Журналистам издания «Коммерсантъ» стало известно, как правительственные ведомства видят реализацию «закона Яровой» на практике.
По данным «Коммерсанта» , ФСБ, Минкомсвязь и Минпромторг в настоящий момент обсуждают набор технических решений, которые позволят реализовать дешифровку и соответственно доступ ко всему интернет-трафику россиян, как того требует «закон Яровой». Журналисты ссылаются на информацию, полученную от топ-менеджера одного из производителей оборудования, члена Администрации президента (АП), а также неназванного источника в IT-компании.
«Хранить эксабайты шифрованного интернет-трафика не имеет смысла - в нем ничего не найдешь. ФСБ выступает за то, чтобы расшифровывать весь трафик в режиме real-time и анализировать его по ключевым параметрам, условно говоря, по слову "бомба", а министерства настаивают на расшифровке трафика лишь по тем абонентам, которые привлекут внимание правоохранительных органов»,- рассказал журналистам представитель АП.
Для анализа нешифрованного и уже расшифрованного трафика планируется использовать DPI-системы (Deep Packet Inspection), которые и сейчас применяются многими операторами, например для URL-фильтрации по спискам запрещенных сайтов.
Сложности у правительственных ведомств вызывает зашифрованный трафик. «В интернете огромное количество сайтов, которые не являются организаторами распространения информации и используют защищенное https-соединение", - поясняют собеседники издания. "Без расшифровки трафика не всегда можно понять, на какой сайт заходил пользователь, не говоря о том, что он там делал». Так, одним из обсуждаемых вариантов дешифровки трафика является установка в сетях операторов оборудования, которое будет фактически выполнять MITM-атаки:
«Для пользователя это оборудование притворяется запрошенным сайтом, а для сайта - пользователем. Получается, что пользователь будет устанавливать SSL-соединение с этим оборудованием, а уже оно - с сервером, к которому обращался пользователь. Оборудование расшифрует перехваченный от сервера трафик, а перед отправкой пользователю заново зашифрует его SSL-сертификатом, выданным российским удостоверяющим центром (УЦ). Чтобы браузер пользователя не выдавал ему оповещений о небезопасном соединении, российский УЦ должен быть добавлен в доверенные корневые центры сертификации на компьютере пользователя».
Журналисты пишут, что Илья Массух, глава подгруппы «ИТ+Суверенитет» при Администрации президента, ранее уже подтверждал, что планы по созданию такого удостоверяющего центра действительно есть. Впрочем, будет ли данный УЦ использоваться для реализации «закона Яровой», пока неизвестно.
Также о предложении по расшифровке трафика слышал основатель «Энвижн Групп» и совладелец производителя телекоммуникационного оборудования РДП.РУ Антон Сушкевич.
«Два основных метода шифрования в интернете - end-to-end, который очень популярен в мессенджерах, и SSL-сертификаты - с их помощью около 80% интернет-трафика шифруется. Для того чтобы выполнять задачу, поставленную "законом Яровой", то есть бороться с терроризмом, нужно расшифровывать и анализировать трафик в прямом эфире, а не какое-то время спустя. Организация MITM - один из возможных путей»,- утверждает Сушкевич.
Также «Коммерсантъ» поинтересовался мнением экспертов по данному вопросу, и те выразили определенный скепсис относительно описанной схемы.
«Когда о данном факте станет известно, из всего ПО, обеспечивающего работу с шифрованным трафиком, сертификат подобного удостоверяющего центра будет вырезан в очередном обновлении. И это будет правильно, потому что возможность создавать "левые" сертификаты дискредитирует всю электронную коммерцию: все банковские карточки, учетные данные всех пользователей во всех системах становятся перехватываемыми»,- объясняет глава АРСИЭНТЕК Денис Нештун.
«MITM хорошо, а местами и легально работает для клиент-серверных технологий на базе SSL. Но от него стали чаще отказываться и переходить на TLS, для которого MITM сделать сегодня нельзя. А в случае с end-to-end шифрованием, на котором построено большинство мессенджеров, MITM вообще нереализуем»,- говорит консультант по интернет-безопасности Cisco Алексей Лукацкий.
