Доброго вам дня! Сьогодні поговоримо про те, що таке трафік? Це слово стосується різних областей, але особливо часто його можна зустріти в інтернеті. По суті, весь заробіток у мережі побудований саме на ньому.

Трафік цепо суті рух, активність, перехід із одного місця до іншого. Його може бути багато або мало, він може бути швидким або повільним. Саме слово трафік означає в перекладі з англійської мови якраз рух!

Тепер подумаємо навіщо потрібний трафік? У кожній сфері він необхідний своїх особливих потреб. Наприклад, у IT сфері він позначає кількість мегабайт. Якщо вони є, ви можете вийти в інтернет, але завантажуєте фільм або музику, або ще що залежить від обсягу, який потрібно купити.

Вебмайстрам частіше він потрібний для заробіткуі кожен прагне щоб на його сайті цього цінного руху було якнайбільше!

Види трафіку

Зараз розберемо всі різновиди трафіку, які мені вдалось знайти!

Автомобільний трафік

Подібний трафік означає кількість автомашин у будь-якій точці. Наприклад, в обідню перерву на якійсь вулиці їх може проїхати 500 штук за годину. А це дуже великий трафік автомобілів.

Власники торгових авто точок часом можуть задуматися як залучити трафік до автосалону? Під цим вони мають на увазі звичайних клієнтів, покупців Для залучення просто потрібно використовувати рекламу ось і все!

Автотрафік необхідно заміряти для різноманітних досліджень. Існують як автоматичні способи, і ручні способи вимірів.

Трафік на дорогах або дорожній може показати рівень забруднення у певному місці. Адже чим більше автомобілів там проїде, тим більшим буде скупчення газів у цьому районі.

Пішохідний трафік

Подібний вигляд складається з тих, хто користується зебрами. Я гадаю, що до цього виду можна віднести і тварин. Адже вони іноді теж переходять за спеціально відведеним місцем.

Пішохідний трафік по суті це народ, який йде пофарбованою в смужку дорогою – зебри!

Іноді великий пішохідний трафік може спричинити складне становище для автомобілістів, тому існують служби, які ведуть спостереження за його кількістю. Хоча на практиці такого я особисто не зустрічав.

Морський трафік

Це пересування різних морських суден. Наприклад, таких як човнів, кораблів, пароплавів та інших! Часто люди запитують в інтернеті це словосполучення щоб дізнатися про рух морського трафіку в реальному часі! Напрочуд дійсно в мережі є відображення на карті. Ви можете зайти та подивитися де знаходиться потрібний кораблик!

Що таке трафік у торгівлі?

Під подібним словосполученням розуміють кількість клієнтів, які прийшли в магазин і щось купили. Те саме можна сказати і про трафік у бізнесі. Це просто люди, які прийшли і щось взяли, віддавши натомість свої гроші.

Найчастіше торгівля трафіком здійснюється на просторах інтернету, але його можна продати і у звичайному житті. Наприклад, порекомендувавши якийсь товар людині, що продається у певному магазині. Причому з власником торгової крамниці у вас має бути домовленість, і він повинен розуміти, який клієнт сьогодні прийде від вас. У разі успіху, господар закладу виплатить відсоток за прихід покупця!

Що таке трафік в Інтернеті?

Під цим словом у мережі можна виділити два позначення:

1. Кількість мегабайт, гігабайт.
2. Число відвідувачів на одному із сайтів.

Перший інтернет трафік, він же мережевий- це коли ви хочете вийти у мережу. Для цього потрібен пакет із зазначеними одиницями виміру. Дуже часто він обмежений у мобільних операторів. Для домашнього комп'ютера можна підключити дротовий інтернет за фіксовану абонентську плату. Наприклад, за 400 рублів ви можете качати скільки завгодно фільмів, музики та інших файлів. Тут обмеження може бути лише за швидкістю згідно з вашим тарифом. Цю суму ви платите раз на місяць!

У мобільному інтернеті на ці гроші на місяць можна взяти приміром 3-5 Гб і все. Якщо він закінчиться, тут або докупаєте за не дуже вигідну ціну, або чекаєте закінчення терміну підключення. Наприклад, ви підключили 2 Гб першого травня, але витратили їх вже до 7 числа цього ж місяця. Це означає, що 23 дні, що залишилися, доведеться посидіти без інтернету, або доплатити, або змінити тариф.

