Що ваш провайдер інтернету знає про вас

Легенди про співробітників компаній-провайдерів, які від нудьги або вигоди заради моніторять трафік клієнтів, нескладно знайти в інтернеті. Але чи це так? Розбираємося, що дійсно знає про вас провайдер.

Як великий брат стежить за тобою

Провайдери в РФ зобов’язані аналізувати трафік користувачів на відповідність нормам російського законодавства. Зокрема, п. 1.1 Федеральний закон від 07.07.2003 N 126-ФЗ (ред. від 05.12.2017) «Про зв’язок» говорить:

Оператори зв’язку зобов’язані надавати уповноваженим державним органам, що здійснюють оперативно-розшукову діяльність або забезпечення безпеки Російської Федерації, інформацію про користувачів послугами зв’язку та про надані їм послуги зв’язку, а також іншу інформацію, необхідну для виконання покладених на ці органи завдань, у випадках, встановлених федеральними законами.

Сам трафік провайдер, природно, не зберігає. Проте він виконує його обробку та класифікацію. Результати записуються в лог-файли.

Аналіз основної інформації ведеться в автоматичному режимі. Зазвичай трафік вибраного користувача зеркалируется на СОРМ-сервера (засоби оперативно-розшукових заходів), які контролюють МВС, ФСБ і інших, і аналіз проводиться вже там.

Складовою частиною сучасних систем СОРМ-2 є циклічний буфер зберігання даних. У ньому повинен зберігатися проходить через провайдера трафік за останні 12 годин. З 2014 року впроваджується СОРМ-3. Її головна відмінність – додаткове сховище, в яке повинен складатися трирічний архів усього білінгу і всіх логів сполук.

Як читають трафік з допомогою DPI

Приклад схеми від VAS Expert

У складі СОРМ або окремо можуть використовуватися DPI (Deep Packet Inspection). Це системи (зазвичай програмно-апаратні комплекси – залізо зі спеціальним), які працюють на всіх, крім першого (фізичного, бітового), рівнях мережевої моделі OSI.

У найпростішому випадку провайдери використовують DPI для контролю доступу до ресурсів (зокрема, до сторінок сайтів з «чорного» списку Роскомнадзора по ФЗ № 139 про внесення змін до закону «Про захист дітей від інформації, що завдає шкоди їх здоров’ю та розвитку» або торрентів). Але, взагалі кажучи, рішення можуть застосувати і для читання вашого трафіку.

Противники DPI заявляють, що право на недоторканність листування закріплено в конституції, до того ж технологія порушує мережевий нейтралітет. Але це не заважає задіяти технологію на практиці.

DPI без проблем розбирає вміст, яке передається по незашифрованим протоколах HTTP, FTP.

Деякі системи також використовують евристику – непрямі ознаки, які допомагають пізнати сервіс. Це, наприклад, часові та кількісні характеристики трафіку, а також особливі послідовності байт.

З HTTPS складніше. Однак у рівні TLS, починаючи з версії 1.1, який сьогодні нерідко використовується для шифрування HTTPS, доменне ім’я сайту передається у відкритому вигляді. Таким чином, провайдер зможе дізнатися, на який домен ви заходили. Але що там робили, робив він без закритого ключа не дізнається.

У будь-якому випадку провайдери не перевіряють всіх підряд

Це дуже затратно. А ось моніторити чийсь трафік за запитом теоретично можуть.

Те, що відзначила система (чи товариш майор), зазвичай досліджується вручну. Але найчастіше ніякого СОРМ у провайдера (особливо якщо це дрібний провайдер) немає. Все шукається і знаходиться рядовими співробітниками в базі даних з логами.

Як відстежують торренти

Торрент-клієнт і трекер, як правило, обмінюються даними по протоколу HTTP. Це відкритий протокол, а значить, дивіться вище: перегляд трафіку користувача за допомогою атаки MITM, аналіз, розшифровка, блокування за допомогою DPI. Провайдер може досліджувати дуже багато даних: коли стартувало або завершилося скачування, коли стартувала роздача, яка кількість трафіку було роздано.

Сидерів знайти важче. Найчастіше в таких випадках фахівці самі стають бенкетами. Знаючи IP-адреса сидера, бенкет може направити провайдера повідомлення з ім’ям роздачі, її адресою, часом початку роздачі, власне, IP-адресою сидера і т. д.

У Росії поки що це безпечно – всі закони обмежують можливості адміністрації трекерів і інших розповсюджувачів піратського контенту, але не рядових користувачів. Однак у деяких європейських країнах користування торрентами загрожує великими штрафами. Так що якщо їдете за кордон, не попадайтеся.

