СОРМ2

[Se613]

СОРМ
Как на самом деле работает система и есть ли от неё толк? Помогает ли vpn и duble vpn?
В общем хотелось бы увидеть мнения знающих людей.

 

[waahoo]

работал как-то у одного очень крупного провайдера (хотя скорее это поставщик телефонной связи, провайдером позже стал), так вот, в локалке обнаружил экспорт с базы данных местной АТС, все звонки, номера, время, продолжительность за последние (!) 5 лет с ежесуточным обновлением, (!) в свободном доступе, а штат >1000 машин. я просто в ахуе был тогда, порылся и нашел звонки о которых я уже давно забыл, а они блеадь до сих пор хранятся. вот так-то. уверен все остальное так же попадает в логи, бережно хранится и "полиционеры" имеют онлайн доступ к этим базам.

 

[Se613]

В соседнем дома на провайдере стоит система это, логирует IM клиенты, скайп и всё такое, раз в месяц упаковывает данные в контейнер и отправлят в Мск. Больше пока не узнал.

 

[TrueUser]

логирует IM клиенты, скайп и всё такое

А что подразумевается под логированием? Собирает зашифрованный трафик (ну про IM молчу)? Ведь у нас большинство провайдеров работает по VPN то есть мало того что траф не проснифаешь так просто, так еще и чтоб скайп расколупать или зашифрованные каналы Jabber... Маловероятно конечно. Думаю что логи конечно и ведуться, но чисто символические - кто куда отправил пакеты не более того, больше смысла то и нет.
Однако если упадет команда присесть на кого нибудь, то получить полный доступ к транслируемой по каналам связи информации для какого нибудь клиента не составит труда, для общего потока - маловероятно.

 

[Se613]

Знаю что можно каждого клиента поставить на свой поток,для полного логирования.А так мне вот и интересна вся эта система и её реализация)

 

[encoder]

вплотную занимаюсь этой хренью т.к. являюсь провайдером....ФСБ настоятельно попросила купить им оборудование, провести к ним в здание оптику и пускать весь траф через них....бабла стоит все немеренно...но в полной мере ничего не работает, т.к. у нас в РФ СОРМ это просто вложение бабла и кстате он стоит не только у мелких провайдеров, но и у магистральных, так что соединяясь через даблвпн к похеканому насовскому серваку мы еще проходим 2-3 наших сормов, но как я уже сказал ничего не работает в нормальном режиме, поскольку непосредственно прямой обязанностью сорма является так же фильтрация траффа, ну т.е. допустим при открытии адалт сайта это должно фильтроватся на уровне сорма, а не юзерского АВ, то же самое относится и к вирям....кароч впринципе опасатся нечего....но могу сказать одно: если нужно будет, то найдут)))))

 

[VpnOffice]

Согласно законодательству РФ, каждый интернет провайдер обязан у себя на узле связи выделить помещение под СОРМ-2 и предоставить неограниченный доступ ко всему потоку данных. Понятно, что логировать весь трафик всех пользователей никто не станет, а вот запросы вида абонент-ip-время-протокол некоторое время сохраняются и, в случае инцидентов, могут быть использованы в качестве доказательной базы в суде. Чтобы поставить пользователя на полную "прослушку" необходимо официальное разрешение суда, но это только вопрос порядочности самих спецслужб.

 

[ammok]

СОРМ(ы) разные бывают, в свою очередь тонны текста перечитал на эту тему, параною отпускать не стоит, но если голова на плечах есть - можно не беспокоиться

 

[Ar3s]

Вопрос на самом деле вот в чем. Может ли СОРМ1-3 распаковать vpn траффик?
vpn+ssh, vpn+ssh+socks, ssh+skype? Вот на эти вопросы я пока нигде ответов не нашел. Знаю что в новостях где-то трехмесячной давности был сюжет о продаже росийской разработки позволяющей в реальном времени прослушивать/просматривать любые skype соединения. Как оно работает и технические нюансы остались за кадром. Но предприятие помню было государственное. И делало железки на экспорт.

