Что видит внешний наблюдатель VPN соединения?
Привет всем!
Хочу рассказать одну историю, которая заставляет меня кое о чём задуматься и запросить Вашей помощи. Я уже достаточно давно использую VPN соединение для работы при подключении к разным публичным хотспотам, поскольку однажды один мой знакомый в реальном времени показал мне, как легко перехватывать пароли лохов ;-)
Я пользуюсь услугами Witopia (http://www.witopia.net/) и использую Tunnelblick (http://code.google.com/p/tunnelblick/), который является мордочкой для Мака всем известного OpenVPN.
Несколько дней назад в одном отеле заказал себе Wi-Fi. Меня предупредили, что сам Wi-Fi бесплатный, сразу выдали логин и пароль, но надо будет оплатить трафик. Надо так надо! Я подключился к хотспоту, сразу врубил VPN и начал работать. Работал часа 3-4, потом вырубил всё и пошёл спать.
Наутро получаю счёт за отель, девушка на стойке подаёт мне счёт за Internet, в котором написано, что трафик равен нулю и внизу нули стоят, соответственно. Девушка морщит носик, так как в условиях кризиса бабло рубить велено, и вызывает главного по компьютерной части. Приходит парень, говорит мне, что слетел биллинг, уходит и приносит счёт на, внимание, 20 Gb трафика!!! И смотрит на меня подозрительно ;-)))
Понятно, что подключение к VPN вырубило биллинг. Также понятно, что я по концовке ничего не заплатил, так как на пальцах доказал пареньку, что прокачать 20 Gb за 4 часа при их канале невозможно физически, но вот теперь мне просто интересно понять, что же в принципе видит или может видить провайдер или просто "заинтересованное лицо", пытающееся наблюдать за VPN соединением. Понятно, что оно видит факт установление VPN канала, в данном случае с сервером в США, а что ещё? Трафик может посчитать? В данном случае не смогли, но это может быть следствием наличия в избытке кривых ручек. Ну и так далее.
Буду признателен за информацию или за ссылки на документацию. Спасибо.
комментариев: 11558 документов: 1036 редакций: 4118
Достаточно пассивного wifi-сниффера. А для "умных" лохов, продолжающих использовать WEP, есть aircrack-ng, ломающий шифровальный ключ за считанные минуты.
Количество пакетов одно и тоже, независимо от того, что у них внутри: открытый трафик или шифртекст. Разумеется, трафик можно считать. Можно даже примерно сказать, что Вы качаете, а атаки типа site fingerprinting позволяют сказать, какие посещаете сайты (но это более критично с точки зрения анонимности: конкретное содержимое трафика эти атаки не восстанавливают). Но это всё не является прямой угрозой конфиденциальности передаваемых данных.
Почему упал биллинг в данном конкретном случае — вопрос открытый. Возможно, Вы тут вообще не при чём, а админ с бодуна снёс по ошибке базу данных. А может и реальная ошибка, какой-нибудь integer или buffer overflow, например, которая свалила сервер от хэндшейка Вашего VPN-клиента.
комментариев: 15 документов: 5 редакций: 0
Разумеется ;-) Поэтому я дома использую WPA2 (TKIP+AES), который имеет коммерческое название WPA2 Personal, с ключом максимально возможной длины в 63 символа, который сгенерировал компьютер, а при работе во всяких web cafe использую VPN через Witopia. И всё равно либо просто брожу по сети, либо пользуюсь только защищёнными SSL HTTPS серверами.
Про трафик понятно, действительно просто считаются пакеты и можно сказать, что прошло 20 Gb трафика или что-то ещё. А вот как сказать, что примерно качается? Ведь VPN вроде как это как раз и должен скрыть!? И как тут сказать, какие сайты я посещаю? Ведь с точки зрения стороннего наблюдателя, я посещаю адрес в США, принадлежащий Witopia. Откуда он может знать, какой именно IP мне присваивает Witopia, и куда я с ним иду дальше? Для этого, ИМХО, надо ещё и весь пул адресов Witopia отслеживать и сравнивать прохождение пакетов, а это уже не всем сторонним наблюдателям под силу. Или я не прав?
комментариев: 11558 документов: 1036 редакций: 4118
Берём любую интересующую веб-страницу, скачиваем её и все её вложенные элементы: картинки, таблицы стилей, флэш-анимацию. Считаем объём каждого элемента (плюс его расположение в html-документе, которое обычно коррелирует с порядком загрузки). А затем, глядя на Ваш зашифрованный трафик, ищем в нём паттерны, соответствующие уже известной картине загрузки данный определённой страницы.
