ITU - V ponedeljek se je z uvodnim govorom Dr. Hamadoun I. Touréja, generalnega sekretarja mednarodne telekomunikacijske zveze (ITU) v Dubaju začel dvotedenski svetovni komunikacijski vrh WCIT-12. G. Touré je pred zbrano množico več kot 1000 vladnih predstavnikov iz 130 različnih držav ponovno pojasnil, da "na konferenci ne bo govora o ITU-jevem prevzemu nadzora nad internetom, ampak zgolj o krepitvi sodelovanja med vladami in internetno skupnostjo, temeljujoči na skupnem konsenzu in upoštevaje tudi želje držav v razvoju". Podobne besede smo minuli teden slišali tudi iz ust našega ministra Turka (da ni pametno popravljati nečesa, kar deluje).
Zato je toliko bolj presenetljivo, no, zaskrbljujoče, da je ITU že dan potem, seveda za zaprtimi vrati in potihoma, odobril mednarodni standard za deep packet inspection (DPI). Na njegovi podlagi bo vsa bodoča telekomunikacijska oprema, če že ne, podpirala filtriranje prometa na podlagi vsebine, zlasti pa tipa prometa (kot je določeno v zaglavju). Na ta način bo mogoče odbrati spletno pošto, skype telefonske pogovora ali igranje pokra, ter jih posneti, blokirati oz. z njimi storiti kaj drugače uporabnega. Še več, standard omenja celo možnosti za preboj enkripcije (https, ssl, imaps, idr.) v primerih, ko bi telekomunikacijski operater "posedoval ključe". Kako točno bo to izgledalo (Mandatory key escrow? SSL MITM proxyji?) še ni povsem jasno, je pa jasno, da ne ITU ne njihova starševska organizacija OZN kljub drugačnim izjavam za javnost nimata kaj veliko spoštovanja za telekomunikacijsko zasebnost. DPI brez vprašanja pogleda v vsebino pogovora, ne samo "na nek način manj pomembne" okoliščine tipa kdo komunicira, s kom, ter kdaj (prometne podatke).
Procedura je standardna: vsebina standarda Y.2770 ostaja zaprta za člane ITU, delovne različice (drafti) niso na voljo. Dobi se tri leta staro začetno poročiloITU-jeve študijske skupine št. 13 za prihodnost internetnih omrežij, sicer avtorice standarda, ko je ta ravno začenjala svoje delo in ko se je standard imenoval še Y.dpireq (DPI requirements). Iz nje so tudi priložene slike, ki opisujejo funkcionalno specifikacijo za omrežne naprave. Vse skupaj se torej čudovito sklada z demokratičnim deficitom, ki je letos julija dokončno pokopal ACTO, s tem, da so deležniki tokrat skriti na toplem v Dubaju, daleč od dosega večjega števila protestnikov. In za nadzor interneta jih vsekakor skrbi, glede na njegovo primernost za organizacijo takšnih ali drugačnih nemirov.
- Piratska stranka z večino v parlament -- Narediti nov zakon, s katerim se DPI prepove -- To mora storiti čim več držav -- ??? -- F**K DA ITU -- Profit.
Sicer pa to na žalost nima kakšnih možnosti za delovanje. Žal.
Vendar preko katere infrastrukture, če želijo skupno (vsaj pomembnejše države) prevzeti ves nadzor?
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).
Sami postavimo infrastrukturo? Vsaka ulica naredi svoj LAN, LAN omrežja se povezujejo med seboj... Če pa so problemi z pasovno širino, pa se stvari onrh močno enkriptirajo ter se po malo daljši poti pošljejo do cilja.
tole se mi zdi mal weird, tko k da bi odpiral vsako pošto na pošti, nekak to ne smejo... na internetu pa misljo da kr lahko. itak je pa ta dpi mal long shot za moje pojme, da bi se uveljavilo
Skratka ... vožnja proti prepadu kjer namesto na bremzo pritiskamo na plin. Odlično. Kaj to res mislijo, da bo dolgo to špilalo, če bodo hoteli človeštvo za hlapce, nadzorovane do zadnjega parametra človeškega telesa? Ker prej al slej se bo to končalo kot mariborske demonstracije, ampak v mnogo večjem obsegu in s precej hujšimi posledicami.
remember, the clock is ticking. run like no tomorrow.
Wojna? Mora se zgoditi, pa čeprav bo mnogo nedolžnih žrtev. V Kokoški bi morala biti že tri leta nazaj. Da se stvari spucajo in dobi človeštvo zopet svoje vrednote, veljavo, spoštovanje, odnos... Žal.
Ko ne gre več, ko se ustavi, RESET Vas spet v ritem spravi.
Vsi bežijo v cloud, jaz pa vedno več stvari laufam na svojih serverjih z lastno generiranimi SSL certifikati. Po MSNju imam zdaj svoj Jabber server, mail pa itak vodim sam že od začetka....
