Атака MITM со стороны провайдера

Откуда браузер узнает, что при запросе в адресной строке facebook.com нужно вообще брать какие то сертификаты, соединяться с какими то центрами выдачи ? В браузер что, база всех сайтов мира забита ?

Насколько я знаю, когда мы набрали в строке адреса facebook.com и нажали enter, браузер отправляет ДНС запрос (чаще всего на ДНС сервер провайдера), ДНС сервер отвечает ip адресом, по которому браузер лезет искать сайт. Причем сначала он коннектится по обычному протоколу, а уже потом его перекидывают на HTTPS.
Не вижу никаких причин, почему нельзя перебросить пользователя с facebook.com (который естественно будет поднят у провайдера, а не в америке) на свой домен, на который получен сертификат совершенно честно и цивилизованно (например при участии органов государства российского).
А может даже никуда перебрасывать не придется. Потому что я не знаю, как именно имя facebook.com забито в сертификаты. Может можно получить сертификаты на любое имя или на все имена сразу (при участии органов государства российского многое можно).
Самое главное, что то что мы видели в первом посте, это просто кривая реализация провинциальным провайдером установки спущенной сверху.

Почитай уже что тебе отвечают блеадть! Хватит писать хуйню, выглядишь идиотом!

Злой ты - как собака

Вот же суки ебаные)всё чё можно шпионять, ебаный конвЕкс...гори в аду пиздобляцкая моразмотичная компанёшка, ты исчадье ада и не видать тебе моего соединения!

Александр, вы вновь неподражаемы.

Кстати, чё я тебе скажу. Один коллега тоже жаловался, что мол он сидит такой со своего кабеля всё нормально, зашёл в контакт на свою страницу сидел сидел, решил найти группу какую то, и только нашёл и начал грузить страницу группы, как ему выдаёт броузер такую же хуйню, при чём  он сидит со своего домашнего кабеля, тоесть атака получается по умолчанию проводится даже, для мониторинга соединения, толи блять ебаных провайдеров обязали всё мониторить, толи коллега напиздел что он ничего не делал с кабеля и его начали пасти.

Дико плюсую Вам! Ваш портер Генрих на совесть хорош. Ещё я начинаю переживать за коллегу) походу за его задницу назначена награда чёрт побери!

толи он просто словил троян, лазая по говноссылкам

Я знаю.
В кратце. Подобная коробка работает в двух режимах общих - bridge и sniffer.
Сейчас провайдеров заставляют ставить в режиме bridge сразу после L2.
То бишь, там поднимается такая штукенция, создается внутренний виртуальный интерфейс и к нему подключаются мостами два интерфейса, он виртуалньный и в нем прекрасно происходит подмена сертификатов, сбор дампов и сеансовых вызовов по Level 5,7. Без шифрования могу заверить какой то минимальный процент трафика расшифровывается успешно. Этот шаблон добавляется в общую цепь, которая также способна подделывать удостоверяющие центры, это относится только к российским удостоверяющим центрам.
Кто обслуживает данные коробки и знает больше меня - ФГУПЫ, в которых эти коробки вводятся в базовую эксплуатацию.

На самом деле вижу, что люди ничего не знают. Всего было 3.1 версий цифровых СОРМов, в 2013 была запущена последняя версия, в которой были исправлены все баги и добавлены в общую спецификацию требование HW/OW.
По понятным причинам.
Я занимался решением вопросов, связанных с выдачей лицензией на предоставление телекоммуникационных услуг, то бишь исправно отзванивался и принимал рекоммендации по закупкам. Компания "Энфорта".
Если есть вопросы, то могу на них ответить, пока помню.

Вопрос - что сейчас реально может СОРМ? А то тут в теме понагоняли жути, думал что в ИТ понимаю что то, а выяснилось что нет. Просто распишите возможности простым языком и пути обхода.

Сертифицированная ложь: обнаружение атак перехвата SSL, осуществляемых властями, и защита от них
pgpru.com/biblioteka/statji/certifiedlies

"Аннотация

Данная работа показывает новую атаку, атаку создания сертификатов по принуждению, в которой правительственные агентства принуждают удостоверяюшие центры (центры выдачи сертификатов) к выпуску фальшивых SSL-сертификатов, которые затем используются разведывательными агентствами для скрытного перехвата и перенаправления личных защищённых коммуникаций, основанных на Web-технологиях. Мы нашли тревожные улики, показывающие, что эта атака активно используется. В конце мы представим легкое приложение к браузеру, способное обнаруживать эти атаки и противодействовать им."