Атака нетривиальная, зависимая от множества факторов (заторы в сети, параметры кэширования у клиента, провайдера и бог знает где ещё) и требующая значительного объёма статистики.
Точно так же. Разные типы трафика имеют разные характеристики при передаче. Обычный сёрфинг отличается от отправки и получения почты, чат отличается от торрентов.
комментариев: 15 документов: 5 редакций: 0
С торрентами у меня было забавное приключение. Был в США, вечером перед отъездом выяснилось, что презентационный DVD не успели савториить, но пообщали, что всё доделают, пока я буду в самолёте. Чтобы не тратить время на закачку на рапиду или ещё куда, договорились, что ребята со своей машины напрямую отдают исошник по торренту.
Приехал никакой, быстро забежал в офис к партнёрам, поставил ноут, воткнул вилку в розетку, сетевой кабель, поставил торрент на закачку и ушёл спать, сказав америкосам, чтобы ничего не трогали. В гостинице сказал, что подам в суд на того, кто разбудит, мобилу вырубил и отключился. Наутро на reception мне говорят, что уже 8 раз звонили из офиса партнёров. Прихожу, а мне говорят, что их провайдер уже звонил и говорил, что к их сети кто-то подключился и качает торренты. Разобрались потом, конечно, но всё-таки они совсем там офигели со своим DMCA.
Значит, врут малость продавцы услуг IPSec или SSL VPN, обещая полную анонимность.
А что делать, если хочется всё-таки усложнить задячу следящего? Представим себе, что я открываю VPN соединение, далеее в одном навигаторе запускаю онлайновое ТВ, типа Joost, в другом – потоковое радио, в третьем – ставлю на закачку исошник Ubuntu, ну а дальше работаю себе. Достаточно ли помех?
После поднятия VPN на своей стороне ставите на скачку что-то тяжёлое (будет работать как покрывающий трафик), и одновременно работаете. На файерволле настраиваете нормализацию трафика на фиксированную скорость, чтобы весь недостаток трафика в единицу времени покрывался соответствующим покрывающим трафиком.
Впрочем, не вижу особого смысла для большинства в таких извратах. Если вы так сильно кому-то нужны, чтобы тщательно исследовать спектр вашего шифрованного трафика, то намного проще прийти к привайдеру услуг VPN, со всеми вытекающими последствиями. И насколько мне известно, все раскрытия анонимности, о которых потом было много шума в прессе, происходили не путём криптоанализа/утончёного_анализа_трафика и т.п. а банально либо взятием ключевых серверов, либо, при особо тяжёлых случаях – внедрением в сообщество. Нужно понимать, что это атаки совсем другого рода (умный в гору не пойдёт – умный гору обойдёт).
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 15 документов: 5 редакций: 0
Гостю большое человеческое спасибо за советы. Вообще, я не уверен, что возможно В ПРИНЦИПЕ создать 100% надёжную защиту. Даже если купить за налик в выбранном наугад месте компьютер, полностью переформатировать диски и установить минимальный набор ОС и приложений, держать всё это в отдельной экранированной закрытой комнате, чтобы исключить физический доступ и обновлять только через проверяемую флэшку, чтобы никакого Интернета ;-))), и то я не уверен, что не найдётся способ, если будет очень надо...
Что касается site fingerprinting, то где почитать побольше? Если я правильно понимаю, надо всё-таки либо мониторить исходящий от меня трафик + исходящий от VPN провайдера, либо догадываться, что я полез на некий сайт, смотреть исходящий от меня трафик, сравнивать с трафиком сайта, на который я теоретически полез, а затем делать сравнение.
комментариев: 15 документов: 5 редакций: 0
Именно по этой причине я и думал про потоковое видео и аудио, типа всяких ТВ через Интернет и радиостанций. Трафик они генерируют немалый, а объяснение ему лежит на поверхности: хотел кинишко позырить и музон послушать ;-))) Разумеется, всегда можно поставить что-то на закачку с http://www.tuxcds.com/, объяснить тоже просто.
Во-первых, желательно, разумеется, чтобы провайдер VPN был не из той же страны, что и основной провайдер. Тогда замучаются друг к другу ходить в гости!