Мій інтернет трафік дорівнює 7Гб на тиждень, тариф Забугорище! Це інтернет від МТС за 600 рублів. Оплата разів на сім днів по 150 рублів. Подібні умови мене цілком влаштовують, тим більше, що сім гігабайт це для нових користувачів. Я ж підключився раніше і можу качати скільки завгодно без обмежень на помірній швидкості.

Другий наведений інтернет трафікабо Інтернет - це відвідуваність будь-якого ресурсу в Інтернеті. Наприклад, на мій блог в інтернеті заходять близько 400 – 450 людей на день! У результаті я можу сказати, що мій трафік дорівнює чотириста відвідувачів на добу!

Думаю, що таке трафік в інтернеті зрозуміло навіть для чайників!

Що таке мобільний трафік?

По суті це люди, які прийшли до вас через пристрій – телефон! Деякі люди можуть запитати, що таке трафік в мобільному інтернеті? Ну так ось ця кількість інтернет трафіку, про який йшлося вище!

Якщо надійшло повідомлення про те, що залишилося мало трафіку, це означає, що інтернет скоро відключать. Зазвичай подібне надходить після того, як кількість мегабайт дорівнює 10 або 50.

Мотивований трафік

Подібний вигляд означає, що людина щось зробив на чиєсь прохання. Наприклад, ви зареєструвалися в одній із партнерських програм, онлайн-ігри. За те, що приведете до неї 1 особу, вам заплатять 20 рублів. В результаті йдете та робите завдання на спеціальному сервісі. Просіть людей пройти реєстрацію за винагороду 5 рублів. Ваш прибуток складе 15 чистого прибутку! Людина впровадилася в гру, бо ви її попросили зробити це за гроші.

Цільовий трафік або тематичний

Розповім про цей варіант на прикладі групи в контакті чи спільноти. Створила людина щось подібне та зібрала туди всіх, хто зацікавлений у виході нового Айфона. Багато хто просто жадає його придбати! Набралося скажемо 20 000 людей! І ось він вийшов на ринок, автор недовго думаючи знайшов реальний магазин із партнерською програмою в 5%, зазвичай відрахування в офіційних магазинах маленькі. Але крім цього подметушився і знайшов партнерку копії. Не все ж таки можуть дозволити собі оригінал. Запропонував спільноті два варіанти! І в результаті отримав добрий дохід у розмірі понад 100 000 рублів! А тому що всі ці люди були зацікавлені у покупці вони били цільовим трафіком чи тематичним!

Ну а не цільовий це означає наприклад, що реклама ноутбука DNS йде на людину, яка мріє про комп'ютер від компанії MSI. По суті, це пустушка, марний злив грошей, адже він його не візьме.

Дорвейний трафік, що це?

Продемонструю знову ж таки на прикладі! В інтернеті дуже велика конкуренція у продажу майже будь-якого товару чи послуги. Тому деякі люди, щоб обійти цю перешкоду і заробити на партнерських програмах, йдуть наступним шляхом:

1. Вибирають продукт, на якому хочуть заробити.
2. Шукають не дуже конкурентну фразу з цієї ніші, але щоб її вводили в пошук часто.
3. Створюють сайт із доменом саме цього ключового слова.

У результаті сайт безпосередньо присвячений продукту, наприклад, екшен камері або водопровідному шлангу. Ну а якщо це так-то пошукова система зокрема Яндекс намагається виставляти його якомога вище. Зрештою люди заходять і деякі з них купують трафік.

Коротше кажучи, трафік йде з дорвею чи заточеного сайту під конкретну партнерку.

Реферальний трафік

Напевно, таке словосполучення використовують власники партнерських програм! Вони вважають скільки зробили прямих продажів, а скільки приніс реферальний трафік, він партнерський.

Тобто якщо ви є партнером і женете на продукт відвідувачів, то власник продукту називатиме вас рефералом.

Або можна сказати що це користувач, який прийшов за чиїмось реферальним посиланням на сервіс. А потім на цей проект за своїм посиланням привів ще людей! Яких надалі можна вже називати реферальним трафіком.

