История ваших перемещений
Если у вас есть устройство на Android, оно может отправлять ваш координаты и скорость в Google. Вы можете посмотреть свою историю перемещений и вывести её в файл:

maps.google.com/locationhistory

Вот это блин, для меня была новость ! Ах ты ж блин !

3. Ваша история поиска в Google
Google может сохранять историю вашего поиска. Кроме того, он сохраняет историю объявлений, по которым вы кликнули. Всё это доступно здесь:
history.google.com
(прим. перев. – эту возможность надо включить в своём аккаунте)

4. Список устройств, получавших доступ к вашему аккаунту
Если вас интересует, не пользуется ли вашим аккаунтом кто-то ещё, вы можете посмотреть список всех устройств, которые получали к нему доступ, их IP-адреса и местоположение:
security.google.com/settings/security/activity

5. Список всех приложений и расширений, обращающихся к вашим данным в Google
Список всех приложений, у которых есть какой-либо доступ к вашим данным. Можно видеть, какие права у них есть и к чему у них есть доступ. Можно также отозвать этот доступ.
security.google.com/settings/security/permissions

6. Google на вынос
Можно экспортировать все ваши данные – закладки, почту, контакты, календарь, файлы с Drive, видео с youtube, фотки и прочее:
www.google.com/takeout


http://masterok.livejournal.com/3331243.html#comments

Но самая полезная функция этого сервиса - возможность быстро все оттуда удалить.
Автор, Вы наивный.
Никогда, ни одна фирма НИЧЕГО не удаляет из Баз Данных.
Файлы Пользователя после выполнения действия "удалить" приобретают атрибут "скрытый для всех кроме групп с правами " видеть все"

Re: Анонимности нет, смиритесь.

Добавлено: 03 фев
Гойский долбоёб
Изображение

Re: Анонимности нет, смиритесь.

Добавлено: 10 мар
Гойский долбоёб
Как не сесть за публикации в соцсетях: 10 правил. Разбираемся с УК

Изображение

1. "Возбуждение ненависти и розни" (статья 282 Уголовного Кодекса).

На данный момент — это самая «популярная» статья, по которой блогеров привлекают к уголовной ответственности чаще всего.

Совет: старайтесь не писать и не публиковать в своем профиле тексты или графические материалы, которые могут восприниматься, как направленные против этнических, национальных, языковых или религиозных групп. Уголовный кодекс использует широкую формулировку "социальные группы" и почти любое количество людей, объединенных каким-либо признаком может туда попасть.

Например, за последнее время несколько судебных решений было вынесено в отношении лиц, возбуждавших ненависть к социальным группам «чиновники» и «сотрудники правоохранительных органов».

В УК есть приписка об "унижении" тех же групп. Что именно понимается под этим – нередко непонятно даже сотрудникам правоохранительных органов, однако любые резкие высказывания в адрес таких групп могут считаться криминальными.

Что грозит?

Штраф в 100 тыс. рублей или до пяти лет лишения свободы. Если призывы к "розни" сделаны в составе группы или с использованием служебного положения (иными словами, если под постом подписываются и ставят лайки ваши друзья или вы работаете в каком-то СМИ) – до шести лет.


2. "Призывы к экстремистской деятельности" (статья 280 УК)

Определения экстремизма в УК РФ пока весьма и весьма размытые. Тем не менее, вам следует их прочитать.

Чтобы не попасть под статью 280, не стоит призывать или намекать на желание переворота, терроризма, возбуждения вражды, дискриминацию и применение насилия к социальным группам, препятствия органам власти (включая министров, губернаторов, полицию, чиновников всех уровней, депутатов, избиркомы и т.д.). Отдельная история-демонстрации запрещенной символики (пункт 9) или финансирование выше перечисленного. В случае допущения подобных незаконных публикаций, даже при вашей неосведомленности о деталях этой статьи УК, при должном стремлении правоохранителей обосновать наличие состава преступления по 280 статье может оказаться совсем не затруднительно. Криминалом, например, вполне может стать любимая отдельными блогерами-оппозиционерами фраза "Когда мы придем к власти..."

Старайтесь избегать хотя бы наиболее явных негативных высказываний, но главное — не говорите, что кому-то стоит пренебрежительно или негативно относиться к другим людям по таким групповым признакам (см. пункт 1).

Что грозит?

До пяти лет принудительных работ (место и вид работ определит суд) или лишение свободы на этот же срок.


3. "Призывы к сепаратизму" (280.1 УК)

Любое высказывание о желании уменьшить территорию Российской Федерации (имеется в виду и то, как она изображена на официальной карте, а не только призывы к мятежу), может считаться уголовно наказуемым, поэтому, уж как минимум, старайтесь не шутить, на тему "Крым – наш".

Что грозит?

