Интересно Что ваш интернет провайдер знает про вас?!

Denik

Original poster
Ufo Member
Сообщения
1 360
Реакции
1 408
Посетить сайт
1588685865800.png
Легенды о сотрудниках компаний-провайдеров, которые от скуки или выгоды ради мониторят трафик клиентов, несложно найти в интернете. Но так ли это? Разбираемся, что действительно знает о вас провайдер.



Как большой брат следит за тобой
Провайдеры в РФ обязаны анализировать трафик пользователей на соответствие нормам российского законодательства. В частности, п. 1.1 Федеральный закон от 07.07.2003 N 126-ФЗ (ред. от 05.12.2017) «О связи»

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

:



Операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.


Сам трафик провайдер, естественно, не хранит. Однако он выполняет его обработку и классификацию. Результаты записываются в лог-файлы.

Анализ основной информации ведётся в автоматическом режиме. Обычно трафик выбранного пользователя зеркалируется на СОРМ-сервера (средства оперативно-розыскных мероприятий), которые контролируют МВД, ФСБ и др., и анализ проводится уже там.

Составной частью современных систем СОРМ-2 является циклический буфер хранения данных. В нём должен храниться проходящий через провайдера трафик за последние 12 часов. С 2014 года внедряется СОРМ-3. Её главное отличие – дополнительное хранилище, в которое должен складываться трехлетний архив всего биллинга и всех логов соединений.



Как читают трафик с помощью DPI
5-4.jpg

Пример схемы от VAS Expert


В составе СОРМ либо отдельно могут использоваться DPI (Deep Packet Inspection). Это системы (обычно программно-аппаратные комплексы – железо со специальным ПО), которые работают на всех, кроме первого (физического, битового), уровнях сетевой модели OSI.

В простейшем случае провайдеры используют DPI для контроля доступа к ресурсам (в частности, к страницам сайтов из «черного» списка Роскомнадзора по ФЗ № 139 о внесении изменений в закон «О защите детей от информации, причиняющей вред их здоровью и развитию» или торрентам). Но, вообще говоря, решение могут применить и для чтения вашего трафика.

sherlockthink_1485151996-1024x512.jpg

Противники DPI заявляют, что право на неприкосновенность переписки закреплено в конституции, к тому же технология нарушает сетевой нейтралитет. Но это не мешает задействовать технологию на практике.



DPI без проблем разбирает содержимое, которое передаётся по незашифрованным протоколам HTTP, FTP.


Некоторые системы также используют эвристику – косвенные признаки, которые помогают опознать сервис. Это, к примеру, временные и численные характеристики трафика, а также особые последовательности байт.

С HTTPS сложнее. Однако в уровне TLS, начиная с версии 1.1, который сегодня нередко используется для шифрования в HTTPS, доменное имя сайта передаётся в открытом виде. Таким образом, провайдер сможет узнать, на какой домен вы заходили. Но что там делали, он без закрытого ключа не узнает.



В любом случае провайдеры не проверяют всех подряд


Это слишком затратно. А вот мониторить чей-то трафик по запросу теоретически могут.

То, что отметила система (или товарищ майор), обычно исследуется вручную. Но чаще всего никакого СОРМ у провайдера (особенно если это мелкий провайдер) нет. Всё ищется и находится рядовыми сотрудниками в базе данных с логами.



Как отслеживают торренты
torrents_1484213091-1024x512.jpg

Торрент-клиент и трекер, как правило, обмениваются данными по протоколу HTTP. Это открытый протокол, а значит, смотрите выше: просмотр трафика пользователя с помощью атаки MITM, анализ, расшифровка, блокировка с помощью DPI. Провайдер может исследовать очень много данных: когда стартовало или завершилось скачивание, когда стартовала раздача, какое количество трафика было роздано.

Сидеров найти труднее. Чаще всего в таких случаях специалисты сами становятся пирами. Зная IP-адрес сидера, пир может направить провайдеру уведомление с именем раздачи, её адресом, временем начала раздачи, собственно, IP-адресом сидера и т.д.