Вихідний та вхідний

Найчастіше подібне стосується інтернет тарифу на вашому комп'ютері. Якщо ви використовуєте програму для його обліку або у вас стоїть мобільний модем, наприклад, від МТС, то, напевно, помічали, що там є графік. Крім цього є написи вхідний та вихідний трафік. Ну так ось у процесі інтернет серфінгу ви обмінюєтеся із сервером на іншому комп'ютері даними. З них частина йде, а інша частина йде до вас у вигляді софту, фільмів, картинок, музики та ін.

Відео трафік

Це насправді переходи користувачів за допомогою відео контенту. Наприклад, ви можете на ютубі вказувати посилання під відео або втикати посилання в кліп. Активні та популярні ютубери здатні наводити величезну кількість цільових користувачів!

Пошуковий трафік чи органічний

Тобто це трафік із пошукових систем! Припустимо, людина шукає флешку і пошуковик видає масу сайтів. Ну от, якщо він зайде на будь-який з них, то для сайту цей відвідувач буде вважатися органічним! Подібні переходи можуть бути з різних пошукових систем, наприклад, з Яндекса, Google, Mail та ін.

Прямий трафік

Відразу почну з прикладу. У вас є знайомий і він придбав собі зовсім недавно соковитискач в інтернет магазині. Цей сервіс йому зробив знижку 20% та ще й подарував набір стаканчиків! Дивлячись на свого знайомого, ви також захотіли щось придбати в даному магазині за такою акцією. І тому просіть у нього точну адресу. Він природно його дає і ви переходите на сайт, робите прямий захід без будь-яких систем. Набрали адресу та зайшли на головну сторінку проекту. Це буде означає, що для цього магазину ви стали прямим трафіком.

Трафік із контексту

Багато людей, які намагаються продавати свої послуги чи товари, роблять контекстну рекламу в інтернеті. Це реклама, яку напевно ви бачили під час читання статей в інтернеті.

Ну от якщо людина клацнула на оголошення в тексті і перейшла на продукт, то вона якраз і буде ставитися до трафіку з контексту!

Фродовий трафік, що це?

Подібний різновид говорить про не зовсім чистий трафік. У перекладі з англійської слово фрод означає шахрайство. Для рекламодавців такий вид відвідувань означає втрату грошей. Як це може статися?

Багато користувачів і не здогадуються, що заповнюючи логін та пароль під час реєстрації або авторизації на закритому Інтернет-ресурсі та натискаючи ENTER, ці дані легко можуть перехопити. Дуже часто вони передаються через мережу не в захищеному вигляді. Тому якщо сайт, на якому ви намагаєтеся авторизуватися, використовує HTTP протокол, дуже просто виконати захоплення цього трафіку, проаналізувати його за допомогою Wireshark і далі за допомогою спеціальних фільтрів і програм знайти і розшифрувати пароль.

Найкраще місце для перехоплення паролів - ядро ​​мережі, де ходить трафік всіх користувачів до закритих ресурсів (наприклад, пошта) або перед маршрутизатором для виходу в Інтернет, під час реєстрації на зовнішніх ресурсах. Налаштовуємо дзеркало, і ми готові відчути себе хакером.

Крок 1. Встановлюємо та запускаємо Wireshark для захоплення трафіку

Іноді для цього достатньо вибрати лише інтерфейс, через який ми плануємо захоплення трафіку і натиснути кнопку Start. У нашому випадку робимо захоплення бездротовою мережею.

Захоплення трафіку розпочалося.

Крок 2. Фільтрація захопленого POST трафіку

Відкриваємо браузер і намагаємося авторизуватися на якомусь ресурсі за допомогою логіну та пароля. Після завершення процесу авторизації та відкриття сайту ми зупиняємо захоплення трафіку у Wireshark. Далі відкриваємо аналізатор протоколів та бачимо велику кількість пакетів. Саме на цьому етапі більшість ІТ-фахівців здаються, бо не знають, що робити далі. Але ми знаємо і нас цікавлять конкретні пакети, які містять дані POST, які формуються на нашій локальній машині при заповненні форми на екрані і відправляються на віддалені сервер при натисканні кнопки «Вхід» або «Авторизація» у браузері.

Вводимо у вікні спеціальний фільтр для відображення захоплених пакетів: http.request.method == “POST”

І бачимо замість тисячі пакетів, всього один із даними, які ми шукаємо.

