• XSS.stack #1 – первый литературный журнал от юзеров форума

СОРМ2

Отслеживать
Если мы начинаем от атакованного ресурса, то подозреваемого реального ипа у нас пока нет, поэтому нам необходимо сперва просмотреть логи ипа де висел сокс, ведь с него была атака. А если сокс уже убит и в момент атаки на этот ип сокса было множество соединений(на разные порты и на вход и на выход) как мы определим кто именно из множества пользовался соксом?

Мы можем просто "пошерстить" провов в своей стране (мы же органы, забыл? :) ), не обязательно же трогать прова сокса. Да и "множества соединений" может и не быть ведь. Также у нас есть точное время, которое может помочь "выделить" нужный коннект, если уж мы решили трясти самого сокса.
 
схема такая
1комп > сокс > ресурс (порт сокса 20000 допустим)
1комп > сокс порт коннекта конечно 20000
вопрос? сокс > ресурс на какие порты будет коннектить на машине сокса при работе по http? Если траф идет только http через сокс.
 
shinshil эм. Полагаю, что в простейшем случае исходящий порт сокса - следующий по очереди, выделенный стеком.

Я кажется понял, что ты имеешь ввиду. Дело в отсутствии 100% доказательств, что вот тот-то тот-то коннектился именно на атакованный хост через этот сокс, а не допустим его запрос не выполнился, или еще что-нибудь? Это возможно и будет так.

Я имел ввиду, что это несложное сопоставление ведь все-таки даст в простейшем случае "круг подозреваемых", дабы потом уже например можно было прийти с обыском, и найти например какой-нибудь опрометчиво забытый материал :)
 
примерно так . Только еще учти что в один момент времени различных конектов с разных ип на ип сокса может быть достаточно много. И еще... Не забывай, что в моих рассуждениях сокс убивается и как заинтересованным лицам отследить на каком порту он висел? Коннектов много , порт неизвестен. Только тупо собрать все ипы на этот момент времени , только так.

ps сокс то убит и хз был ли он вобще , а если предположить что был , на каком порту он висел? хз .
 
shinshil ну, коннекты могли все идти и только на один порт (читай на соксе мог быть и только сокс-сервер). В логах я думаю логируются не просто ип, а ип:порт. Да, коннектов может быть конечно и много, но еще и чтобы все в одно и то же время - уже вероятность поменьше, наверное. Посему круг подозреваемых может быть и не 50 человек, а к примеру 5 - уже кое-что.
 
Не стал грузить картинки, обошлось смайликами и немного текста, что бы иметь представление как работает сорм. В принципе это справедливо для любой страны имеющей ПАК типа СОРМ.

:help: >>ПРОТОКОЛS>> :bang: СОРМ >> ПРОВАЙДЕР>>INTERNET>>... ...>> :angry2: >> :hi: >> :oops: >> :rtfm: >> :worthy: :diablo: >> :pioneer: <<ИЛИ>> :bash: >> :invalid: :zns1:

Модификации СОРМ 1-2-3-4 Сами по себе это абсолютно разные устройства, один предназначен для перехвата телефонных разговоров включая мобильники, другой для инет, третий сканит радиодиапазон.

Проскочить мимо ПАК типа СОРМ не получится. Но есть варианты обхода (очень дорогой) - это спутниковый канал связи предоставленный зарубежным оператором и пока вы не покушаетесь на достояние той страны которая предоставила спутниковый канал вы им абсолютно не интересны, за исключением случаев когда между странами есть соглашения о взаимовыгодном сотрудничестве. Имея связку спутник>>VPN>>Fast flux proxy>>VPN>>конечный адрес, вас не найду 100%. Но провайдер предоставивший спутниковый канал, будет знать все что вы делали, так что не следует оформлять контракт на себя. Мобильная связь не подходит - Кевина Митника поймали!
Проходя через СОРМ, !вас видят, слышат и читают!. Расшифровывают все известные и неизвестные шифры и очень быстро. На лету не расшифровывают весь поток, только отдельные соединения с провайдером которые попали под подозрения и получена санкция на использование ресурсов.
Как быстро попасть под подозрение: Начать использовать шифрование, использовать нестандартный шифр всех своих сообщений, протоколов и т.д., достаточно 2 десятка зашифрованных сообщений соседу.
Если кто то утверждает что ПАК типа СОРМ не работает, значит он умней английской разведки, которая придумала использовать муляж камня - приемник-передатчик для связи с агентами и не использовала прокси, впны и всякие там шифры.

Интересно было бы произвести взлом сорма, дабы была возможность, после свой работы почистить логи. Но о таких моментах я пока не слышал.
 
Проходя через СОРМ, !вас видят, слышат и читают!. Расшифровывают все известные и неизвестные шифры и очень быстро. На лету не расшифровывают весь поток, только отдельные соединения с провайдером которые попали под подозрения и получена санкция на использование ресурсов.
Как быстро попасть под подозрение: Начать использовать шифрование, использовать нестандартный шифр всех своих сообщений, протоколов и т.д., достаточно 2 десятка зашифрованных сообщений соседу.

