Comments 140
Спорить не буду т.к. не специалист, но основы криптографии подсказывают мне, что если я провайдер канала и ключи передаются в этом же канале, то я могу расшифровать все без проблем.
да я и сам несколько далек от криптографии, но закрытый ключ сервера нигде никуда никогда не передается, а если подписать аналог сертификата (на тот же домен) — так броузер сразу орать будет.
Товарищи подсказывают: То что отправляется клиентом на сервер шифруется открытым ключем и никем кроме сервера (при помощи закрытого ключа) прочитаться не может. А вот обратный траффик (просмотр страниц почты) очень даже читается.
Товарищи подпортили вам карму. Дайте им хоть коменты почитать, если они Википедию не могут.
https — для этого и нужен, что бы к примеру спокойно использовать wi-fi в кафешке и не думать что твои данные со страниц уже известны этому поставщику беспроводного интернета.
ну есть известный способ внедрения в шифрованный канал с ключами.
клиент <---> сканер <---> сервер
при попытке клиента(сервера) передать публичный ключ на противоположную сторону, ключ перехватывается сканером, генерируется новая пара ключей, и из этой пары публичный отправляется в пункт назначения.
таким образом сканер расшифровывает все, что надо (ибо у него есть свой приватный ключ для расшифровки), потом шифрует все ключом, полученным ранее от клиента(сервера) и отправляет дальше.
Все просто. Основная сложность — перехватывать трафик. А самое доступное для перехвата и подмены ключей место — это любой шлюз(в данном случае, принадлежащий провайдеру) ;)
Ничего не получится. Браузер проверяет сертификат сервера. Сгенерированный злоумышленником ключ браузер просто не примет.
все круто, только сколько сайтов использует у нас самоподписанные сертификаты и какое количество пользователей жмет кнопку accept, не задумываясь? хотя свежий firefox и затрудняет это, насколько может :)
Для защиты от этого в вашем браузере установлены сертификаты корневых центров сертификации с помощью, которых подписываются другие HTTPS сертификаты. Сертификат-то подменить можно, но бразер будет продолжать материться.
Причем тут ключи? HTTPs использует ассиметричные алгоритмы. Можно MitMом, но не всегда.
Ну ващета вся эта муть с ассиметрией была затеяна для того, что бы это как раз было проблемой (%
Если все это действительно правда то могу посоветовать поставить VPN туннель с шифрованием на компьютер вне сети этого провайдера и гонять трафик через него, ну и можно еще после vpn через цепочку проверенных socks прокси чтобы совсем анонимно было
Конечно, только я соглашусь использовать этот канал, после того как мой браузер будет безобразно материться.
Проблематично, но можно. Man-in-the-middle. На пальцах — отловить обмен ключами, замаскироваться для клиента под сервер, а для сервера под клиента и проксировать. Но если у сервера сертификат — тогда ой :)
Это Вы про СОРМ тут ужасы рассказываете? Ничего страшного в этом нет, расслабьтесь.
Какой там СОРМ! Железо установила компания для коммерческих нужд!
Тогда бред. Никто из провайдеров в здравом уме себе могилу ко штуку такую ставить не будет.
Ну как бы если вы это знаете достоверно — то смотрите внимательно договор и если, там не написано, что вы согласны на сбор, анализ и продажу вашего трафика (информации о нем) третьим лицам — то смело можно идти в суд.

Но я почти уверен, что вы стали жертвой «испорченного телефона», и ставили ФСБ-шники свое железо.

Кстати коммерческая эффективность продажи такой базы вызывает у меня большие сомнения.
Мне не уборщица рассказывала, а несколько сотрудников, один из которых менеджер среднего звена, а второй инженер + те, кто железякой владеет. Лично у меня сомнений сей факт не вызывает.

Про СОРМ слышал и насколько я знаю, оно тоже там стоит. Еще знаю, что это не железка а программа + выделенный сервер.

