Что такое СОРМ и можно ли его обойти?

[полормидт]

есть комната выделенная у повайдеров в которую даже провайдеру запрещенно заходить

Нет никакой «комнаты». Тупо сплиттер стоит (с биркой НЕ ТРОГАТЬ ФСБ!!!!!) или по SPAN порту траф просто зеркалят. Вот и весь СОРМ.

 

[Veil]

СОРМ это специальные средства оперативно разыскного мероприятия.Словом говоря есть комната выделенная у повайдеров в которую даже провайдеру запрещенно заходить и там стоит специальное оборудование которое установленно спецслужбами и при необходимости они через него к вам и подключаются.Кароче говоря они в любом случае вас прослушают как бы вы не хотели!

Стоит закрытый, железный шкаф в серверной, подключенный "ихним" техником. Ни какой отдельной комнаты, заходят все кому надо и все знают, что шкаф ФСБшный. Вот и весь СОРМ. И как это провайдер не может зайти в свою серверную, когда комната его?

 

[Gooky]

Смешали все что только можно смешать. При чем тут СОРМ к DNS???

Давайте по-порядку. СОРМ выполняет у провайдеров три основные функции:
1. собирает netflow данные (с какого ip - на какой ip - когда были переданы данные и в каком объеме. Сами данные в этом случае не хранятся)
2. собирает трафик по заданным правилам/критериям. Грубо говоря весь трафик на такой-то ip адрес должен быть записан
3. анализирует пакеты и данные по определенным правилам (DPI, если он там есть. Зависит от реализации).

Теперь попробуем понять что провайдер может получить по итогу.
1. Провайдер в любой момент времени может посмотреть на какие ip адреса/порты устанавливались соединения/слались пакет с какого адреса
2. Допустим есть правило на сорме записывать трафик на определенный адрес - значит провайдер может поднять сам трафик в виде pcap файлов (или аналогов)
3. Провайдер может передать указанные файлы по запросу. Или даже отправлять их автоматически на коллектор.
Как провайдер - скажу вам сразу что это нахер никому не нужно. Сидеть и колупаться в вашем трафике. Провайдер лезет в netflow или СОРМ только когда от него это требуется по запросам из органов. Ну я еще раз в год составляю отчеты о потребленном абонентами трафике. Тоже оттуда статистику беру. (суммарно за год потребили столько-то петабайт данных).

Теперь по обходу СОРМА.
1. Там сохраняются все ваши запросы. Если протоколы используются не шифрованные - видно куда вы лазили, что запрашивали, кого пинговали. Соответственно использование DOH/DOT скроет ваши DNS запросы. Использование VPN скроет посещенные домены/ip адреса. НО не скроет объем принятых/переданных данных. Органы по статистике сразу определят что вы пользуетесь таким-то VPN-ом.
2. Сам сорм НЕ ВСКРЫВАЕТ шифрованные данные. Естественно, если используются современные алгоритмы шифрования. Если был использован древний бажный алгоритм времен деда Мазая - то по слепку трафика будет возможность дешифровки. Но этим никто не будет заниматься если вы не высокого полета птица. Ибо дорого очень.
3. СОРМ не делит трафик на принадлежность к приложениям. Для него это все tcp коннекты или udp пакеты. При правильной настройке СОРМ может отдельно ложить данные браузерные и не браузерные. Просто основываясь на dst port. Грубо говоря все, что было передано в ответ на обращение к 80 или 443 портам - считать данными полученными браузером. Но это неудобно. Поэтому данные или ложатся в общую кучу откуда можно их выбирать или не сохраняются вообще. По закону Яровой операторы у вас должны вообще хранить все принятые/переданные данные. Это нужно именно для описанных выше действий, ибо сам СОРМ не резиновый и хранить ваше все просто физически не в состоянии.

Не согласен с пунктом 3 в отделе с обходом)
Ты как провайдер знаешь что он в твоей подсети стоит, пробейся на морду как правило там даже не запароленно
Там даже jaber подсчитывается... молчу о вк ватапе и прочей мерзости от сорма 3 и выше

 

[Ar3s]

Ну давай рассмотрим где же все-таки ставится СОРМ.
Вот типовая схема подключения абонентов в сетях провайдера: абоненты -> домовой коммутатор -> агрегационный коммутатор -> ядерный коммутатор -> BRAS -> гэтвэй -> магистрал
Многие считают что СОРМ ставится на выходе с гэтвэя и до магистрала. Но это не совсем верно. В таком случае СОРМ будет ловить трафик абонентов после НАТ-а. А значит что бы привязать запрос к абоненту нужно совершить миллион действий.
Второй вариант - это сочетание СОРМ+DPI+Netflow в одном флаконе. Технически это может полностью анализировать весь трафик. Но практически - это дикая нагрузка на железо. Просто огромнейшая. Да и мало какой сервер влет переварит такой объем трафика. Провайдеры не зря покупают всякие циски и джуниперы за тысячи килобаксов.

Остается основной и приемлемый вариант:
Зеркалить трафик на уровне ядерного коммутатора на СОРМ. Просто зеркалить все что уходит и все что приходит.
СОРМ по заголовкам видит куда идет запрос. Видит ответ. И ему плевать на НАТ, потому что здесь все адреса серые и внешние. Ната в схеме еще нет.

На счет третьего пункта. Ну что же. Давай подискутируем. Заблуждение, на мой взгляд находится в том, что вы путаете СОРМ и DPI. Первый не умеет делать глубокого анализа пакетов. Он умеет вычленять из реки трафика обращения по заданным шаблонам и затем их сейвить в отдельные файлы/базу. Обработка все-равно или ручная или с помощью ИИ или заскриптованная автоматика по заданному алгоритму. Следственно СОРМ не делит трафик на приложения. Он максимум может искать аномалии по шаблонам или тупо сэйвить обращения на определенные ip в отдельные папки.

