хватит курить, при разрыве впн, инет не перекидывает на ломашний, если не тыкнуть только принудительно disconnect. праздники уже кончились.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Паранойя
- Автор темы deadinside
- Дата начала
-
- Теги
- #паранойя
Это как отче наш. Должно быть. Надо исходить из худшего.И соблюдай элементарные правила, готовь варианты развития событий при приемке. Только не надо этим жить постоянно
В нашей стране , если ты не в тюряге ужО крминал. Это не твои заслуги, а их не доработки. ( Это их сленг).
Забыл про СКАТ.
Как бы ты, сколько бы ты, но всему приходит конец. Так что есть мысль - подумать. Вот с Нового года отладят DPI, вот тогда и задумаетесь.
Ну если все перечислять то будет перебор, думаю можно обойтись 2 словами Five Eyes.
А по теме: Ну реально клубок раскручивают с двух сторон ( сеть и реал ), и как только они понимают какие 2 конца соответствуют какому клубку то все game over.
P.S Не недооценивайте службы еу и уса они не просто так свой хлеб едят и да у них тоже есть сети информаторов при том по всем мало мальски известным точкам на карте в плане кибер угроз
Если я все правильно понял, то скоро всё прикроет одно DPI, я думаю к лету его отстроют и отладят. И вот там посмотрим.
Братан, один типуля через домашний государственный инет года 3 заливал забугор и похх нахх. Тут все зависит от степени интереса к тебе и от сумм )))) За 500 баксов ты нахх никому не нужен, за 50к уе профита в месяц уже могут заинтересоваться)) моё сугубо личное субъективное)))
Что такое DPI ?????
Deep Packet Inspection
По сути не чего нового, просто набор правил/утилит которые позволяют анализировать пакеты не только по портам или типу трафика но и глубже ( тот же анализ по правилам Yara тоже dpi ), тот же анализ handshake в ssl где виден домен это уже считается dpi, но это старый подход, нынче заглядывают в сам траф используя замену серта подписанным валидным сертом центра сертификации ( BlueCoat решения как пример ) для декрипта или идет декрипт ssl ( но тут вопрос будет в мощностях )
P.S Сниффер с модулями и кучей правил анализирующий ( с применением правил к примеру блокировкой по домену или любой другой сигнатуре ) весь трафик из сети/страны на гейтах в автоматическом режиме
P.P.S Так же DPI используется для обучения самого себя в комплекте с edr/siem решениями, но это другая история и не коммерческих открытых решений я таких не видел.
По сути не чего нового, просто набор правил/утилит которые позволяют анализировать пакеты не только по портам или типу трафика но и глубже ( тот же анализ по правилам Yara тоже dpi ), тот же анализ handshake в ssl где виден домен это уже считается dpi, но это старый подход, нынче заглядывают в сам траф используя замену серта подписанным валидным сертом центра сертификации ( BlueCoat решения как пример ) для декрипта или идет декрипт ssl ( но тут вопрос будет в мощностях )
P.S Сниффер с модулями и кучей правил анализирующий ( с применением правил к примеру блокировкой по домену или любой другой сигнатуре ) весь трафик из сети/страны на гейтах в автоматическом режиме
P.P.S Так же DPI используется для обучения самого себя в комплекте с edr/siem решениями, но это другая история и не коммерческих открытых решений я таких не видел.
Ппц жесть)) Делать им нефиг )) я думаю за сраные 300-400 баксов никто никого не будет таким макаром разрабатывать)) Хотя им надо с НГ жестко отрабатывать всех вдоль и поперёк, раком и боком, это и ослу ясно) капец времечко наступило, скоро за пачку сигарет начнут людей доёбывать((
Из серии " агаааа -куришь парламент-значит ворюга ,там же звезда, ну щааа мы тебя раскрутим" )))))))))))))))))))
Последнее редактирование:
Я так понимаю тут о DPI говорили с намеком на файрвол для рф по типу файрвола в кнр.
А если серьезно то это не будущие, это прошлое. В корп секторе это очень давно используется: Juniper, Cisco, Barracuda ( злая штука, соответствует названию ) да для уровня дц или крупной сети решение будет от ~125к до 7кк но там будет уже все из коробки.
Что дает атакующему порт или тип трафика?
Атакующий получил домен, но пассы и логины закрыты. Если это крупный легитимный сервис, то смысла нет.
Как такое можно осуществить без физического доступа к устройству жертвы?
Если подмена серта на целевом ресурсе, то как с этим бороться и какие возможности должны быть у атакующего? Это ведь либо получение доступа к ресурсу, либо подмена у центра сертификации. Как атакующий обойдет серийный номер, хеши (фингепринты) и даты, если у жертвы автоматическая верификация серта по хешам (фингерпринтам)?