В суд не пойду, потому что а) в суды не верю б) меня пока это не задело никак. Т.е. я переживаю конечно, но не настолько, чтобы шум поднимать.
Значит это оговорено в договоре или это незаконно =) Хотя мне тоже кажется что это всего лишь СОРМ =)
UFO landed and left these words here
Ой, это бред. У провайдеров ставят только СОРМ, и то не все, ибо дорогое удовольствие.
Господа, пользователь Zhikharevслышал звон, да не знает где он. Особенно смешно читать про мониторинг почты, https и прочее. Никогда не было и не будет.
UFO landed and left these words here
UFO landed and left these words here
> Особенно смешно читать про мониторинг почты, https и прочее. Никогда не было и не будет.

а) Топ-менеджеров всегда беспокоила прибыль, а не privacy клиентов.
б) Собираются какие-то личные сведения или нет, я не утверждал, а только написал что это вполне возможно.
гм, если Вы про этого провайдера (в профиле у Majestic12), то у них действительно есть отдельные сервера через которые проходит клиентский трафик. Но это у них бюджетное решение для шейпинга трафика — дешевый сервер с FreeBSD + ipfw + pf, на который с маршрутизаторов заворачивается трафик и режется скорость, никакого логгирования, а тем более анализа контента там не проводится.
UFO landed and left these words here
Никогда не понимал, как можно такие потоки данных хранить… или оно не хранит, а контрольне по конкретным пользователямю?
UFO landed and left these words here
Не кажеться ли что это мягко говоря параноидально? Прибыль провайдера держиться на количественных и радостных характеристиках клиентской базы — забивать таким способом самому себе гвозди в крышку гроба ниразу не дальновидно.
для того чтобы добровольно нарушать пункт договора присутствующий практически у всех провайдеров «о неразглашении», и не понимать чем это окончиться нужно быть крайне идионедальновидным
UFO landed and left these words here
Это простая логика. Ставить такое железо к одному оператору не имеет смысла. Нужно ставить ко всем. Иначе продавать траффик не получится.
>Сам неодноократно замечал свои ключевые слова в контекстных объявлениях в течение длительного времени.

Называется смешались вместе кони, люди )))
Почистите куки и чудесным образом все пройдет.
Мне кажется что у разных браузеров куки отдельно хранятся. И если что-то ищешь в одном, а потом тебе это подсовывают в другом, то это не куки и не совпадение.
А если разлогиниться из гмейла и яндекса и почистить куки то точно пройдет ;)
Человек, который пишет такие параноидальные посты никогда не ставит галку «сохранить пароль» и про очистку кук тоже знает.
Это делается со стороны самих баннеров. Пришел ты на страничку с поиска, у тебя в рефереер будет поисковый запрос в параметре. А скрипт баннерокрутилки эти ключслова к себе и записывает про тебя.
А зачем ставить какую-то железяку, если вся инфа о ваших запросах и интересах и так великолепно сливается при помощи скриптов? А десятки миллионов пользовательских писем читать малоинтересно.
Многоинтересно составлять портреты пользователя в течении длительного времени, по множеству сайтов. Чтобы собирать это скриптами надо сначала эти скрипты на все сайты поставить, в т.ч. в гуглепочту.
А потом — ррраз! И продать конкретно вам что-нибудь ненужное, да?
Скрипты баннерокрутилок стоят много где. А гугл сам на тебя профиль собирает. И сам объявления по твоему профилю подсовывает на сайты.
У меня контекстная реклама (не гугловская) почти всегда показывает то что я искал недавно в гугле. Провайдер Воля Кабель, Киев. Точно не троян, так как симптомы продолжились и на свежекупленном маке.
А вы сбросьте куки и посмотрите, чья конкретно приведёт к исчезновению нацеленной на вас рекламы.
Провайдер для своих нужд может снимать метрики с netflow для того, чтоб, например: доказать, что абюз который пришел не фейк и что с клиентского сервера действительно открывалось соединение на ремоут smtp.
То что за вами следят — то либо СОРМ либо ПАРАНОЯ.
Для описаной вами монетизации используются совсем другой мнешь затратный механизм — например Gemius.
> Для описаной вами монетизации используются совсем другой мнешь затратный механизм — например Gemius.
Напишите статью. Я думаю всем будет интересно.
Ну я со стороны провайдера выскажусь.
1. Это очень тяжело в технологическом плане. Я имею ввиду мониторить полностью поток, а не выборочно. Для выборочного мониторинга есть СОРМ, и оно действительно стоит у большинства провайдеров.
2. Кому это продать? Спамеров погонят сцанными тряпками. Ну если только сам пров не спамер, что очень маловероятно.
3. Никому пачкаться не хочется. Вопрос privacy, конечно, в нашей стране не стоит остро, но всё-таки. Мир ведь, знаете, тесен. Если такое появится у кого-либо, то очень скоро об этом будет знать группа более, чем из одного человека. А там и до всего мира недалеко.
>Сам неодноократно замечал свои ключевые слова в контекстных объявлениях