Пока самая адекватная статья - эта

 

[12309]

по слухам, знакомый знакомого знакомого знакомого работает в фсб, сорм2 не сможет спалить человека через 2+ впн, а через одинарный впн или через сокс спалит. насчет цепочки соксов не слышал.

 

[12309]

справочник "Интерфейсы СОРМ" от 2006 года
http://depositfiles.com/files/cnqibo1s5

 

[shinshil]

В каком смысле спалить? Расшифровать трафик в реальном времени через vpn?
И про соксы
Или автоматически сопоставить твой ип с ипом сокса де нить в молдавии которым ты пользовался?

Первое маловероятно, а второе еще менее вероятно чем первое.
Есть мнение?

 

[demien]

слухи, догадки, годание на кофейной гуще... факты нужны господа, факты!

 

[DASM32]

Или автоматически сопоставить твой ип с ипом сокса де нить в молдавии которым ты пользовался?

Предположу: берем ip сокса из логов атакованного ресурса. Ищем по провам, кто коннектился на этот ip:порт в указанное время. Думаю, что таких будет немного. Одна точка входа и та же на выход получается - уязвимо к такого рода проверке.
Если цепочка хотя бы из 2х - уже одна точка на вход - другая на выход, уже лучше, наверное (хотя соксы нативно шифроваться не умеют?). В логах сайта один сокс, у прова - другой, почти как дабл впн.


И да, тоже интересно, может чего не догоняю: если например я взял колокейшн, "физически" убедился и записал на бумагу публичную часть ключа напр. ssh, а потом пришел домой и при коннекте проверил - как перехват будет идти (если рассматривать только атаки "по дороге", без троянов у меня и руткитов/физического вмешательства на сервере)?

 

[shinshil]

это актуально если бот с соксом через который мы ходили еще жив. ( как говорится , а был ли мальчик?))) на каком он порту висел и был ли вобще сокс, кто его знает , на выходе ведь с ипа сокса палился только http ну и днс ) В логах прова сокса просто нечего будет искать, открытый порт то вместе с соксом сдох.

Поправьте где я ошибся.

 

[DASM32]

shinshil а зачем нам "живость" сокса пост-фактум? :huh:
И зачем нам копаться в логах "прова сокса", если есть логи подозреваемого абонента(ов) и логи атакованного сервера?

Поясни, пожалуйста, свою идею и видение ситуации - я честно говоря не понял.

 

[psaria]

Не у всех провайдеров есть СОРМ, у вышестоящих да.
Вся инфа сливается не провайдеру в кач-ве логов, а напрямую в ФСБ.
Доморощенные провайдеры хранят только ваши сессии, кто с какого мака заходил, ипшник, какая скорость включена на шейпере и т.п.
Другие логи не ведутся, т.е. посещение ресурсов и т.п., это идет в СОРМ.
Расшифрока траффика сложна нашим службам, тут по ип и коннектам больше ориентируется, а дальше делают запросы в нужные провайдеры и выбивают инфу.

 

[waahoo]

теоретически даблвпн сравним с панацеей, пров всегда видит точку входа, но не видит траф и точку выхода, без вмешательства третьих сил (гос-во точки выхода) Вы друзья мои в безопасности.

 

[shinshil]

>>>DASM32
Если мы начинаем от атакованного ресурса, то подозреваемого реального ипа у нас пока нет, поэтому нам необходимо сперва просмотреть логи ипа де висел сокс, ведь с него была атака. А если сокс уже убит и в момент атаки на этот ип сокса было множество соединений(на разные порты и на вход и на выход) как мы определим кто именно из множества пользовался соксом?

>>> waahoo
теоретически да.
Но все паникуют в том плане что у них возможно ужо юзаются технологиии позволяющие реал - тайм декрипт впн.

 

[12309]

> В каком смысле спалить? Расшифровать трафик в реальном времени через vpn?
> И про соксы
> Или автоматически сопоставить твой ип с ипом сокса де нить в молдавии которым ты пользовался?

не расшифровать, про расшифровку трафа я еще ничего не слышал. автоматически сопоставить твой ип с ипом сокса/одинарного впна.