В России пока что это безопасно – все законы ограничивают возможности администрации трекеров и других распространителей пиратского контента, но не рядовых пользователей. Однако в некоторых европейских странах пользование торрентами чревато большими штрафами. Так что если едете за границу, не попадайтесь.



Что происходит, когда вы заходите на сайт
vrroph.jpg

Провайдер видит URL, который вы открыли, если анализирует содержимое пакетов, которые вам приходят. Сделать это можно, к примеру, с помощью MITM-атаки (атака “man-in-the-middle”, человек посередине).

Из содержимого пакетов можно получить историю поиска, проанализировать историю запросов, даже прочитать переписку и логины с паролями. Если, конечно, сайт использует для авторизации нешифрованное HTTP-соединение. К счастью, такое встречается всё реже.

Если сайт работает с HTTPS, тогда провайдер видит только IP-адрес сервера и имя домена, а также время подключения к нему и объём трафика. Остальные данные проходят в зашифрованном виде, и без приватного ключа расшифровать их невозможно.



Что насчёт MAC-адреса
kak-uznat-mak-adres-kompyutera-%E2%84%966.jpg

Ваш MAC-адрес провайдер видит в любом случае. Точнее, MAC-адрес устройства, которое подключается к его сети (а это может быть не компьютер, а роутер, например). Дело в том, что авторизация у многих провайдерах выполняется по логину, паролю и MAC-адресу.

Но MAC-адреса на многих роутерах можно подменять вручную. Да и на компьютерах MAC-адрес сетевого адаптера устанавливается вручную. Так что если сделать это до первой авторизации (или поменять позднее и попросить перепривязать аккаунт к новому MAC-адресу), истинный MAC-адрес провайдер видеть не будет.



Что происходит, если у вас включен VPN
what-is-vpn@2x-92c540058555604479f63c33e47638d7.png

Если вы используете VPN, то провайдер видит, что шифрованный трафик (с высоким коэффициентом энтропии) отправляется на определённый IP-адрес. Кроме того, он может узнать, что IP-адреса из этого диапазона продаются под VPN-сервисы.

Куда идёт трафик с VPN-сервиса, провайдер автоматически отследить не может. Но если сопоставить трафик абонента с трафиком любого сервера по временным меткам, можно выполнить дальнейшее отслеживание. Просто для этого нужны более сложные и дорогие технические решения. От скуки никто такое точно разрабатывать и использовать не будет.

Бывает, что внезапно VPN «отваливается» – такое может произойти в любой момент и в любой операционной системе. После того, как VPN прекратил работу, трафик автоматически начинает идти открыто, и провайдер может его анализировать.

Важно, что даже если анализ трафика показывает, что слишком большой объём пакетов постоянно идёт на IP-адрес, который потенциально может принадлежать VPN, вы ничего не нарушите. Пользоваться VPN в России не запрещено – запрещено предоставлять такие услуги для обхода сайтов из «чёрного списка» Роскомнадзора.



Что происходит, когда вы включаете Tor
onion_peeler_cyber_forensicator.jpg

Когда вы подключаетесь через Tor, провайдер также видит зашифрованный трафик. И расшифровать, что вы делаете в интернете в данный момент, он не сможет.

В отличие от VPN, где трафик обычно направляется на один и тот же сервер в течение большого промежутка времени, Tor автоматически меняет IP-адреса. Соответственно, провайдер может определить, что вы, вероятно, пользовались Tor, по шифрованному трафику и частой смене адресов, а затем отразить это в логах. Но по закону вам за это тоже ничего не будет.

При этом вашим IP-адресом в сети Tor кто-то может воспользоваться, только если вы сконфигурировали Exit Node в настройках.



