DPI — забудьте о праве на приватность
Скайнет пришел. Машины, без вашего разрешения, вторгаются в пакеты которые генерят ваши устройства, в пакеты предназначенные только вам. Пакеты с этим текстом как минимум раз были просканированы машинами, прежде чем попасть в ваш браузер. DPI стоит у вашего домашнего провайдера, если нет то возможно у его аплинка, и уж точно у магистрального провайдера. Серые люди за консолями решают, что вам читать/смотреть и с какой скоростью.
комментариев: 11558 документов: 1036 редакций: 4118
Зная особенности нашего русского бизнеса, внедрение DPI ничего хорошего абонентам не принесет: скорее начнется тарифный обман, подобный тому, который наблюдается у ОпСоСов (веб-браузинг дешевле, торренты дороже, безлимиты с хитрыми условиями и т.д.; или схемы типа «скайп блокируем, а за разблокировку платите отдельные деньги»). Если мошенничество будет давать больше денег, будут этим заниматься и создавать тарифы «хренпросцышь» — это как ОпСоСы, у которых нет простых и понятных тарифов с простыми и неизменяемыми условиями, что позволяет им воровать деньги со счетов абонентов на раз, имея сотни приемов для этого. Например, внедрил МТС DPI на GPRS-интернете, и первое, для чего они его начали использовать — брать за Skype, как за звонки, поминутно, и еще сделали список платных сайтов, при заходе на которые автоматически списываются деньги с абонентского счета.
Во всех договорах всех ОпСоСов написано, что ОпСоС всегда прав, а абонент всегда неправ, правила могут меняться в одностороннем порядке, когда угодно, абонент же лишь имеет право самостоятельно отслеживать изменение условий договора, чтобы вовремя его разорвать. Судиться с ОпСоСами можно (часто даже небезуспешно), но они обманывают миллионы людей, каждого на 100-1000 рублей, за такие деньги мало кто пойдет судиться. Даже если решиться на суд, отсудишь (в лучшем случае) свою тысячу рублей ценой уймы потраченного времени и денег, а если вдруг они в суде ещё и окажутся правы, то и в минусе останешся, т.к. придется оплачивать их адвокатов. Одним словом, судиться — дело сплошь убыточное, поэтому люди поругаются, поматерят опсосов и находят какой-то временный выход, типа вовремя отключать все навязанные услуги, не пользоваться скайпом и т.п.
В интернете об этом трубят на всех углах, все про это знают, но ОпСоСов мало (на этот рынок очень высокий порог вхождения), потому им «можно». Даже если пользуешься телефоном только для звонков, это не помогает: например, гудок заменяют на мелодию, подключая услугу «гудок». Услуга бесплатная (по ЗПП нельзя навязывать платные услуги), но только первый месяц. Если её вовремя не отключил, начинаешь просто так платить рублей 200 в месяц. И это только одна из самых банальных схем обмана. Затем идут SMS-лохотроны, которые делаются при явном попустительстве тех же ОпСоСов. Или вот у МТС есть такая фишка: проверка балланса — *100#, ошибся номером — тебе приходит анекдот и списывается 25 рублей, причём на все окружающие номера повешена такая платная услуга. А могут и просто подключить подписку на платные услуги патрнеров, а потом скажут, что сам подписался.
Смысл всех этих схем прост: из 100 обманутых где-то 50 не узнает, что их обманывают; 20 следит за этим и отключает платные услуги; а 10 звонят в поддержку и ругаются (если дозвонятся, что тоже проблема, и звонок в поддержку МТС уже платный). Те, кто ругается, удовлетворяются отключением платной услуги, но мало кто идет до конца — с досудебными претензиями и требованем вернуть деньги. И только один из тысячи подаст в суд, выиграв его с вероятностью 50% (а проиграл суд — оплативаешь судебные расходы компании). ОпСоС в любом случае не проиграет. В их договорах ещё бывает пункт «все претензии решаются в суде таком-то», причём это законный пункт договора, и оспорить его очень трудно (по ГК РФ договаривающеся стороны имеют право оговорить судебный орган, где будут решаться возникшие претензии; оспорить постфактум можно, но трудно и без гарантии). Короче, вывод такой: в суд можно идти, только если совсем делать нечего, потому как искать справедливости в суде глупо и наивно.
