id: Гость   вход   регистрация
текущее время 15:55 15/12/2018
Автор темы: Makovod, тема открыта 31/10/2008 20:38 Печать
Категории: анализ трафика, инфобезопасность, защита сети, стандарты, атаки, ssl
https://www.pgpru.com/Форум/АнонимностьВИнтернет/ЧтоВидитВнешнийНаблюдательVPNСоединения
создать
просмотр
ссылки

Что видит внешний наблюдатель VPN соединения?


Привет всем!


Хочу рассказать одну историю, которая заставляет меня кое о чём задуматься и запросить Вашей помощи. Я уже достаточно давно использую VPN соединение для работы при подключении к разным публичным хотспотам, поскольку однажды один мой знакомый в реальном времени показал мне, как легко перехватывать пароли лохов ;-)


Я пользуюсь услугами Witopia (http://www.witopia.net/) и использую Tunnelblick (http://code.google.com/p/tunnelblick/), который является мордочкой для Мака всем известного OpenVPN.


Несколько дней назад в одном отеле заказал себе Wi-Fi. Меня предупредили, что сам Wi-Fi бесплатный, сразу выдали логин и пароль, но надо будет оплатить трафик. Надо так надо! Я подключился к хотспоту, сразу врубил VPN и начал работать. Работал часа 3-4, потом вырубил всё и пошёл спать.


Наутро получаю счёт за отель, девушка на стойке подаёт мне счёт за Internet, в котором написано, что трафик равен нулю и внизу нули стоят, соответственно. Девушка морщит носик, так как в условиях кризиса бабло рубить велено, и вызывает главного по компьютерной части. Приходит парень, говорит мне, что слетел биллинг, уходит и приносит счёт на, внимание, 20 Gb трафика!!! И смотрит на меня подозрительно ;-)))


Понятно, что подключение к VPN вырубило биллинг. Также понятно, что я по концовке ничего не заплатил, так как на пальцах доказал пареньку, что прокачать 20 Gb за 4 часа при их канале невозможно физически, но вот теперь мне просто интересно понять, что же в принципе видит или может видить провайдер или просто "заинтересованное лицо", пытающееся наблюдать за VPN соединением. Понятно, что оно видит факт установление VPN канала, в данном случае с сервером в США, а что ещё? Трафик может посчитать? В данном случае не смогли, но это может быть следствием наличия в избытке кривых ручек. Ну и так далее.


Буду признателен за информацию или за ссылки на документацию. Спасибо.


 
На страницу: 1, 2 След.
Комментарии
— SATtva (31/10/2008 20:56)   профиль/связь   <#>
комментариев: 11533   документов: 1036   редакций: 4084
поскольку однажды один мой знакомый в реальном времени показал мне, как легко перехватывать пароли лохов ;-)

Достаточно пассивного wifi-сниффера. А для "умных" лохов, продолжающих использовать WEP, есть aircrack-ng, ломающий шифровальный ключ за считанные минуты.

Понятно, что оно видит факт установление VPN канала, в данном случае с сервером в США, а что ещё? Трафик может посчитать?

Количество пакетов одно и тоже, независимо от того, что у них внутри: открытый трафик или шифртекст. Разумеется, трафик можно считать. Можно даже примерно сказать, что Вы качаете, а атаки типа site fingerprinting позволяют сказать, какие посещаете сайты (но это более критично с точки зрения анонимности: конкретное содержимое трафика эти атаки не восстанавливают). Но это всё не является прямой угрозой конфиденциальности передаваемых данных.

Почему упал биллинг в данном конкретном случае — вопрос открытый. Возможно, Вы тут вообще не при чём, а админ с бодуна снёс по ошибке базу данных. А может и реальная ошибка, какой-нибудь integer или buffer overflow, например, которая свалила сервер от хэндшейка Вашего VPN-клиента.
— Makovod (31/10/2008 21:44)   профиль/связь   <#>
комментариев: 15   документов: 5   редакций: 0
Достаточно пассивного wifi-сниффера. А для "умных" лохов, продолжающих использовать WEP, есть aircrack-ng, ломающий шифровальный ключ за считанные минуты.