А как насчёт режима «инкогнито»
rezhim_inkognito_1.jpg

Этот режим не поможет скрыть ваш трафик от провайдера. Он нужен, чтобы сделать вид, что вы не пользовались браузером.

В режиме «инкогнито» не сохраняются файлы cookie, данные сайтов и история просмотров. Однако ваши действия видят провайдер, системный администратор и веб-сайты, на которые вы заходите.



Но есть и хорошая новость
devushka-skelet-rentgen-chernyy.jpg

Провайдер знает о вас многое, если не всё. Однако бюджет мелких компаний не позволяет купить оборудование DPI, установить СОРМ или настроить эффективную систему мониторинга.

Если совершать легальные действия в интернете открыто, а для действий, предполагающих конфиденциальность, пользоваться VPN, Tor или другими средствами обеспечения анонимности, вероятность «попасть на карандаш» к провайдеру и спецслужбам минимальна.

Но 100% гарантию дают только 100% легальные действия!



Вся представленная информация несёт лишь ознакомительный характер и не призывает Вас к действиям нарушающих закон!
 

SuPro

Member
Сообщения
37
Реакции
22
Посетить сайт
А что скажете про создание собственного протокола сетевого или транспортного уровня с использованием шифрования трафика. поверх udp/tcp? и если у вас были случаи, когда создавались совершенно новые протоколы, которые использовались только под определенный клиент/сервер? допустим, идея создать с нуля на с++ протокол защищенной передачи данных транспортного и сетевого уровня, а уже под них и саму серверо-клиентскую часть - как автомат под патрон. Заранее спасибо
 
  • Like
Реакции: Anorali

jowusod

Member
Сообщения
37
Реакции
16
Посетить сайт
Хм, я всегда думал что тор помогает скрыть свой адрес от самого сайта, а не от провайдера. Провайдер же видит на какие сайты ты с ходишь
 

SuPro

Member
Сообщения
37
Реакции
22
Посетить сайт
Хм, я всегда думал что тор помогает скрыть свой адрес от самого сайта, а не от провайдера. Провайдер же видит на какие сайты ты с ходишь


Как красная тряпка для быка. При этом зная конкретный сайт, отравляют запрос, если он относится к странам СНГ, то отвечают в большинстве случаев добром. Хотя помнится, был один проект по выявлению трафика и пользователей даже в впн сети, vpnfilter назывался проект. Но тут еще стоит знать различия впн от тора, что впн - шифрует данные через какое-то количество узлов, а тор - многоузловая структура. И, как ни странно, именно впн и ненадежнее, т.к нужен надежный сервер, при этом тор казалось бы должен быть слаб, ведь там множество узлов, но в таком количестве трафик хорошо шифруется
 

jowusod

Member
Сообщения
37
Реакции
16
Посетить сайт
Как красная тряпка для быка. При этом зная конкретный сайт, отравляют запрос, если он относится к странам СНГ, то отвечают в большинстве случаев добром. Хотя помнится, был один проект по выявлению трафика и пользователей даже в впн сети, vpnfilter назывался проект. Но тут еще стоит знать различия впн от тора, что впн - шифрует данные через какое-то количество узлов, а тор - многоузловая структура. И, как ни странно, именно впн и ненадежнее, т.к нужен надежный сервер, при этом тор казалось бы должен быть слаб, ведь там множество узлов, но в таком количестве трафик хорошо шифруется
Ну это получается что получая информацию со стороны сайта что во столько то времени данный ресурс посещал человек с ip тора, можно сопоставить данные провайдера что какой то человек в это же время юзал тор и посещал данный сайт (это если провайдер видит какой сайт посещал пользователь с тора) то получается тут никакой анонимности нет. Такая телега будет работать если хост не находится на территории твоей страны и до него нельзя добраться. И опять же тут встает вопрос о передачи данных между странами в рамках борьбы с кибермошенничеством.
 

