Что такое СОРМ и можно ли его обойти?

[NYF]

СОРМ собирает метаданные каждого пользователя - ip-адреса, время, номера портов и кучу других параметров которые можно извлечь из вашего трафика. Только по одним лишь метаданным аналитики могут деанонить людей.

Второй момент - хранение трафика. Выше писали, о том, что в этом нет смысла и кому надо пользуются шифрованием. Если бы в этом не было смысла, тогда не прикладывалось бы столько усилий чтобы протащить пакет яровой. Что мешает чекистам закупить несколько десятков тысяч "видеокарт" и используя распределенные вычисления вскрывать шифрованный трафик персоны к которой есть особый интерес?

 

[Kira1996]

Выходит, что обычный VPN решает проблему СОРМа, так как траффик на стороне провайдера будет шифрованный?

 

[Benihowy]

Выходит, что обычный VPN решает проблему СОРМа, так как траффик на стороне провайдера будет шифрованный?

это очевидно

 

[Grotendique]

Выходит, что обычный VPN решает проблему СОРМа, так как траффик на стороне провайдера будет шифрованный?

Да, но куда труднее скрыть большие обьемы передачи шифрованого трафика. А это уже наводит на мысль, что тебе есть что скрывать, тем более, если ты уже под подозрением.

 

[Dook]

Хотелось бы напомнить что разговор скорее всего идёт про РУ сегмент
У них там чё только не твориться, но что бы искали людей которые лазают куда обычный юзер не полезет, такое маловероятно, как кто то сказал выше "всем похеру"
Люди сами всё сливают своим друзьяшкам, друзьяшки своим друзьяшкам, а на 3 круге сарафаного радио это узнаёт товарищ мл.Лейтенант, который метит в Майоры
Товарищ мл.Лейтенант стучит своему начальнику товарищу Майору, и намекает на новую звёздочку, тот в свою очередь грезя премией и выслугой берётся плотно за тебя
После чего в дело идут эти самые хранилища COMP, пакеты прости господи Яровой, и прочие страшные вещи... Брр...
Так что в 95% случаев деанон юзера, это его длинный язык, и желание показать всем какой он умный, а все остольные мусор
4,5% это психически нездоровые люди любящие ЦП, и прочие непотребства, не используют средства шифрования,либо же дети которые лазают куда не надо ( на них как правило забивают)
И лишь 0,5% это серьёзные ребята которых внатуре ищут, или держат их ip на рабочем столе с подписью WANTED RusKrakerVODKA_BALALAYKA_BLYAT
Делается это всё, дабы запугать людей, чтоб боялись лишний раз в вк собраться и пообсуждать высшие органы власти, или не дай бог ещё разоблачения сделать на производителя под торговой маркой "Путинка"
Для таких на рабочем столе отдельная папочка WANTED OVALNYI_BLYAT

 

[Merovingen]

Выходит, что обычный VPN решает проблему СОРМа, так как траффик на стороне провайдера будет шифрованный?

Ну как бы ДА.при VPN провайдер видит кокозябры которые невозможно ему расшифровать!)

 

[Veil]

А это что за СОРМ такой? https://meduza.io/feature/2019/08/08/maksimalnoe-kolichestvo-kompromata-na-vseh

 

[bbi34yy]

Около 4 лет назад я слушал часовое интервью с одним из тех, кто к созданию и обслуживанию СОРМа имеет самое непосредственное отношение.
Взял его на канале лиса (каюсь, был грешок).
Тезисно:
1. Несколько контор, которые имеют лицензию на эту деятельность (то есть занимаются этим не только ОЧЕНЬ страшные ребята из трех букв, но и обычные гражданские фирмы). По-моему он говорил о 4 или 5 разных фирмах в разных регионах.
2. https онО не увидит.
3. (очевидное) если IP плохого человека, даже если он сидит через VPN, и IP сервера, куда он обращается, находятся в России - сопоставляется чуть ли не в режиме реального времени.
Поэтому (надеюсь тут это всем понятно) вести канальчик в VK через VPN, думая, что тебя не возьмут за попку, - как минимум недальновидно.

Я постараюсь найти интервью. Парень - очень толковый.

 

[Ar3s]

СОРМ собирает метаданные каждого пользователя - ip-адреса, время, номера портов и кучу других параметров которые можно извлечь из вашего трафика. Только по одним лишь метаданным аналитики могут деанонить людей.

Да блин. Читайте выше. То что вы написали - это NETFLOW. Сорм совсем для другого.

Выходит, что обычный VPN решает проблему СОРМа, так как траффик на стороне провайдера будет шифрованный?

И да и нет. Органы видят что был трафик на такой-то ip:port. Но что в трафике не видят. ЗАТО запросто сопоставляют данный трафик с вашими онлайнами в мессенджерах или на форумах. Это КОСВЕННОЕ доказательство.

Единственное что было опасно - это умение СОРМа понижать алгоритм шифрования до уязвимого. Но сейчас, на сколько мне известно, браузеры не дают такое проворачивать.

 

[Anathema]

На деле, СОРМ толком не работает. Запрет на конфиденциальность, СОРМ, пакет Яровой — нужны лишь для того, чтобы грабить бюджет и операторов связи, и чтобы преследовать неугодных по политическим причинам.

 

[SovietUnicorn]

На деле, СОРМ толком не работает. Запрет на конфиденциальность, СОРМ, пакет Яровой — нужны лишь для того, чтобы грабить бюджет и операторов связи, и чтобы преследовать неугодных по политическим причинам.

Я думаю ту многие не учли что СОРМ работает в связке с DPI который уронил вывод контента большинства сервисов! Есть предположение что траф давно фильтруется по определённым параметрам и паттернам. + в случае серьёзного залёта твои идентификаторы полетят на белку а там кто знает куда и когда ты выходил в большую и не обьятную

 

[verb0]

советы

Ломать чужой wifi, использовать анонимизирующие сети (не VPN), следить за корреляцией таймингов онлайна\оффлайна своих профилей (если хочется экзотики, можно попробовать поставить скрипт который будет шуметь траффиком 24\7; также можно попробовать появляться онлайн по расписанию). Не регаться на форумах со своей белой почты на майлру. Не болтать. Не делать дичь. Чистить деньги. Легендироваться. Шифровать диск. Виртуализация в том или ином виде, в т.ч. чтобы законтрить случайно-возможные пробои.

DNS over HTTPS и (куда более крутая) DNS over TLS

Они централизированы, а вообще с тором\любыми тунелями DNS запросы проксируются и перестают быть интересны

прокси, впн с дедиком

no comment

i2p

Зайти через i2p можно только туда, что уже лежит в i2p. Ничего нам интересного там нет. Не понимаю, почему часто упоминается вместе с тором.

NoScript

Без js современный интернет неюзабелен.

Сам хттпс трафик не составляет труда для расшифровки

...

 

[Samorez]

Почему люди к СОРМ приписывают интернет трафик? Звонки по мобилке и ваши двухфакторки по смс от мессенджеров проходящие через СОРМ никого не волнует? Whatsapp кому не лень обсуждают типа нет анонимности, а про обычные звоночки никто не предупреждает =) Кстати вопрос, кто знаком с СОРМ, действительно они все разговоры записывают, именно голоса и прочее по мобилке обычной? Либо как раньше фильтр на конкретные интересные слова стоит, а полную запись переговоров только конкретных объектов пишется? Бывали случаи когда реально чей то голос третий слышался при общении по обычной звонилке, а рядом с общающимися никого не было.

И да и нет. Органы видят что был трафик на такой-то ip:port. Но что в трафике не видят. ЗАТО запросто сопоставляют данный трафик с вашими онлайнами в мессенджерах или на форумах. Это КОСВЕННОЕ доказательство.

Размер пакета и время очень сильно им помогает при необходимости, поэтому двойное туннелирование через заграничные серверы может помочь уйти от слежки. Ещё лучше пользоваться антенной направленной на точки wifi взломанные вокруг =)

Единственное что было опасно - это умение СОРМа понижать алгоритм шифрования до уязвимого. Но сейчас, на сколько мне известно, браузеры не дают такое проворачивать.

Насчёт понижения трафика, даже бесплатное приложение Intercepter-NG пробивает некоторые сайты популярные. Браузер новый не поможет особо, если система старая win7. Бывало пробивались сайты vk, ok, на свеже установленной системе win7 и новейшей версией firefox.

 

[Samorez]

Ну давайте так. Зачастую (а это порядка 90% случаев) у провайдера вообще нет доступа к СОРМу. Если что я сейчас про свою страну говорю. С огромной долей вероятности в РФ то же самое.
Ситауция происходит следующим образом:
1. провайдер приобретает сертифицированный СОРМ.
2. провайдер размещает его на своей площади и включает в сеть, выдает ip адрес
3. провайдер с ядерного маршрутизатора зеркалит весь трафик на интерфейс сорма (и входящий и исходящий)
4. провайдер настраивает отправку netflow на определенный ip:port СОРМа
5. приходит специальный человек из органов и принимает СОРМ в работу.