Разумеется ;-) Поэтому я дома использую WPA2 (TKIP+AES), который имеет коммерческое название WPA2 Personal, с ключом максимально возможной длины в 63 символа, который сгенерировал компьютер, а при работе во всяких web cafe использую VPN через Witopia. И всё равно либо просто брожу по сети, либо пользуюсь только защищёнными SSL HTTPS серверами.

Количество пакетов одно и тоже, независимо от того, что у них внутри: открытый трафик или шифртекст. Разумеется, трафик можно считать. Можно даже примерно сказать, что Вы качаете, а атаки типа site fingerprinting позволяют сказать, какие посещаете сайты (но это более критично с точки зрения анонимности: конкретное содержимое трафика эти атаки не восстанавливают). Но это всё не является прямой угрозой конфиденциальности передаваемых данных.


Про трафик понятно, действительно просто считаются пакеты и можно сказать, что прошло 20 Gb трафика или что-то ещё. А вот как сказать, что примерно качается? Ведь VPN вроде как это как раз и должен скрыть!? И как тут сказать, какие сайты я посещаю? Ведь с точки зрения стороннего наблюдателя, я посещаю адрес в США, принадлежащий Witopia. Откуда он может знать, какой именно IP мне присваивает Witopia, и куда я с ним иду дальше? Для этого, ИМХО, надо ещё и весь пул адресов Witopia отслеживать и сравнивать прохождение пакетов, а это уже не всем сторонним наблюдателям под силу. Или я не прав?
— SATtva (31/10/2008 22:01)   профиль/связь   <#>
комментариев: 11533   документов: 1036   редакций: 4084
И как тут сказать, какие сайты я посещаю?

Берём любую интересующую веб-страницу, скачиваем её и все её вложенные элементы: картинки, таблицы стилей, флэш-анимацию. Считаем объём каждого элемента (плюс его расположение в html-документе, которое обычно коррелирует с порядком загрузки). А затем, глядя на Ваш зашифрованный трафик, ищем в нём паттерны, соответствующие уже известной картине загрузки данный определённой страницы.

Атака нетривиальная, зависимая от множества факторов (заторы в сети, параметры кэширования у клиента, провайдера и бог знает где ещё) и требующая значительного объёма статистики.

А вот как сказать, что примерно качается?

Точно так же. Разные типы трафика имеют разные характеристики при передаче. Обычный сёрфинг отличается от отправки и получения почты, чат отличается от торрентов.
— Makovod (01/11/2008 00:33)   профиль/связь   <#>
комментариев: 15   документов: 5   редакций: 0
Обычный сёрфинг отличается от отправки и получения почты, чат отличается от торрентов.


С торрентами у меня было забавное приключение. Был в США, вечером перед отъездом выяснилось, что презентационный DVD не успели савториить, но пообщали, что всё доделают, пока я буду в самолёте. Чтобы не тратить время на закачку на рапиду или ещё куда, договорились, что ребята со своей машины напрямую отдают исошник по торренту.

Приехал никакой, быстро забежал в офис к партнёрам, поставил ноут, воткнул вилку в розетку, сетевой кабель, поставил торрент на закачку и ушёл спать, сказав америкосам, чтобы ничего не трогали. В гостинице сказал, что подам в суд на того, кто разбудит, мобилу вырубил и отключился. Наутро на reception мне говорят, что уже 8 раз звонили из офиса партнёров. Прихожу, а мне говорят, что их провайдер уже звонил и говорил, что к их сети кто-то подключился и качает торренты. Разобрались потом, конечно, но всё-таки они совсем там офигели со своим DMCA.
Берём любую интересующую веб-страницу, скачиваем её и все её вложенные элементы: картинки, таблицы стилей, флэш-анимацию. Считаем объём каждого элемента (плюс его расположение в html-документе, которое обычно коррелирует с порядком загрузки). А затем, глядя на Ваш зашифрованный трафик, ищем в нём паттерны, соответствующие уже известной картине загрузки данный определённой страницы.


Значит, врут малость продавцы услуг IPSec или SSL VPN, обещая полную анонимность.