Недавно разрешили ОпСоСам выбивать долги за минусовые счета, госдума даже специально закон приняла для этого: раньше, если ушел в минус миллион в роуминге, мог послать в ОпСоСа в пешее и не платить, потому что ОпСоС не имел право оказывать услуги в кредит, теперь же под ОпСоСов написали закон, который им это разрешает. И, вообще, надо понимать: кто имеет доминирующее положение, тот и заказывает законы, ограничивая всех остальных. То, что мы при этом живём ещё не при рабовладельческом строе, а при квазифеодальном, объясняется только тем, что законы проталкивает не один рабовладелец-император, а много заинтересованных и влиятельных сторон. И только народ, как всегда, ничего не решает.
Извиняюсь за возможный оффтоп, это компиляция разговора в текст, из песни слов не вырежешь. Мораль такова: то, что сейчас творится с ОпСоСами, вскоре будет и с интернет-провайдерами, ничего хорошего ждать не приходится.
P.S.: Есть ли какие-то DPI-решения для десктопов, позволяющие фильтровать/ограничивать/инспектировать свой собственный трафик? Интересуют, как всегда, OpenSource-решения для Linux/Unix. Кто-то ранее уже здесь спрашивал про «родительский контроль своими силами/средствами», но по сути ему никто ничего таки и не ответил.
Смотрите в сторону IDS для которых DPI является одним из ключевых моментов.
http://www.bro-ids.org/
http://www.snort.org/
Остальное пионерские поделки пожалуй.
Впрочем стоит заметить что для нормального анализа траффика нужен коммутатор способный зеркалировать трафик и отдельный сервер для установки системы DPI.
Успокойтесь, чего Вы нервничаете так? Сколько лет у меня телефон, ни разу ни одной из перечисленных Вами проблем не возникало.
Ну даже если и будет DPI, что, на этом свет клином сойдётся?
За последние годы я наблюдаю у многих провайдеров РФ улучшение работы, снижение тарифов, акцент на реальном анлиме и расширение каналов. Не сейте панику раньше времени.
Интересные вещи пишут: Это что-то типа того, что пытались запустить по умолчанию HTTPS Everywhere & EFF? Поди ещё и HTTPS-трафик снифать умеет через MITM(?).
Если объём трафика небольшой (домашняя сеть из пары компьютеров), то зачем нужно зеркалирование?
Да.
Да. Более того, используя как базу анализатор пакетов может строить статистическую картину скажем туннелированого трафика и на основе сверки с образцом предполагать с высокой долей вероятности что конкретно пересылалось по туннелю. Полностью от этого можно избавиться только гоня псевдослучайный шум на всю ширину канала который смешивается с полезным сигналом.
Сколько компьютеров в сети и количество трафика для принципиальной схемы решения значения не имеет. Важно вынести точку наблюдения с источника трафика потому что у host-based IDS есть большое количество ограничений. Наиболее простое решение этого вопроса в домашних это зеркалирование порта коммутатора.
Почитайте рекомендации NIST на тему IDS/IPS, в них подробно расписаны принципиальные схемы установки анализатора пакетов в разных точках сети.
http://csrc.nist.gov/publicati...../800-94/SP800-94.pdf
В любом случае для постоянного (а непостоянный он особого практического смысла в плане безопасности не имеет) полноценного анализа трафика (пакетов) без отдельного сервера в качестве арбитра не обойтись. OpenBSD и snort Вам в помощь. :) Bro всё же несколько монструозен и требует высокого уровня подготовки оператора.
Говорят, Tor существенно менее этому всему подвержен, хотя, кажется, unknown ранее выкладывал информацию про фингерпринтинг и его трафика.
