Verkeersdecodering. Hoe de FSB het verkeer zal decoderen. Zoekverkeer of organisch

Goededag! Vandaag zullen we het hebben over wat verkeer is? Dit woord is van toepassing op verschillende gebieden, maar is vooral vaak op internet te vinden. In feite zijn alle online inkomsten daarop gebaseerd.

Verkeer wel in wezen beweging, activiteit, overgang van de ene plaats naar de andere. Het kan veel of weinig zijn, het kan snel of langzaam zijn. Het woord verkeer zelf betekent beweging in vertaling uit het Engels!

Laten we nu eens nadenken Waarom hebben we verkeer nodig?? Elk gebied heeft het nodig voor zijn eigen speciale behoeften. Op IT-gebied geeft dit bijvoorbeeld het aantal megabytes aan. Als dat zo is, kunt u online gaan, maar downloadt u een film, muziek of iets anders, afhankelijk van het volume dat u moet kopen.

Webmasters hebben het vaak nodig om geld te verdienen en iedereen streeft ernaar om zoveel mogelijk van deze waardevolle beweging op hun website te hebben!

Soorten verkeer

Laten we nu eens kijken naar alle soorten verkeer die ik heb gevonden!

Autoverkeer

Onder dergelijk verkeer wordt het aantal auto's op elk punt verstaan. Tijdens de lunchpauze kunnen bijvoorbeeld 500 van hen binnen een uur een bepaalde straat passeren. En dit is veel autoverkeer.

Eigenaars van autodealers kunnen zich soms afvragen hoe ze verkeer naar een autodealer kunnen trekken? Hiermee bedoelen ze gewone klanten, kopers. Om aan te trekken, hoef je alleen maar reclame te gebruiken, dat is alles!

Voor verschillende onderzoeken moet het autoverkeer worden gemeten. Er zijn zowel automatische als handmatige meetmethoden.

Wegverkeer of wegverkeer kan de mate van vervuiling op een bepaalde locatie weergeven. Hoe meer auto’s daar passeren, hoe groter de ophoping van gassen in dit gebied.

Voetgangersverkeer

Deze soort bestaat puur uit degenen die zebra's gebruiken. Ik denk dat dieren ook tot deze soort kunnen worden gerekend. Soms verhuizen ze immers ook naar een speciaal aangewezen plek.

Voetgangersverkeer bestaat in essentie uit mensen die over een gestreepte weg lopen – een zebrapad!

Soms kan zwaar voetgangersverkeer problemen veroorzaken voor automobilisten, dus er zijn diensten die het volume ervan controleren. Al heb ik persoonlijk nog nooit zoiets in de praktijk gezien.

Maritiem verkeer

Dit is de beweging van verschillende zeewaardige schepen. Bijvoorbeeld zoals boten, schepen, stoomschepen en anderen! Mensen zoeken vaak naar deze zin op internet om de beweging van het maritieme verkeer in realtime te achterhalen! Verrassend genoeg is er echt een kaartweergave op internet. U kunt naar binnen gaan en kijken waar de gewenste boot zich bevindt!

Wat is verkeer in de handel?

Deze zin verwijst naar het aantal klanten dat naar de winkel kwam en iets kocht. Hetzelfde kan gezegd worden over het verkeer in het bedrijfsleven. Dit zijn gewoon mensen die iets kwamen halen en er hun geld voor teruggaven.

Meestal wordt verkeer via internet verhandeld, maar het kan ook in het dagelijks leven worden verkocht. Bijvoorbeeld door iemand een product aan te bevelen dat in een bepaalde winkel wordt verkocht. Bovendien moet u een overeenkomst hebben met de eigenaar van de winkel en moet hij begrijpen welke klant vandaag van u komt. Als dit lukt, betaalt de eigenaar van het etablissement een percentage voor de komst van de koper!

Wat is verkeer op internet?

Onder dit woord op internet kunnen twee aanduidingen worden onderscheiden:

  1. Aantal megabytes, gigabytes.
  2. Het aantal bezoekers op een van de sites.

Het eerste internetverkeer, ook wel netwerkverkeer genoemd- dit is het moment waarop u online wilt gaan. Hiervoor heeft u een pakket nodig met de hierboven genoemde maateenheden. Heel vaak wordt dit beperkt door mobiele operators. Voor een thuiscomputer kunt u tegen een vast abonnementsbedrag verbinding maken met vast internet. Voor 400 roebel kun je bijvoorbeeld zoveel films, muziek en andere bestanden downloaden als je wilt. Hier kan de beperking alleen liggen in de snelheid volgens uw tarief. Dit bedrag betaal je één keer per maand!