SuPro

Member
Сообщения
37
Реакции
22
Посетить сайт
Ну это получается что получая информацию со стороны сайта что во столько то времени данный ресурс посещал человек с ip тора, можно сопоставить данные провайдера что какой то человек в это же время юзал тор и посещал данный сайт (это если провайдер видит какой сайт посещал пользователь с тора) то получается тут никакой анонимности нет. Такая телега будет работать если хост не находится на территории твоей страны и до него нельзя добраться. И опять же тут встает вопрос о передачи данных между странами в рамках борьбы с кибермошенничеством.


Да, отсеивают и по времени помещения. А про сам проект всё проще выходило, чтобы узнать какой именно трафик подходит - просто фильтровали по зарезервированным портам. Вот и все: взял номера портов, временные рамки и сайт и все, звонки в дверь)
 

SuPro

Member
Сообщения
37
Реакции
22
Посетить сайт
Ну это получается что получая информацию со стороны сайта что во столько то времени данный ресурс посещал человек с ip тора, можно сопоставить данные провайдера что какой то человек в это же время юзал тор и посещал данный сайт (это если провайдер видит какой сайт посещал пользователь с тора) то получается тут никакой анонимности нет. Такая телега будет работать если хост не находится на территории твоей страны и до него нельзя добраться. И опять же тут встает вопрос о передачи данных между странами в рамках борьбы с кибермошенничеством.


Не знаю что насчёт провайдера, по идее СОРМ вообще главный дата-центр находится у ФСБ. Мол опер звонит к провайдеру и просит инфу об определенном человеке, оттуда уже и mac адрес роутера. Хотя по факту провайдер сам не имеет права просматривать трафик. А какой сайт именно просматривался - оно итак видно будет, т.к конечный узел как правило и является обработчиком запросов..

Адрес роутера изменять бесполезно - он все равно уникальный. Есть только два варианта:
1- общественная сеть с подменой mac-адреса устройства.
2 - заходить под чужой точкой доступа, но при этом есть шанс спалить трафик, если не шифровать. Или можно создать отдельную vlan сеть и с нее вести действия.

А что по поводу бекенда:
1. Как по мне, чтобы только скрыть истинный адрес сервера, можно в качестве него поставить крайний узел-переадресат, который просто играет роль подмены адресов.
2. Опять же пользоваться фиктивными временными серверами, находясь в бегах все время. Это опаснее, но таким образом можно менять статистику о своих действиях
 
A

akaBest

Не знаю что насчёт провайдера, по идее СОРМ вообще главный дата-центр находится у ФСБ. Мол опер звонит к провайдеру и просит инфу об определенном человеке, оттуда уже и mac адрес роутера. Хотя по факту провайдер сам не имеет права просматривать трафик. А какой сайт именно просматривался - оно итак видно будет, т.к конечный узел как правило и является обработчиком запросов..

Адрес роутера изменять бесполезно - он все равно уникальный. Есть только два варианта:
1- общественная сеть с подменой mac-адреса устройства.
2 - заходить под чужой точкой доступа, но при этом есть шанс спалить трафик, если не шифровать. Или можно создать отдельную vlan сеть и с нее вести действия.

А что по поводу бекенда:
1. Как по мне, чтобы только скрыть истинный адрес сервера, можно в качестве него поставить крайний узел-переадресат, который просто играет роль подмены адресов.
2. Опять же пользоваться фиктивными временными серверами, находясь в бегах все время. Это опаснее, но таким образом можно менять статистику о своих действиях
А на Андроиде можно организовать подмену мака устройства?
 