Крок 3. Знаходимо логін та пароль користувача

Швидкий клік правої кнопки миші та вибираємо з меню пункт Follow TCP Steam

Після цього у новому вікні з'явиться текст, який у коді відновлює вміст сторінки. Знайдемо поля «password» та «user», які відповідають паролю та імені користувача. У деяких випадках обидва поля легко читаються і навіть не зашифровані, але якщо ми намагаємося захопити трафік при зверненні до дуже відомих ресурсів типу: Mail.ru, Facebook, Вконтакте і т.д., то пароль буде закодований:

HTTP/1.1 302 Found

Server: Apache/2.2.15 (CentOS)

X-Powered-By: PHP/5.3.3

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRO STP IND DEM"

Set-Cookie: password= ; expires=Thu, 07-Nov-2024 23:52:21 GMT; path=/

Місцезнаходження: loggedin.php

Content-Length: 0

Connection: close

Content-Type: text/html; charset=UTF-8

Таким чином, у нашому випадку:

Ім'я користувача: networkguru

Пароль:

Крок 4. Визначення типу кодування для розшифрування пароля

Заходимо, наприклад, на сайт http://www.onlinehashcrack.com/hash-identification.php#res та вводимо наш пароль у вікно для ідентифікації. Мені видано список протоколів кодування в порядку пріоритету:

Крок 5. Розшифрування пароля користувача

На даному етапі можемо скористатися утилітою hashcat:

~# hashcat -m 0 -a 0 /root/wireshark-hash.lf /root/rockyou.txt

На виході ми отримали розшифрований пароль: simplepassword

Таким чином, за допомогою Wireshark ми можемо не тільки вирішувати проблеми в роботі додатків та сервісів, але й спробувати себе в ролі хакера, здійснюючи перехоплення паролів, які користувачі вводять у веб-формах. Також можна дізнаватися паролі до поштових скриньок користувачів, використовуючи невигадливі фільтри для відображення:

• Протокол POP та фільтр виглядає наступним чином: pop.request.command == "USER" || pop.request.command == "PASS"
• Протокол IMAP та фільтр буде: imap.request contains "login"
• Протокол SMTP і знадобиться введення наступного фільтра: smtp.req.command == "AUTH"

та більш серйозні утиліти для розшифрування протоколу кодування.

Крок 6. Що робити, якщо трафік зашифровано та використовується HTTPS?

Для відповіді це питання є кілька варіантів.

Варіант 1. Підключитися у розрив з'єднання між користувачем та сервером та захопити трафік у момент встановлення з'єднання (SSL Handshake). Під час встановлення з'єднання можна перехопити сеансовий ключ.

Варіант 2. Ви можете розшифрувати трафік HTTPS, використовуючи файл журналу сеансових ключів, записуваний Firefox або Chrome. Для цього браузер повинен бути налаштований для запису цих ключів шифрування у файл журналу (приклад на базі FireFox), і ви повинні отримати цей файл журналу. По суті, необхідно викрасти файл із ключем сесії з жорсткого диска іншого користувача (що є незаконним). Ну а далі захопити трафік і застосувати отриманий ключ для розшифровки.

Уточнення.Ми говоримо про веб-браузер людини, у якої намагаються вкрасти пароль. Якщо ми маємо на увазі розшифровку нашого власного HTTPS трафіку і хочемо потренуватися, то ця стратегія буде працювати. Якщо ви намагаєтеся розшифрувати HTTPS трафік інших користувачів без доступу до їх комп'ютерів, це не спрацює - на те воно і шифрування, і особистий простір.

Після отримання ключів за варіантом 1 або 2 необхідно прописати їх у WireShark:

1. Ідемо в меню Edit – Preferences – Protocols – SSL.
2. Ставимо прапор "Reassemble SSL records spanning multiple TCP segments".
3. "RSA keys list" і натискаємо Edit.
4. Вводимо дані у всі поля та прописуємо шлях у файлі з ключем

По дешифрування та аналізу даних, що передаються в мережах операторів зв'язку, в режимі реального часу. Наразі відомства вивчають можливі технічні рішення для реалізації цієї пропозиції.