ну вообще то не секрет что информацию о поисковых запросах и FF и опера сливают гуглу, а при наличии бара и яндексу, я уже давно перестал удивляться, что объявления подходят моим поисковым запросам.
Интересно. Дадите пруфлинк на тему «FF сливает запросы в гугл»?
Или вы имеете в виду что сам Гугл ведёт статистику пользовательских запросов?
Самое простое: LiveHttpHeaders поставьте- плагин к firefox.
И посмотрите: яндес.бар и google.bar мониторят каждый ваш запрос.
Может провайдер еще и мысли читает? Мне уже самому инетерсно как они ломают весь https.
Просто автор понятия не имеет о чем говорит. Сказками кормит публику для повышения своего рейтинга.
Зависть тоже дело не благородное ;-)

Прошу указать на неточности в тексте. Я исправлю.
Вы просто упомянули о httpS.
Если-бы его вот просто было-бы мониторить, то плохие провайдеры тупо снимали бы деньги с кредитных карточек, а не пытались заработать на спаме.
В общем, ерунду сморозили про httpS.
ожидаем завтра поста про прослушку «злыми провайдерами» ipsec-ов с триплдесами
А я на работе предлогал поставить железку, и пустить через неё весть трафик клиентов, что б например в объявлениях Google adsense ID подменять на свой :) Посидели, поржали над идеей.
Встречал вирусы, которые так и делают на заражённых компьютерах.
То на отдельной машине, а это весь трафик провайдера :) Размах вона какой )
У некоторых вирусов размах такой, что провайдеры отдыхают :)
Это сладкое слово — паранойя. Если за мной следят, значит — я хоть кому-то нужен.
ЗЫ Разочарую — следить за хомячками дорого, неэффективно и на х*** никому не нужно.
> Если за мной следят, значит — я хоть кому-то нужен.
Это предложение точно для хомячков, оно лишнее. Высмеивая кого-то, вы заставляете усомнится в ваших словах.
С какой стати оно лишнее? Оно — ключевое. Питательной основой для паранойи хомячков является Чувство Собственной Важности. Об этом выше я и написал.
Для любителей цитировать мемы, троллить, и постить офтоп давно пора создать блог «Я идиот».
Почему Все? Читайте то, что написано, неужели так трудно?
А я на работе предлогал поставить железку, и пустить через неё весть трафик клиентов, что б например в объявлениях Google adsense ID подменять на свой :) Посидели, поржали над идеей.
Вроде бы эта железка ставится для того чтобы «большой брат» в случае чего мог найти нужного юзера. Знаю что на Украине обязали всех провайдеров своими силами организовать такую систему… чтоб логи хранились итд.
Логи и так давно хранятся. За несколько лет, на болванках (!). Помимо всего прочего. Но тут переживать не стоит. Никому еще не разу не пришлось их извлекать. И вполне возможно что никто и не знает как ;-)
Вот так начинается параноя =)
А если серьёзно, то контекст так и так придётся смотреть, так что не страшно будет, если он будет полностью под вас (может даже что то интересное будет), а спам, от него не убежишь =)
Проблема «паранойи» в том, что многие ее путают с здоровой/правильной осторожностью. Как правило это те, кого сумели напугать ярлыком «паранойя» и теперь боится быть быть высмеянным.
А что вы сделаете со своей осторожностью? Придёте в офис и потребуете не мониторить ваш траф? О да, вас послушают.
Пора это как должное принимать.
Ну вот с этого вопроса и стоило начинать, а не путать сюда психическое заболевание :) Такие топики и направлены на поиск решений и, в первую очередь, ответов на вопрос «так ли это опасно для нас?»
Единственное решение для дешифрации https трафика на лету, которое я встречал — использование технологии MITM, на специфическом прокси сервере. На клиентских машинах добавлен сертификат этого прокси сервера в доверенные корневые центры сертификации.
Единственное решение для дешифрации https трафика на лету, которое я встречал — использование технологии MITM, на специфическом прокси сервере. На клиентских машинах добавлен сертификат этого прокси сервера в доверенные корневые центры сертификации.
Если у вас есть возможность впихнуть клиенту корневой сертификат, то проще уж сразу кейлоггер поставить.
Ну хоть один здравомыслящий преступник :D