Що відбувається, коли ви заходите на сайт

Провайдер бачить URL, який ви відкрили, якщо аналізує вміст пакетів, які вас приходять. Зробити це можна, наприклад, за допомогою MITM-атаки (атака «man-in-the-middle», людина посередині).

З вмісту пакетів можна отримати історію пошуку, проаналізувати історію запитів, навіть прочитати листування і логіни з паролями. Якщо, звичайно, сайт використовує для авторизації нешифрованное HTTP-з’єднання. На щастя, таке трапляється дедалі рідше.

Якщо сайт працює з HTTPS, тоді провайдер бачить тільки IP-адресу сервера та ім’я домену, а також час підключення до нього і обсяг трафіку. Інші дані проходять в зашифрованому вигляді, і без приватного ключа розшифрувати їх неможливо.

Що щодо MAC-адреси

Ваш MAC-адресу провайдер бачить у будь-якому випадку. Точніше, MAC-адресу пристрою, який підключається до мережі (а це може бути не комп’ютер, а роутер, наприклад). Справа в тому, що авторизація у багатьох провайдерів виконується по логіну, паролю та MAC-адресу.

Але MAC-адреси на багатьох роутерах можна підміняти вручну. Так і на комп’ютерах MAC-адресу мережного адаптера, що встановлюється вручну. Так що якщо зробити це до першої авторизації (або поміняти пізніше і попросити переприв’язати аккаунт до нового MAC-адресою), істинний MAC-адресу провайдер бачити не буде.

Що відбувається, якщо у вас включений VPN

Якщо ви використовуєте VPN, то провайдер бачить, що шифрований трафік (з високим коефіцієнтом ентропії) відправляється на певний IP-адресу. Крім того, він може дізнатися, що IP-адреси з цього діапазону продаються під VPN-сервіси.

Куди йде трафік з VPN-сервісу, провайдер автоматично відстежити не може. Але якщо зіставити трафік абонента з трафіком будь-якого сервера за тимчасовими мітками, можна виконати подальше відстеження. Просто для цього потрібні більш складні і дорогі технічні рішення. Від нудьги ніхто точно таке розробляти і використовувати не буде.

Буває, що раптово VPN «відвалюється» – таке може статися в будь-який момент і в будь-якій операційній системі. Після того, як VPN припинив роботу, трафік автоматично починає йти відкрито, і провайдер може його аналізувати.

Важливо, що навіть якщо аналіз трафіку показує, що занадто великий обсяг пакетів постійно йде на IP-адресу, який потенційно може належати VPN, ви нічого не порушите. Користуватися VPN в Росії не заборонено – заборонено надавати такі послуги для обходу сайтів з «чорного списку» Роскомнадзора.

Що відбувається, коли ви вмикаєте Tor

Коли ви підключаєтеся через Tor, провайдер також бачить зашифрований трафік. І розшифрувати, що ви робите в інтернеті в даний момент, він не зможе.

На відміну від VPN, де трафік зазвичай спрямовується на один і той же сервер протягом великого проміжку часу, Tor автоматично змінює IP-адреси. Відповідно, провайдер може визначити, що ви, ймовірно, користувалися Tor, по шифрованому трафіку і частій зміні адрес, а потім відобразити це в логах. Але за законом вам за це теж нічого не буде.

При цьому вашим IP-адресою у мережі Tor хтось може скористатися, лише якщо у вас є відповідні Exit Node в налаштуваннях.

А як щодо режиму «інкогніто»

Цей режим не допоможе приховати ваш трафік від провайдера. Він потрібен, щоб зробити вигляд, що ви не користувалися браузером.

В режимі «інкогніто» не зберігаються файли cookie, дані сайтів і історія переглядів. Однак ваші дії бачать провайдер, системний адміністратор і веб-сайти, які ви відвідуєте.

Але є і хороша новина

Провайдер знає про вас багато, якщо не все. Проте бюджет дрібних компаній не дозволяє купити обладнання DPI, встановити СОРМ або налаштувати ефективну систему моніторингу.

Якщо робити легальні дії в інтернеті відкрито, а для дій, які передбачають конфіденційність, користуватися VPN, Tor або іншими засобами забезпечення анонімності, імовірність потрапити на олівець» до провайдера і спецслужбам мінімальна. Але 100% гарантію дають тільки 100% легальні дії.

LIVE-новини Apple: Facebook,
ВКонтакте і

Telegram

Добавить комментарий