Руководство по выживанию — TLS/SSL и сертификаты SSL (X.509)
pro-ldap.ru/tr/zytrax/tech/ssl.html

Броузеры, например Модзилла, обычно ругаются при попытке заюзать липовый сертификат. Так что впарить такую каку бдительному юзверю не так просто.

Редактировался DrPretorius (2014-12-23 13 ч.)

Он может перехватывать незашифрованный трафик, каталагизировать, проводить статистические выборки и отправлять это все по оптоволокну в главные пульты(если есть выделенка от фсб),
Например в нашей законодательной практике наличие подключения с зашифрованным трафиком уже по сути отменяет презумцию невиновности. То бишь, если имелся факт наличия подключения к тому или иному хосту - ваша вина доказана с 90% вероятностью. И это как раз таки в СОРМ делается замечательно.
Что касается перехвата трафика, то ip телефония полностью под колпаком, сейчас кругом ip телефония и она полностью под контролем. Софт позволяет подключиться к сеансу установленного подключения, короче разговору. Телфония обычно работает по пасскею и эти самые пасскеи обязан предоставить провайдер.
Как он сливает все о вас? Да просто.
У каждого провайдера в требованиях и приложениях закона имеются такие вещи - как аккредитованная минсвязи система биллинга, и установка этих самых ящиков. Дальше думаю понятно?

В зависимости какая задача стоит. Если вопрос в несанкционированном доступе, или просто хакерство, то я написал выше.
Необходимо использовать Tor или VPN.
Например у меня у самого были проблемы с законом, самый лучший провайдер в этом плане Ростелеком.
Они не хотят быть провайдером как таковым, они просто тянут магистрали. СОРМы там не стоят(!!!).
Т.е запрос в рамках следствия будет к техническому отделу, который вряд ли сам знает логгируется это или нет, а если и логгируется, то ответ будет оооооооооооочень долгим)
Они стоят у Эр-телекомов, Энфорты, СМС и других "конечных" провайдеров. Ростелеком - магистрали, там царит такой бардак, что смысла в установке нет. Просто смотрят в билинге, если необходимо, а там инфы маловато.

К онлайму это тоже относится?

Совсем недавно была такая история - знакомый жаловался что его слушают, говорил что слышит какие то щелчки которых раньше не было, эхо... Мне как бы уже давно казалось что слышно ничего быть не должно, что пишется все на постоянке... И тут недавно узнаю, что был прием, мусора подтягивали знакомого на допрос, и знакомый действительно был под ОРМом -  мусор сам показал телефонные переговоры, которые в текстовом виде перенесены в дело. Собственно вопрос - какие признаки прослушки существуют и на какие странности следует обращать внимание?

Но центры таки удостоверяющие и браузер не орет ?

Что значит HW/OW ?

Детектятся ли на автомате подключения к Tor / VPN

Ростелеком тут на днях грозился притащить оптоволокно прямо в квартиру. Еле удалось отбиться от назойливой девушки менеджера. Слышал, что именно ростелеком первым внедрит DPI (более продвинутый анализатор).

1. Тут хитрость. Российские web сайты расшифровываются и подделываются как угодно, благодаря законодательству, где эта возможность прописана, по памяти не помню как звучит формулировка, в общем там говорится о "криптографической аппаратуре". Короче, ключи у фсб имеются ко всем крупным ресурсам в рф, таким как mail.ru, vk, yandex.
2. Подключения к Tor НЕ ДЕТЕКТЯТСЯ, VPN лишь некоторые, например протокол GRE и реализации ipsec.
3. Ростелеком - это территория такого бардака, что я вообще не знаю способны ли они хоть на что то. Региональные представительства порой посылают запросы от э и к куда подальше, не так давно министр мвд жаловался.
4. Может и внедрит DPI, но на самом деле меня это только смешит, DPI - не панацея! А денег сейчас ни у кого нет.