Op mobiel internet kun je met dit geld bijvoorbeeld een maand lang 3-5 GB kopen en dat is alles. Als het opraakt, koop je ofwel meer tegen een niet erg gunstige prijs, ofwel wacht je tot de verbindingsperiode is verstreken. U hebt bijvoorbeeld op 1 mei 2 GB aangesloten, maar deze op de 7e van dezelfde maand opgebruikt. Dit betekent dat u de resterende 23 dagen zonder internet moet zitten, extra moet betalen of het tarief moet wijzigen.

Mijn internetverkeer bedraagt ​​7 GB per week, tarief Zabugorishche! Dit is internet van MTS voor 600 roebel. Betaling eens in de zeven dagen voor 150 roebel. Dergelijke omstandigheden bevallen mij best goed, vooral omdat zeven gigabyte voor nieuwe gebruikers is. Ik heb eerder verbinding gemaakt en kan zonder beperkingen zoveel downloaden als ik wil, met een gematigde snelheid.

Tweede internetverkeer weergegeven of web is het verkeer naar elke bron op internet. Dagelijks bezoeken bijvoorbeeld zo’n 400 – 450 mensen mijn blog op internet! Als gevolg hiervan kan ik zeggen dat mijn verkeer vierhonderd bezoekers per dag bedraagt!

Ik denk dat het verkeer op internet nu zelfs voor dummies duidelijk is!

Wat is mobiel verkeer?

In wezen zijn dit mensen die naar u toe komen via een apparaat: een telefoon! Sommige mensen vragen zich misschien ook af: wat is verkeer op mobiel internet? Welnu, dit is de hoeveelheid internetverkeer die hierboven is besproken!

Als u een melding ontvangt dat er weinig verkeer meer is, betekent dit dat het internet binnenkort wordt uitgeschakeld. Meestal gebeurt dit nadat het aantal megabytes 10 of 50 is.

Gestimuleerd verkeer

Dit soort verschijning betekent dat iemand iets heeft gedaan op verzoek van iemand. U heeft zich bijvoorbeeld geregistreerd voor een van de partnerprogramma's, online games. Als u er 1 persoon naartoe brengt, krijgt u 20 roebel. Het gevolg is dat je de taak bij een speciale dienst gaat uitvoeren. Vraag mensen om zich te registreren voor een beloning van 5 roebel. Uw winst bedraagt ​​15,- nettowinst! De persoon infiltreerde het spel omdat je hem vroeg om het voor geld te doen.

Gericht of thematisch verkeer

Ik zal je over deze optie vertellen aan de hand van het voorbeeld van een VKontakte-groep of community. Een man creëerde iets soortgelijks en verzamelde daar iedereen die geïnteresseerd was in de release van een nieuwe iPhone. Veel mensen willen het gewoon graag kopen! Laten we zeggen dat er 20.000 mensen waren! En dus betrad hij de markt, zonder er twee keer over na te denken vond de auteur een echte winkel met een partnerprogramma van 5%, meestal zijn de kortingen in officiële winkels klein. Maar daarnaast maakte ik me druk en vond een affiliate-exemplaar. Niet iedereen kan het origineel betalen. Ik heb de community twee opties aangeboden! En als gevolg daarvan ontving ik een goed inkomen van meer dan 100.000 roebel! En omdat al deze mensen geïnteresseerd waren in kopen, bereikten ze hen met gericht of thematisch verkeer!

Nou ja, niet gericht, dit betekent bijvoorbeeld dat een advertentie voor een DNS-laptop naar iemand gaat die droomt van een computer van MSI. In feite is dit een dummy, geldverspilling, omdat hij het niet wil aannemen.

Wat is deurverkeer?

Ik zal het nogmaals aantonen met een voorbeeld! Er is veel concurrentie op internet bij de verkoop van vrijwel elk product of elke dienst. Daarom volgen sommige mensen het volgende pad om dit obstakel te omzeilen en geld te verdienen met partnerprogramma's:

  1. Ze kiezen het product waarmee ze geld willen verdienen.
  2. Ze zijn niet op zoek naar een zeer competitieve zin uit deze niche, maar zo dat deze vaak in de zoekopdracht wordt opgenomen.
  3. Ze maken een website met een domein voor alleen dit zoekwoord.