Напомню, что согласно «закону Яровой», организаторы распространения информации должны предоставлять информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей в уполномоченное подразделение ФСБ.
«Организаторами распространения информации», в свою очередь, считаются «лица, осуществляющие деятельность по обеспечению функционирования информационных систем и (или) программ», которые используются для «приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети Интернет». То есть таковыми являются практически любые сервисы, при помощи которых осуществляется передача сообщений, будто то мессенджер или почта.
Собеседники «Коммерсанта» полагают, что «иностранные компании этому требованию просто не подчинятся, а российские, может, и сдадут ключи после многочисленных требований».
По дешифровке и анализу данных, передаваемых в сетях операторов связи, в режиме реального времени. Сейчас ведомства изучают возможные технические решения для реализации этого предложения.
Одним из обсуждаемых вариантов дешифровки является установка на сетях операторов оборудования, способного выполнять MITM-атаку (Man in the Middle — человек посередине). Для анализа нешифрованного и уже расшифрованного трафика предлагается задействовать системы DPI, которые уже используются телеком-корпорациями для фильтрации запрещенных сайтов.
Буквально сразу же после появления этой информации инициатива подверглась критике со стороны интернет-сообщества. В частности, «профильный» омбудсмен в разговоре с радиостанцией «Говорит Москва» назвал недопустимой расшифровку трафика пользователей.
Основатель «Общества защиты интернета» в своем Facebook-аккаунте подробно разобрал предлагаемые властями методы.
«MITM — это вид хакерской атаки, который заключается в том, что злоумышленник П встраивается в шифрованный канал между абонентами А и Б, и когда А и Б думают, что шифруют сообщения друг другу, на самом деле они шифруют их все в адрес П, который вскрывает сообщения, потом перешифровывает их и отправляет дальше», — пояснил эксперт.
Проблемой для выполнения этой задачи, как пишет Волков, является тот факт, что для используемого в интернете программного обеспечения попытка подмены сертификата для перешифровки контента выглядит как обман. Когда операционная система или браузер выявит, что предъявлен поддельный сертификат, они его тут же заблокируют.
В беседе с «Газетой.Ru» Волков отметил, что свежая инициатива ведомств выглядит реальнее, чем полное хранение данных, но «все же далека от реализуемости прямо здесь и сейчас».
В свою очередь, ведущий вирусный аналитик ESET Russia полагает, что с технической точки зрения предложения ФСБ, Минкомсвязи и Минпромторга являются реальными. «Пока инициативы ограничиваются анализом незашифрованного трафика и сбором базовой информации о пользователях. Новое предложение может потребовать от провайдеров и пользователей установки в систему специального цифрового сертификата для анализа зашифрованного трафика, например HTTPS», — рассказал он «Газете.Ru».
Зашифрованные иностранцы
Директор информационно-аналитического агентства TelecomDaily рассказал «Газете.Ru», что дешифровка трафика — непростой процесс. «Министерства, которые берутся за эту задачу, не до конца представляют, что могут с этим и не справиться», — добавил он.
Аналитик обратил внимание, что по-прежнему не решен вопрос деятельности зарубежных компаний, отвечающих за пользовательские коммуникации. В первую очередь речь идет о мессенджерах с end-to-end-шифрованием.
«Я не вижу каких-то сдвигов в плане работы с организациями, которые с юридической точки зрения находятся не в России. Но с нашими компаниями проще, на них всегда можно надавить», — отметил Кусков.
В антитеррористическом пакете поправок помимо операторов связи говорится о так называемых организаторах распространения информации. Для них с 2014 года в российском законодательстве предусмотрен собственный реестр, ведением которого занимается .
В настоящее время перечень включает в себя около 70 наименований. Среди них социальные сети «ВКонтакте», «Одноклассники», «Мой круг», и «Рамблер», хранилища «Яндекс.Диск», «Облако@Mail.Ru», порталы «Хахбрахабр». «Роем», сайт знакомств «Мамба», видеосервис RuTube, блог-платформа LiveInternet, имиджборд «Двач» и другие.
В реестр за все время его работы не попал ни один зарубежный портал и ни один мессенджер.