Действительно, зачем так палиться и ставить целую железяку, если можно в любую страницу вставить, то что хочется, на лету.
А там уже хоть боты, хоть кейлоггеры, хоть кликеры…
А что за «штука» которая мониторит трафик друзья не сказали? Как производитель, модель?
А целом согласен с комментатором выше следить за хомячками дорого и неэффективно.
Про https я конечно погорячился. Люди как-то болезненно на предположения реагируют. А ссылку на описание у Majestic12 попросите.
Как то желтовато.

По факту, провайдер может полностью, без каких либо проблем, анализировать любой не шифрованный трафик (а это ваша и почта, и ваши запросы в гугл и аська и многое многое другое, вопрос только денежных вложений на анализатор). Мало того, практически все то же самое можно делать с любого узла в вашей локальной сети, если конечно в ней нет умных свичей/маршрутизаторов, разделяющих узлы например по вланам (все ли провайдеры ставят дорогие железки на последней миле?).

Взлом https сложнее, легко анализировать трафик можно (на сколько я знаю), если у провайдера стоит https-прокси а браузер настроен на автоконфигурирование, иначе только атаки вида man-in-the-middle, подменяющие сертификаты и работающие только при невнимательности и необразованности пользователя (что вообще то типично и логично, никто не обучал, негде научиться).

Конечно 128битный ключи (по мнению wiki, в https используются максимум именно 128бит, а для старых версий ie и то всего 40) может и считаются сильными (имхо ошибочно), но те же ключи 40бит взламываются на простых десктопных машинках за считанные сутки, а уж если привлечь сюда спец-оборудование, то и быстрее. Тем более нет необходимость ломать сразу на стороне провайдера, там проще установить сборщик дампов (не всех а только того, что интересно), а уже у 'заинтересованного лица' может стоять и кластерок на пару другую петафлопс. Так что выглядит это очень реально, но имхо терморектальный криптоанализ значительно дешевле, проще и надежнее.