Hierdoor is de site specifiek gewijd aan een product, bijvoorbeeld een actiecamera of een waterslang. Welnu, als dit het geval is, probeert de zoekmachine, met name Yandex, deze zo hoog mogelijk te plaatsen. Als gevolg hiervan komen mensen binnen en sommigen van hen kopen verkeer.

Kortom, verkeer komt via de deuropening of een site die is afgestemd op een specifiek partnerprogramma.

Verwijzingsverkeer

Eigenaren van partnerprogramma's gebruiken deze zin zeker! Ze tellen hoeveel directe verkopen ze hebben gerealiseerd en hoeveel afkomstig is van verwijzingsverkeer, ook wel affiliate-verkeer genoemd.

Dat wil zeggen: als u een affiliate bent en bezoekers naar het product leidt, zal de producteigenaar u een verwijzing noemen.

Of we kunnen zeggen dat dit een gebruiker is die via iemands verwijzingslink naar de service is gekomen. En toen bracht hij via zijn link meer mensen naar hetzelfde project! Wat later verwijzingsverkeer kan worden genoemd.

Uitgaand en inkomend

Meestal geldt dit voor het internettarief op uw computer. Als je een programma gebruikt om er rekening mee te houden of als je een mobiel modem hebt, bijvoorbeeld van MTS, dan heb je waarschijnlijk gemerkt dat daar een grafiek staat. Daarnaast zijn er opschriften voor inkomend en uitgaand verkeer. Terwijl u op internet surft, wisselt u gegevens uit met een server op een andere computer. Een deel ervan verdwijnt en het andere deel komt naar je toe in de vorm van software, films, afbeeldingen, muziek, enz.

Videoverkeer

Dit zijn in wezen gebruikersconversies met behulp van video-inhoud. Op YouTube kun je bijvoorbeeld links onder de video plaatsen of links in de clip zelf invoegen. Actieve en populaire YouTubers kunnen een groot aantal doelgroepen aantrekken!

Zoekverkeer of organisch

Dat wil zeggen, dit is verkeer van zoekmachines! Laten we zeggen dat iemand op zoek is naar een flashdrive en dat de zoekmachine veel sites retourneert. Welnu, als hij naar een van hen gaat, wordt deze bezoeker voor de site als organisch beschouwd! Soortgelijke overgangen kunnen afkomstig zijn van verschillende zoekmachines, bijvoorbeeld van Yandex, Google, Mail, enz.

Direct verkeer

Ik begin meteen met een voorbeeld. Je hebt een vriend en hij heeft onlangs een sapcentrifuge gekocht in een online winkel. Deze service leverde hem 20% korting op en leverde hem zelfs een set bekers op! Kijkend naar je vriend, wilde je met zo'n actie ook iets kopen in deze winkel. En vraag hem daarom naar het exacte adres. Hij geeft het natuurlijk en dus ga je naar de site, breng een direct bezoek zonder enig systeem. We typten het adres in en gingen naar de hoofdpagina van het project. Dit betekent dat u direct verkeer naar deze winkel bent geworden.

Verkeer uit context

Veel mensen die hun diensten of producten proberen te verkopen, doen contextueel adverteren op internet. Dit is een advertentie die u waarschijnlijk heeft gezien tijdens het lezen van artikelen op internet.

Welnu, als iemand op een advertentie in de tekst heeft geklikt en naar het product is gegaan, wordt dit verkeer uit de context genoemd!

Wat is fraudeverkeer?

Dit type duidt op niet geheel schoon verkeer. Vertaald uit het Engels betekent het woord fraude fraude. Voor adverteerders betekent dit soort bezoek geldverlies. Hoe kan dit gebeuren?

Veel gebruikers realiseren zich niet dat deze gegevens gemakkelijk kunnen worden onderschept door een login en wachtwoord in te vullen bij het registreren of inloggen op een gesloten internetbron en op ENTER te drukken. Heel vaak worden ze in onbeveiligde vorm over het netwerk verzonden. Als de site waarop u probeert in te loggen het HTTP-protocol gebruikt, is het daarom heel eenvoudig om dit verkeer vast te leggen, te analyseren met Wireshark en vervolgens speciale filters en programma's te gebruiken om het wachtwoord te vinden en te decoderen.

De beste plaats om wachtwoorden te onderscheppen is de kern van het netwerk, waar het verkeer van alle gebruikers naar gesloten bronnen (bijvoorbeeld e-mail) of vóór de router gaat om toegang te krijgen tot internet, bij registratie op externe bronnen. We hebben een spiegel opgezet en we zijn klaar om ons een hacker te voelen.

Stap 1. Installeer en start Wireshark om verkeer vast te leggen

Soms is het hiervoor voldoende om alleen de interface te selecteren waarmee we verkeer willen vastleggen en op de Start-knop te klikken. In ons geval nemen we op via een draadloos netwerk.

Het vastleggen van het verkeer is begonnen.

Stap 2. Filteren van vastgelegd POST-verkeer

We openen de browser en proberen in te loggen op een bron met een gebruikersnaam en wachtwoord. Zodra het autorisatieproces is voltooid en de site is geopend, stoppen we met het vastleggen van verkeer in Wireshark. Open vervolgens de protocolanalysator en zie een groot aantal pakketten. Dit is waar de meeste IT-professionals het opgeven, omdat ze niet weten wat ze vervolgens moeten doen. Maar we kennen en zijn geïnteresseerd in specifieke pakketten die POST-gegevens bevatten die op onze lokale machine worden gegenereerd bij het invullen van een formulier op het scherm en naar een externe server worden verzonden wanneer we op de knop ‘Inloggen’ of ‘Autorisatie’ in de browser klikken.

We voeren een speciaal filter in het venster in om vastgelegde pakketten weer te geven: http.verzoek.methode == “NA"

En we zien, in plaats van duizenden pakketten, er maar één met de gegevens die we zoeken.

Stap 3. Zoek de login en het wachtwoord van de gebruiker

Klik snel met de rechtermuisknop en selecteer het item in het menu Volg TCP Steam


Hierna verschijnt tekst in een nieuw venster dat de inhoud van de pagina in code herstelt. Laten we de velden "wachtwoord" en "gebruiker" zoeken, die overeenkomen met het wachtwoord en de gebruikersnaam. In sommige gevallen zullen beide velden gemakkelijk leesbaar zijn en zelfs niet gecodeerd, maar als we verkeer proberen vast te leggen bij toegang tot zeer bekende bronnen zoals Mail.ru, Facebook, VKontakte, enz., Dan wordt het wachtwoord gecodeerd:

HTTP/1.1 302 gevonden

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV ONZE OTRO STP IND DEM"

Set-Cookie: wachtwoord= ; vervalt=do, 07-nov-2024 23:52:21 GMT; pad=/

Locatie: ingelogd.php

Inhoud-lengte: 0

Verbinding: dichtbij

Inhoudstype: tekst/html; tekenset=UTF-8

In ons geval dus:

Gebruikersnaam: netwerkguru

Wachtwoord:

Stap 4. Bepaal het coderingstype om het wachtwoord te decoderen

Ga bijvoorbeeld naar de website http://www.onlinehashcrack.com/hash-identification.php#res en voer ons wachtwoord in het identificatievenster in. Ik kreeg een lijst met coderingsprotocollen in volgorde van prioriteit:

Stap 5. Het gebruikerswachtwoord decoderen

In dit stadium kunnen we het hashcat-hulpprogramma gebruiken:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

Bij de uitgang ontvingen we een gedecodeerd wachtwoord: simplepassword

Met de hulp van Wireshark kunnen we dus niet alleen problemen in de werking van applicaties en services oplossen, maar onszelf ook als hacker uitproberen door wachtwoorden te onderscheppen die gebruikers in webformulieren invoeren. U kunt ook wachtwoorden voor gebruikersmailboxen achterhalen met behulp van eenvoudige filters:

  • Het POP-protocol en filter zien er als volgt uit: pop.request.command == "USER" || pop.request.command == "PASS"
  • Het IMAP-protocol en filter zijn: imap.request bevat "inloggen"
  • Het protocol is SMTP en u moet het volgende filter invoeren: smtp.req.command == "AUTH"

en serieuzere hulpprogramma's voor het decoderen van het coderingsprotocol.

Stap 6: Wat moet ik doen als het verkeer gecodeerd is en HTTPS gebruikt?

