Επεξήγηση του πως οι ISP μπορούν να καταγράψουν την δραστηριότητα του συνδρομητή

[chat1978]

.

DNS queries θεωρητικά θα μπορούσαν να γίνουν logged, αλλά το θεωρώ απίθανο να το κάνει κανένας Ελληνικός πάροχος. Θεωρητικά, χωρίς DoT/DoH, μπορούν να κάνουν και man-in-the-middle προς τρίτους DNS εύκολα. Αυτό όμως είναι και κάτι που όσοι το ψάξουν, μπορούν και να το δουν εύκολα. Συνήθως συμβαίνει σε χώρες με απολυταρχικά καθεστώτα.

Μπορείς να εξηγήσεις με ένα παράδειγμα το man in the middle με DNS? Εκτός και αν δουλεύει μόνο με unencrypted requests. Γιατί ο browser χρησιμοποιεί το Https certificate για να βεβαιωθεί ότι έχει πάει στον σωστό server με βάση το requested host name.

- - - Updated - - -

Για τα υπόλοιπα ευχαριστώ. Γενικά μόλις ο sdikr ανέφερε την έννοια δόλωμα, ήμουν σε αααααα. Δεν ήξερα ότι γίνεται οργανωμένα με δικηγόρικα γραφεία όμως.

Επίσης, μου έχει επιβεβαιωθεί ότι το encryption δεν παραβιάζεται. Ότι κάνουν είναι γύρω από αυτό. Την στατιστική ανάλυση την υποψιαζομουν. Αλλά τί νόημα έχει αν δεν ξέρεις ποιο ήταν το payload. Υπάρχει νομικό και παράνομο payload για κάθε πρωτόκολλο.

[SfH]

Μπορείς να εξηγήσεις με ένα παράδειγμα το man in the middle με DNS? Εκτός και αν δουλεύει μόνο με unencrypted requests. Γιατί ο browser χρησιμοποιεί το Https certificate για να βεβαιωθεί ότι έχει πάει στον σωστό server με βάση το requested host name.

Εννοούσα mitm στον DNS, όχι στο τελικό site. Μπορεί εσύ να έχεις βάλει για DNS server π.χ. τον 8.8.8.8, αλλά ο ISP πάλι θα σε στείλει στους δικούς του DNS. Αυτό συνήθως το κάνουν για να επιβάλλουν δικές τους πολιτικές.

Επίσης, μου έχει επιβεβαιωθεί ότι το encryption δεν παραβιάζεται. Ότι κάνουν είναι γύρω από αυτό. Την στατιστική ανάλυση την υποψιαζομουν. Αλλά τί νόημα έχει αν δεν ξέρεις ποιο ήταν το payload. Υπάρχει νομικό και παράνομο payload για κάθε πρωτόκολλο.

Έχει να κάνει με το τι θες να πετύχεις. Αν π.χ. θες να κάνεις throttle ή block κάτι ασχέτως νομιμότητας, έχεις ελπίδες να το κάνεις. Μπορείς π.χ. να κάνεις block το DoH, για να αναγκάσεις το broswer να κάνει fallback σε κλασσικό DNS resolution, ή να κάνεις block connections που περνάνε από VPN.

[netblues]

Δεν χρειαζεται καν να βαλουν δολωμα. Μπαινουν ως πελατες στα διαφορα torrent sites και αρχιζουν να κατεβαζουν.
Απο το client βρισκουν τους seeders/seedboxes, και μετα το κυνηγανε απο κει.

Γενικοτερα υπαρχει μια θολη κουλτουρα οτι το vpn για γενικη χρηση internet εχει κατι να προσφερει.
Η αληθεια ειναι οτι ΕΧΕΙ. Λεφτα στους vpn providers
Αν οντως κανει καποιος κατι πραγματικα παρανομο, (και δεν εννοω να κατεβασει καμμια ταινια) τοτε δεν θα χρησιμοποιησει κανενα vpn.
Ολοι αυτοι με τα ransom κλπ που ουσιαστικα δεν βρισκονται, δεν χρησιμοποιουν vpn παντως.

vpn χρειαζεται. Α. Για παρακαμψη geoblocking. B. για προσβαση σε ιδιωτικα δικτυα Γ. για internet cafe/ξενοδοχεια μιας και εκει ο κινδυνος ειναι το διπλανο pc/δωματιο που σνιφαρει traffic στη ζουλα.

