Нет, если пакетный траффик (готовые IP пакеты полученные с TUN-интерфейса) завернуть в HTTPS, выглядеть как HTTPS оно будет только для полностью незнакомого с областью наблюдателя. И если DPI не сможет определить в таком траффике туннелирование пакетов — оно не имеет права называться DPI. Хороший DPI увидит в таком туннеле и DNS запрос-ответ и TLS внутри TLS.
Так как шифрованный трафик уже давно держит первенство в общем объеме трафике, разработана куча методик для того чтобы по side channel information определять что-же именно внутри такого туннеля пересылается. Например, одна из хороших публикаций на эту тему https://www.enisa.europa.eu/publications/encrypted-traffic-analysis
Именно поэтому очень нетривиально сделать VPN туннель, в котором не будет видно туннелирование других протоколов.
В штатах вон каждый год все сами рассчитывают и подают налоговые декларации. IRS за людей ничего не считает, только потом проводит выборочный аудит по результатам. Так что подход когда нет счёта вполне себе существует.
Пакетный трафик (IP пакеты), завернутый почти во что угодно, легко детектится на уровне DPI по сигнатурам размера и времени. Если представить начало сессии — DNS запрос/ответ, TLS Client Hello/Server Hello, пакеты с фиксированным максимальным MTU — определяются продвинутыми DPI на раз в шифрованном туннеле. Поэтому VPN заточенные на antiblocking (HSS) имеют некоторое количество специальных мер направленных на удаление из трафика этих паттернов. По этой же причине такие технологии, включая Service Discovery самого VPN — закрыты.
А в остальном — как с любыми услугами — если у вас есть время, навыки и желание, то поднимаете свой сервис (опять же, вас может спокойно мониторить тот хостинг где вы это поднимете). Остальным проще пользоваться поставщиками услуг на их выбор, про собирание инфы у нормальных компаний есть legal disclaimer, и если что это не пустой звук у серьезных провайдеров.
Это же шикарно, в MS гениальные маркетологи нашли способ монетизации бардака на рабочем столе. И персонализированная реклама в зависимости от содержимого папочек. Красота...
Остаётся добавить на этот рабочий стол лицензионного видео с платным просмотром и можно подвинуть ютуб.
В Калифорнии уже столкнулись с проблемами пикового времени и "зеленой энергии". С наступлением ночи внезапно пропадает генерация от солнечных батарей, а нагрузка на сеть внезапно возрастает из-за заряжающихся машин. Так что ночной тариф тоже может оказаться ненадолго (да и генерация энергии по ночам не такая зеленая)
Я бы даже сказал, что в огромном количестве машин уже доступ без ключа, странно что это подают как фичу EV. CR-V 2016 купленная в 2015м — достаточно руку просунуть под ручку и замок открывается. Запуск двигателя одной кнопкой.
Про атаку ретрансляцией (keyless relay attack) — проблема известная почти для всех производителей, но как я видел в тестировании ADAC и Тесла засветилась с этой проблемой.
операционке сложнее коллекционировать информацию об ошибках, причина которых возникает до загрузки операционки
Скоро: отчёты об ошибках, скриншоты и логи нажатий клавиш с отправкой прямо из кода UEFI/Intel ME. (Только для решения вышеозначенной проблемы с тестированием!)
Ключи иногда отзываются, но подписываются для UEFI не ядра, а загрузчик shim/grub. GRUB2 уже проверяет подпись ядра, ключи от которой во владении у вендора Linux дистрибутива.
Видимо в случае KRD загрузчик, подписанный ключом MS, мог запускать далее по цепочке неподписанное ядро. Не думаю, что речь о юзерспейсном софте, так как до полной проверки каждого бинаря на подписи еще очень далеко. И даже UEFI не решает всех проблем.
Как у инженера АСУ, у меня челюсть стукнула об пол… Докатились до жизни в облаках в прямом смысле. Сохранить периодическое расписание с триггером локально не осилили.