Успешный декрипт почти невозможен.
Какую информацию получает атакующий? Предположим, атакующий собирает все ресурсы на хттп, но какой крупный сервис будет на хттп?
Блокировка сайта легко обходится.
Что за гейты и какой объем памяти должен быть для хранения такого количества инфы?
Понимание на какой порт какой тип траффика идет для дальнейшего анализа.
Тут речь идет о блокировки ресурсов и цензуре, домена для этого достаточно.
Как я и писал есть решения которые это делают, в случае с bluecoat там серт CA валидный (Symantec hello
), конечно это не поможет в случае если будет сверка хешей но этот продукт и рассчитан на корп сети как я и писал выше. В любом случае какое бы они не использовали решение оно должно иметь полный доступ к трафику в сети что в случае с корп и гос не проблема.Ну видно оно сразу так как серт хоть и валидный но там зеленым по белому написано что это Blue Coat ProxySG, правда обычно люди не смотрят в инфо о сертификате если браузер не матерится на его валидность. Это по сути mitm но с валидным CA, добавим автоматические настройки прокси по умолчанию много где и получаем вполне себе красивую картину где все в открытом виде.
Не будем устраивать холивары но я бы не был так уверен в этом на вашем месте.
По сути им нужны данные о реальном направлении трафика не более, то есть реальный домен куда идет пакет если речь о цензуре, если о контроле сотрудников или анализе на предмет трафика малвари то нужны как минимум мета данные по типу домену версии протокола, данные из серта итд а как максимум весь пакет в открытом виде, оба варианты реальны просто реализации и затраты разные.
Не очень она легко обходится в случае с тем-же китайским фаерволом, им приходится пользовать Domain fronting для тора но после того как Амазон и Гугл запретили front, вариантов осталось не так много из легкодоступных это азур и среднегеморный это акамай ( с регистрацией чуть больше сложностей просто )
В данном контексте гейт=шлюз, то есть точка выхода в интернет из Интранета или точки через которые соединены провы/страны. По поводу объема вопрос сложный, но это уже задача ips,ids,siem решений, допустим тот же Splunk (Siem) для сбора и обработки логов ( в домене ) в средней корп сети обходится +100-200гб данных в день, вопрос в том сколько надо хранить данные, ну и если речь идет об анализе по сигнатурам в трафике то там сама база да и прирост не такой большой. АВ работают как локально так и в облаке думаю что скоро ( пока не видел такого но возможно уже есть ) решения по анализу трафика будут использовать аналогичный подход. По странам боюсь ошибиться в подсчетах какие нужны вложения в железо но опыт Китая показал что это реально, хоть пока и обходят жертвуя скоростью. Вопрос в том используется ли у них эта система только для блокировки или для сбора и хранения данных в том числе...
Последнее редактирование:
Ну не совсем прошлое. Сейчас все провайдеры блокирует сайты по списку РКН, через DPI. Но он пока дырявый, но его уже активно штопают.))
https://xss.pro/threads/27282/#post-152312 - схемы, доступные и понятные.
Последнее редактирование:
Паранойя полезна !!! ... Big брат следит за тобой.
Помимо Гугела, таких "больших братьев" еще миллион. Как минимум на айфоне через сертификаты и веб-трекеры отслеживается достаточно информации о юзере.
Вот еще больше причин для паранойи))
Если посмотреть ролики где скручивают специалистов нашего профиля, вообще охуеть можно. Или в новостях прочитать, что кому то дали 48 лет, за взлом Instagram аккаунта собаки.
Я давно не смотрю ничего такое, и стараюсь не читать такие новости. А то так и кони двинуть можно.
Уже лет 10 занимаюсь анонимностью и безопасностью, и для себя придумал правила. Соц. сети должны быть разделены от обычных сайтов, это делается с помощью виртуальных машин. Лучше вообще отказаться от гугла и его сервисов, однако это не всегда просто. У меня стоит также виртуалка для ютуба. Не следует боятся тех, кто следит за вами. Смысл заключается в том, что бы контролировать весь свой трафик. При посещении почти любого сайта, подключается сервис гугл аналитикс, которые запускает свои скрипты на вашем браузере. У меня есть страница вконтакте, и браузер, которому разрешено посещать только вк. Безусловно, нужно использовать впн либо тор либо все вместе и сразу, тут уже на ваше усмотрение.
Ты сделал мой вечер. 10 лет говоришь?
Анонимностью? Виртуалка для тытрубы, гугл аналитикс, браузер для вк, остальные фэйспалмы ?
10 лет херней страдать, это надо уметь. Лучше бы ты геймил, или там на ФО че то зарабатывал как щас модно. Изучи вопрос, потом на публику афишируй.
Ну вашим высказыванием можно любой комментарий критиковать, видимо у вас это довольно хорошо получается.