«Если подобные планы властей начнут реализовываться, то прогнозируемо появление мессенджеров, содержащих дополнительную защиту от атак типа MITM. Например, подмешивания в шифрование секретного ключа с распространением его между абонентами. Проще говоря пароля, о котором договориваются участники переписки», — заявил «Газете.Ru» директор дивизиона безопасности группы компаний Softline .
Как сломать HTTPS
Известным широкому кругу способом шифрования является не только end-to-end, но и HTTPS — защищенный протокол, используемый веб-сайтами.
При этом позднее, беседуя с «Роем» , глава Фонда информационной демократии , который как раз и занимается вопросами IT-независимости рунета в рамках ИРИ, назвал подобную идею «бредом».
Кусков в разговоре с «Газетой.Ru» возможный шаг по полному импортозамещению также окрестил маловероятным.
«Сотовая связь в настоящее время на 100% является импортной. Это не просто базовые станции, а аппаратно-программный комплекс. В настоящий момент все это заменить невозможно.
Пока не будет сделан серьезный шаг со стороны , Минкомсвязи и Минпромторга, ничего хорошего не предвидится в этом направлении. Я не вижу реальных действий, которые позволили бы сказать, что Россия может перейти на отечественное оборудование в ближайшее время», — заключил телеком-эксперт.
Операторы мобильной связи отказались от комментариев. В Минкомсвязи на запрос «Газеты.Ru» не ответили.
Доброго времени суток! Сегодня поговорим о том, что такое трафик? Данное слово относится к разным областям, но особенно часто его можно встретить в интернете. По сути весь заработок в сети построен именно на нем.
Трафик это по сути движение, активность, переход из одного места в другое. Его может быть много или мало, он может быть быстрый или медленный. Само слово трафик означает в переводе с английского языка обозначается как раз движение!
Теперь подумаем зачем нужен трафик ? В каждой сфере он необходим для своих особых нужд. Например, в IT сфере он обозначает количество мегабайт. Если они есть вы можете выйти в интернет, но скачаете фильм или музыку, или еще что зависит от объема, который нужно купить.
Вебмастерам чаще он нужен для заработка и каждый стремится чтобы на его сайте этого ценного движения было как можно больше!
Виды трафика
Сейчас разберем все разновидности трафика, которые мне удалось найти!
Автомобильный трафик
Подобный траффик означает количество автомашин в какой-либо точке. Например, в обеденный перерыв на какой-то улице их может проехать 500 штук за час. А это очень большой трафик автомобилей.
Владельцы торговых авто точек порой могут задуматься как привлечь трафик в автосалон? Под этим они подразумевают обычных клиентов, покупателей Для привлечения просто нужно использовать рекламу вот и все!
Автотрафик необходимо замерять для различных исследований. Существуют как автоматические способы, так и ручные способы измерений.
Трафик на дорогах или дорожный может показать уровень загрязнения в определенном месте. Ведь чем больше автомобилей там проедет, тем объемнее будет скопление газов в этом районе.
Пешеходный трафик
Подобный вид чисто состоит из тех, кто пользуется зебрами. Я думаю, что к этому виду можно отнести и животных. Ведь они иной раз тоже переходят по специально отведенному месту.
Пешеходный трафик по сути это народ, который идет по выкрашенной в полоску дороге – зебре!
Иногда большой пешеходный трафик может вызвать затруднение для автомобилистов, поэтому существуют службы, которые ведут наблюдение за его количеством. Хотя на практике подобного я лично не встречал.
Морской трафик
Это передвижение различных мореходных судов. Например, таких как лодок, кораблей, пароходов и других! Часто люди запрашивают в интернете данное словосочетание чтобы узнать движение морского трафика в реальном времени! На удивление действительно в сети есть отображение на карте. Вы можете зайти и посмотреть где находится нужный кораблик!
Что такое трафик в торговле?
Под подобным словосочетанием понимают количество клиентов пришедших в магазин и что-то купивших. Тоже самое можно сказать и о трафике в бизнесе. Это просто люди, которые пришли и что-то взяли, отдав взамен своей деньги.
Чаще всего торговля трафиком осуществляется на просторах интернета, но его можно продать и в обычной жизни. Например, порекомендовав какой-нибудь товар человеку, продающийся в определенном магазине. Причем с владельцем торговой лавки у вас должна быть договоренность, и он должен понимать какой клиент сегодня придет от вас В случае успеха, хозяин заведения выплатит процент за приход покупателя!
