По сведениям издания "Коммерсант" ФСБ, Минкомсвязь и Минпромторг РФ приступили к обсуждению возможности массового внедрения в сети провайдеров систем глубокого инспектирования пакетов (DPI), способных анализировать содержимое сеансов HTTPS. В качестве наиболее реалистичной схемы компрометации HTTPS называется вклинивание в канал связи по образу MITM-атак, при которых на стороне оператора создаётся прозрачный прокси, который при установке HTTPS-соединения притворяется для клиента целевым сайтом, транслируя обращения к этому сайту и подменяя реальный сертификат сайта на фиктивный сертификат.Для того чтобы скрыть подмену сертификата от браузеров, которые при получении ответа с фиктивным сертификатом выведут предупреждение о небезопасном соединении, предлагается использовать промежуточные сертификаты от специально созданного отечественного удостоверяющего центра. Для того чтобы схема заработала требуется добавить корневой сертификат данного удостоверяющего центра в хранилище сертификатов системы и браузера клиента. Каким образом планируется добиться добавления сертификата на конечные системы пользователей не сообщается. Производители браузеров никогда не одобрят включение подобного удостоверяющего центра в состав своих хранилищ сертификатов. Кроме того, повсеместное проведение MITM-атак подразумевает применение не привязанного к конкретным доменам универсального сертификата, который в случае массового внедрения подобных DPI-систем, может быть извлечён из оборудования, попасть не в те руки и использован в деятельности злоумышленников.Приехали
бамп и вот еще набор букав на эту темуhttps://news.mail.ru/politics/27185195/?frommail=1аноны, что скажете? в гейропе и других цивилизациях слежка за всем и каждым уже есть. мы их догоняем лишь. однако, сук, банить порнхаб - что за ебала, блеать? следить - следите. банить нахуя? кретины ебучие. инквизиция хуева. запретами людей не отчистишь. только запугаешь. и все опять уйдет в подполье. нахуй надо им это? больше бюджетных денег грести за слежку за подпольными? было, сука, все открыто. следи - не хочу. нет, блеать, цензурщики ебаные подъехали. долбоебы загнобленые, блеать. ушел курить бамбук.
>>1855765В каких еще государствах существует MITM на гос уровне? Напомни, плиз
>>1855767Во всех, все выпущенные сертификаты выпускаются спецслужбами США.
>>1855775Ватные пердофантазии пидорахена, не более.
>>1855767Казахия
>>1855897
>>1855765>сук, банить порнхаб - что за ебала, блеать?Потомк что они могут, а одно из условий, на которых Сатана дал им власть над Россией - причинять бессмысленные страдания подданым.
>>1855761 (OP)Похуй. Сменю VPN на VPS и перекачусь на какое-нибудь хитрое туннелирование.
>>1855897Нет. Отказались, т.к. слишком дорого.
>>1855912Шифрованый траффик запретили. Твои действия?
>>1855914Те же самые, только добавлю еще анти-темпер, дабы по энтропии не палилось.
>>1855914Ты сначала мне ответь на великий вопрос софтача - как определишь шифрованный это траффик или просто кусок протокола какой-нибудь онлайн-игрули?
>>1855917>как определишь шифрованный это траффик или просто кусок протокола какой-нибудь онлайн-игрули?Ну хуй знает. Китайцы как-то определяют.
>>1855765> в гейропе и других цивилизациях слежка за всем и каждым уже есть. мы их догоняем лишьИ? Тебе напомнить чем занимались наши спецслужбы последние 100 лет?
>>1855920> 100 лет? как будто раньше они чем то другим занимались...
>>1855918Ты вот лично работал в GFW? Зачем тогда пиздишь? Китайцы, даже они, пока что максимум что сделали - паттерн по портам+самым известным ВПН-провайдерам. В купе с обычным проксиком, политпропагандой и развитыми внутренними ресурсами это даёт тот самый ГолденШилд. Читай - среднестатистическому китайту просто нахуй не нужен буржуин.нетА тот самый страшный и ужасный КОННЕКШЕН-ПРОБА (котором всякие валдиксы тут пугали таких как ты) - говно и работает по белому списку. Так как работа по чёрному - гарантированный пиздец внешнему каналу.Шифрованный траффик от нешифрованного-спец протокала отличить можно на больших объёмах данных в лабораторных условиях. Да и то, если заранее знать что искать и с вероятностным результатм (аля с 89% точностью мы можем предположить что это шифрованный траффик).
>>1855922Досточтоно просто шифровать содержимое пакетов изотерическим алгоритмом.
>>1855936>изотерическим>иЧот я лошара.
>>1855913> слишком дорогоНИЧЕ, ПОДНИМЕМ НДС
>>1855937Изоморфным тогда уж сразу, лол.
>>1855922> максимум что сделали — паттерн по портам+самым известным ВПН-провайдерамНо всё-таки интересно, нельзя ли различить подрубившегося к консольке админа и чувака, что тянет BD через ssh-туннель? Ведь у первого килобайты траффика — что натурально для ссх, а у второго гигабайты.Ну и всякая подобная хрень.
>>1855914Спутниковый доступ, маня.
>>1856187>подразумевая, что после введения чебурнета кто-то продаст пидорахе ресивер
>>1856201Через хохланд контрабандой ввози, маня, и всех делов. Хуле ты как маленький.
>>1855917А зачем мне это?я белые списки инет узлов создам
>>1855918Да, только китайцы сидят через VPN-ы и в хуй не дуют. Лично давал другу свой VPN пока он в Кетае учился.
>>1856205Что только не придумают, лишь бы не уезжать из рашки.
>>1856274Почему ты еще не уехал?