Er zijn verschillende opties om deze vraag te beantwoorden.

Optie 1. Maak verbinding wanneer de verbinding tussen de gebruiker en de server wordt verbroken en leg verkeer vast op het moment dat de verbinding tot stand wordt gebracht (SSL Handshake). Wanneer er een verbinding tot stand is gebracht, kan de sessiesleutel worden onderschept.

Optie 2: U kunt HTTPS-verkeer decoderen met behulp van het sessiesleutellogbestand dat is opgenomen door Firefox of Chrome. Om dit te doen, moet de browser worden geconfigureerd om deze coderingssleutels naar een logbestand te schrijven (op FireFox gebaseerd voorbeeld) en u zou dat logbestand moeten ontvangen. In wezen moet u het sessiesleutelbestand van de harde schijf van een andere gebruiker stelen (wat illegaal is). Leg dan het verkeer vast en gebruik de resulterende sleutel om het te decoderen.

Verduidelijking. We hebben het over de webbrowser van een persoon wiens wachtwoord hij probeert te stelen. Als we bedoelen dat we ons eigen HTTPS-verkeer moeten ontsleutelen en willen oefenen, dan zal deze strategie werken. Als u het HTTPS-verkeer van andere gebruikers probeert te decoderen zonder toegang tot hun computers, zal dit niet werken - dat is zowel codering als privacy.

Nadat u de sleutels volgens optie 1 of 2 heeft ontvangen, moet u deze registreren in WireShark:

  1. Ga naar het menu Bewerken - Voorkeuren - Protocollen - SSL.
  2. Zet de vlag “SSL-records opnieuw samenstellen die meerdere TCP-segmenten overspannen”.
  3. “RSA-sleutellijst” en klik op Bewerken.
  4. Voer de gegevens in alle velden in en schrijf het pad in het bestand met de sleutel

Over decodering en analyse van gegevens die in realtime worden verzonden in netwerken van telecomoperatoren. De departementen bestuderen nu mogelijke technische oplossingen om dit voorstel te implementeren.

Een van de decoderingsopties die worden besproken, is het installeren van apparatuur op operatornetwerken die een MITM-aanval (Man in the Middle) kan uitvoeren. Om niet-gecodeerd en reeds gedecodeerd verkeer te analyseren, wordt voorgesteld om DPI-systemen te gebruiken, die al door telecombedrijven worden gebruikt om verboden sites te filteren.

Letterlijk onmiddellijk na het verschijnen van deze informatie werd het initiatief bekritiseerd door de internetgemeenschap. In het bijzonder de “profiel”-ombudsman in gesprek met een radiostation "Moskou spreekt" noemde decodering van gebruikersverkeer onaanvaardbaar.

Oprichter van de Internet Defense Society in zijn Facebook-account de door de autoriteiten voorgestelde methoden in detail geanalyseerd.

“MITM is een soort hackeraanval waarbij aanvaller P zichzelf in een gecodeerd kanaal tussen abonnees A en B plaatst, en wanneer A en B denken dat ze berichten naar elkaar coderen, coderen ze ze feitelijk allemaal naar P. waardoor berichten worden geopend , versleutelt ze vervolgens opnieuw en stuurt ze door”, legt de expert uit.

Het probleem bij het volbrengen van deze taak, schrijft Volkov, is het feit dat voor software die op internet wordt gebruikt, het proberen een certificaat te vervalsen om de inhoud opnieuw te versleutelen, op bedrog lijkt. Wanneer het besturingssysteem of de browser detecteert dat er een nepcertificaat is aangeboden, zullen ze dit onmiddellijk blokkeren.

In een gesprek met Gazeta.Ru merkte Volkov op dat het nieuwe initiatief van het departement realistischer lijkt dan volledige gegevensopslag, maar “hier en nu nog lang niet haalbaar is.”

De leidende virusanalist bij ESET Rusland is op zijn beurt van mening dat de voorstellen van de FSB, het Ministerie van Telecom en Massacommunicatie en het Ministerie van Industrie en Handel vanuit technisch oogpunt reëel zijn. “Tot nu toe beperken de initiatieven zich tot het analyseren van niet-versleuteld verkeer en het verzamelen van basisinformatie over gebruikers. Het nieuwe voorstel vereist mogelijk dat providers en gebruikers een speciaal digitaal certificaat in het systeem installeren om gecodeerd verkeer, bijvoorbeeld HTTPS, te analyseren”, vertelde hij aan Gazeta.Ru.