Название темы
Автор Заголовок Раздел Ответы Дата
Emilio_Gaviriya Статья Конфигурация Kubernetes: Что это такое и зачем она нужна? Настройка системы для работы 0
Emilio_Gaviriya Статья Что такое шифрование с открытым ключом. Анонимность и приватность 0
Emilio_Gaviriya Статья Что такое Kerberos. Уязвимости и взлом 0
Emilio_Gaviriya Статья Что такое Burp Suite. Уязвимости и взлом 0
Emilio_Gaviriya Статья Что такое OWASP Top Ten и с чем его едят. Уязвимости и взлом 0
Emilio_Gaviriya Статья Что такое OPSEC? Уязвимости и взлом 0
Emilio_Gaviriya Статья Что такое SQL-инъекции (ч.1). Уязвимости и взлом 0
Emilio_Gaviriya Интересно Что такое Pig. Другие ЯП 0
Emilio_Gaviriya Статья Что такое PKI. Анонимность и приватность 0
Emilio_Gaviriya Статья Что такое Malware-as-a-Service. Вирусология 0
Emilio_Gaviriya Статья Что такое DLP и с чем его едят? Уязвимости и взлом 0
DOMINUS Интересно Причины избегать общественного Wi-Fi - Что может случиться? Полезные статьи 0
D Что такое juice jacking? Уязвимости и взлом 1
GhosTM@n Интересно Что такое сканирование уязвимостей ? Уязвимости и взлом 0
GhosTM@n Интересно Что такое пентест и типы? Уязвимости и взлом 0
GhosTM@n Интересно Что такое Wazuh? Для чего его используют? Уязвимости и взлом 0
H Защита Linux-сервера. Что сделать в первую очередь Корзина 0
Eteriass Интересно Что такое koadic и почему не metasploit? Уязвимости и взлом 7
L Интересно Три сценария: Что будет с биткоином после халвинга? Новости в сети 0
Admin Что такое WiFi Pineapple и как его используют для беспроводного перехвата WiFi/Wardriving/Bluejacking 4
andre5787 Что можно сделать когда есть доступ к удаленному роутеру? Вопросы и интересы 5
V В России вступил в силу закон о суверенном интернете. Что изменилось? Новости в сети 0
H Что делать с 400к доками , кто их покупает ? Свободное общение и флейм 3
B Что делать если заблокировали киви Полезные статьи 1
A Что нового в Python 3.8? Полезные статьи 0
A Что помогает предотвратить межсайтовый скриптинг? Уязвимости и взлом 0
A Что такое снифферы? Полезные статьи 0
A Что такое анализ данных? Полезные статьи 0
A Что такое хук в Git Другие ЯП 0
P Что можно сделать ,зная IP человека Полезные статьи 4
G Что такое DNS атака и как она работает? Полезные статьи 0
K Что такое фишинг. Тактики и инструменты. Уязвимости и взлом 0
M MYR Dump Забугор Что бы не делать миллион тем) Раздача email 8
A Что такое ip Полезные статьи 0
W Что можно сделать с сканом паспорта ? Полезные статьи 26
K Что такое Darkweb? Полезные статьи 3
H Что нельзя хранить на жестком диске компьютера в России Новости в сети 0
K Что делать в первую очередь при завладении чужого ПК Полезные статьи 1
I Что делать с дропом? Вопросы и интересы 6
K Что можно сделать с этими вещями? Вопросы и интересы 0
K Что за форум ccc.mn не кидалово? Black list и Разборки 5
D Что знает администрация vk.com Вопросы и интересы 8
Admin Что такое HTTPS ? Не такой уж и секьюред HTTPS Полезные статьи 0
Admin Что делать, если ты в федеральном розыске. Свободное общение и флейм 8
farhad.tiger Что делать если уже поймали? Полезные статьи 17
lampeduza Продам Продам базу для привлечения траффика $ в ваш проект. Куплю/Продам 0
M Пробив от секретной службы Mossad (ПРОБИВ по всем структурам, комплексные решения под ваш запрос) Корзина 0
D Dumps-base.com - ваш идеальный выбор. Всё в одном месте! Свободное общение и флейм 5
T Куплю [Ищу трафик] Монетизируем ваш трафик на наших офферах. Куплю/Продам 0
G Куплю ⭐️Выкуплю ваш крипта-траффик на инсталы страны микс⭐️ Куплю/Продам 1

Название темы