Во-вторых, я регулярно мотаюсь в командировки за рубеж и работаю в офисах партнёров, а живу в гостиницах, где тоже пользуюсь Интернетом. Не секрет, что сейчас они все помешаны на пиратстве, Р2Р, авторских правах и прочем. Слово торрент является матерным... Некоторое время назад, во время одной командировки, меня компьютерный гуру партнёров отвёл в бар "отметить знакомство" и, заложив как следует за воротник, по секрету рассказал, что самый большой начальник лично приказал мониторить весь трафик компании и писать всё то, что можно использовать как компромат. Не совсем законно, точнее совсем незаконно, но пока никто не знает... И долго хвастался мне чувак, как он читает переписку одного из боссов с любовницей, имеет информацию о том, кто подумывает сменить работу, посещая соответствующие сайты, держа в порядке резюме и отвечая на все вопросы head hunters, и так далее. Разумеется, весь P2P трафик тоже мониторится, чтобы, если надо кого-то убрать, выложить ему и предложить уйти по собственному желанию...
Слушаю я это всё и понимаю, что накрылся вечерний сеанс скачивания кинишка на выходные ;-))) С тех пор использую VPN. Отмазка простая: мой компьютер в Москве принимает только SSL запрос с IP адресов моего VPN провайдера, иначе не зайти.
Я не думаю, что лично я кому-то нужен, но понятно, что крупные западные корпорации тайно или явно анализируют трафик и могут использовать малейшую возможность надавить, равно как и ISP тоже, в связи с новым законодательством, ставят программы автоматического анализа трафика, чтобы иметь возможность сдать клиентов по требованию "демократичного правосудия". Соответственно, моя задача – не попадать под все такого рода анализаторы и иметь возможность, если зададут вопрос, объяснить потребление трафика ;-)))
Задача именно в том, чтобы не было желания охотиться конкретно на меня, так как тут всё станет уже совсем сложно.
Здесь есть 2 момента:
- Анализируя лишь проходящий трафик иногда можно с хорошей точностью сказать, какого он типа (http/ssh/etc).
- Зная сайт, какой вы посещаете, можно доказать, что в зашифрованном трафике был имено посещение вами того сайта.
Методы статистические, работают не всегда, требуют длительного наблюдаения за пользователем, часто непрактичны, и, как правило, включают в себя элементы т.н. социальной инженерии.Подробности можно поискать в гугле.
Смотря чем вы занимаетесь. Есть интерпол и межгосударственные соглашения. Здесь рассказывается о прецеденте, когда и не особо госсоглашений потребовалось для выдачи.
И в РФ, и зарубежом, есть так называемые сормоподобные системы, которые пишут для спецслужб и прочих госведомств все ваши похождения в сети, даже не нужно никаких корпораций. Что же касается спецслужб, западных, те часто занимаются и добычей технологий, секретов, промышленным шпионажем.
Если ваш случай решается посредством "разделения секрета" между другими странами и РФ – прекрасно, но если они объединятся можете считать что смысла в VPN не было никакого, ибо трафик, выходящий из VPN перед входом в сеть, всё равно проходит пишущее спецоборудование, согласно закону.
Кстати, сейчас открываются перспективы для свободной музыки и фильмов. В порядке рекламы: http://www.jamendo.com – там много чего интересного есть, и всё официально бесплатно :)
комментариев: 15 документов: 5 редакций: 0
Я же говорю, надо сделать так, чтобы не было интереса заниматься тобой конкретно.
Ничего секретного, к счастью. Всё, что мне можно пришить, это торренты и прочие сгоны с рапиды. В РФ пока всем всё это по фигу, но не на Западе.
Даже если пишут действительно ВСЁ, в чём я всё-таки малость сомневаюсь, почему тогда нет огромного количества процессов пиратов и прочее? Ведь это реальные деньги в копилку государства и тех же корпораций, которые сейчас с трудом доводят до суда 50-100 дел, в зависимости от страны.
комментариев: 15 документов: 5 редакций: 0
Пишут всё = пишут, к примеру, урлы к кторым вы обращались по http. Запись для всех и всего передаваемого трафика, естественно, не подразумевается.
А процессов нет... массово, потому что не было команды из центра "брать". Важно, чтобы все были потенциальными нарушителями, а возьмут вас тогда, когда это будет целесообразно. На данный момент итак все тюрьмы переполнены.
"Никогда не ставь свою безопасность в зависимость от благородства <подставить_нужное>." ©
Похоже, вы плохо представляете себе как работает СОРМ. Естественно, что там предусмотрены механизмы соотношения трафика с конкретным пользователем, даже если их и нет по умолчанию (без паспорта и указания адреса сейчас зачастую провайдеры не подключают). Логи аппаратуры СОРМ сертифицированы для дачи показаний в суде. Вы можете утверждать что злоумышленник воспользовался вашим аккаунтом или ещё что-либо подобное, но решать будет суд исходя из своих субьективных ощущений кто прав а кто врёт.
Приказ Мининформсвязи № 6 от 16 января 2008 г. «Об утверждении требований к сетям электросвязи для проведения оперативно-розыскных мероприятий»