То же, что и за "призывы к экстремизму" (см. пункт 2).


4. Оправдание терроризма (статья 205.2 УК).

Здесь, как вы понимаете, всё ещё серьезнее.

Запрещается не оправдание в моральном или педагогическом смысле ("он мстил за отца", "в детстве он перенес травму"), а именно одобрение и желательность терактов как метода действия (хотя и в первом случае могут возникнуть проблемы). Естественно, говорить такое в адрес террористов не следует. Надеюсь, впрочем, что ничего подобного нормальному человеку в голову и не взбредёт.

Что грозит?

Штраф от 300 тыс. до миллиона рублей и до семи лет лишения свободы.


5. "Реабилитация нацизма" (статья 354.1 УК).

Не стоит в записях отрицать или одобрять массовые преступления фашистской Германии времен Второй мировой (понимаю, что вряд ли кто-то до подобного додумается).
А также "распространять заведомо ложные сведения о деятельности СССР" за тот же период. Не стоит безосновательно дискутировать об истории, проверяйте факты и даты – гугл есть у всех.

Поскольку использована формулировка "заведомо ложных", вашей защитой может стать ссылка на серьезные источники.

Что грозит?

Штраф до 300 тысяч рублей до трех лет лишения свободы или до года исправительных работ.


6. "Оскорбление религиозных чувств верующих" (часть 1 статьи 148 УК).

Что такое "оскорбление" и "чувства верующих" - из УК ясно далеко не всегда и далеко не всем.

Но не расстраивайтесь- это определит за вас суд. Чтобы подобного не произошло, старайтесь не высказываться грубо против религиозных обычаев, символов, учреждений или верований принятых на территории России. И лучше не только в отношении четырех официально признанных в России религий: православия, ислама, буддизма и иудаизма.

Что грозит?

Штраф до 300 тыс. рублей и до года лишения свободы.


7. Участие в экстремистском сообществе (статья 282.1 УК) или организации (статья 282.2 УК)

Если вы не состоите в таких сообществах, то вряд ли вам стоит беспокоится, но все же не делайте перепосты статей или заявлений лидеров из уже запрещенных Минюстом групп (террористических или экстремистских). На всякий случай перепроверьте список сообществ, в которых вы состоите в социальных сетях. Поверьте, а лучше посмотрите: некоторые группы могут быть вполне неочевидными.

Обратите внимание, что иногда вы можете вступить в группу и не знать о том, что контекст публикаций в группе изменился и исходя из таких постов компетентные органы оценили содержание группы как экстремистское.

Что грозит?

От штрафа до 300 тыс. рублей до лишения свободы на шесть лет.


8. Распространение "экстремистских материалов" (статья 20.29 Кодекса. Административных Правонарушений)

Достаточно трудно соблюсти этот пункт: на сайте Минюста уже около 3,5 тыс. всевозможных книг, песен, видеороликов и сайтов. И публикация на вашей страничке в соцсети уже считается массовым распространением.

Перед тем, как поделиться каким-то материалом с друзьями проще всего задать в поисковике его название в разделе новостей, скорей всего оно там появится. Еще вариант искать в официальном списке Минюста. Ну, и самое главное- включить здравый смысл.


9. Демонстрирование запрещенной символики (статье 20.3 КоАП).

К этой статье совсем недавно я внес поправки и есть все основания считать, что они вскоре будут приняты, однако пока,

вне зависимости от вашего намерения и контекста публикации на вашей страничке, достаточно самого наличия на картинке или в видео запретных символов, - вы будете привлечены к ответственности.

Среди запрещенной символики:

Нацистская. К ней относятся символы, использовавшиеся в Третьем Рейхе, а также символы некоторых организаций, которые с сотрудничали с гитлеровской Германией и отрицали преступления фашистов. Иногда это символы современных неонацистов.

Сходная с нацистской до степени смешения. Термин "до степени смешения" означает сходство, затрудняющее различение для обычного человека. Степень сходства определяет суд.

Символика запрещенных за экстремизм и терроризм организаций (см. выше). Каталога такой символики пока нет, но если вы, например, регулярно пишете на тему символики и графики, то есть риск что с ней вы уже встречались.

Что грозит:

Штраф до двух тысяч рублей или арест на 15 суток.


10. Дополнительные рекомендации: отключите чувство юмора.

Подумайте, стоит ли писать про Украину, Крым, исламскую пропаганду – это наиболее болезненные темы".

Обратите внимание и на то, что нередко в судах Российской Федерации при рассмотрении таких дел не учитывают ни контекст, ни иронию или юмор, ни даже тот факт, что вы лично возможно даже не являетесь автором изучаемых материалов. К анализу поста просто привлекают стороннего эксперта, на основании заключения которого и строится позиция суда.

https://vk.com/wall138482544_9817