А сейчас это называется Credit Score — если он есть, можно платить в конце месяца, если его нет — вноси залог вперед, через год могут вернуть если не будет случаев неоплаты (применительно к тому же счёту за газ и электричество)
Какой-то странный ИИ получается, напишут его новую версию ИИ 2.0 и он чуть по другому расдекодирует старые записи, или как? Для декодирования узора в набор бит по идее должно быть достаточно перцептрона (сигнал/шум должно быть приличным), иначе погрешность определения узора (в т.ч. из-за внешних царапин), стремительно возрастёт. Либо они ИИ засунули в код коррекции, как те, которые восстанавливают на фото куски, которых не было на исходном материале.
Спасибо за статью, идея очень интересная в плане недорогого перевода всех на аппаратные ключи, а также потенциального использования для аппаратного TPM модуля в самом компе, чтобы не могли вытащить ключи софта даже при атаках. Причём всё это на основе достаточно стандартного железа и с открытым кодом. Естественный вопрос по такому железу — для генерации энтропии нужен серьезный источник аппаратного шума, как с этим у STM32? Есть подобный проект OneRNG и идеальным выглядит их объединение в одном девайcе. Вторая проблема в возможных уязвимостях, которые могут разлочить флеш, о ней уже говорили. И конечно же совсем идеальным такой девайс сделает аппаратный ввод пин кода без связи с компьютером.
В том то и дело, что на практике оказалось не всегда так. То-ли дело в адаптивных светофорах, которые не всегда правильно детектят наличие машин, то ли еще что. На довольно неплохой скорости как раз на широком перекрестке вот так сменился зеленый-желтый и почти сразу красный, что пришлось оттормаживаться от неожиданности.
Спасибо, мы очень стараемся :D
Нет, если пакетный траффик (готовые IP пакеты полученные с TUN-интерфейса) завернуть в HTTPS, выглядеть как HTTPS оно будет только для полностью незнакомого с областью наблюдателя. И если DPI не сможет определить в таком траффике туннелирование пакетов — оно не имеет права называться DPI. Хороший DPI увидит в таком туннеле и DNS запрос-ответ и TLS внутри TLS.
Так как шифрованный трафик уже давно держит первенство в общем объеме трафике, разработана куча методик для того чтобы по side channel information определять что-же именно внутри такого туннеля пересылается. Например, одна из хороших публикаций на эту тему https://www.enisa.europa.eu/publications/encrypted-traffic-analysis
Именно поэтому очень нетривиально сделать VPN туннель, в котором не будет видно туннелирование других протоколов.
В штатах вон каждый год все сами рассчитывают и подают налоговые декларации. IRS за людей ничего не считает, только потом проводит выборочный аудит по результатам. Так что подход когда нет счёта вполне себе существует.
Пакетный трафик (IP пакеты), завернутый почти во что угодно, легко детектится на уровне DPI по сигнатурам размера и времени. Если представить начало сессии — DNS запрос/ответ, TLS Client Hello/Server Hello, пакеты с фиксированным максимальным MTU — определяются продвинутыми DPI на раз в шифрованном туннеле. Поэтому VPN заточенные на antiblocking (HSS) имеют некоторое количество специальных мер направленных на удаление из трафика этих паттернов. По этой же причине такие технологии, включая Service Discovery самого VPN — закрыты.
А в остальном — как с любыми услугами — если у вас есть время, навыки и желание, то поднимаете свой сервис (опять же, вас может спокойно мониторить тот хостинг где вы это поднимете). Остальным проще пользоваться поставщиками услуг на их выбор, про собирание инфы у нормальных компаний есть legal disclaimer, и если что это не пустой звук у серьезных провайдеров.
Проблема известная, называется Duck Curve, в общем описана на википедии. По Калифорнии именно вот тут.
Это же шикарно, в MS гениальные маркетологи нашли способ монетизации бардака на рабочем столе. И персонализированная реклама в зависимости от содержимого папочек. Красота...