Таким образом провайдер не имеет доступа к конфигам или web-интерфейсу СОРМА. Провайдер не знает, что там творится и как оно варится. Провайдер не может там ничего изменить. Откуда у меня познания в этой области? Я изучал СОРМы и их возможности не так давно по специфике своей работы. Общался с многими специалистами, получал описание и требования.

Зеркалит провайдер, значит может изменить трафик, если сильно захотеть. Разве нет? Отключить СОРМ тоже может когда хочет, на время естественно, потом скажет был сбой =)
Есть кое что более зловещее, где не поможет шифрование, называется Tempest. Одно радует, она не работает в масштабе как СОРМ и можно обойти изолировав помещение.

 

[Veil]

Есть кое что более зловещее, где не поможет шифрование, называется Tempest.

Помнится мы что-то подобное проходили. На бумаге это действительно страшно, но в реалии нет. По идеи это элементарная прослушка. Что-то типа прослушки разговора в помешении через динамик приемника. Динамик генерирует эл.магнитные волны и можно прослушать разговор. Но наводки слишком большие и радиус действия сильно ограничен. Да и дорого это, на поток не поставишь. Хотя при нынешней дешевизне электроники, могут прикрутить. Но уверен, что рядовому юзеру это не грозит.

 

[yashechka]

Все юзеры форума пользуются услугами провайдеров. Все знаю, что у них стоит СОРМ, ужасный и могучий. А вот что он может и что нам соответственно ждать от этого, чего нам нельзя и что нужно? Что скажете форумчане? Ваши советы, знания матчасти очень пригодятся в дальнейшем всем нам. К глубокому сожалению я его еще полностью не постиг, поэтому запиливать статью пока не буду. Соберу основной материал. Основные взгляды на СОРМ парни? Пишите, чем больше, тем лучше. Тем обьемнее выйдет запил статьи.

Нельзя обойти, потому что оно включено напрямую в железо провайдера и зеркалирует трафик на пуль ФСБ. Сейчас провайдерам ставят новые игрушки от роскомнадзора, это глубокий DPI инспектор, который будет рубить торренты, впн, не по портам, а по сигнатурному анализу и накопленной статистики, так же благодаря этим новым железкам, они просто смогут выключить какую то платежную систему или вообще вырубить твою автономку если посчитают нужным не спрашивая у тебя.

 

[stepany4]

Кстати вопрос, кто знаком с СОРМ, действительно они все разговоры записывают, именно голоса и прочее по мобилке обычной?

Нет. Это невозможно ни хранить, ни анализировать. Лучшие инновации в СберБанке как не странно. У них и биометрия и слепки голосов, распознавание владельца.
А так, блядь, дайте мне террабайты переговоров, я привлеку 2 млн. долларов инвестиций. Я даже объясню чем эта сумма обоснована. Плюс надо юридически это обставить всё корректно и по GDPR чем мы на самом деле занимаемся.
У тебя иллюзии, создать решение какое-то не проблема. ИИ развернуть любой студент это уже может.
Ну а дальше, то приходится жульничать. Не раскрывая форм и методов.

 

[Samorez]

Да, но куда труднее скрыть большие обьемы передачи шифрованого трафика. А это уже наводит на мысль, что тебе есть что скрывать, тем более, если ты уже под подозрением.

Благо с блокировками роскомпозора, многие обычные юзеры пользуются Vpn решениями. При атаке на гос сайты через любой VPN, без дополнительной связки, риск быть обнаруженным велик.

Представим ситуацию, пользователь из россии включил VPN без логов, атакует сайт россиийский, сайт передаёт ip атакующего (VPN), время. Провайдер сопоставляет время, ip пользователей которые подключались к адресу VPN, сопоставляют размер пакетов передачи и находят подозреваемого.

 

[Samorez]

А это что за СОРМ такой? https://meduza.io/feature/2019/08/08/maksimalnoe-kolichestvo-kompromata-na-vseh

Помнить надо самое главное, то что мы знаем, лишь малая часть информации. Сейчас много чего есть из новых разработок, как обычно ими пользуются военные. Когда им надоест играть в них, опубликуют для человечества или навсегда потеряют.

 

[qwerty1337]

Благо с блокировками роскомпозора, многие обычные юзеры пользуются Vpn решениями. При атаке на гос сайты через любой VPN, без дополнительной связки, риск быть обнаруженным велик.

Представим ситуацию, пользователь из россии включил VPN без логов, атакует сайт россиийский, сайт передаёт ip атакующего (VPN), время. Провайдер сопоставляет время, ip пользователей которые подключались к адресу VPN, сопоставляют размер пакетов передачи и находят подозреваемого.

Контрится мусорным трафиком , не?