Gecodeerde buitenaardse wezens

De directeur van het informatie- en analysebureau TelecomDaily vertelde Gazeta.Ru dat het ontsleutelen van verkeer geen eenvoudig proces is. “De ministeries die deze taak op zich nemen, begrijpen niet helemaal dat ze dit misschien niet aankunnen”, voegde hij eraan toe.

De analist merkte op dat de kwestie van de activiteiten van buitenlandse bedrijven die verantwoordelijk zijn voor gebruikerscommunicatie nog steeds niet is opgelost. Allereerst hebben we het over boodschappers met end-to-end-codering.

“Ik zie geen veranderingen in de samenwerking met organisaties die juridisch gezien niet in Rusland gevestigd zijn. Maar bij onze bedrijven is het gemakkelijker; je kunt ze altijd onder druk zetten”, merkte Kuskov op.

Naast telecomoperatoren spreekt het antiterrorismepakket van amendementen over de zogenaamde organisatoren van informatieverspreiding. Sinds 2014 voorziet de Russische wetgeving voor hen in een eigen register, dat wordt bijgehouden door .

Momenteel bevat de lijst ongeveer 70 items. Onder hen zijn de sociale netwerken "VKontakte", "Odnoklassniki", "My Circle" en "Rambler", opslagfaciliteiten "Yandex.Disk", "[email protected]", portalen "Khakhbrahabr". “Roem”, datingsite “Mamba”, videodienst RuTube, blogplatform LiveInternet, image board “Dvach” en anderen.

Gedurende de gehele werkingsperiode was geen enkel buitenlands portaal of boodschapper in het register opgenomen.

“Als dergelijke plannen van de autoriteiten ten uitvoer worden gelegd, wordt voorspeld dat er boodschappers zullen verschijnen die extra bescherming bieden tegen aanvallen van het MITM-type. Bijvoorbeeld het mixen van een geheime sleutel in encryptie en het distribueren ervan onder abonnees. Simpel gezegd: het wachtwoord waarover de deelnemers aan de correspondentie het eens zijn”, vertelde de directeur van de beveiligingsafdeling van de Softline-bedrijvengroep aan Gazeta.Ru.

Hoe HTTPS te verbreken

Een bekende encryptiemethode is niet alleen end-to-end, maar ook HTTPS, een veilig protocol dat door websites wordt gebruikt.

Tegelijkertijd, later, praten met "Zwermen", hoofd van de Information Democracy Foundation, die zich bezighoudt met kwesties rond de IT-onafhankelijkheid van de Runet binnen de Islamitische Republiek Iran, noemde een dergelijk idee ‘onzin’.

Kuskov noemde in een gesprek met Gazeta.Ru ook een mogelijke stap naar volledige importvervanging onwaarschijnlijk.

“Mobiele communicatie wordt momenteel voor 100% geïmporteerd. Dit zijn niet alleen basisstations, maar een hardware- en softwarecomplex. Op dit moment is het onmogelijk om dit allemaal te vervangen.

Tot er een serieuze stap wordt gezet door het Ministerie van Telecom en Massacommunicatie en het Ministerie van Industrie en Handel, wordt er niets goeds in deze richting verwacht. Ik zie geen echte acties waarmee we kunnen zeggen dat Rusland in de nabije toekomst kan overstappen op binnenlandse apparatuur”, concludeerde de telecomexpert.

Mobiele operators weigerden commentaar te geven. Het Ministerie van Telecom en Massacommunicatie reageerde niet op het verzoek van Gazeta.Ru.

Journalisten van de Kommersant-publicatie leerden hoe overheidsdiensten de implementatie van de Yarovaya-wet in de praktijk zien.

Volgens Kommersant bespreken de FSB, het Ministerie van Telecom en Massacommunicatie en het Ministerie van Industrie en Handel momenteel een reeks technische oplossingen die decodering en daarmee de toegang tot al het internetverkeer van Russen mogelijk zullen maken, zoals vereist door de Yarovaya Wet. Journalisten verwijzen naar informatie ontvangen van een topmanager van een van de apparatuurfabrikanten, een lid van de presidentiële administratie (AP), evenals een niet nader genoemde bron bij een IT-bedrijf.