Что такое трафик в интернете?
Под этим словом в сети можно выделить два обозначения:
- Количество мегабайт, гигабайт.
- Число посетителей на одном из сайтов.
Первый интернет трафик, он же сетевой - это когда вы хотите выйти в сеть. Для этого нужен пакет с выше указанными единицами измерения. Очень часто он ограничен у мобильных операторов. Для домашнего компьютера можно подключить проводной интернет за фиксированную абонентскую плату. Например, за 400 рублей вы можете качать сколько угодно фильмов, музыки и других файлов. Здесь ограничение может быть только по скорости согласно вашему тарифу. Данную сумму вы платите раз в месяц!
В мобильном же интернете на эти деньги на месяц можно взять к примеру 3-5 Гб и все. Если он закончится то, здесь либо докупаете за не очень выгодную цену, либо ждете окончания срока подключения. Например, вы подключили 2 Гб первого мая, но израсходовали их уже к 7 числу этого же месяца. Это означает что оставшиеся 23 дня придется посидеть без интернета, либо доплатить, либо сменить тариф.
Мой интернет трафик равен 7Гб в неделю, тариф Забугорище ! Это интернет от мтс за 600 рублей. Оплата раз в семь дней по 150 рублей. Подобные условия меня вполне устраивают, тем более что семь гигабайт это для новых пользователей. Я же подключился раньше и могу качать сколько угодно без ограничений на умеренной скорости.
Второй приведенный интернет трафик или веб - это посещаемость какого-либо ресурса в интернете. Например, на мой блог в интернете заходят порядка 400 – 450 человек в день! В итоге я могу сказать, что мой трафик равен четыреста посетителей в сутки!
Думаю, теперь что такое трафик в интернете понятно даже для чайников!
Что такое мобильный трафик?
По сути это люди пришедшие к вам через устройство – телефон! Некоторые люди могут еще спросить, что такое трафик в мобильном интернете? Ну так вот это количество интернет трафика, о котором речь шла выше!
Если пришло уведомление о том, что осталось мало трафика, это значит, что интернет скоро отключат. Обычно подобное приходит после того, как количество мегабайт равняется 10 или 50.
Мотивированный трафик
Подобный вид означает что человек что-то сделал по чьей-то просьбе. Например, вы зарегистрировались в одной из партнерских программ, онлайн игры. За то, что приведете в нее 1 человека вам заплатят 20 рублей. В результате идете и делаете задание на специальном сервисе. Просите людей пройти регистрацию за вознаграждение 5 рублей. Ваш профит составит 15 чистой прибыли! Человек внедрился в игру потому что вы его попросили сделать это за деньги.
Целевой трафик или тематический
Расскажу об этом варианте на примере группы в контакте или сообщества. Создал человек нечто подобное и собрал туда всех, кто заинтересован в выходе нового Айфона. Многие просто жаждут его приобрести! Набралось скажем 20 000 человек! И вот он вышел на рынок, автор недолго думая нашел реальный магазин с партнерской программой в 5%, обычно отчисления в официальных магазинах маленькие. Но кроме этого подсуетился и отыскал партнерку копии. Не все же могут позволить себе оригинал. Предложил сообществу два варианта! И в результате получил хороший доход в размере более 100 000 рублей! А потому что все эти люди были заинтересованы в покупке они били целевым трафиком или тематическим!
Ну а не целевой это значит к примеру, что реклама ноутбука DNS идет на человека, мечтающего о компьютере от фирмы MSI. По сути это пустышка, напрасный слив денег, ведь он его не возьмет.
Дорвейный трафик что это?
Продемонстрирую опять же на примере! В интернете очень большая конкуренция в продаже почти любого товара или услуги. Поэтому некоторые люди чтобы обойти это препятствие и заработать на партнерских программах идут по следующему пути:
- Выбирают продукт, на котором хотят заработать.
- Ищут не сильно конкурентную фразу из этой ниши, но, чтобы ее вводили в поиск часто.
- Создают сайт с доменом как раз этого ключевого слова.