>>1856277Потому что невозможно уехать оттуда, где никогда не был.
>>1855910Какие же вы ущербы, епта
сажи долбоебам
Ну вы поняли, да?
Российский УЦ выпускает фейковый сертификат > Весь трафик роутится через этот сертификат (пока он является доверенным) > Гугл, Microsoft, Firefox, Opera, etc. палят MITM от ФСБ и выносят сертификат из доверенных > В Рашке перестают работать браузеры потому что автоматическая подмена сертификата на "небезопасный" = Алерт хрома который не обойти
>>1856386Но есть же Яндекс браузер, амиго и нихром?
>>1856386 В хроме можно вручную добавить любой сертификат как доверенный, что и предлагал делать Казахтелеком казахстанцам при введении "государственного сертификата" (MITM)
obfs4.
>>1856050По каким критериям ты будешь определять, что это подключение именно SSH, а не шифрованный торрент трафик через TCP? Или перевесить sshd на нестандартный порт проблема?> Ведь у первого килобайты траффика — что натурально для ссх, а у второго гигабайтыВо-первых, сперва надо удостовериться, что это соединение именно ssh, а не вторая линейка например.Во-вторых, я на сервера образы виртуалок заливаю с локалхоста. Это тоже порой гигабайты. И они характерны для ssh в моём кейсе. Всех админов сразу в ГУЛАГ?В том и суть, что атаки и прочии вбросы (про то, что отследят по поведенческим паттернам и всё такое) - происходят от лаборантов и прочих иследователей в лабораторных условиях. Что атаки пересечением, что сибил, что тайминг атаки. Все они требует контроля на всех узлах сети и большие объёмы анализируемых данных. И дают, как я уже говорил, вероятностный результат.Поэтому и существует СОРМ. Так как он позволяет вычленить из общего частное и смотреть на его поведение. Но сперва надо засветиться в чём-то, чтобы тебя начили слушать.Поэтому все нормальные параноики (подкованные в вопросе) и говорят - анонимность это комплексное решение, а не волшебная программа/протокол/ОС. К примеру:Если ты один единственный хуй (в доме номер 15-ть в Мухосранском переулке) который с 19:00 до 23:00 подключается к айпи 5.5.5.5 и передаёт суммарно 20Гб+ белиберды через единственное подключение, то да - ты подозрителен (ну если мы дошли до запрета шифрования и прочего ада) и к тебе можно придти с обыском в кирзовых сапогах. А если ещё и коммуникатор с имэем был задетектирован в "киберпунк" баре и на той же Мухосранская 15-ть, то ты почти гарантированно получишь сеанс терморектального криптоанализа.Сумбурно, но думаю суть я передал.>>1856209Это уже КНДР/Куба. К вопросу про то, как отличить шифрованный траффик от кастомного протокола, отношение не имеет. Проблема же создания нечто подобного (интранета) только в том, что КНДР маленькая и идеологичная (скажем так), а Россия большая и состоит из похуистов. То есть тут физически замутить интранет уровня Сев.Кореи проблема.
Ну вы поняли.Ожидаем наплыв в торе.
>>1856559Но ТОР уёбищен по своей архитектуре изначально.Только меш! Только ш2з! Только хардкор!
>>1856386А зачем Вам интернет?! Там же одни экстремисты и порнография с рисованными детьми! Мне так Мизулина сказала и глава ФСБ. Давайте просто заварите Доширак и включите Первый канал?
>>1856635>заварите ДоширакДа у пидорашек даже на него уже денег нет.
Ору с местных идиотов. Что вы, блять, несете? Если будет митм на гос. уровне = пизда всем внешним каналам, а значит пизда всему. Быдло не сможет выкладывать фоточки в инстаграм, дрочить хуй по скайпу на вебку и т.д. Похуй на то что вы там в браузере установите.
>>1856647Не говоря уже про коммерческие операции между руSSкими филиалами зарубежных контор или тупо банковскими операциями клиентов.
>>1856641Найс проекции из окраины живущей в долг на фоне обновленных тарифов.
Ребята, митм это вы будете думать что сидите на дваче но это не двач, а только копия копии копии... и в этой копии внимательный чекист. Даже сейчас, возможно, этот сайт уже не двач...
Любой, кто находится посередине, может оказаться на конце
>>1856557> всех админов в ГУЛАГ?Всех админов на карандаш, как химиков например.
>>1856557>По каким критериям ты будешь определять, что это подключение именно SSHПо соответствию пакетов протоколу SSH. Ты как маленький, честное слово.мимокрок
>>1856885Дваждую, заголовок-то открыт, иначе и сервер не мог бы понять что это за хуйня.
>>1856557https://tools.ietf.org/html/rfc4253#page-7
>>1856958Кстати нет, не открыт. Но вот пруфец, что поймав начало сессии можно палить, что это ссх.
>>1856970Это не пруфец, баннер можно менять, в том числе, на что-нибудь вроде «GET / HTTP/1.0».Вот это >>1856965 пруфец.
>>1856978Ок, пойду плакать в уголок, что мне не интересно тонны RFC на досуге копать.Так и не понял что в седьмой странице показывает возможность детекта. В глаза ебусь, вестимо.
>>1856986Или имелось в виду что BPP нигде больше, кроме ssh не используется и никогда не будет?
>>1856970>>1856978>>1856989http://link.springer.com/chapter/10.1007%2F978-3-642-01399-7_15
>>1857035И еще в догонкуhttps://pdfs.semanticscholar.org/68fa/64ad7c111f70cf28b0589e3690568896eac7.pdf
>>1856747В советской современной России двач капчует тебя!
NTCN
>>1856747Это не Двач, Двач утонул в 2009-м.
Bump.