А что делать, если хочется всё-таки усложнить задячу следящего? Представим себе, что я открываю VPN соединение, далеее в одном навигаторе запускаю онлайновое ТВ, типа Joost, в другом – потоковое радио, в третьем – ставлю на закачку исошник Ubuntu, ну а дальше работаю себе. Достаточно ли помех?
— Гость (01/11/2008 01:27)   <#>
А что делать, если хочется всё-таки усложнить задячу следящего?

После поднятия VPN на своей стороне ставите на скачку что-то тяжёлое (будет работать как покрывающий трафик), и одновременно работаете. На файерволле настраиваете нормализацию трафика на фиксированную скорость, чтобы весь недостаток трафика в единицу времени покрывался соответствующим покрывающим трафиком.

Впрочем, не вижу особого смысла для большинства в таких извратах. Если вы так сильно кому-то нужны, чтобы тщательно исследовать спектр вашего шифрованного трафика, то намного проще прийти к привайдеру услуг VPN, со всеми вытекающими последствиями. И насколько мне известно, все раскрытия анонимности, о которых потом было много шума в прессе, происходили не путём криптоанализа/утончёного_анализа_трафика и т.п. а банально либо взятием ключевых серверов, либо, при особо тяжёлых случаях – внедрением в сообщество. Нужно понимать, что это атаки совсем другого рода (умный в гору не пойдёт – умный гору обойдёт).
— SATtva (01/11/2008 09:49)   профиль/связь   <#>
комментариев: 11533   документов: 1036   редакций: 4084
Гость правильные вещи говорит. Если нужна анонимность — используйте Tor. Но помните, что даже он не защищает от site fingerprinting в полной мере.
— unknown (01/11/2008 13:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
fileвизуализация шифрованного трафика
— Makovod (02/11/2008 20:57)   профиль/связь   <#>
комментариев: 15   документов: 5   редакций: 0
Гость правильные вещи говорит. Если нужна анонимность — используйте Tor. Но помните, что даже он не защищает от site fingerprinting в полной мере.


Гостю большое человеческое спасибо за советы. Вообще, я не уверен, что возможно В ПРИНЦИПЕ создать 100% надёжную защиту. Даже если купить за налик в выбранном наугад месте компьютер, полностью переформатировать диски и установить минимальный набор ОС и приложений, держать всё это в отдельной экранированной закрытой комнате, чтобы исключить физический доступ и обновлять только через проверяемую флэшку, чтобы никакого Интернета ;-))), и то я не уверен, что не найдётся способ, если будет очень надо...

Что касается site fingerprinting, то где почитать побольше? Если я правильно понимаю, надо всё-таки либо мониторить исходящий от меня трафик + исходящий от VPN провайдера, либо догадываться, что я полез на некий сайт, смотреть исходящий от меня трафик, сравнивать с трафиком сайта, на который я теоретически полез, а затем делать сравнение.
— Makovod (02/11/2008 21:32, исправлен 02/11/2008 22:06)   профиль/связь   <#>
комментариев: 15   документов: 5   редакций: 0
После поднятия VPN на своей стороне ставите на скачку что-то тяжёлое (будет работать как покрывающий трафик), и одновременно работаете. На файерволле настраиваете нормализацию трафика на фиксированную скорость, чтобы весь недостаток трафика в единицу времени покрывался соответствующим покрывающим трафиком.


Именно по этой причине я и думал про потоковое видео и аудио, типа всяких ТВ через Интернет и радиостанций. Трафик они генерируют немалый, а объяснение ему лежит на поверхности: хотел кинишко позырить и музон послушать ;-))) Разумеется, всегда можно поставить что-то на закачку с http://www.tuxcds.com/, объяснить тоже просто.

Впрочем, не вижу особого смысла для большинства в таких извратах. Если вы так сильно кому-то нужны, чтобы тщательно исследовать спектр вашего шифрованного трафика, то намного проще прийти к привайдеру услуг VPN, со всеми вытекающими последствиями. И насколько мне известно, все раскрытия анонимности, о которых потом было много шума в прессе, происходили не путём криптоанализа/утончёного_анализа_трафика и т.п. а банально либо взятием ключевых серверов, либо, при особо тяжёлых случаях – внедрением в сообщество. Нужно понимать, что это атаки совсем другого рода (умный в гору не пойдёт – умный гору обойдёт).