Για ποιο σοβαρο vpn, ενοικιαση server σε παροχο, και στησιμο του vpn server με τα χερακια μας. Ο μονος τροπος να ειμαστε σιγουροι οτι δεν κραταει logs.
Βεβαια το traffic μπορει να το δει ο παροχος που δινει connectivity στο server, και αμα το traffic ειναι ολο δικο μας, παλι φαινομαστε.
Το ιδιο βεβαια ισχυει και με το server του vpn, αλλα εκει παιζουν και αλλοι, οποτε δεν ξερουν ποιος κανει τι, εκτος αν εχουν τα logs του vpn server...
Γενικοτερα ο μονος ρεαλιστικος τροπος ειναι να χαθεις στο πληθος. Τo tor ειναι θεωρητικα μια καλη τετοια λυση, αλλα επειδη με αυτο γινονται βρωμιες, χαρακτηριζεται κανεις αδικα απο τις παρεες του.

Εν τελει, σχετικη ανωνυμια υπαρχει και χωρις vpn Το vpn δεν την βελτιωνει. Απολυτη δεν υπαρχει

[macro]

Και encrypted να εισαι κοιτανε τα connections και αν δουνε οτι ειναι παρα πολλα το καταλαβαινουν απο εκει.

[chat1978]

Και encrypted να εισαι κοιτανε τα connections και αν δουνε οτι ειναι παρα πολλα το καταλαβαινουν απο εκει.

Αν πχ κάποιος έκανε configure ένα chatty protocol στην 80 ή 443 πόρτα, θα μπορούσαν να καταλάβουν;

Η στατιστική αναγνώριση γίνεται με βάση την πόρτα ή το πλήθος και το μέγεθος των πακέτων;

Να το ρωτήσω και αλλιώς.
Τί εμποδίζει ένα P2P protocol να το γυρίσει στις γνωστές ευρείας χρήσης πόρτες και ακόμα και να τραβήξει με http τα κομμάτια; Εφόσον θα είναι encrypted, θεωρητικά δεν θα μπορεί να διαχωριστεί.

[DVader]

Με άλλους dns μπορούν να βλέπουν την κίνηση σου ?

Ναι ...Εγώ για παράδειγμα έχω δικούς μου DNS για λόγους ταχύτητας αλλά τους βλέπει. Δεν χρειάζεται το DNS για δει την κίνηση σου. Αφού όλα τα πακέτα περνάνε μέσα από αυτόν ... Μόνο όπου μπαίνει κρυπτογράφηση στην μέση είσαι εξασφαλισμένος !

[chat1978]

Ναι ...Εγώ για παράδειγμα έχω δικούς μου DNS για λόγους ταχύτητας αλλά τους βλέπει. Δεν χρειάζεται το DNS για δει την κίνηση σου. Αφού όλα τα πακέτα περνάνε μέσα από αυτόν ... Μόνο όπου μπαίνει κρυπτογράφηση στην μέση είσαι εξασφαλισμένος !

Γενικά θεωρώ την κρυπτογράφηση δεδομένη. Βέβαια δεν είναι πάντα εύκολη σε μη κεντροποιημενα πρωτόκολλα

[SfH]

Αν πχ κάποιος έκανε configure ένα chatty protocol στην 80 ή 443 πόρτα, θα μπορούσαν να καταλάβουν;

Η στατιστική αναγνώριση γίνεται με βάση την πόρτα ή το πλήθος και το μέγεθος των πακέτων;

Να το ρωτήσω και αλλιώς.
Τί εμποδίζει ένα P2P protocol να το γυρίσει στις γνωστές ευρείας χρήσης πόρτες και ακόμα και να τραβήξει με http τα κομμάτια; Εφόσον θα είναι encrypted, θεωρητικά δεν θα μπορεί να διαχωριστεί.