В итоге сайт конкретно посвящен продукту, например, экшен камере или водопроводному шлангу. Ну а раз это так-то поисковая система в частности Яндекс старается выставлять его как можно выше. В итоге люди заходят и некоторые из них покупают трафик.
Короче говоря, трафик идет с дорвея или заточенного сайта под конкретную партнерку.
Реферальный трафик
Наверняка такое словосочетание используют владельцы партнерских программ! Они считают сколько сделали прямых продаж, а сколько принес реферальный трафик, он же партнерский.
То есть если вы являетесь партнером и гоните на продукт посетителей, то владелец продукта будет называть вас рефералом.
Или можно сказать что это пользователь, который пришел по чьей-то реферальной ссылке на сервис. А потом на этот же проект по своей ссылке привел еще людей! Которых в дальнейшем можно уже называть реферальным трафиком.
Исходящий и входящий
Чаще всего подобное относится к интернет тарифу на вашем компьютере. Если вы используете программу для его учета или у вас стоит мобильный модем, например, от мтс, то наверняка замечали, что там есть график. Кроме этого есть надписи входящий и исходящий трафик. Ну так вот в процессе интернет серфинга вы обмениваетесь с сервером на другом компьютере данными. Из них часть уходит, а другая часть идет к вам в виде софта, фильмов, картинок, музыки и др.
Видео трафик
Это по сути переходы пользователей с помощью видео контента. Например, вы можете на ютубе указывать ссылки под видео или втыкать ссылки в сам клип. Активные и популярные ютуберы способны приводить огромное количество целевых пользователей!
Поисковый трафик или органический
То есть это трафик с поисковых систем! Допустим человек ищет флешку и поисковик выдает массу сайтов. Ну так вот, если он зайдет на любой из них, то для сайта этот посетитель будет считаться органическим! Подобные переходы могут быть с разных поисковиков, например, с Яндекса, Google, Mail и др.
Прямой трафик
Сразу начну с примера. У вас есть знакомый и он приобрел себе совсем недавно соковыжималку в интернет магазине. Этот сервис ему сделал скидку 20%, да еще и подарил набор стаканчиков! Глядя на своего знакомого, вы захотели тоже что-то приобрести в данном магазине по такой акции. И поэтому просите у него точный адрес. Он естественно его дает и вот вы переходите на сайт, делаете прямой заход без каких-либо систем. Набрали адрес и зашли на главную страницу проекта. Это будет значит, что для это магазина вы стали прямым трафиком.
Трафик из контекста
Многие люди, пытающиеся продавать свои услуги или товары делают контекстную рекламу в интернете. Это реклама, которую наверняка вы видели по ходу чтения статей в интернете.
Ну так вот если человек щелкнул на объявление в тексте и перешел на продукт, то он как раз и будет относится к трафику из контекста!
Фродовый трафик что это?
Подобная разновидность говорит о не совсем чистом трафике. В переводе с английского слово фрод означает мошенничество. Для рекламодателей подобный вид посещений означает потерю денег. Как это может произойти?
Многие пользователи и не догадываются, что заполняя логин и пароль при регистрации или авторизации на закрытом Интернет-ресурсе и нажимая ENTER, эти данные легко могут перехватить. Очень часто они передаются по сети не в защищенном виде. Поэтому если сайт, на котором вы пытаетесь авторизоваться, использует HTTP протокол, то очень просто выполнить захват этого трафика, проанализировать его с помощью Wireshark и далее с помощью специальных фильтров и программ найти и расшифровать пароль.
Лучшее место для перехвата паролей - ядро сети, где ходит трафик всех пользователей к закрытым ресурсам (например, почта) или перед маршрутизатором для выхода в Интернет, при регистрациях на внешних ресурсах. Настраиваем зеркало и мы готовы почувствовать себя хакером.
Шаг 1. Устанавливаем и запускаем Wireshark для захвата трафика
Иногда для этого достаточно выбрать только интерфейс, через который мы планируем захват трафика, и нажать кнопку Start. В нашем случае делаем захват по беспроводной сети.
Захват трафика начался.