Во-первых, желательно, разумеется, чтобы провайдер VPN был не из той же страны, что и основной провайдер. Тогда замучаются друг к другу ходить в гости!


Во-вторых, я регулярно мотаюсь в командировки за рубеж и работаю в офисах партнёров, а живу в гостиницах, где тоже пользуюсь Интернетом. Не секрет, что сейчас они все помешаны на пиратстве, Р2Р, авторских правах и прочем. Слово торрент является матерным... Некоторое время назад, во время одной командировки, меня компьютерный гуру партнёров отвёл в бар "отметить знакомство" и, заложив как следует за воротник, по секрету рассказал, что самый большой начальник лично приказал мониторить весь трафик компании и писать всё то, что можно использовать как компромат. Не совсем законно, точнее совсем незаконно, но пока никто не знает... И долго хвастался мне чувак, как он читает переписку одного из боссов с любовницей, имеет информацию о том, кто подумывает сменить работу, посещая соответствующие сайты, держа в порядке резюме и отвечая на все вопросы head hunters, и так далее. Разумеется, весь P2P трафик тоже мониторится, чтобы, если надо кого-то убрать, выложить ему и предложить уйти по собственному желанию...

Слушаю я это всё и понимаю, что накрылся вечерний сеанс скачивания кинишка на выходные ;-))) С тех пор использую VPN. Отмазка простая: мой компьютер в Москве принимает только SSL запрос с IP адресов моего VPN провайдера, иначе не зайти.

Я не думаю, что лично я кому-то нужен, но понятно, что крупные западные корпорации тайно или явно анализируют трафик и могут использовать малейшую возможность надавить, равно как и ISP тоже, в связи с новым законодательством, ставят программы автоматического анализа трафика, чтобы иметь возможность сдать клиентов по требованию "демократичного правосудия". Соответственно, моя задача – не попадать под все такого рода анализаторы и иметь возможность, если зададут вопрос, объяснить потребление трафика ;-)))

Задача именно в том, чтобы не было желания охотиться конкретно на меня, так как тут всё станет уже совсем сложно.
— Гость (03/11/2008 00:35)   <#>
Что касается site fingerprinting, то где почитать побольше? Если я правильно понимаю, надо всё-таки либо мониторить исходящий от меня трафик + исходящий от VPN провайдера, либо догадываться, что я полез на некий сайт, смотреть исходящий от меня трафик, сравнивать с трафиком сайта, на который я теоретически полез, а затем делать сравнение.

Здесь есть 2 момента:
  1. Анализируя лишь проходящий трафик иногда можно с хорошей точностью сказать, какого он типа (http/ssh/etc).
  2. Зная сайт, какой вы посещаете, можно доказать, что в зашифрованном трафике был имено посещение вами того сайта.
Методы статистические, работают не всегда, требуют длительного наблюдаения за пользователем, часто непрактичны, и, как правило, включают в себя элементы т.н. социальной инженерии.

Подробности можно поискать в гугле.

Во-первых, желательно, разумеется, чтобы провайдер VPN был не из той же страны, что и основной провайдер. Тогда замучаются друг к другу ходить в гости!

Смотря чем вы занимаетесь. Есть интерпол и межгосударственные соглашения. Здесь рассказывается о прецеденте, когда и не особо госсоглашений потребовалось для выдачи.

Разумеется, весь P2P трафик тоже мониторится, чтобы, если надо кого-то убрать, выложить ему и предложить уйти по собственному желанию...

И в РФ, и зарубежом, есть так называемые сормоподобные системы, которые пишут для спецслужб и прочих госведомств все ваши похождения в сети, даже не нужно никаких корпораций. Что же касается спецслужб, западных, те часто занимаются и добычей технологий, секретов, промышленным шпионажем.

ставят программы автоматического анализа трафика, чтобы иметь возможность сдать клиентов по требованию "демократичного правосудия".

Если ваш случай решается посредством "разделения секрета" между другими странами и РФ – прекрасно, но если они объединятся можете считать что смысла в VPN не было никакого, ибо трафик, выходящий из VPN перед входом в сеть, всё равно проходит пишущее спецоборудование, согласно закону.

