Захват СОРМа
Каким образом (теоретически) Боб и Алиса удалённо(или находясь в той же сети, что и оборудование) могут взять под контроль СОРМ-2?
Будем считать, что "контроль" означает частичное, или полное выполнение следующих условий: Боб и Алиса знают за кем ведётся полное наблюдение, имеют доступ к перехваченному трафику, статистике соединений, или другой, собираемой/собранной информации. Боб и Алиса могут модифицировать информацию к которой имеют соответствующий доступ. Они в состоянии вырубить СОРМ, и.т.д.
Они не диверсанты и не террористы, и даже не бандиты... У них нет желания применять насилие, или прокрадываться в помещение где установленно оборудование. Они оба постоянно наизмене, никому не доверяют, им кажется, что за ними постоянно следят, они- параноики,- а это практически полностью исключает возможность привлечения к поставленной задаче третье лицо.
Иными словами,и проще говоря, их интересуют только хакерские приёмы.
Ссылки
[link1] https://www.pgpru.com/biblioteka/statji/prekrasnyjjnovyjjmirdljaproslushivanija
[link2] https://www.pgpru.com/biblioteka/statji/aktozaschiteameriki
[link3] https://www.pgpru.com/forum/politikapravorealjnyjjmir/ktoznaetpodrobnostirabotysormpozhalujjstapodelitesj
[link4] https://www.pgpru.com/comment26028
[link5] http://ru.wikipedia.org/wiki/1_апреля
[link6] https://www.pgpru.com/comment28332
[link7] http://www.footnote.com/documents/6283401/american-milestone-docume/
Вы попали не на тот форум. Здесь нет хакеров и здесь никого не учат заниматься противоправной деятельностью.
Если вы хотите избежать наблюдения СОРМ, то для этого есть средства анонимизации траффика, которые здесь обсуждались. Если вы хотите перехватывать чужой траффик, то вы совершаете преступление, и здесь вам не помогут.
А как же господин ntldr, где то писали, что он супер-пупер Хакер!?
Кстати, SATtva ни скажете, почему от ntldr давно нет постов, он навсегда "забил" на форум или вернется?
Насколько могу судить, ntldr пишет из-под гостя. Только вот не помню, чтобы он называл себя хакером (тем паче, "супер-пупер").
Теоретически-академически? Ну, может быть существуют ошибки переполнения в диссекторах трафика в той или иной реализации СОРМ-2 (в конце концов, её тоже люди пишут, правда, не стоит забывать, что это оборудование проходит сертификацию, в том числе, и на устойчивость к НСД), благодаря которым системе можно скормить произвольный код.
Только есть некоторые, мягко говоря, сложности. Во-первых, ни Алиса, ни Боб не смогут приобрести устройство для лабораторного анализа, не имея лицензии на оказание услуг связи и телематических служб (ну, может кто-то из поставщиков и закроет на это глаза, не знаю). Во-вторых, реализаций СОРМ-2 по крайней мере штук несколько, т.е. анализировать придётся все (да ещё, поди, и в разных версиях поставок/прошивок/софта). В-третьих, ни Алиса, ни Боб не узнают, какое именно оборудование СОРМ-2 стоит у их непосредственных провайдеров (а может ещё и у апстрима, в зависимости от ситуации). В-четвёртых, при атаке на реальную систему ни Алиса, ни Боб не смогут определить степень её успешности: СОРМ-2 стоит на параллельном канале и тихо слушает, он ничего не передаёт в сеть, а только на управляющую линию, идущую напрямую в УФСБ; если что-то пойдёт не так, Алиса и Боб скорее зажгут над своими башками по яркой сирене, поскольку сотрудники компетентной службы на пункте управления ясно увидят, что с оборудованием непорядок.
В общем, я не считаю, что оборудование СОРМ-2 неуязвимо, такого не бывает. Но сама архитектура системы такова, что атаковать её в реальных условиях крайне затруднительно.
Почему-то лучшие американские специалисты считают, что атаковать их системы прослушивания относительно легко, в силу самой природы таких систем, о чём упоминалось в статьях здесь[link1] и здесь[link2]. Причём это рассуждения не совсем посторонних специалистов, а тех кто частично привлекался к аудиту и проектированию. Что же они до такой гениально простой системы защиты прослушивающего оборудования не додумались, как у СОРМ-2, раз допускают, что с высокой долей вероятности у них в США оно может быть использовано ну если не просто хакерами, то зарубежными разведками? Хотя разработчики этого оборудования (коммерческие фирмы-контракторы) рекламируют его так, будто эти проблемы давно уже решены.
У фирм, разрабатывающих такое оборудование (у них и даже у нас) есть какие-то общие сведения, есть вакансии на должности программистов, с описанием знания определённых языков и IT-технологий, есть какие-то открытые нормативные документы, сопоставив всё это можно примерно представить, что там за ПО внутри, какие могут быть уязвимости. Подумать, каким путём и насколько оперативно его обновляют.