“Het heeft geen zin om exabytes aan versleuteld internetverkeer op te slaan; daar vind je niets in. De FSB pleit ervoor om al het verkeer in realtime te ontsleutelen en het te analyseren op basis van belangrijke parameters, relatief gesproken, volgens het woord ‘bom’, en de ministeries staan ​​erop om het verkeer alleen te ontsleutelen voor die abonnees die de aandacht trekken van wetshandhavingsinstanties,’ zei AP-vertegenwoordiger voor journalisten.

Om niet-gecodeerd en reeds gedecodeerd verkeer te analyseren, is het de bedoeling om DPI-systemen (Deep Packet Inspection) te gebruiken, die nog steeds door veel operators worden gebruikt, bijvoorbeeld voor URL-filtering op basis van lijsten met verboden sites.

Gecodeerd verkeer veroorzaakt problemen voor overheidsdiensten. “Er zijn een groot aantal sites op internet die geen organisatoren zijn van de verspreiding van informatie en een beveiligde https-verbinding gebruiken”, leggen de gesprekspartners van de publicatie uit. “Zonder het decoderen van het verkeer is het niet altijd mogelijk om te begrijpen welke site de gebruiker is bezocht, om nog maar te zwijgen van wat hij daar deed " Een van de besproken opties voor het ontsleutelen van verkeer is dus het installeren van apparatuur in operatornetwerken die daadwerkelijk MITM-aanvallen zullen uitvoeren:

“Voor de gebruiker doet deze apparatuur zich voor als de gevraagde site, en voor de site doet het zich voor als de gebruiker. Het blijkt dat de gebruiker een SSL-verbinding tot stand zal brengen met deze apparatuur, en deze verbinding met de server waartoe de gebruiker toegang heeft gehad. De apparatuur decodeert het verkeer dat van de server wordt onderschept, en voordat het naar de gebruiker wordt verzonden, wordt het opnieuw gecodeerd met een SSL-certificaat uitgegeven door een Russische certificeringsinstantie (CA). Om te voorkomen dat de browser van de gebruiker hem waarschuwt voor een onbeveiligde verbinding, moet de Russische CA worden toegevoegd aan de vertrouwde rootcertificeringsinstanties op de computer van de gebruiker.”

Journalisten schrijven dat Ilya Massukh, hoofd van de subgroep ‘IT+Sovereignty’ onder de presidentiële regering, eerder bevestigde dat er inderdaad plannen zijn om een ​​dergelijk certificeringscentrum op te richten. Of deze CA zal worden gebruikt om de “Yarovaya-wet” te implementeren, is echter nog onbekend.

Anton Sushkevich, oprichter van NVision Group en mede-eigenaar van de fabrikant van telecommunicatieapparatuur RDP.RU, hoorde ook van het voorstel om verkeer te decoderen.

“De twee belangrijkste coderingsmethoden op internet zijn end-to-end, wat erg populair is in instant messengers, en SSL-certificaten. Met hun hulp wordt ongeveer 80% van het internetverkeer gecodeerd. Om de taak van de Yarovaya-wet te vervullen, namelijk het bestrijden van terrorisme, is het noodzakelijk om het verkeer live te decoderen en te analyseren, en niet enige tijd later. Het organiseren van MITM is een van de mogelijke manieren”, zegt Sushkevich.

Kommersant vroeg ook de mening van experts over deze kwestie, en zij uitten enige scepsis over het beschreven plan.

“Wanneer dit feit bekend wordt, wordt bij de volgende update het certificaat van zo’n certificeringsinstantie verwijderd van alle software die met versleuteld verkeer werkt. En dit zal juist zijn, omdat de mogelijkheid om “verkeerde” certificaten aan te maken alle e-commerce in diskrediet brengt: alle bankkaarten en inloggegevens van alle gebruikers in alle systemen worden onderschept”, legt ARSIENTEC-hoofd Denis Neshtun uit.

“MITM werkt goed, en op sommige plaatsen legaal, voor op SSL gebaseerde client-server-technologieën. Maar ze begonnen het steeds vaker achter zich te laten en stapten over op TLS, waarvoor MITM vandaag de dag niet mogelijk is. En in het geval van end-to-end encryptie, waarop de meeste instant messengers zijn gebouwd, is MITM over het algemeen niet te implementeren”, zegt Cisco Internet security consultant Alexey Lukatsky.