пруф в студию... или экстрасенсорные способности у вас?)
 
Сомневаюсь, что существовало бы так много VPN сервисов, если бы СОРМ мог все расшифровать на лету.

Во-вторых, мы уж давно начали говорить, что последовательное каскадирование цепочек VPN типа Triple и Quad VPN не так эффективно.
Принято же использовать 1-2 Socks. Понятно, что чем больше, тем лучше. Но Если представить цепочку Quad VPN + 4 Socks, то это не означает, что ваша анонимность взлетит до небес, а вот скорость упадет точно.

Мы же предлагаем подключать VPN параллельно.
Это можно легко сделать с помощью роутера, поддерживающего VPN подключения и вашего компьютера. Или с помощью виртуальноый машины.

Идея заключается в том, чтобы организовать VPN канал в канале.
На примере виртуальной машины это выглядит так: устанавливаете виртуальную машину через NAT (чтобы она подключалась к Интернете через основную машину, а не напрямую). Затем из основной машины подключаетесь к одному VPN серверу. А затем из виртуальной машины подключаетесь к другому VPN серверу.
Плюс такой схемы таков, что зашифрованный трафик будет проходить внутри другого шифрованного VPN канала.
 
На данный момент органам проще иметь прикормленные много лет VPN сервисы, чем контролировать всех и вся.

Конкретных имен и доказательств я не дам, можете считать это трепом.
Однако мое мнение - большинство серьезных впн сервисов успешно сливают информацию, и если вы действительно заботитесь о своей безопасности - контролируйте точку выхода.

Вполне рабочая схема - оч быстрый сокс на сервере, в канал сокса ложится впн на ломанных, либо покупных серваках, и свои же быстрые соксы поверх этого, чтобы не палить ip впн выхода.

Первый сокс до впн позволяет спрятать последнюю милю - в логах провайдера не будет коннектов до впн сервера, тот же опенвпн вполне успешно ляжет в этот канал, соксы поверх впн позволят спрятать выход, и все эти части вы должны держать под контролем, чтобы чувствовать свою задницу в относительной безопасности.
 
если ставить впн на своем сервере, где есть более-менее исчерпывающий ман по сетапу? знаю что сервер должен поддерживать tan...
 
Минкомсвязи подготовило требования к оборудованию СОРМ для интернет-провайдеров

До настоящего момента не существовало официальных требований к оборудованию для проведения СОРМ в отношении интернет-провайдеров. Ранее, несколько лет назад, были введены требования к оборудованию для проведения СОРМ отношении операторов телефонной и радиотелефонной связи. На днях были сформулированы требования к оборудованию и для интернет провайдеров.

Эти требования собраны в III части Приказа, пока что эта часть является проектом. Что касается I и II частей, то они, как говорилось выше, вышли из стадии проекта еще несколько лет назад.

В данном проекте указываются требования к оборудованию и программному обеспечению, требования, которые нужны для проведения СОРМ. Кроме всего прочего, в этом проекте содержится и список интернет-сервисов, которые подлежат контролю со стороны СОРМ. В число таких сервисов входят всем известные mail.ru; yandex.ru; rambler.ru; gmail.com; yahoo.com. apport.ru; rupochta.ru hotbox.ru, ICQ и некоторые другие сервисы.

В случае принятия проекта приказа он должен вступить в силу (а значит, провайдеры обязаны будут установить или модернизировать соответствующее оборудование и ПО) до 1 июля 2014 года.

Какие могут быть проблемы у провайдера, который не выполнит необходимые действия? Вот цитата:

«Невыполнение этого требования может повлечь наложение на оператора связи административного наказания за несоблюдение лицензионных условий на основании ст. 14.1. КоАП РФ, поскольку одним из лицензионных условий большинства лицензий о связи является реализация требований к сетям и средствам связи при проведении оперативно-розыскных мероприятий. Невыполнение указанных требований также может повлечь принятие решения лицензирующим органом – Роскомнадзором — о приостановлении действия выданной оператору лицензии, а также об аннулировании этой лицензии».

Источник: http://habrahabr.ru/post/175077/
 
Знакомые с процедурой сниффа - как происходит `постановка` человека на снятие его траффа сормом? например если логин в инет через pppoe. На циске выполняют логирование физического порта куда подключен человек илиж логируют pppoe сессии (если так то каким образом)?
 
Знаю точно что сорм ставят как прослушку по назначеню с верху на конкретное устройство или номер его логи в формате tcpdump и ссл там в открытом виде тот что просто на сайтах https точно
 
и ссл там в открытом виде тот что просто на сайтах https точно
Он везде одинаковый. Если только на сам конечный сервер, и то вклиниться нужно.
 
DASM32
Ну я знаю что ssl часто уязвим на большинстве сайтов его рельно можно скомпрометировать там все от настроек зависит я не спец но думаю они туда добавили все эти экспы ;)
 
ssl часто уязвим на большинстве сайтов
Уязвим к чему? MitM заметен, BEAST труднореализуем и его прикрывают активно. А что ещё?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх