How to become an author
.NET Knowledge Base
  • All streams
  • Development
  • Administrating
  • Design
  • Management
  • Marketing
  • PopSci
Log in Sign up
153.2
Karma
0.0
Rating
65
Followers
23
Following

Leonid Evdokimov darkk

Пользователь

Profile

Posts 13

Comments 1.3k

Bookmarks

  • В России сохраняются проблемы с доступностью сайтов, но никто их не замечает
    128
    darkk
    November 23, 2020 at 09:28 PM
    +1
    это достаточно просто реализовать в Knot Resolver и PowerDNS Recursor

    FFAMax, а меня память подводит, или у тебя был готовый "умный резольвер", который выкидывал из ответа resource records с заблокированными адресами?

  • DPI: Deep Packet INJECTION, или конспирологическая теория о заговоре между RTK и MRG
    63
    darkk
    October 27, 2020 at 01:22 PM
    0

    И до Санкт-Петербурга тоже добралось внедрение данной конструкции. Всё тот же редирект на r.analytic.press.

  • DPI: Deep Packet INJECTION, или конспирологическая теория о заговоре между RTK и MRG
    63
    darkk
    February 27, 2020 at 10:12 PM
    0
    Mail.Ru Group

    Кстати, а почему https://quantum-a.co/ не вспомнил? :-) Некоторый кусок инфраструктуры от них: редирект идёт на r.analytic.press, который 195.19.216.34, у которого admin-c: PM19270-RIPE, который Pavel Manyakin, у которого тёзка в R&D MegaLabs. Мегафон это всё же не совсем MRG. Так, на две трети :-)

  • DPI: Deep Packet INJECTION, или конспирологическая теория о заговоре между RTK и MRG
    63
    darkk
    February 27, 2020 at 10:03 PM
    +2
    а darkk — вот эти… это крайне регионозависимо

    Там подобных историй про Ростелеком десятки и самые старые полуторагодовалой давности. И при том все эти истории про Сибирский макрорегион: Томск, Красноярск, Иркутск, Ангарск, Барнаул, Новосибирск...


    Занятно ещё, что Kaspersky_Lab поучаствовали в истории в позитивном ключе, забанив один из доменов, использующихся для раздачи редиректов (не то чтоб это надолго помогло).


    В публичных интернетах я такие упоминания ещё нашёл:


    • 2018-09 https://modx.pro/development/16384
    • 2018-09 https://qna.habr.com/q/565094
    • 2018-10* https://searchengines.guru/showthread.php?t=1001505
    • 2019-03 https://qna.habr.com/q/611320
    • 2019-03 https://vk.com/x733337x?w=wall13108281_8116
    • 2019-04 https://forum.kasperskyclub.ru/index.php?showtopic=62477
    • 2019-04 https://forum.kasperskyclub.ru/index.php?showtopic=64215
    • 2019-04 https://vk.com/wall-24720111_144558?w=wall-24720111_144558_r144815
    • 2019-04 https://www.dwar.ru/info/forum/topic.php?id=688981
    • 2019-05 https://community.kaspersky.com/kaspersky-internet-security-21/podozritelnaya-aktivnost-virtualbox-obnovlennogo-cherez-kis-1405
    • 2019-08 https://fogalit.ru/sovety/rostelekom-podmenyaet-trafik/
    • 2019-10 https://bitcointalk.org/index.php?topic=2254304.msg52862565#msg52862565
    • 2019-12 https://packettotal.com/app/analysis?id=f0b10e249fa11ac05751398d894cc1d8&name=dns
    • 2020-01 https://github.com/uBlockOrigin/uAssets/issues/6900
    • 2020-01* https://2ch.hk/b/arch/2020-01-14/res/211528770.html
    • 2020-01* https://qna.habr.com/q/701749
    • 2020-01* https://www.yaplakal.com/forum32/topic2053730.html

    *) уже упомянутые выше

  • [ВОЗМОЖНО] СОРМ расшифровывает HTTPS трафик к Mail.ru и ICQ
    224
    darkk
    August 27, 2019 at 05:10 PM
    +1

    Простите, я что-то упускаю один момент — а зачем судьи в идеальном обществе?

  • [ВОЗМОЖНО] СОРМ расшифровывает HTTPS трафик к Mail.ru и ICQ
    224
    darkk
    August 27, 2019 at 01:40 PM
    0

    Кстати, говорят, что электросудорожная терапия и по сей день применяется как один из методов лечения, если остальные не помогли.

  • [ВОЗМОЖНО] СОРМ расшифровывает HTTPS трафик к Mail.ru и ICQ
    224
    darkk
    August 27, 2019 at 01:15 PM
    +7

    Продублирую комментарий из соседнего треда.


    Я тут на всякий случай ещё раз обращу внимание на то, что:


    • В дампе НЕТ ответов сервера.
    • Слать любой трафик через :443 порт – классика обхода странных firewall'ов, там и OpenVPN вешают и MTProto. HTTP вешать мне кажется странным, но почему бы и нет.
    • Эксперимент сам по себе поставлен довольно плохо: между проверкой ответов сервера по http на :443 и сбором трафика с :8800 IP-адреса съёмника прошли многие месяцы. Что-то могло и поменяться, например, вместе с закапыванием оскара.
    • Даже если MRG и передаёт TLS/PFS-ключи, что предположить я могу (у Яндекса, например, их довольно шумно просили несколько месяцев тому назад), то для ФСБ передавать эти ключи на юридически провайдерское(!) оборудование может быть несколько странно с юридической же точки зрения. Всё же СОРМ "покупают", Леонид Волков пытался это как-то не очень успешно опротестовать с "народным провайдером". Я так говорю, т.к. задача терминации TLS "поближе к пользователю" на сервер в "провайдерской" стойке у некоторых CDN уж точно упиралась в вопрос, как при этом избежать утечки TLS-сертификата при НСД к оборудованию.
    • http-трафика на :443 в общем объёме лога очень мало, ~0.05%. Например, от VK на :443 там за 5 дней два URL'а и на них перед этим была запись на аналогичный URL на :80. Это никак не бъётся с популярностью VK. Может быть это вообще какой-нибудь race-condition в обработчике и в логи пишется мусор.
    • Вскользь упомянутые скрипты из пакетов МФИ-Софт, которые куда-то ходят за ключами и как-то обрабатывают TLS-трафик настолько странно выглядят, что мне это кажется скорее каким-то "наколеночным" отладочным инструментом для пятничной расшифровки по крону, чем "потоковым" средством обработки данных.

    Т.е. эта история — это прикольный факт, но утверждать что-то про расшифровку https — это очень сильное допущение.

  • Как СОРМ сливает наши с вами данные всем желающим
    67
    darkk
    August 27, 2019 at 01:14 PM
    +3

    Чмоке, Артём! Приходи на 2600, LUG'овку и проч! :-)


    Я тут на всякий случай ещё раз обращу внимание на то, что:


    • В дампе НЕТ ответов сервера.
    • Слать любой трафик через :443 порт – классика обхода странных firewall'ов, там и OpenVPN вешают и MTProto. HTTP вешать мне кажется странным, но почему бы и нет.
    • Эксперимент сам по себе поставлен довольно плохо: между проверкой ответов сервера по http на :443 и сбором трафика с :8800 IP-адреса съёмника прошли многие месяцы. Что-то могло и поменяться, например, вместе с закапыванием оскара.
    • Даже если MRG и передаёт TLS/PFS-ключи, что предположить я могу (у Яндекса, например, их довольно шумно просили несколько месяцев тому назад), то для ФСБ передавать эти ключи на юридически провайдерское(!) оборудование может быть несколько странно с юридической же точки зрения. Всё же СОРМ "покупают", Леонид Волков пытался это как-то не очень успешно опротестовать с "народным провайдером". Я так говорю, т.к. задача терминации TLS "поближе к пользователю" на сервер в "провайдерской" стойке у некоторых CDN уж точно упиралась в вопрос, как при этом избежать утечки TLS-сертификата при НСД к оборудованию.
    • http-трафика на :443 в общем объёме лога очень мало, ~0.05%. Например, от VK на :443 там за 5 дней два URL'а и на них перед этим была запись на аналогичный URL на :80. Это никак не бъётся с популярностью VK. Может быть это вообще какой-нибудь race-condition в обработчике и в логи пишется мусор.
    • Вскользь упомянутые скрипты из пакетов МФИ-Софт, которые куда-то ходят за ключами и как-то обрабатывают TLS-трафик настолько странно выглядят, что мне это кажется скорее каким-то "наколеночным" отладочным инструментом для пятничной расшифровки по крону, чем "потоковым" средством обработки данных.

    Т.е. эта история — это прикольный факт, но утверждать что-то про расшифровку https — это очень сильное допущение.

  • [ВОЗМОЖНО] СОРМ расшифровывает HTTPS трафик к Mail.ru и ICQ
    224
    darkk
    August 26, 2019 at 11:46 PM
    +1

    Есть ещё гипотеза, что :8800 с кликстримом — это одна программа, а :1000 это уже статистика от МФИ-софт. Может это разные программы на одном железе, может это админ ISP NAT зачем-то сделал (адресов не хватало?).


    Ну а статистика — это всё же не очень "управление ОРМ".

  • [ВОЗМОЖНО] СОРМ расшифровывает HTTPS трафик к Mail.ru и ICQ
    224
    darkk
    August 26, 2019 at 10:59 PM
    0

    Во время доклада кто-то в зале использовал :)

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 21, 2019 at 12:39 AM
    +1

    Как и без SNI — ничего необычного не происходит.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 20, 2019 at 02:31 AM
    +1

    На шифронаборы в сторону сервера можно посмотреть в pcap'е. Соответствующего ServerHello у меня нет.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 20, 2019 at 01:13 AM
    +3
    начала исполнять код, копирующий весь транзитный трафик куда-то

    Я хотел провести эксперимент, как отреагирует эта КазахГосМитмилка на самоподписанный сертификат facebook'а. Не успел :-(

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 20, 2019 at 01:08 AM
    +1

    На непатченного кальмара по ряду признаков не очень похоже. TLS-fingerprint от соединения ни на что известное не похож, да и TCP / IP заголовки тоже не оч.
    Так что если и кальмар, то после глубокой переработки.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 11:58 PM
    +1

    В данном измерении IP адрес был TCP-прокси не имеющей отношения к Facebook. Измерение было нужно для понимания, кэшируется ли как-то IP адрес после первого "попадания".

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 11:28 PM
    0

    А есть какой-нибудь свежий источник про цифры? А то можно так же предположить, что по 443 идёт допусти 50% порнхаба и ютуба, и ещё немного QUIC. Ну и 5% каких-нибудь торрентов рядом. Тогда и нет никакой разницы :-)
    В свежем посте в RIPE Labs я вообще не вижу p2p трафика в чарте (он только про web), поэтому цифры беру с потолка :-)

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 11:07 PM
    +1

    Серты, кажется, кэшируются — при повторных тестах тот же зонд видел тот же тест. А доменов ограниченное количество.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 10:55 PM
    +1

    Не пробовал, времени не было :-(
    Ну а потом, кажется, MITM то ли выключили, то ли просто пробник мой больше его не видел.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 10:39 PM
    0

    Зависит от количества трафика на :443. Поматчить 4 первых байта из client hello или два из TCP хэдера — на мой вкус не велика разница пока весь Client Hello в одном пакете идёт.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 10:31 PM
    +2
    The mechanism was deprecated by the Google Chrome team in late 2017 because of its complexity and dangerous side-effects. Google recommends using the Expect-CT as a safer alternative.

    — https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning
  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 10:11 PM
    +1

    Без SNI пропускает, c SNI выдаёт обезопашеный серт. См. пробник 6308.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 09:10 PM
    +1

    Нет, ближе к первому.
    Запрос на нерелевантный IP с TCP Proxy DPI'ится в зависимости от SNI. На www.facebook.com приходит левый сертификат, а на darkk.net.ru нормальный (пока).

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 09:04 PM
    +7

    Это да. Но моё удивление не знало границ, когда я на 34c3 спрашивал Юлиуса:
    — Слушайте, а как вы разворачиваете GSM-сеть на конфе? Ну это же регулиремые частоты, аэропорт рядом, тут 15 000 человек…
    — Ну как. Мы же немцы. У нас есть немецкая бюрократия. И она работает. Если бы нам отказали в разрешении, мы бы попросту подали в суд.

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 02:42 PM
    0

    Насколько я вижу, пара ключей CA используется для подписи промежуточного CA, а уже промежуточным подписан facebook. Я где-то ошибаюсь?

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 02:38 PM
    0

    А почему вас удивляет, что корневой сертификат самоподписан? Это разве не стандартная схема?

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 02:15 PM
    +2

    Да, на chaos communication congress в Германии :-)

  • Готовьтесь и вы, россияне, к MITM в лице государства, как это стало в Казахстане
    476
    darkk
    July 19, 2019 at 02:09 PM
    +1

    См. https://bugzilla.mozilla.org/show_bug.cgi?id=1567114#c21
    Вы перепутали корневой и промежуточный сертификаты в цепочке.

  • Сосчитаем агентов «Ревизор»
    10
    darkk
    May 6, 2019 at 10:03 PM
    0

    Порой, да.

  • Роскомнадзор случайно заблокировал «заглушки» провайдеров
    128
    darkk
    March 1, 2019 at 01:53 PM
    +1

    К слову о.
    Ссылка раз.
    Ссыла два.

  • На кого и для чего будут «стучать» мессенджеры
    194
    darkk
    February 25, 2019 at 11:08 PM
    0

    На уделке вчера под ногами валялись "конверты" от SIM'ок десятками :-)

  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    February 13, 2019 at 11:19 PM
    0

    Его докерную сборку обновили не так давно.
    По идее, сейчас должен уметь.

  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    February 13, 2019 at 11:15 PM
    0

    В Корее, говорят, заблокировали ESNI.

  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    February 13, 2019 at 11:08 PM
    0

    Про Yota — недавно был опубликован прекрасный костыль.
    Который тоже пока работает :-)

  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    February 13, 2019 at 11:06 PM
    0

    Насколько я понимаю, tls-crypt-v2 меняет только процедуру генерации соответствующего ключа. Никакие дополнительные метаданные по сравнению с tls-crypt не шифрует.

  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    February 13, 2019 at 11:05 PM
    0

    TLS-handshake обфусцирует. Но там остаётся перманентный Session ID, опкоды и т.п. Для блокировки этого может быть достаточно.

  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    January 23, 2019 at 12:39 AM
    +1
    1. зависит от провайдера, конечно же
    2. злоумышленнику неплохо бы не быть в этой ситуации абонентом, т.к. при заключении договора с абонентом обычно известны его персданные :-)
  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    January 23, 2019 at 12:30 AM
    +2

    В нём есть видео в кружочке же. :-)

  • Роскомнадзор возобновил попытки блокировать Telegram
    237
    darkk
    January 23, 2019 at 12:29 AM
    0

    Не то чтоб это было новостью :-)

  • Подборка интересных докладов с конференции 35C3
    5
    darkk
    January 10, 2019 at 04:57 PM
    +2
    Я напряженно ждал какой-нибудь политической пропаганды

    "Мне нельзя в Бельдяжки". Уж извините, если разочаровал кого отсутствием агитпропа :-)

  • Как обойти SMS-идентификацию при подключении к публичным Wi-Fi сетям?
    143
    darkk
    September 21, 2018 at 12:33 PM
    0

    Конечно, может. И может как минимум ещё ограничивать число запросов в единицу времени.

  • ← here
  • there →
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8

Info

  • Rating 5,972–nd
  • Activity 12/3/20, 12:01 PM
  • Registered July 28, 2008

Contribution to hubs

  • Programming 169
  • Python 130
  • Machine learning 130
  • Image processing 130
  • Instant Messaging 87
  • Information Security 84
  • IT-companies 72
  • Legislation in IT 72
  • IT Infrastructure 67
  • Network technologies 67

Your account

  • Log in
  • Sign up

Sections

  • Posts
  • Hubs
  • Companies
  • Users
  • Sandbox

Info

  • How it works
  • For Authors
  • For Companies
  • Documents
  • Agreement
  • Terms of service

Services

  • Ads
  • Subscription plans
  • Content
  • Seminars
  • Megaprojects
© 2006 – 2021 «Habr»
Language settings
About
Support
Mobile version
Language settings
Interface
Content