Кстати, сейчас открываются перспективы для свободной музыки и фильмов. В порядке рекламы: http://www.jamendo.com – там много чего интересного есть, и всё официально бесплатно :)
— Makovod (03/11/2008 01:19, исправлен 03/11/2008 01:22)   профиль/связь   <#>
комментариев: 15   документов: 5   редакций: 0
Методы статистические, работают не всегда, требуют длительного наблюдаения за пользователем, часто непрактичны, и, как правило, включают в себя элементы т.н. социальной инженерии.


Я же говорю, надо сделать так, чтобы не было интереса заниматься тобой конкретно.

Подробности можно поискать в гугле.


Ничего секретного, к счастью. Всё, что мне можно пришить, это торренты и прочие сгоны с рапиды. В РФ пока всем всё это по фигу, но не на Западе.

И в РФ, и зарубежом, есть так называемые сормоподобные системы, которые пишут для спецслужб и прочих госведомств все ваши похождения в сети, даже не нужно никаких корпораций. Что же касается спецслужб, западных, те часто занимаются и добычей технологий, секретов, промышленным шпионажем.


Даже если пишут действительно ВСЁ, в чём я всё-таки малость сомневаюсь, почему тогда нет огромного количества процессов пиратов и прочее? Ведь это реальные деньги в копилку государства и тех же корпораций, которые сейчас с трудом доводят до суда 50-100 дел, в зависимости от страны.
— Makovod (03/11/2008 01:26)   профиль/связь   <#>
комментариев: 15   документов: 5   редакций: 0
Кстати, ещё вопрос. Некоторые VPN провайдеры говорят, что не хранят логи. Что тогда? Представим себе, что есть доказательства того факта, что в такой-то день я был подключён в VPN провайдеру 3 часа. Также есть, согласно закона, запись исходящего трафика провайдера за это время. Но без логов мы имеем всё-таки лишь презумпцию, но никак не доказательства.
— Гость (03/11/2008 03:07)   <#>
Даже если пишут действительно ВСЁ, в чём я всё-таки малость сомневаюсь, почему тогда нет огромного количества процессов пиратов и прочее?

Пишут всё = пишут, к примеру, урлы к кторым вы обращались по http. Запись для всех и всего передаваемого трафика, естественно, не подразумевается.

А процессов нет... массово, потому что не было команды из центра "брать". Важно, чтобы все были потенциальными нарушителями, а возьмут вас тогда, когда это будет целесообразно. На данный момент итак все тюрьмы переполнены.

Некоторые VPN провайдеры говорят, что не хранят логи. Что тогда?

"Никогда не ставь свою безопасность в зависимость от благородства <подставить_нужное>." ©

Представим себе, что есть доказательства того факта, что в такой-то день я был подключён в VPN провайдеру 3 часа. Также есть, согласно закона, запись исходящего трафика провайдера за это время. Но без логов мы имеем всё-таки лишь презумпцию, но никак не доказательства.

Похоже, вы плохо представляете себе как работает СОРМ. Естественно, что там предусмотрены механизмы соотношения трафика с конкретным пользователем, даже если их и нет по умолчанию (без паспорта и указания адреса сейчас зачастую провайдеры не подключают). Логи аппаратуры СОРМ сертифицированы для дачи показаний в суде. Вы можете утверждать что злоумышленник воспользовался вашим аккаунтом или ещё что-либо подобное, но решать будет суд исходя из своих субьективных ощущений кто прав а кто врёт.
— Гость (11/12/2008 11:54)   <#>
Некоторые VPN провайдеры говорят, что не хранят логи. ... Запись для всех и всего передаваемого трафика, естественно, не подразумевается

Приказ Мининформсвязи № 6 от 16 января 2008 г. «Об утверждении требований к сетям электросвязи для проведения оперативно-розыскных мероприятий»
— Гость (05/01/2009 12:18)   <#>
Если впн находиться не в России, его владельцы могут по своему желанию установить сорм? Иначе говоря, как они получають лицензию на такую деятельность если его не поставят?
На страницу: 1, 2 След.
Общая оценка документа [показать форму]
средний балл: +2.88респондентов: 8