P.S. Все равно, лучше перестраховаться, и запутывать 'злоумышленника' многократным каскадным прокси и vpn, причем желательно у недопровайдеров домосеток и новых на рынке, к которым еще не успели поставить подобное оборудование. А еще можно и на миниботнет потратиться для собственной прокси.
я хочу лишь напомнить, что взломать 128 битный ключ не в три раза сложнее, а в 2^88 раз сложнее, чем 40-битный, поэтому коммерческий «кластерок на пару другую петафлопс» — это из области фантастики «Цифровой крепости»
легко анализировать трафик можно (на сколько я знаю), если у провайдера стоит https-прокси а браузер настроен на автоконфигурирование

Откуда дровишки?
Ну а юзверям не пофиг? А если вы там делаете че нибудь такое что стоит скрывать и боитесь, то арендуйте себе VPN сервак баксов за 10-15 в месяц и спите, вернее ходите спокойно :)
У вас паранойя. Нормальный провайдер информацию о своих пользователях держит в тайне. Это конфиденциально…
Осталось засудить установщиков этой железки за тайну переписки и нарушение личной жизни.
я даже незнаю какой производительности должна быть эта «железка» чтобы анализировать трафик на прикладном уровне модели OSI потоком в 40Гб/с скажем… уж увольте…
Вообще-то, если речь идет о контекстной рекламе, а не о спаме, то никто никуда ничего не ставит.
Яша помнит последние ваши запросы и подставляет вам контекст, которым вы интересовались — вот и вся наука. Гугл-Адсенс работает по той же схеме.

А продавать информацию о пользователе спаммерам — это верх идиотизма. Рисковать всем ради каких-то копеек? Ну-ну.
единственное где я вижу объявления — это строчка над списком писем в gmail, остальное все-все-все прекрасно режется…
кстати, открою секрет — эту строчку можно отключить в настройках gmail
Как верно заметили выше, почему бы не монетизироваться способом попроще — воруя номера кредиток, которые доверчивые пользователи вовсю гоняют через https при любой покупке в интернет-магазине?
в этой стране фсб ставит такие коробки провайдерам — где-то 2 процента трафика отправляются на анализ и никакой монетизации.
К примеру Kaspersky может проверять трафик по SSL протоколу.
Для проверки зашифрованных соединений продукт Лаборатории Касперского версии 2009 подменяет запрашиваемый сертификат безопасности самоподписанным сертификатом.

support.kaspersky.ru/faq/?qid=208636006

Так что влезть можно, но пользователь это заметит.
Знакомая ситуация!

Несколько лет назад, у меня была потребность сделать беспроводную сеть с доступом в Интернет на своем районе.
Соответственно, для доступа к широкому каналу, к примеру, «Укртелекома», мне поставили условия, как провайдеру:
1. Кроме моего серверного оборудования, использовать специальное оборудование, которое анализирует трафик (это нужно для СБУ), и стоимость этого оборудования начислялась в пределах 2500-2700 у.е.
2. Или использовать только ихнее оборудование с ихними медленными серверами, которые стоят немерено, так еще и за установку ОС и ПО (только их специалист имеет право!) берут немало денег.

Я решил, пойти альтернативным путем, и сделал беспроводную сеть с доступом в Интернет сам:
1. Договорился за 7 аккаунтов 4-8МБит ADSL у разных людей (за % от прибыли).
2. Мне помогли установить серверное ПО, биллинг, настроили распределения нагрузки и т.д.
Не прошла и неделя… приехали 4 мужика с «УкрЧастотНадзора» и СБУ (при себе Ордер на демонтаж оборудования и инструменты для демонтажа вышки (30м.), проводов (1м=5у.е.), антенн (~75у.е.), точек доступа (~250у.е.)) и хотели оштрафовать за то, что я мешаю своими волнами другим провайдерам и собственно Службе Безопасности Украины. Я при них все отключил, подписал акт, и отправил их подальше.
Оказывается, кроме спец оборудования, нужно было еще и лицензию на WiFi сигнал иметь около 400 у.е. в месяц…
На то время я студент… имел доступ к дешевому сетевому оборудованию, но не имел свободных 400 у.е. на лицензию, и 2500у.е. на спец оборуд., так как прибыль с этой затеи всего-то 600-900 грн в месяц (на 20-30 клиентах).

