» »

DPI tehnologija v Sloveniji

DPI tehnologija v Sloveniji

Slo-Tech - Ena izmed pomembnih tehnologij, ki lahko vplivajo na komunikacijsko zasebnost na internetu so tim. DPI (Deep Packet Inspection) tehnologije. Gre za tehnologije, ki omogočajo (masoven) vpogled v vsebino elektronskih komunikacij in so se v preteklosti že pojavljale kot tehnologije za zagotavljanje varnosti omrežij, samodejno prepoznavo virusnih in hekerskih napadov, neželene elektronske pošte in podobnih nevšečnosti, v zadnjem času pa se pojavljajo pojavljajo predvsem kot tehnologije množičnega nadzora in zbiranja osebnih podatkov, prestrezanja komunikacij in cenzure oziroma omejevanja prostega pretoka podatkov na internetu.

Na spletnem mestu Pravokator je objavljen članek z naslovom DPI tehnologija v Sloveniji, kjer so predstavljene nekatere sporne rabe DPI tehnologij v svetu (npr. prakse zbiranja osebnih podatkov uporabnikov spleta za namene vedenjskega oglaševanja in vstavljanje oglasov), predstavljen pa je tudi primer sporne prakse uporabe DPI s strani slovenskega delodajalca (primer je pod drobnogled vzel tudi Informacijski pooblaščenec).

Prijetno branje.

19 komentarjev

medobear ::

Zanimivo za prebrat.

terryww ::

DPI na fakultetah, genijalno.
It is the night. My body's weak.
I'm on the run. No time to sleep.

5er--> ::

DPI ali pa ti npr. uporabnik wirelessa zabije network.
Kakor jaz razumem stvar, je sporno že, če npr z Untangle blokiraš oglase v npr. študentski računalnici.
A če je na pc-jih default nameščen in vklopljen ad-block plus je pa v redu?

terryww ::

@5er
to lahko narediš z radiusom. drugo je, če rabiš pač nek izgovor, da ženeš dpi.
It is the night. My body's weak.
I'm on the run. No time to sleep.

Icematxyz ::

No sam bi glede na opisan primer pričakoval strožjo kazen. In ostrejši odziv informacijske pooblaščenke.

To da pravo ne sledi tehnologiji je bolj na trhlih temeljih. Med dve točki ki izmenjujeta informacije in za varnost skrbi šifrirana povezava se je vrinil tretji. In to prestrezal na način da je posredoval lažne certifikate.

Vse to se je odvijalo brez obvestila in privoljenja. To da če si sprejel neustrezen certifikat in da si s tem bil obveščen je pa neumnost.

Zadeva je morda bolj primerna za policijo kot informacijsko pooblaščenko?

5er--> ::

Radius kakor vem je samo za npr. prijavo v sistem. Nato pa mu lahko npr ustrezno omejiš max bandwidth, ko ga imaš identificiranega.

Res me zanima, če lahko npr. uporabiš zgoraj omenjeni zastonj opensource gateway, za:
# Virus Blocker
# Ad Blocker
# Phish Blocker
# Spyware Blocker

izključno v namen "izboljšanja uporabniške izkušnje", ali ne? Verjetno ne, oziroma bi verjetno moral uporabniku servirati eno captive portal stran, da se strinja s pogoji uporabe.

terryww ::

še maš razne module. drugač pa kombiniraš z http://www.packetfence.org/tour/feature... recimo.
It is the night. My body's weak.
I'm on the run. No time to sleep.

MrStein ::


Vse to se je odvijalo brez obvestila in privoljenja. To da če si sprejel neustrezen certifikat in da si s tem bil obveščen je pa neumnost.

Ja, je ta lažen certifikat bil 99,9% kopija pravega, ali pa je z velikimi črkami pisalo "PONAREDEK!" ?

Sicer bi jaz lahko v trgovini plačal s ponarejenimi bankovci/čeki/boni in bi se izgovarjal, da jih je blagajničar sprejel in se s tem strinjal...
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

5er--> ::

Ja, ampak s temi dodatnimi moduli že kmalu padeš v kategorijo pregledovanja in spreminjanja vsebine prometa.

terryww ::

ok, po mojih nekaj izkušnjah bi poskusil recimo: da ti mreže ne zabašejo maš radius. virus&spyware se deloma reši z nessusom oz programom na compu, ki čekira prenešene fajle, ne prometa. phishing maš kot web stran ali v mailu. za web maš listo oz uporabniki priporočajo kandidata za na listo. mail bi js čisto posebej reševal :) tako, da ostane še ad blocker. to pa kot praviš, čekirat promet ali pa prog na klientu. vglavnem, se da preživet brez dpi, kolko dela pa maš potem s tem, pa je odv od infrastrukture. za srv-klient sistem ti je lepo.
It is the night. My body's weak.
I'm on the run. No time to sleep.