Кто-то может получить списки работающих лиц, график проведения работ, прочитать переписку, прослушать разговоры (не все линии даже в самых секретных организациях надёжно шифруются), получить доступ к документам с компьютеров разработчиков (опять же не всё хорошо защищается и своевременно уничтожается).
Вот чисто теоретически и на уровне общих соображений, конкретные советы мало кто давать захочет.
Т.е. хакерам и "чисто хакерскими методами" без помощи шпионов высокой квалификации не обойтись.
да, по квалификации это скорее работа для сотрудников зарубежной разведслужбы.
unknown, всё так, и Блэйза я тоже читаю, но автор темы в ТЗ писал:
Что-то сомневаюсь я, что вдвоём наша парочка такую задачу потянет...
Да я не вам ;-) Просто спрашивающий мог Блэйза вообще не читать и от вашего комментария сосатвить неполное мнение.
это скорее всего да. Да и не знают они толком, чего хотят, раз спрашивают.
Просто коммерческие фирмы продают решения и заинтересованы в создании мнения об из качестве, а спецслужбы "продают" проблемы – чем больше напугают, тем больше им дадут бюджетных денег. Соответственно каждый
врётпреувеличивает в свою сторону. ;)Наверное задача сродни написанию бота для теста тьюринга. Или как вариант: ботнет собирает некоторую статистику о неблагонадежных людях и потом как то ее симулирует.
Какую, откуда, как? Это как с профилированием террористов: исходных данных для сбора статистики нет или в них нет коррелирующих признаков.
Господин SATtva, вот Вы юрист. Смотрел я вчера "Квант милосердия". Ну, в детстве это все воспринимается как "игра в героев". Но ведь стоит задуматься... Пиф паф, агент 007 пострелял плохих и хороших. А как в жизни? Есть ли у НИХ какие-то принципы, или ИМ закон неписан? Я не буду про Россию и Вашу власть. Сам я из Украины. Конечно, людям все равно, когда каждый день в ДТП погибает ребенок. Но почему есть такие фильмы, и люди, когда их смотрять, просто ржут?
Если хотите – могу создать отдельную тему...
А я не смотрел, извините. Может дело в названном образовании. Хотя вряд ли.
Да уж, пожалуйста. Раз есть люди, которых хлебом не корми, а дай пофлудить на неотносящиеся к обсуждаемой теме вопросы, то пусть хоть до посинения делают это в специально отведённом месте.
По спецификации, с которой я ознакомился по ссылке со страницы https://www.pgpru.com/forum/po.....zhalujjstapodelitesj[link3] получается, что СОРМ, это грубо говоря, компьютер, куда система, стоящая у прова, передает инфу.
Почему его нельзя атаковать?!
Потому что физически он не соединён с инетом либо не дозволено соединение с кем попало, а только со специальными компами, осуществляющими сорм на стороне прова. С точки зрения сетевых технологий сорм – обычный снифер. Снифер ничего не посылает в сеть.
Гость (29/03/2009 00:32), /comment26028[link4]
А если захватить контроль над компами у прова, к которым подсоединен СОРМ?! Ведь если кто-то захватит контроль над твоим компом, с которого ты снифишь, он же будет иметь контроль и над твоим снифером тоже?
Аппаратура СОРМ стоит под замком в опечатанном несгораемом шкафу или в специальном помещении, войти в которое могут только сотрудники ФСБ. Если под захватом Вы подразумеваете вооружённый штурм технологической площадки прова, такое может сработать.
Я имел ввиду программный, а не физический, контроль
Об этом я писал в начале дискуссии. Выполнение произвольного кода там — это и есть захват, грубо говоря (в реальности, укреплённое ядро ОС и поддержка мандатного контроля доступа делают выполнение произвольного кода в системе практически невозможным или существенно снижают потенциальный ущерб).
А СОРМ кстати на каких операционках работает, на UNiX подобных, или на винде?!
На заточенной винде где всё лишнее отключено. TCP/IP-стек тоже свой, не виндовый. Железо обычное, почти как на домашнем ПК.
И они хотят быть уверены в десятках миллилнов строк исходника? А обновления как ставят?
Похоже, что мы и в самом деле америаканская (или кто там теперь контролирует винду) колония :((
А вы уверены в миллионах страк исходника Linux вместе с миллионами строк исходников его прикладных пакетов? Когда софт затачивается под задачу, необходимость обновлений отпадает, ибо такая система работает как чёрный ящик с один интерфейсом: кнопкой reset. Именно для подобных систем и наизобретали всяике securelevel=1,2,3 и т.д. который выставляют параноидальный уровень защиты, и запрещают менять что-либо системное.
Удивительное рядом.