Γίνεται με ότι κριτήριο δύναται να υπάρχει διαθέσιμο, και πολλές φορές αρκετά patterns είναι αρκετά περίπλοκα. Μπορούν να δουν protocol, source/destinations IPs και ports, πόσα πακέτα πάνε προς κάθε IP κάθε μονάδα του χρόνου, τι μέγεθος έχουν, ενώ μπορεί να υπάρχει και correlation μεταξύ παραγόντων σε διαφορετικές συνδέσεις. Δεν ξέρω τα ακριβή patterns, αλλά έχω δει σχετικά μηχανάκια να πιάνουν encrypted torrents και tor με σχετικά καλή ακρίβεια. Αν και όπως είπαμε πριν, το θέμα στα P2P είναι ότι θα μπει το τάδε δικηγορικό γραφείο στο swarm και θα καταγράψει ποιοι κάνουν connect πάνω του. Γενικά είναι δύσκολο να το αποφύγεις αυτό σε P2P. Τη στιγμή που το απέναντι άκρο ξέρει ότι έκανε join στο swarm για το matrix 6, δεν έχει καμία σημασία τι μπορεί να καταλάβει και τι όχι ο πάροχος. Θα του έρθει απλά το report και, ανάλογα με την τοπική νομοθεσία, θα πρέπει να λάβει μέτρα/να ονοματίσει τον πελάτη του/κτλ. Αν είσαι περίεργος, το παρακάτω είναι ένα sanitised sample από τέτοιο report εκτός Αμερικής.

Spoiler:

Κώδικας:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Notice ID: blah
Notice Date: blah

ISP_NAME

Dear Sir or Madam:
 
I certify under penalty of perjury that I am authorized to act on behalf of the x subsidiaries and affiliates (collectively, the "Rights Owners"), the owners of certain exclusive intellectual property rights in the copyrighted work(s) identified in this notice. I have a good faith belief that the information in this notice is accurate.  

We have become aware that the below IP addresses have been using your service for distributing video files, which contain infringing video content that is exclusively owned by the Rights Owners.
 
We have a good faith belief that the Rights Owners' video content that is described in the below report has not been authorized for sharing or distribution by the copyright owner, its agent, or the law. Such copying and use of this material constitutes clear infringement of the Rights Owners' rights under the Copyright Act and its counterpart laws around the world.
 
We are requesting your immediate assistance in removing and disabling access to the infringing material from your network.  We also ask that you ensure the user and/or IP address owner refrains from future use and sharing of the Rights Owners' materials and property.
 
In complying with this notice, you should not destroy any evidence that may be relevant in a lawsuit relating to the infringement alleged; including all associated electronic documents and data relating to the presence of the infringing items on your site, which shall be preserved while disabling public access, irrespective of any document retention or corporate policy to the contrary.  

Nothing in this letter shall be construed as a waiver or relinquishment of any right, remedy, or claims possessed by the Rights Owners, or any affiliated party, all of which are expressly reserved.  Should you have any questions, please contact me at the information below.

On behalf of x as an agent for x
x
Address: x
Email: x
x


<?xml version="1.0" encoding="UTF-8"?>
<Infringement xmlns="http://www.acns.net/ACNS" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.acns.net/ACNS http://www.acns.net/v1.2/ACNS2v1_2.xsd">
  <Case>
    <ID>CASEID</ID>
    <Status>Open</Status>
    <Severity>Normal</Severity>
  </Case>
  <Complainant>
    <Entity>x</Entity>
    <Contact>x</Contact>
    <Address>x</Address>
    <Phone>x</Phone>
    <Email>x</Email>
  </Complainant>
  <Service_Provider>
    <Entity>ISP_NAME</Entity>
    <Email>ABUSE_EMAIL</Email>
  </Service_Provider>
  <Source>
    <TimeStamp>TIMESTAMP</TimeStamp>
    <IP_Address>IP_ADDRESS</IP_Address>
    <Port>PORT</Port>
    <Type>BitTorrent</Type>
    <SubType BaseType="P2P" Protocol="BITTORRENT"/>
    <Number_Files>NUMBER</Number_Files>
  </Source>
  <Content>
    <Item>
      <TimeStamp>TIMESTAMP</TimeStamp>
      <Title>TITLE</Title>
      <FileName>FILENAME</FileName>
      <FileSize>FILESIZE</FileSize>
      <Hash Type="SHA1">HASH</Hash>
    </Item>
  </Content>
</Infringement>
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.22 (GNU/Linux)

SIGNATURE
-----END PGP SIGNATURE-----

[chat1978]

Για μένα τουλάχιστον η συζήτηση έχει γίνει καθαρά τεχνική γιατί μαθαίνω/ξεκαθαρίζω κάποια πράγματα στο επίπεδο αυτό.