 

[Veil]

Заблуждение, на мой взгляд находится в том, что вы путаете СОРМ и DPI.

Именно так. СОРМ и DPI это разные вещи от разных структур (ЧК и Роскомнадзор) и соответственно выполняет разные функции. Грубо говоря одна шпионит, вторая блокирует, но это конечно очень грубо говоря.
Не думаю, что у Роскомндзора есть доступ к СОРМу,

 

[Ar3s]

Кстати, всем кого интересует данная тематика - можно для начала познакомиться с продукцией VAS EXPERTS. Их софт много где в РФ (и не только) используется.
У них есть канал на Youtube из которого можно много чего полезного почерпнуть. Особенно отмечу момент вкуривания нагрузки на CPU при работе с большим трафиком. DPDK и т.д.
p.s. не сочтите за рекламу. Просто недавно тестировал их продукт. И когда этот софт начал молотить 7 гигабит трафика на одном процессоре (характерно что почти все аналогичные продукты работают только с одним процессором. Многопроцессорность не поддерживается.) и при этом не особенно-то и напрягаясь.... Это было показателем для меня. Ибо в подобных условиях решения типа mikrotik CCR-1072 падают на колени и жалобно плачут. Таким образом я открыл для себя истинную мощь и возможности софт-роутеров, а так же их болячки и ограничения.

 

[Veil]

Интересный материал. У нас тоже стоит софт этой фирмы.

 

[Longinus17]

Интересная тема...
Возможна ли деанонимизация пользователя телеграм средствами СОРМ-2?
Возможно сопоставить telegram ID и номер телефона, с которым регался ID?
Или сопоставить telegram ID и точку выхода в сеть интернет, если чел пользуется инетом через wi-fi?
...вроде бы не возможно...

 

[Veil]

Возможно сопоставить telegram ID и номер телефона, с которым регался ID?
Или сопоставить telegram ID и точку выхода в сеть интернет, если чел пользуется инетом через wi-fi?

Думаю, что вполне возможно, для этого СОРМ и создан.

 

[Longinus17]

Думаю, что вполне возможно, для этого СОРМ и создан.

хотелось бы получить компетентный конкретный ответ )

 

[полормидт]

хотелось бы получить компетентный конкретный ответ )

Эт вы не по адресу

 

[rurk]

Интересная тема...
Возможна ли деанонимизация пользователя телеграм средствами СОРМ-2?
Возможно сопоставить telegram ID и номер телефона, с которым регался ID?
Или сопоставить telegram ID и точку выхода в сеть интернет, если чел пользуется инетом через wi-fi?
...вроде бы не возможно...

СОРМ сможет увидеть у абонента только шифрованный трафик до серверов Telegram. По этому трафику узнать Telegram ID и сопоставить с номером телефона не получится.

 

[Veil]

СОРМ сможет увидеть у абонента только шифрованный трафик до серверов Telegram. По этому трафику узнать Telegram ID и сопоставить с номером телефона не получится.

А какая гарантия того, что ключи шифрования не находятся у тех самых органов? Вероятность ничтожна мала, раз все госструктуры сидят на Телеге. Соответственно можно сделать вывод, что ключи лежат в ФСБ.

 

[rurk]

А какая гарантия того, что ключи шифрования не находятся у тех самых органов? Вероятность ничтожна мала, раз все госструктуры сидят на Телеге. Соответственно можно сделать вывод, что ключи лежат в ФСБ.

Закрытый ключ, который генерится на устройстве при создании Secret Chat, не покидает это устройство, поэтому ни Telegram, ни ФСБ иметь его не могут.

 

[Vespiary]

Закрытый ключ, который генерится на устройстве при создании Secret Chat, не покидает это устройство, поэтому ни Telegram, ни ФСБ иметь его не могут.

Фэсы вскрывают телегу. Можете спорить , можете не спорить - это момент уже неоднократно испытанный попавшими лицами.

 

[Veil]

Закрытый ключ, который генерится на устройстве при создании Secret Chat, не покидает это устройство, поэтому ни Telegram, ни ФСБ иметь его не могут.

Эту тему уже терли много раз. Митм атака возможна на серваке Телеги при обмене ключей.

 

[rurk]

Эту тему уже терли много раз. Митм атака возможна на серваке Телеги при обмене ключей.

Открытый ключ собеседника доступен в приложении. Свериться труда не составит.

 

[bratva]

А какая гарантия того, что ключи шифрования не находятся у тех самых органов? Вероятность ничтожна мала, раз все госструктуры сидят на Телеге. Соответственно можно сделать вывод, что ключи лежат в ФСБ.

Большая все таки разница - у ментов ключи или ФСБ. Если у ментов, то любой бродяга с даркмани будет пробивы делать, а если у ФСБ, то работа будет только по хай_профайл целям. Что конечно не отменяет того, что Телегу для практически любой работы лучше не использовать. У меня часто это просто входящий канал, чтобы tox-contact дать.

По вопросу Longinus17 - в СОРМЕ никакой мистики нет. Это тупо доступ к логам с провайдерского роутера. Здесь человек досконально все описал: https://xss.pro/threads/54619/post-353466
Включи логи на своем роутере и сам все увидишь, что и в каком виде собирается.

 

[Vespiary]

или ФСБ

у них

 

[Veil]

Открытый ключ собеседника доступен в приложении. Свериться труда не составит.

Почитай тут же на форуме. Эту тему жевали много раз. Как и что, и как?
Если лень найти и прочитать, то можешь и дальше пользоваться Телегой, верить Дурову и его пиарщикам. Дело твое.