HW/OW - это такая фича, когда например устройство выходит из строя, а сетевая карта это понимает и отсылает инженерам оповещение об этом, сама перенаправляет трафик на другой порт и коннект не падает даже при перезагрузке устройства. То бишь раньше были проблемы, когда провайдер ставил у себя коробку, а она например глучила, приходилось обращаться к "товарищу", чтобы они это исправили, и не всегда все решалось в один день.
Так проблему решили, указав в спецификациях эту фичу - все для вашего комфорта!

Да, это классический пример. Они производят доследственные действия. Очевидно слушали системой, которые стоят до сих пор на АТС указом Ельцина от 1996 года. Это относится к АТС аналоговых линий, там можно услышать характерный "ЦОКОТ" при подключении щупов, либо переключении релюшек.
Кто был на АТС, то знает о чем я говорю. Я был на АТС и слушал людей как то развлекался у тети)))
Там стоит шкафчик в отдельной комнатке.

Дак в большинстве случаев ты просто не сможешь посетить сайт, а это провально, нам нужно на ресурс, но не приняв сертификата "феми аля камеди"(или как то так).

Допустим они пытаются снифать трафик, а если цепочка впн-тор-ссх у нас, ведь траф в хлам шифрован и эта подмена ничтожна? Правьте емли пизжу.

И по поводу сертификатов того же конвекса, страааанно, но подключаясь допустим к открытой точке доступа с подобными подменами, тэилс подключается к точке, но тор не запускает, и нет возможности принять сертификат, я так понимаю даже если ты на него и согласишься, допустим зайдя с опасного браузера (видалия кстати после этого подключается), то всё равно они не смогут ничего увидеть кроме потока шифра уходящего на впн в сша, или если не в впн то в тор ноды. Верно суждение?

Ну возьмём иностранные сип сайты сша, если допустим мы конектимся через впн к данному сервису, меняем номера каждый месяц а наши данные регистрации включая доки личности польностью подставные, не уверен что если ты не розыскиваешься интерполом кому то нужен, по умолчанию снифать и слушать всех невозможно.

Не братан, они там есть, можете не верить на слово, но работал человек у меня там, и он мне усерался мол "галочки слежки" по умолчанию не стоят, но по выделенке чекист может назначить юзера.

Имел неосторожность связаться с торгошами оружия по телефону обычному, сначало были щелчки с секунд 10, затем эхо, потом пропало, слышали это обе стороны, сразу тел выкинул нахуй,

По поводу QW/HW, СУКА!у меня авус так заебал делать, инэт слетает и он начинается тупо зелёным гореть, нажимаешь отключиться, соединение висит и не отключается, после трёх четырёх попыток оно отключается выводя какую то ошибку в небольшом окошке с кирпичом белым на красном фоне, вроде 32 ошибка, тосно не помню. Но сука напрягает это сильно, может это оно и есть. До некоторого времени не пользовал впн перед тором. Сидел с тор-ссх, сейчас раз на раз включаю впн-тор-ссх, сука жутко тормозит блять, зато чуток спокойнее, но иногда также отпадает инэт. Авус также постоянно зелёным светится, у кого таеое бывает ещё? После кстати того как рухнет сервак впн, переподключиться не получается, не включается видалия, приходится перезагружаться и заново всё загружать и настратвать. Тэилс)

СОРМы там есть. Но сейчас эта задача имеет низкий приоритет, сейчас Ростелеком реструктурируется в магистрального провайдера. Они стоят на оптоволокне абонентском, на кольцах - но это пальцем в небо, т.к в основном их каналы используют контрагенты типа Эр-телекома и т.д.
Они пытаются своими силами строить абонентскую базу, но все уже занято этими самыми контрагентами, а не продавать им канал они не могут.
Насчет галочек - он не мог видеть интерфейс СОРМа, я видел его только на мануале к нему. Модель могу назвать.
Инфа конечно у меня расплывчатая, там столько головняков с этими лицензиями было, что мне было не до этого, но кое что я понял из вопросов, которые мне задавал полковник ................ .
На самом деле хер знает полковник ли он, мне сказали, что это специалист из фсб. Финальные документы приходят директору, он их подписывает и отправляет в фсб, или иногда сам, если сроки жмут.