Одним із обговорюваних варіантів дешифрування є установка на мережах операторів обладнання, здатного виконувати MITM-атаку (Man in the Middle - людина посередині). Для аналізу нешифрованого та вже розшифрованого трафіку пропонується задіяти системи DPI, які вже використовуються телеком-корпораціями для фільтрації заборонених сайтів.

Буквально відразу після появи цієї інформації ініціатива піддалася критиці з боку інтернет-спільноти. Зокрема, «профільний» омбудсмен у розмові з радіостанцією "Говорить Москва"назвав неприпустимим розшифрування трафіку користувачів.

Засновник «Товариства захисту інтернету» у своєму Facebook-акаунтідокладно розібрав запропоновані владою методи.

«MITM - це вид хакерської атаки, який полягає в тому, що зловмисник П вбудовується в шифрований канал між абонентами А і Б, і коли А і Б думають, що шифрують повідомлення один одному, насправді вони шифрують їх у адресу П, який розкриває повідомлення, потім перешифровує їх та відправляє далі», - пояснив експерт.

Проблемою для виконання цього завдання, як пише Волков, є той факт, що для програмного забезпечення, що використовується в інтернеті, спроба заміни сертифіката для перешифрування контенту виглядає як обман. Коли операційна система або браузер виявить, що пред'явлено підроблений сертифікат, вони відразу заблокують.

У розмові з «Газетою.Ru» Волков зазначив, що свіжа ініціатива відомств виглядає реальніше, ніж повне зберігання даних, але «все ж таки далека від реалізованості прямо тут і зараз».

У свою чергу, провідний вірусний аналітик ESET Russia вважає, що з технічного погляду пропозиції ФСБ, Мінкомзв'язку та Мінпромторгу є реальними. «Поки що ініціативи обмежуються аналізом незашифрованого трафіку та збором базової інформації про користувачів. Нова пропозиція може вимагати від провайдерів та користувачів встановлення в систему спеціального цифрового сертифіката для аналізу зашифрованого трафіку, наприклад HTTPS», - розповів він Газете.Ru.

Зашифровані іноземці

Директор інформаційно-аналітичного агентства TelecomDaily розповів «Газеті.Ru», що дешифрування трафіку – непростий процес. "Міністерства, які беруться за це завдання, не до кінця уявляють, що можуть із цим і не впоратися", - додав він.

Аналітик звернув увагу, що, як і раніше, не вирішено питання діяльності закордонних компаній, які відповідають за користувальницькі комунікації. Насамперед йдеться про месенджерів з end-to-end-шифруванням.

«Я не бачу якихось зрушень щодо роботи з організаціями, які з юридичної точки зору перебувають не в Росії. Але з нашими компаніями простіше, на них завжди можна натиснути», - зазначив Кусков.

В антитерористичному пакеті поправок, крім операторів зв'язку, йдеться про так звані організатори поширення інформації. Для них із 2014 року у російському законодавстві передбачено власний реєстр, веденням якого займається .

В даний час перелік включає близько 70 найменувань. Серед них соціальні мережі «ВКонтакте», «Однокласники», «Моє коло» та «Рамблер», сховища «Яндекс.Диск», «Хмара@Mail.Ru», портали «Хахбрахабр». "Роєм", сайт знайомств "Мамба", відеосервіс RuTube, блог-платформа LiveInternet, іміджборд "Двач" та інші.

До реєстру за весь час його роботи не потрапив жоден закордонний портал та жоден месенджер.

«Якщо подібні плани влади почнуть реалізовуватись, то прогнозовано появу месенджерів, які містять додатковий захист від атак типу MITM. Наприклад, підмішування шифрування секретного ключа з поширенням його між абонентами. Простіше кажучи пароля, про який домовляються учасники листування», - заявив директор дивізіону безпеки групи компаній Softline.

Як зламати HTTPS

Відомим широкому колу способом шифрування є не тільки end-to-end, але й HTTPS – захищений протокол, який використовують веб-сайти.

При цьому пізніше, розмовляючи з «Роєм», голова Фонду інформаційної демократії, який якраз і займається питаннями IT-незалежності рунету в рамках ІРІ, назвав подібну ідею «маячням».

Кусков у розмові з «Газетою.Ru» можливий крок щодо повного імпортозаміщення також охрестив малоймовірним.