Не могли бы вы вкратце указать, какие ограничения имеются в виду? А то там 127 страниц в pdf, всё читать пока не хочется.
Получается, что DPI, как и антивирус, всегда срабатывает постфактум: только когда подозрительные пакеты уже пропущены, с какой-то задержкой DPI сообщит, что они подозрительны. Это, конечно, лучше, чем ничего, но обычные файерволлы работают не так — там если пакет не удовлетворяет политике/правилам, он никуда дальше не идёт.
В данном контексте Тор принципиально не отличается от приведённого мной примера.
Если вкратце то, нет гарантии того что действительно весь поток трафика попадёт в анализатор и будет проанализирован правильно по целому ряду причин.
Нет, это не так.
Здесь на сайте ранее всюду писали, что Tor куда менее подвержен этому, чем VPN.
Тогда как достигается синхронизация? На точке зеркалирования трафика пакеты останавливются, и рутер ждёт инструкции от сервера-арбитра по каждому пакету? Я-то думал, что DPI не вносит задержек в трафик.
И банковскими карточками не пользуюсь с тех пор как еще в 2002 году увидел кучу синяков которым стали выдавать кредиты это было первым тревожным звонком чтобы завязывать с этой банковской системой и только потом появились банковские подставы, коллекторные агенства, "ограничение выезда должников" и т.д.
Но возвращаясь к топику извечный вопрос "что делать?" а что можно сделать когда с одной стороны старперы-законодатели считающие основную массу людей быдлом которым ничего кроме футбола и порнухи в инете не надо, которые живут по принципу "а что мы можем сделать?" и которые даже не ходили на последние выборы говоря "все-равно это ни на что не повлияет" :(
с другой стороны IT-шники которые подсказывают руководству возможности технической реализации и РЕАЛИЗУЮТ помогая перекрывать кислород своим же IT-шникам... придумывая, настраивая все это, тоже думая: "если я один откажусь выполнять эту работенку все-равно это не остановит внедрение" :) и чтобы вовремя свалить в свою Новую Зеландию или Сингапур...
А с третьей та самая оголтелая толпа которая сначала голосит: "пидафилы, тирраристы запретим симки без паспорта и инет" а потом сама же удивляется почему их "личные фотки" оказываются в открытом доступе... и которая принципиально не хочет понимать "этих непонятных лохматых компутерщиков" которые заранее предупреждают о грядущей опасности.
Еще в середине девяностых я видел таких "сумашедших" которых всерьез хотели запрятать в дурдом за "предсказания" системы СОРМ (никто не верил, что трафик может сохраняться или фильтроваться весь, что все разговоры могут записываться, а сегодня это реальность), потом "с наркотиками боролись" точно так же (гебня имела очень удобный инструмент для "склонения к сотрудничеству" методом подброса) и сегодня до инета вплотную добрались.
Когда я узнаю о нововедениях типа "чипирования", "приказа 311", "тотальной установки вебкамер", DPI я думаю даже не о "Оруэловском фашизме", а о том сколько больниц можно было бы построить (без откатов!) и скольким детям и старикам нуждающимся в помощи помочь... :(
комментариев: 11558 документов: 1036 редакций: 4118
Господа, завязываем с оффтопом.
Пишите меньше писем, наш майор не успевает.Наши netflow логи пухнут.И ведь продадут, и ведь внедряд.
комментариев: 9796 документов: 488 редакций: 5664
Получается, что DPI — это фактически такой СОРМ в руках коммерсантов. Если раньше заурядный пользователь мог думать, что никаким специальным агентствам он сам и его убогий трафик неинтересен, то теперь к трафику могут с разной степенью нарушения закона (вопрос лишь, как это провернуть и как оформить), но достаточно легко и незаметно (всё ведь продаётся и покупается), получить доступ кто-угодно, от сетевых маркетологов до ревнивых знакомых и прочих вполне заурядных персонажей.