Το προτώκολλο ειναι διαθέσιμο στο tcp packet στο header (έτσι δεν λέγεται)? Νόμιζα ότι μόνο οι ip και ta ports είναι. Το πρωτόκολλο ειναι ψηλό επίπεδο και άρα έχει γίνει encrypted, από όσο γνωρίζω.
Αν το ξέρω σωστά, τότε στην πόρτα πχ 443 δεν μπορείς να διαφοροποιήσεις μεταξύ http ή p2p.

Ρωτάω δεν απαντάω.

[netblues]

Και ομως, τυπικα μπορεις. Μεχρι το tls1.2 το sni (δλδ η δυνατοτητα πολλων website στην ιδια ip με κρυπτογραφηση) στελνοταν in the clear.
Αρα οτι δεν ειχε σωστο sni info μπορει να ανιχνευτει, και να μπλοκαριστει. Τυπικα αυτο κανουν διαφορα firewall για να μπλοκαρουν vpn πανω απο την πορτα 443.
Βεβαια σε tls1.3 το snι ειναι και αυτο encrypted, αλλα ολο κατι βρισκεται..
Γενικως χρησιμοποιουνται πλαγιοι τροποι, με πιθανοτητα false positive, αλλα ολα στο παιχνιδι ειναι.
Συχνα αυτο που υπάρχει ειναι ενδειξεις και οχι αποδειξεις.
Το rate, οι πορτες, το packet size, το bandwidth, ο αριθμος των συνδεσεων συχνα ειναι ενδεικτικα, αλλα οχι αποδεικτικα.
Συνηθως οι αποδειξεις γινονται με ενα ντου παρουσια εισαγγελεα και με κατασχεση των δισκων, ανάλογα με την αυταρχικότητα της χώρας αλλά και το τι κάνει κανείς.

Προφανως, αν υποψιαζομαι οτι βλεπεις τσοντες, και θελω να σου στειλω διαφημισεις για σχετικά προιόντα, ΔΕΝ θα κανω ντου για να βεβαιωθω.. θα στα στειλω ουτως η αλλως και οτι γινει.
Γενικώς, ουτε απολυτη ανωνυμια υπάρχει, ουτε ολα ειναι χυμα. Εξαρταται ομως απο το τι κανεις.

[sdikr]

Για μένα τουλάχιστον η συζήτηση έχει γίνει καθαρά τεχνική γιατί μαθαίνω/ξεκαθαρίζω κάποια πράγματα στο επίπεδο αυτό.

Το προτώκολλο ειναι διαθέσιμο στο tcp packet στο header (έτσι δεν λέγεται)? Νόμιζα ότι μόνο οι ip και ta ports είναι. Το πρωτόκολλο ειναι ψηλό επίπεδο και άρα έχει γίνει encrypted, από όσο γνωρίζω.
Αν το ξέρω σωστά, τότε στην πόρτα πχ 443 δεν μπορείς να διαφοροποιήσεις μεταξύ http ή p2p.

Ρωτάω δεν απαντάω.

Οσο και να προσπαθεί κάποιος δύσκολα θα πιάσει την συχνότητα συνδέσεων που κάνει ενα p2p, αν βάλεις μέσα και τα Half connections τότε μπορεί με αρκετά μεγάλη αξιοπιστία να πεις οτι η συγκεκριμένη κίνηση είναι p2p.
ή γενικά οτι δεν είναι η κλασική φυσιολογική κίνηση που κάνει κάποιος σερφαροντας.

[fadasma]

Αυτά που λέτε έχουν λυθεί με το VPN obfuscation.

[xaris2335]

Αυτά που λέτε έχουν λυθεί με το VPN obfuscation.

Αν χρησιμοποιείς vpn+tails+tor browser θα είναι πολύ δύσκολο να εντοπιστείς σωστά;

- - - Updated - - -

Άλλωστε αυτή την τακτική ακολουθούσε ο snowden