«Стільниковий зв'язок нині на 100% є імпортним. Це не просто базові станції, а апаратно-програмний комплекс. Наразі все це замінити неможливо.

Поки не буде зроблено серйозного кроку з боку Мінкомзв'язку та Мінпромторгу, нічого хорошого не передбачається в цьому напрямку. Я не бачу реальних дій, які б дозволили сказати, що Росія може перейти на вітчизняне обладнання найближчим часом», — підсумував телеком-експерт.

Оператори мобільного зв’язку відмовилися від коментарів. У Мінкомзв'язку на запит "Газети.Ru" не відповіли.

Журналістам видання «Коммерсант» стало відомо, як урядові відомства бачать реалізацію «закону Ярової» на практиці.

За даними «Комерсанта», ФСБ, Мінкомзв'язок і Мінпромторг зараз обговорюють набір технічних рішень, які дозволять реалізувати дешифрування і доступ до всього інтернет-трафіку росіян, як того вимагає «закон Яровий». Журналісти посилаються на інформацію, одержану від топ-менеджера одного з виробників обладнання, члена Адміністрації президента (АП), а також неназваного джерела в ІТ-компанії.

«Зберігати ексабайти шифрованого інтернет-трафіку не має сенсу – у ньому нічого не знайдеш. ФСБ виступає за те, щоб розшифровувати весь трафік у режимі real-time та аналізувати його за ключовими параметрами, умовно кажучи, за словом "бомба", а міністерства наполягають на розшифровці трафіку лише за тими абонентами, які привернуть увагу правоохоронних органів», - розповів журналістам представник АП.

Для аналізу нешифрованого та вже розшифрованого трафіку планується використовувати DPI-системи (Deep Packet Inspection), які і зараз застосовуються багатьма операторами, наприклад, для URL-фільтрації за списками заборонених сайтів.

Складнощі урядових відомств викликає зашифрований трафік. «В інтернеті величезна кількість сайтів, які не є організаторами поширення інформації та використовують захищене https-з'єднання", - пояснюють співрозмовники видання. "Без розшифровки трафіку не завжди можна зрозуміти, на який сайт заходив користувач, не кажучи про те, що він там робив. ». Так, одним із обговорюваних варіантів дешифрування трафіку є встановлення в мережах операторів обладнання, яке фактично виконуватиме MITM-атаки:

«Для користувача це обладнання прикидається запитаним сайтом, а для сайту – користувачем. Виходить, що користувач буде встановлювати SSL з'єднання з цим обладнанням, а вже воно - з сервером, до якого звертався користувач. Устаткування розшифрує перехоплений від сервера трафік, а перед відправкою користувачеві заново зашифрує його SSL-сертифікатом, виданим російським центром, що засвідчує (УЦ). Щоб браузер користувача не видавав йому сповіщень про небезпечне з'єднання, російський УЦ має бути доданий до довірених кореневих центрів сертифікації на комп'ютері користувача».

Журналісти пишуть, що Ілля Массух, голова підгрупи «ІТ+Суверенітет» при Адміністрації президента, раніше вже підтверджував, що плани щодо створення такого центру, що засвідчує, дійсно є. Втім, чи цей УЦ використовуватиметься для реалізації «закону Ярової», поки що невідомо.

Також про пропозицію щодо розшифровки трафіку чув засновник «Енвіжн Груп» та співвласник виробника телекомунікаційного обладнання РДП.РУ Антон Сушкевич.

«Два основні методи шифрування в інтернеті – end-to-end, який дуже популярний у месенджерах, та SSL-сертифікати – з їх допомогою близько 80% інтернет-трафіку шифрується. Для того щоб виконувати завдання, поставлене "законом Ярової", тобто боротися з тероризмом, потрібно розшифровувати та аналізувати трафік у прямому ефірі, а не через якийсь час. Організація MITM - один із можливих шляхів», - стверджує Сушкевич.

Також «Коммерсант» поцікавився думкою експертів із цього питання, і ті висловили певний скепсис щодо описаної схеми.

«Коли про цей факт стане відомо, з усього ПЗ, що забезпечує роботу з шифрованим трафіком, сертифікат такого центру, що засвідчує, буде вирізаний в черговому оновленні. І це буде правильно, тому що можливість створювати "ліві" сертифікати дискредитує всю електронну комерцію: всі банківські картки, облікові дані всіх користувачів у всіх системах перехоплюються», - пояснює глава АРСІЕНТЕК Денис Нештун.