destroyer2k ::

Malo mi je smešno da uporabljajo DPI enoto, ker ta enota je tudi v grafičnem sveti (dots per inch).

uio ::

Hm glede na to da na fakulteti lahko učenci dostopamo do vseh vrst internetnih strani in da se moramo v računalnik prijaviti z osebnimi računi, je taka regulacija prometa resnično bolj podobna pirsluškovanju nad našimi dejanji kot zagotavljanje varnosti.
Samo upam da se to ne dogaja tudi na fakulteti katero tudi sam obiskujem, samo po pisanju sledeč je pisec bolj iz pravnih krogov, čepav me skrbi da je bilo nabavjenih 6 takih enot, katere so še druge fakultete ki nadzirajo promet pa ne vemo in tudi ni jasno ali veljajo sklepi inf pooblaščenke tudi za druge primere.

5er--> ::

@jmakov: Hvala za nasvete.
@uio:Pisec je iz FDV. ;)

poweroff ::

Kakor jaz razumem stvar, je sporno že, če npr z Untangle blokiraš oglase v npr. študentski računalnici. A če je na pc-jih default nameščen in vklopljen ad-block plus je pa v redu?

Če delaš to na nivoju omrežja gre za poseg v avtorsko vsebino spletne strani in te lahko lastnik spletne strani toži zaradi tega. ABP je pa druga zadeva, tukaj blokiram jaz sam sebi na endpointu, ne drugim na omrežju. Predvsem je tukaj treba gledati Zakon o elektronskem poslovanju na trgu, in ZeKOM - določbe o poseganju v promet.

Zadeva je morda bolj primerna za policijo kot informacijsko pooblaščenko?

Pravzaprav ja, samo nisem hotel gnati zadeve do skrajnosti. Bolj se mi gre za to, da se zadeve uredijo, in včasih je treba samo majhen zunanji impulz, pa se zadeve rešijo ali vsaj začnejo urejat. Ni treba takoj z gorjačo udarit. :)

Ja, je ta lažen certifikat bil 99,9% kopija pravega, ali pa je z velikimi črkami pisalo "PONAREDEK!" ?

Pisalo je, da je izdan Googlu (oz. drugim serverjem), le izdajatelj je bil Fortigate namesto Verisign, ali karkoli pač že.

Glavi problem je seveda v tem, da večina uporabnikov (pravzaprav so pri nas to praktični vsi) ne razume delovanja certifikatov in pač misli, da če je SSL, je pa varno.

Hm glede na to da na fakulteti lahko učenci dostopamo do vseh vrst internetnih strani in da se moramo v računalnik prijaviti z osebnimi računi, je taka regulacija prometa resnično bolj podobna pirsluškovanju nad našimi dejanji kot zagotavljanje varnosti.

Seveda. To, da gre za zagotavljanje varnosti je po mojem mnenju traparija. Kot prvo ljudje, ki so to reč namontirali na omrežje nimajo kaj dosti pojma o varnosti. Kot drugo je šlo po mojem le za to, da se pač nekaj stori (karkoli), da se dokaže, da nekaj pa le delajo za varnost. Verjetno je šlo malo tudi za to, da se porabi proračunski denar. Morda je kdo celo hotel upravičiti svoj obstoj. Ali pa so kupci malo preveč verjeli prodajalcu. Vsekakor se je v nakup šlo brez ustreznega razmisleka.

Samo upam da se to ne dogaja tudi na fakulteti katero tudi sam obiskujem, samo po pisanju sledeč je pisec bolj iz pravnih krogov, čepav me skrbi da je bilo nabavjenih 6 takih enot, katere so še druge fakultete ki nadzirajo promet pa ne vemo in tudi ni jasno ali veljajo sklepi inf pooblaščenke tudi za druge primere.

Načeloma sicer ne, ampak ko se kakšna taka stvar razve, se zadeve hitro uredijo še drugod. Lahko pa poveš iz katere fakultete si... ali pa poskusiš na kakšnem računalniku zagnati Linux in malce pogledati omrežje. Napačno nastavljen transparent proxy lahko odkriješ že s telnetom, za kaj bolj naprednega pa je potrebno pognati hping (oz. hping3 v Ubuntu Karmic). Hping sem pognal od znotraj ven in obratno (od zunaj notri), in se je lepo videlo kje se zadeva ustavi oz. kje je locirana DPI naprava.