Шаг 2. Фильтрация захваченного POST трафика
Открываем браузер и пытаемся авторизоваться на каком-либо ресурсе с помощью логина и пароля. По завершению процесса авторизации и открытия сайта мы останавливаем захват трафика в Wireshark. Далее открываем анализатор протоколов и видим большое количество пакетов. Именно на этом этапе большинство ИТ-специалистов сдаются, так как не знают, что делать дальше. Но мы знаем и нас интересуют конкретные пакеты, которые содержат POST данные, которые формируются на нашей локальной машине при заполнении формы на экране и отправляются на удаленные сервер при нажатии кнопки «Вход» или «Авторизация» в браузере.
Вводим в окне специальный фильтр для отображения захваченных пакетов: http. request. method == “ POST”
И видим вместо тысячи пакетов, всего один с искомыми нами данными.
Шаг 3. Находим логин и пароль пользователя
Быстрый клик правой кнопки мыши и выбираем из меню пункт Follow TCP Steam
После этого в новом окне появится текст, который в коде восстанавливает содержимое страницы. Найдем поля «password» и «user», которые соответствуют паролю и имени пользователя. В некоторых случаях оба поля будут легко читаемы и даже не зашифрованы, но если мы пытаемся захватить трафик при обращении к очень известным ресурсам типа: Mail.ru, Facebook, Вконтакте и т.д., то пароль будет закодирован:
HTTP/1.1 302 Found
Server: Apache/2.2.15 (CentOS)
X-Powered-By: PHP/5.3.3
P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"
Set-Cookie: password=; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/
Location: loggedin.php
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
Таким образом, в нашем случае:
Имя пользователя: networkguru
Пароль:
Шаг 4. Определение типа кодирования для расшифровки пароля
Заходим, например, на сайт http://www.onlinehashcrack.com/hash-identification.php#res и вводим наш пароль в окно для идентификации. Мне выдан был список протоколов кодирования в порядке приоритета:
Шаг 5. Расшифровка пароля пользователя
На данном этапе можем воспользоваться утилитой hashcat:
~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt
На выходе мы получили расшифрованным пароль: simplepassword
Таким образом, с помощью Wireshark мы можем не только решать проблемы в работе приложений и сервисов, но и также попробовать себя в роли хакера, осуществляя перехват паролей, которые пользователи вводят в веб-формах. Также можно узнавать и пароли к почтовым ящикам пользователей, используя незатейливые фильтры для отображения:
- Протокол POP и фильтр выглядит следующим образом: pop.request.command == "USER" || pop.request.command == "PASS"
- Протокол IMAP и фильтр будет: imap.request contains "login"
- Протокол SMTP и потребуется ввод следующего фильтра: smtp.req.command == "AUTH"
и более серьезные утилиты для расшифровки протокола кодирования.
Шаг 6. Что делать, если трафик зашифрован и используется HTTPS?
Для ответа на этот вопрос есть несколько вариантов.
Вариант 1. Подключиться в разрыв соединения между пользователем и сервером и захватить трафик в момент установления соединения (SSL Handshake). В момент установки соединения можно перехватить сеансовый ключ.
Вариант 2. Вы можете расшифровать трафик HTTPS, используя файл журнала сеансовых ключей, записываемый Firefox или Chrome. Для этого браузер должен быть настроен на запись этих ключей шифрования в файл журнала (пример на базе FireFox), и вы должны получить этот файл журнала. По сути, необходимо похитить файл с ключом сессии с жесткого диска другого пользователя (что является незаконным). Ну а далее захватить трафик и применить полученный ключ для его расшифровки.
Уточнение. Мы говорим о веб-браузере человека, у которого пытаются украсть пароль. Если же мы подразумеваем расшифровку нашего собственного HTTPS трафика и хотим потренироваться, то эта стратегия будет работать. Если вы пытаетесь расшифровать HTTPS трафик других пользователей без доступа к их компьютерам, это не сработает - на то оно и шифрование, и личное пространство.
После получения ключей по варианту 1 или 2 необходимо прописать их в WireShark:
- Идем в меню Edit - Preferences - Protocols - SSL.
- Ставим флаг «Reassemble SSL records spanning multiple TCP segments».
- «RSA keys list» и нажимаем Edit.
- Вводим данные во все поля и прописываем путь в файлу с ключом