«MITM добре, а подекуди і легально працює для клієнт-серверних технологій на базі SSL. Але від нього стали частіше відмовлятися та переходити на TLS, для якого MITM зробити сьогодні не можна. А у випадку з end-to-end шифруванням, на якому побудовано більшість месенджерів, MITM взагалі нереалізований», - каже консультант з інтернет-безпеки Cisco Олексій Лукацький.

Нагадаю, що згідно з «законом Ярової», організатори розповсюдження інформації повинні надавати інформацію, необхідну для декодування електронних повідомлень користувачів, що приймаються, передаються, доставляють та (або) обробляються до уповноваженого підрозділу ФСБ.

«Організаторами поширення інформації», у свою чергу, вважаються «особи, які здійснюють діяльність із забезпечення функціонування інформаційних систем та (або) програм», які використовуються для «прийому, передачі, доставки та (або) обробки електронних повідомлень користувачів мережі Інтернет». Тобто такими є практично будь-які послуги, за допомогою яких здійснюється передача повідомлень, як месенджер або пошта.

Співрозмовники «Комерсанта» вважають, що «іноземні компанії цій вимогі просто не підкоряться, а російські, може, й здадуть ключі після численних вимог».

HTTP компресія, яка використовується на більшості сайтів для зменшення розміру даних, що передаються, може стати серйозною загрозою безпеці, якщо сайт використовує HTTPS. Про це заявили експерти з безпеки Дімітріс Каракостас (Dimitris Karakostas) та Діонісіс Зіндрос (Dionysis Zindros). Дослідникам вдалося вдосконалити експлуатацію давно відомого пролому, що дозволяє прискорити розшифровку HTTPS трафіку, та застосувати атаку проти блокових шифрів у SSL/TLS з'єднанні.

Атака, названа BREACH (Browser Reconnaissance and Exfiltration via Adaptive Compression of Hypertext), використовує недоліки алгоритму стиснення gzip/DEFLATE. Вперше про атаку стало відомо ще 2013 року. На конференції Black Hat USA дослідники Ангело Прадо (Angelo Prado), Ніл Херріс (Neal Harris) та Йоел Глюк (Yoel Gluck) розповіли про атаки на SSL/TLS потокові шифри, наприклад RC4.

Демонстрацію нового підходу до експлуатації реалізовано у фреймворку з відкритим вихідним кодом Rupture , представленому на конференції Black Hat Asia минулого тижня.

Під час доповіді експерти продемонстрували дві успішні атаки на Gmail та чат Facebook.

Для здійснення атак BREACH зловмисник повинен мати можливість перехоплення мережевого трафіку жертви. Це може бути здійснено через Wi-Fi мережі, або через доступ до обладнання Інтернет-провайдера. Атакуючого також потрібно виявити вразливу частину програми, яка приймає вхідні дані за допомогою URL параметрів, і повертає ці дані у зашифрованій відповіді.

У разі Gmail таким додатком виявився пошук на сайті для мобільних пристроїв. Якщо пошуковий запит здійснюється від імені авторизованого користувача, до відповіді також приєднується автентифікаційний токен. Цей токен буде зашифрований усередині відповіді. Однак кожного разу, коли рядок, що шукається, збігатиметься з частиною токена, розмір відповіді клієнту буде меншим, оскільки однакові рядки у відповіді стискатимуться.

Зловмисник може змусити клієнтську програму відправити велику кількість запитів і, таким чином, вгадати всі символи автентифікаційного токена.

Фреймворк Rupture дозволяє впровадити спеціальний код у кожний незашифрований запит HTTP, відкритий браузером жертви. Впроваджений код змушує браузер клієнта здійснювати підключення до вразливої ​​програми HTTPS у фоновому режимі. Це потрібно для успішної атаки на блокові шифри, що створюють багато «шуму» при шифруванні даних. Для усунення сміття дослідники відправляли одні й самі запити кілька разів поспіль і аналізували різницю у розмірах отриманих відповідей. Експертам також вдалося використати паралелізацію на стороні браузера, що значно прискорило атаку проти блокових шифрів у TLS підключеннях.