Остаётся добавить на этот рабочий стол лицензионного видео с платным просмотром и можно подвинуть ютуб.
В Калифорнии уже столкнулись с проблемами пикового времени и "зеленой энергии". С наступлением ночи внезапно пропадает генерация от солнечных батарей, а нагрузка на сеть внезапно возрастает из-за заряжающихся машин. Так что ночной тариф тоже может оказаться ненадолго (да и генерация энергии по ночам не такая зеленая)
Я бы даже сказал, что в огромном количестве машин уже доступ без ключа, странно что это подают как фичу EV. CR-V 2016 купленная в 2015м — достаточно руку просунуть под ручку и замок открывается. Запуск двигателя одной кнопкой.
Про атаку ретрансляцией (keyless relay attack) — проблема известная почти для всех производителей, но как я видел в тестировании ADAC и Тесла засветилась с этой проблемой.
Там наверное штук 50 патентов только на эту тему
Скоро: отчёты об ошибках, скриншоты и логи нажатий клавиш с отправкой прямо из кода UEFI/Intel ME. (Только для решения вышеозначенной проблемы с тестированием!)
Ключи иногда отзываются, но подписываются для UEFI не ядра, а загрузчик shim/grub. GRUB2 уже проверяет подпись ядра, ключи от которой во владении у вендора Linux дистрибутива.
Видимо в случае KRD загрузчик, подписанный ключом MS, мог запускать далее по цепочке неподписанное ядро. Не думаю, что речь о юзерспейсном софте, так как до полной проверки каждого бинаря на подписи еще очень далеко. И даже UEFI не решает всех проблем.
Как у инженера АСУ, у меня челюсть стукнула об пол… Докатились до жизни в облаках в прямом смысле. Сохранить периодическое расписание с триггером локально не осилили.
В стиле стим-панка: rotary encoder и наклейка как циферблат от сейфа. Но пин код надо вводить на самом ключе, это факт.
Идея для Теслы — сделать монетоприёмник для автопилота: пока бросаешь монеты — едет само.
А сейчас это называется Credit Score — если он есть, можно платить в конце месяца, если его нет — вноси залог вперед, через год могут вернуть если не будет случаев неоплаты (применительно к тому же счёту за газ и электричество)
Не знаете, есть ли документация как он организован? У OneRNG по моему шум диода + шум радиомодуля.
Какой-то странный ИИ получается, напишут его новую версию ИИ 2.0 и он чуть по другому расдекодирует старые записи, или как? Для декодирования узора в набор бит по идее должно быть достаточно перцептрона (сигнал/шум должно быть приличным), иначе погрешность определения узора (в т.ч. из-за внешних царапин), стремительно возрастёт. Либо они ИИ засунули в код коррекции, как те, которые восстанавливают на фото куски, которых не было на исходном материале.
Спасибо за статью, идея очень интересная в плане недорогого перевода всех на аппаратные ключи, а также потенциального использования для аппаратного TPM модуля в самом компе, чтобы не могли вытащить ключи софта даже при атаках. Причём всё это на основе достаточно стандартного железа и с открытым кодом. Естественный вопрос по такому железу — для генерации энтропии нужен серьезный источник аппаратного шума, как с этим у STM32? Есть подобный проект OneRNG и идеальным выглядит их объединение в одном девайcе. Вторая проблема в возможных уязвимостях, которые могут разлочить флеш, о ней уже говорили. И конечно же совсем идеальным такой девайс сделает аппаратный ввод пин кода без связи с компьютером.
В том то и дело, что на практике оказалось не всегда так. То-ли дело в адаптивных светофорах, которые не всегда правильно детектят наличие машин, то ли еще что. На довольно неплохой скорости как раз на широком перекрестке вот так сменился зеленый-желтый и почти сразу красный, что пришлось оттормаживаться от неожиданности.