Da je nekaj narobe, sem sicer ugotovil že enkrat prej, ker se je omrežje obnašalo rahlo nenavadno (nenavadni zastoji v HTTP prometu, motnje v Skype protokolu, čudni rezultati nmapa), napačno skonfiguriran transparent proxy je eno, podtikanje lažnih certifikatov pa drugo.

Seveda pa take stvari lahko odkriješ le, če so napravo postavljali nesposobni administratorji, ki ne poznajo dovolj delovanja omrežij. Če zadevo postavijo pravi specialisti, je tako prestrezanje praktično nemogoče odkriti, vsaj dokler je (popolnoma) pasivno. No ja, tudi SSL certifikate bi se dalo neopazno ponarejati - če odmislimo najboljšega hišnega prijatelja Pet Name Tool.

Aja, obstaja eno zanimivo orodje Switzerland Network Testing Tool. Po mojih informacijah si je dobro orodje čim prej temeljito ogledati. Pa ne le zaradi univerzitetnih omrežij.
sudo poweroff

T-Majo ::

DPI je dotch per inch. Hehe

uio ::

Hvala za odgovor.
Trenutno sem še na zdravstveni fakulteti. Vendar kljub temu, da je pooblaščenka naložila seznanjenje uporabnikov ostalih 5 fakultet še ostaja v nevednosti ;) mogoče preveč pričakujem samo mislim da bi moralo biti samoumevno, pooblaščenka preveri skladnost z zakonom tudi na ostalih fakultetah oz. tam kjer so prodali tako napravo/program.
Upam da na koncu ne ostaja na uporabnikih da odkrijejo vsako kršitev posebej in poročajo o tem.
To bi bilo potem skoraj tako kakor če ne odkrijejo ostalih 5 prekrškov, se načeloma strinjajo z nameščeno napravo/programom. Se pravi če jih 'ne moti' ni prekršek.

Machiavelli ::

Đabe DPI ko je Janša Mačak :)
Nigaaazz

MrStein ::

Matthai :

Napačno nastavljen transparent proxy lahko odkriješ že s telnetom, za kaj bolj naprednega pa je potrebno pognati hping (oz. hping3 v Ubuntu Karmic). Hping sem pognal od znotraj ven in obratno (od zunaj notri), in se je lepo videlo kje se zadeva ustavi oz. kje je locirana DPI naprava.

Da je nekaj narobe, sem sicer ugotovil že enkrat prej, ker se je omrežje obnašalo rahlo nenavadno (nenavadni zastoji v HTTP prometu, motnje v Skype protokolu, čudni rezultati nmapa), napačno skonfiguriran transparent proxy je eno, podtikanje lažnih certifikatov pa drugo.

Pa obstaja kaki programski paket za odkrivanje takih nepravilnosti* ?
Sem te dni bil v hotelu in na njihovem internet dostopu sem opažal čudno delovanje (ravno slo-tech.com).
Recimo nalagale so se mi zastarele verzije web strani. O tem pišem tule. (ne sumim zlonamerni DPI ampak le narobe nastavljen proxy)

* - bom preveril Switzerland Network Testing Tool, če je to
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

poweroff ::

Načeloma bi le Switzerland Network Testing Tool to lahko odkril. Ima pa neko napako, ne spomnim se točno kaj, mislim pa da je BlueRunner napisal patch, samo ga žal ni commital originalnim avtorjem.

Morda lahko on kaj več pove...
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Crypto AG: umazana obveščevalna zgodba bajnih zaslužkov (strani: 1 2 3 )

Oddelek: Novice / NWO
12332203 (22535) poweroff
»

ITU pravkar odobril deep packet inspection (strani: 1 2 )

Oddelek: Novice / NWO
6720322 (15844) NeMeTko
»

Kateri router za podjetje 20 ljudi (od tega 10 IT - intenzivni uporabniki)? (strani: 1 2 3 )

Oddelek: Omrežja in internet
10722935 (19912) NeMeTko
»

Britanska policija poseduje opremo za tajni nadzor telefonov (strani: 1 2 )

Oddelek: Novice / Varnost
9930041 (26833) BlueRunner
»

Evropska komisija odločno tudi za varovanje zasebnosti na medmrežju

Oddelek: Novice / Zasebnost
134547 (4050) poweroff

Več podobnih tem