Ik wil u eraan herinneren dat organisatoren van de verspreiding van informatie volgens de Yarovaya-wet de informatie moeten verstrekken die nodig is om ontvangen, verzonden, afgeleverde en (of) verwerkte elektronische berichten van gebruikers aan de geautoriseerde eenheid van de FSB te decoderen.

‘Organisatoren van informatieverspreiding’ worden op hun beurt beschouwd als ‘personen die zich bezighouden met activiteiten om de werking van informatiesystemen en (of) programma’s te garanderen’ die worden gebruikt om ‘elektronische berichten van internetgebruikers te ontvangen, verzenden, bezorgen en (of) verwerken. ” Dat wil zeggen, dit zijn bijna alle services waarmee berichten worden verzonden, zoals instant messenger of e-mail.

De gesprekspartners van Kommersant zijn van mening dat “buitenlandse bedrijven eenvoudigweg niet aan deze eis zullen voldoen, en dat Russische bedrijven na talloze eisen de sleutels kunnen overhandigen.”

HTTP-compressie, die door de meeste sites wordt gebruikt om de omvang van de overgedragen gegevens te verkleinen, kan een ernstig veiligheidsrisico vormen als de site HTTPS gebruikt. Dit werd verklaard door veiligheidsexperts Dimitris Karakostas en Dionysis Zindros. Onderzoekers zijn erin geslaagd de exploitatie van een al lang bekende fout die het mogelijk maakt de decodering van HTTPS-verkeer te versnellen te verbeteren, en hebben een aanval uitgevoerd op blokcodes in een SSL/TLS-verbinding.

De aanval, genaamd BREACH (Browser Reconnaissance and Exfiltratie via Adaptive Compression of Hypertext), maakt gebruik van fouten in het gzip/DEFLATE-compressie-algoritme. De aanval werd voor het eerst bekend in 2013. Op de Black Hat USA-conferentie spraken onderzoekers Angelo Prado, Neal Harris en Yoel Gluck over aanvallen op SSL/TLS-streamcoderingen zoals RC4.

De nieuwe benadering van exploitatie wordt gedemonstreerd in het open source-framework Rupture, dat vorige week werd gepresenteerd op Black Hat Asia.

Tijdens het rapport demonstreerden experts twee succesvolle aanvallen op Gmail en Facebook-chat.

Om een ​​BREACH-aanval uit te kunnen voeren, moet de aanvaller het netwerkverkeer van het slachtoffer kunnen onderscheppen. Dit kan via een Wi-Fi-netwerk, of via toegang tot de apparatuur van een internetprovider. De aanvaller zou ook een kwetsbaar deel van de applicatie moeten ontdekken dat invoer via parameter-URL's accepteert en die gegevens in een gecodeerd antwoord retourneert.

In het geval van Gmail bleek deze applicatie zoeken op de site voor mobiele apparaten. Als de zoekopdracht namens een geautoriseerde gebruiker wordt gedaan, wordt er ook een authenticatietoken aan het antwoord toegevoegd. Dit token wordt gecodeerd in het antwoord. Elke keer dat de zoekreeks overeenkomt met een deel van het token, zal de grootte van het antwoord aan de client echter kleiner zijn, omdat identieke tekenreeksen in het antwoord worden gecomprimeerd.

Een aanvaller kan de clienttoepassing dwingen een groot aantal verzoeken te verzenden en zo alle tekens in het authenticatietoken te raden.

Met het Rupture-framework kunt u speciale code injecteren in elk niet-gecodeerd HTTP-verzoek dat door de browser van het slachtoffer wordt geopend. De geïnjecteerde code zorgt ervoor dat de clientbrowser op de achtergrond verbinding maakt met de kwetsbare HTTPS-applicatie. Dit is nodig om een ​​succesvolle aanval uit te voeren op blokcijfers, die veel ‘ruis’ veroorzaken bij het versleutelen van gegevens. Om rommel te elimineren, stuurden de onderzoekers meerdere keren achter elkaar dezelfde verzoeken en analyseerden ze het verschil in de grootte van de ontvangen antwoorden. De experts slaagden er ook in om parallellisatie aan de browserkant te gebruiken, wat de aanval op blokcijfers in TLS-verbindingen aanzienlijk versnelde.



GERELATEERDE ARTIKELEN