Вывод: Служба Безопасности, для поиска преступников, ставит свое спец. оборуд. всем провайдерам.
Но, наверное, полученной информацией может распоряжаться как пожелает…
Кто вам мешал изучить законодательную базу перед тем как что-либо делать?
www.google.com.ua/search?hl=ru&q=wifi+%D0%BB%D0%B8%D1%86%D0%B5%D0%BD%D0%B7%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&meta=cr%3DcountryUA

По теме топика — как было указано, затраты на оборудование для анализа трафика в несколько Гб/с превысят любые прибыли от «монетизации».
Пока молодой и горишь желанием что-то делать, то кажется, что море по колено… надеешься на удачу,
а когда сталкиваешься с условиями законодательства, начинаешь понимать какой суровый Мир, и какие нужно иметь связи, что бы иметь прибыль работая провайдером. Вот на этой точке и приходит большой конец маленьким желаниям.
Не надо было органам про сеть рассказывать. Или стоило начать с мальенькой проводной сети «только для своих», многие так начинали.
Гнать такого провайдера в шею, который весь твой трафик мониторит и сливает, без предупреждения.
И вообще, для такого и заключаются договора с провайдерами. Если вы не подписывались под тем, что согласны безвозмездно сливать свой трафик для спаммеров, а провайдер вас использует таким образом, то это вполне повод для суда. Заодно появятся прецеденты.
Поднимем общественность на уши, так сказать. :)
бред 8)
для тех кто страдает купите VPS/сервер в европе и поставьте туда openvpn, никто не будет за вашим трафиком следить
Полный бред… Прослушка трафика незаконна сама по себе, зачем проблемы провайдеру? HTTPS прослушивать невозможно без ведома пользователя (браузер будет ругаться) + незаконно: неправомерный доступ к информации, нарушение банковской тайны (это если залезут в HTTPS-сессию ДБО) или объекта атомной промышленности (например, если я работаю на Росэнергоатоме и зашел корпоративную почту проверить).

Экономический эффект сомнительный, а уголовная ответственность есть.

Автор, идите назад в школу pascal 8-му классу преподавать.
это не бред и это вам надо идти в школу. Почти у каждого провайдера есть коробка от фсб
СОРМ причем тут? Речь идет про коробку для коммерческих целей. И не почти, а у каждого, иначе регуляторы не дадут лицензию.
ну при том, что та коробка, про которую рассказывается в посте и есть это
Чтобы ФСБ монетизировал то, что сами насниффали? Не смешите мои носки :) И читайте внимательно статью и комменты автора к ней. Речь не про СОРМ (жалко вот вам в ответ минус поставить не могу).

Кстати, раз уж такие умные, надо говорить СОРМ-2. Просто СОРМ — это для телефонов.
ах, понимаю вас, подростковый максимализм, все это стремление к минусам, псевдопрошаренность во всем, ну ничего, это с возрастом пройдет, а пока успокойтесь.
Дело в том, что по вашему комментарию, я подумал что вы вообще отрицаете возможность прослушки трафика и установку таких штуковин.
А речь автор ведет как раз об этой самой фсбшной коробке, просто он не знает об этом)
Обычным маркетологам эта информация сливается. Причем по весьма смехотворным ценам. :)
Та железка называется СОРМ и занимается она совсем другим
И уж поверьте, если Вы не делаете ничего, противоречащего офицальной идеологии, то никто Вас просто так трогать не будет
Я так смотрю, что мало кто из вэб-программистов имеет понимание работы сетей передачи данных. Выше сплошное мракобесие.
мне чаще всего приходит спам с заголовками «Бух отчёт за второй квартал 2009 года» и я с облегчением понимаю что у нашего провайдера такой штуки нету либо она не работает) а на сайтах вообще уже год не видел рекламы (adBlock) и искренне удивляюсь когда с чужого компа захожу и вижу её «в интернете есть реклама? а я и забыл»
Only those users with full accounts are able to leave comments. Log in, please.