Источник: HWP.ru [все части на одной странице, мега-лонгрид]
Часть 1 - внимательно читаем закон! {Дзен}
Часть 2 - мнение сисадминов о DPI {Дзен}
Часть 3 - влияние на IT-бизнес (интервью с cloud-провайдерами) {Дзен}
Часть 4 - национальная система доменных имён. {о чём речь?} {Дзен}
Часть 5 - пресловутый {рубильник} и советы редакции. {Дзен}
Сама технология DPI стара как мир, я уверен, что все наши читатели знают, как она работает, но для совсем далёких от темы, приведу пример: каждый байт из интернета упаковывается в цифровой пакет и отправляется пользователю сети на любое устройство, будь то компьютер или смартфон. У провайдера установлена система, которая вскрывает каждый пакет и пронюхивает на наличие запрещёнки: всё в порядке – проходи, если что не так – пакет уничтожается. И так миллиард раз в секунду, круглые сутки, год за годом.
Deep Packet Inspection (сокр. DPI, также complete packet inspection и Information eXtractionили IX) — технология накопления статистических данных, проверки и фильтрации сетевых пакетов по их содержимому. В отличие от брандмауэров, Deep Packet Inspection анализирует не только заголовки пакетов, но и полное содержимое трафика на уровнях модели OSI со второго и выше. Deep Packet Inspection способно обнаруживать и блокировать вирусы, фильтровать информацию, не удовлетворяющую заданным критериям.
Deep Packet Inspection может принимать решение не только по содержимому пакетов, но и по косвенным признакам, присущим каким-то определённым сетевым программам и протоколам. Для этого может использоваться статистический анализ (например статистический анализ частоты встречи определённых символов, длины пакета и т. д.).
Если у вас роутер хотя бы уровня Mikrotik, или программный шлюз безопасности, вы можете поиграть в Роскомнадзор и сами включить DPI для вашей домашней или офисной сети - ничего сложного в этом нет. По иронии судьбы, технология DPI использовалась как альтернатива Proxy для доступа к заблокированным сайтам, то есть то что эффективно применялось против РКН, теперь будет обращено против граждан. Конечно, есть мнение, что сегодня, когда практически весь трафик в интернете зашифрован, DPI - не более чем "страшилка от телеграмма", однако это не так. Мы обратились за помощью к системным администраторам:
- Максим (Системный Администратор, пожелал остаться неизвестным)
HWP: Каково ваше мнение о законопроекте "о суверенном интернете"?
Максим: Вся эта проблема надумана - ничего не перестанет работать. Во-первых, они(США) не нас отключат, а себя отключат от нас. А так и до самоизоляции недалеко. Во-вторых все железо, которое на нашей территории под нашей юрисдикцией и административным контролем будет продолжать работать.
Владимир Колесников: Вообще если целью стоит изолировать рунет, то имеет смыл смотреть не на опыт Китая, а на опыт Северной Кореи, где для рядовых граждан - Чебурнет-Кванмён, а для доверенных лиц в доверенных местах - контролируемый выход в Интернет.
HWP: Давайте прямо: DPI может пронюхать содержимое HTTPs и VPN с подменой сертификатов или без неё, но незаметно для сторон?
Максим: Никакой DPI не сможет пронюхать реального содержимого трафика, поскольку есть оконечное асимметричное шифрование. Можно также и комбинацию шифрования применять - одно поверх другого и файлы разделять на абсолютно незначащие части, перемешивать их и шифровать. И чтобы расшифровать, нужно знать еще и в каком порядке из дешифрованных пазлов составлять целую картинку.
Александр Косивченко: может, при условии установки на клиентском компьютере нужного корневого сертификата.
Владимир Колесников: С VPN - теоретически да, для сервисов, которые используют один закрытый ключ на всех клиентов (vpnbook, frootvpn,...): во время TLS handshake можно подменить список наборов шифров, поддерживаемых клиентов, убрав из него те, которые поддерживают эфемерные ключи. Во всяких Китаях их Great China Firewall пронюхивает сам факт использования VPN (по крайней мере OpenVPN / PPTP / L2TP) и режет соединение. Лечилось использованием stunnel.
HWP: может ли Windows при обновлении сама установить корневой сертификат, чтобы в дальнейшем DPI система Роскомнадзора нюхала HTTPs соединение, да так, чтобы клиент ни о чём не догадывался?
Владимир Колесников: может. В корневом хранилище Винды был сертификат, предположительно используемый властями Тайланда для слежки за гражданами :) Собственно, не только винда. Всякие антивирусы типа Касперского устанавливают свои сертификаты, чтобы иметь возможность, хм, защищать пользователя.
HWP: Правильно ли я понимаю, что установив такой сертификат на компьютер гражданина, Роскомнадзор сможет через DPI системы получать пароли к интернет-банкам?
Владимир Колесников: Да. Собственно, DLP работает по тому же принципу, и безопасники компаний, использующих DLP, имеют полный доступ ко всему трафику.
HWP: От этого есть защита?
Владимир Колесников: Честно - не знаю. Если на своем компьютере есть права администратора, то "левые" корневые сертификаты можно убрать. Я не знаю, реалистичен ли сценарий, который предполагали осуществить в Казахстане: если трафик зашифрован при помощи правительственного сертификата, мы его пропускаем, иначе режем.
Пожалуй, мало кто станет сомневаться, что нужный корневой сертификат на компьютерах с русскоязычной Windows 10 появится, поскольку имя этой операционки на сегодня уже являтся синонимом слова "слежка". В то же время, технологии для защиты онлайн-платежей существуют ещё со времён, когда банки использовали HTTP протокол: это различные токены, устройства, которые при каждом обращении к банку генерируют уникальный код, который бесполезно перехватывать и прослуживать. Сегодня для генерации паролей могут использоваться смартфоны с биометрическими датчиками (сканер отпечатка пальца или фото лица пользователя), а можно вспомнить прошлые технологии, такие как "карточка с кодами доступа", которую банк выдавал клиенту для совершения онлайн-операций. То есть, возможности обезопасить банковские операции даже в условиях полной прозрачности трафика, имеются и хорошо известны.
Источник: HWP.ru [все части на одной странице, мега-лонгрид]
Часть 1 - внимательно читаем закон! {Дзен}
Часть 2 - мнение сисадминов о DPI {Дзен}
Часть 3 - влияние на IT-бизнес (интервью с cloud-провайдерами) {Дзен}
Часть 4 - национальная система доменных имён. {о чём речь?} {Дзен}
Часть 5 - пресловутый {рубильник} и советы редакции. {Дзен}