А мы обновляем и обновляем)
http://www.interface.ru/microsoft/news/n051209251.htm ФСБ одобрила Windows XP с российской криптографией
Там одобрение понимается в смысле соответствия неким "стандартам безопасности", а не в смысле "крайне высокого качества кода". Стандарты безопасности – это в т.ч. система мониторинга атак на целевую систему, комплекс мер, принимаемых в случае такой атаки, и позволяющий предотвратить рецидив, а также меры на случай вторжения, включая информативную систему логов, позволяющую предотвратить вторжения в будущем, и ещё много-много чего. Если вы возьмёте умолчальную установку и настройку UNIX (Linux, BSD не важно) то с удивлением обнаружите, что там таких систем включенных по умолчанию нет. Любой может заDoSить вас, если кто-то сломал – вряд ли у вас будет достаточно логов для понимания того как он сломал и что сделал в системе, и как предотвратить подобное в будущем. Почему такие системы по умолчанию не включены в поставку – потому что большинству (особенно на PC) этот функционал не нужен, т.к. он пораждает ограничения, проблемы в поддержке и сопровождении. А вот там, где происходит работа с тем или иным режимом тайны, и имеются специалисты соответствующего профиля для её охраны, оговоренный функционал необходим – вот здесь-то и приходят на помощь системы формальных оценок защищённости неким критериям, как то "ораньжевая", "красная книга" или голубая. Я, когда был начинающим unix'оидом, тоже посмеивался над использованием винды и системой сертификации... реальность же не так проста как иногда кажется :) Да и все нападки на винду можно было бы скоратить раз в 10, будь среднестатистический её пользователь немного пограмотнее...
Ну таже винда используется в системах наведения американских беспилотников – этаких летающих аппаратах для высокоточных убийств террористов в Афгане – "killer drone". Тоже на обычных писюках. Хотя грамотно настроеная ось реального времени там была бы уместнее.
Но когда речь идёт о крупных, а тем более государственных организациях, принципы здравого смысла и технической целесообразности часто отступают на второй план. У бюрократии свои законы. И принципы всех этих сертификаций и технических решений – тоже чисто бюрократические. если бы в штате был большой комплект специалистов по ДОСу или макинтошу и Бэйсику – то СОРМ и на них бы сделали, и критерий бы присвоили и гриф какой-надо поставили, какие проблемы? Хоть на игровых приставках, главное чтобы на бумаге всё выглядело посолиднее. Управляют то всем бюрократы.
Заводим тему "Перехват управления американским беспилотником". Хорошо-бы чтобы не пригодилось...
Я в этом не разбираюсь, но...
Это так?
Кстати, я тоже могу с серьёзным лицом заявить, что СОРМ использует dos и рассказать про надёжность, системы сертификации...
Я сказал об этом в смысле как "пример подхода". В своём посте я по приколу сказал и про голубую книгу, каковой вообще не существует. Есть другие книги, которые регламентируют и работу в сети.
Операционная система DOS не сертифицирована ФСТЭК, а значит о её применении не может быть и речи.
Помимо Windows мне удалось найти информацию о сертификации следующих ОС: ALT Linux (2004 год), RedHat (2006 год) и Mandriva (2009 год). Ну а СОРМ создавался в 90х годах.
... и с тех пор ни разу не апдейтился и не апгрейдился (по соображениям секретности и безопасности). Только специально обученные люди, с высоким уровнем допуска нажимали кнопку RESET, когда он слишком надолго зависал. И стирали с него пыль перед приездом начальства.
Эх, unknown, вот если б Вы сказали это днём раньше, можно было бы похихикать и спокойно разойтись. А теперь ведь придётся всерьёз задуматься.
На никсах также есть реализации СОРМ, но ввиду исторических причин, как написано выше – не только на них.
А что было днём раньше? Я что-то пропустил?
Днём раньше был день раньше[link5].
Было[link6] кем-то уже озвучено:
т.е домыслы относительно отсутствия апгрейда в принципе – это именно что домыслы.
Напоминаю, откуда пошли "ноги" у слов про reset:
Здесь не утверждается, что оборудование СОРМ – это чёрный ящик с кнопкой reset, а всего лишь высказываются общие соображения, что "есть системы под задачу", где часто дела обстоят "именно так". О том, так ли это в отношении СОРМ, я нигде не читал.
Млин. PGPru. Казалось бы, серьёзный сайт, российский причём. Может ещё валентинки дарить друг другу будем? Что самое интересное, это псевдопраздник вообще не имеет никакого отношения к России, и хватит скатываться до уровня европейских полудурков.
[off]
Ссылка битая. Кажется, все ссылки где есть кириллица, бьются. В конкретно этой банальное cp1251 -> utf8, т.е. текст, который был в utf-8, закодировали ещё раз в utf-8.
[/off]
http://ru.wikipedia.org/wiki/1_апреля
http://www.cd4user.net/e-books/cd_blue_book.shtml
http://ru.tech-faq.com/rainbow-books.shtml
http://www.osp.ru/text/print/302/20056.html
http://www.footnote.com/docume.....an-milestone-docume/[link7]
http://www.x-libri.ru/elib/maccb000/00000088.htm