Y.2770 specifically states that DPI actions may include for instance the following: - Discard the packet (silently or otherwise); - Redirect the packet to other output interfaces; - Replicate/mirror the packet to other output interfaces; - Prioritization, blocking, shaping and scheduling methods of individual packets. - Generation of logging/tracing data and reporting to policy management; - Notification of intrusion detection systems (e.g., by reporting traffic samples, suspicious packets);
Further on, Y.2770 describes that once an application has been identified by the DPI functional entity (DPI-FE), it can optionally be possible to extract application specific information. The DPI-FE is required to be able to support detection of abnormal traffic. Namely, the DPI signatures are required to be able to characterize normal and abnormal traffic (e.g., either as a black or white list). [...] According to Y.2770, it is a common view that DPI signatures can be applied only to unencrypted traffic. Nevertheless, DPI signatures could be applicable to encrypted traffic, inter alia, depending on the local availability of the decryption key. However, any DPI enforcement will then imply an initial decryption of (a local copy of) the inspected packet. Also if inspecting compressed traffic, any DPI enforcement would imply an initial decompression of (a local copy of) the inspected packet. In this regard, it is worth noting that the DPI-FE is by Y.2770 recommended to support management of user's identity information and the relationship between the user and user's applications. [...] It is believed that most of the headings listed in the table of contents of Y.2770 are self-explanatory with respect to the intended case of application, e.g.: I.8.2 DPI use case: Modification of packet payload II.2.1 Example "Security check - Block SIP messages with specific content types and derive SIP device address" II.3.1 Example "Security check - Process SIP messages (from a particular user) with specific content types - User identification via flow information" II.3.4 Example "Forwarding copy right protected audio content" II.3.6 Example "Detection of a specific transferred file from a particular user" II.4.1 Example "Security check - Block SIP messages (from a particular user) with specific content types - User identification via application information" II.4.2 Example "Security check - Block SIP messages (across entire SIP traffic) with specific content types" II.4.7 Example "Blocking of dedicated games" II.4.8 Example "Statistics about Operating Systems of game consoles" II.4.11 Example "Identify uploading BitTorrent users" II.4.13 Example "Blocking Peer-to-Peer VoIP telephony with proprietary end-to-end application control protocols"
Tale članek od J.A. izpred par dni nazaj je najbrž relevanten ITU novici: Julian Assange: "Cryptography is the ultimate form of non-violent direct action". A Cryptographic Call to Arms http://cryptome.org/2012/12/assange-cry...
"It is easier to encrypt information than it is to decrypt it." (easier lahko berete tud kot cheaper).
laufat svoje stvari (kot je rekel SasoS) in enkripcija (kjer si to lahko privoščiš, ker oboje ima nek cost, v ceni/času in UX). Na nivoju cloud storitev je po mojem dodatna opcija client side enkripcije (poleg ssl za povezavo) določenih podatkov, ki še vedno omogočajo da storitev dela zmeri bol aktualna.
Ne le zaradi "NWO" razlogov, ampak tudi na splošno. Prenese pa to večjo odgovornost na uporabnika (izguba gesla), zato se jo da po mojem ponudit le opcijsko, tistim ki hočejo.
DPI ima dobre in slabe strani - odvisno v čigavih rokah je, ali se uporablja za zaščito ali pa za preganjanje nekoga.
Jaz na moji požarni pregradi že leta uporabljam DPI, ki mi omogoča, da se na enem mestu (požarni pregradi)zavarujem pred celim nizom nadlog, ki blodijo po netu, ki jih z navadno SPI inšpekcijo nikoli nebi prestregel. Ravno tako uporabljam tudi https inšpekcijo - kaj mi sicer koristita antivirus in IPS, če v kriptiran paket ne moreta vpogledati in me obvarovati pred nadlogo?
Popolnoma druga zgodba pa je, če govorimo o DPI v rokah ponudnikov storitev. Nedvomno je lahko zadeva koristna za filtriranje določenega tipa neželjenega prometa, ki ga sicer ne moreš filtrirati. Žal pa se tu skriva ogromno pasti in skušnjav, ki uporabnikom lahko bistveno okrnijo zasebnost na internetu. S samo DPI tehnologijo je približno tako, kot z obogatenim uranom. Lahko se uporabi koristno, npr. za proizvajanje elektrike, lahko pa narediš jedrsko orožje...
Če so se ISP-ji do danes lahko izgovarjali, da npr. ne morejo nadzirati torrent prometa, bi prisilno uvedena DPI tehnologija določenim lobijem avtomatično predstavljala možnost in skušnjavo, da se zaukaže logiranje npr. vsega torrent prometa na ISP nivoju. Seveda se zadeva nebi ustavila pri torrentih. Podobnih skušnjav za nadzor bi bilo toliko, da lahko samo še rečemo 'zbogom zasebnost'.
Na drugi strani, pa bi provider grade oprema večinoma počepnila pod bremenom DPI filtriranja. Ekvivalentno prepustna oprema s podporo DPI lahko stane 5 do 20+ x več kot klasična. Tako zadeva tudi za providerje ne more biti ravno atraktivna.
Se je pa treba zavedati, da bodo počasi tudi mali routerčki v svojem firmware omogočali neko vrsto DPI filtriranja. Če so prvi routerji podpirali zgolj NAT, kasneje SPI filtriranje, lahko pričakujemo, da ne bo dolgo, ko bo praktično vsak router znal še malenkost globlje pogledati v pakete - pa četudi zgolj zaradi antivirusne zaščite.
Predvsem pa se je treba zavedati, da DPI ni kar takoj tudi shranjevanje vsebin komunikacije. Govorimo o DPI FILTRIRANJU in NE o LOGIRANJU VSEBIN. Veliko napačnega razumevanja in strahu pred DPI tehnologijo so povzročila razna orodja, ki služijo izključno vohunjenju in dejansko shranjujejo in analizirajo celotni promet na omrežju (npr. NetWitness Investigator). Kadar se danes govori o DPI, ljudje običajno pomislijo točno na tovrstna orodja - ki se jih je dejansko za bati. Če so v napačnih rokah, še toliko bolj.
Bodo pa morali ljudje sčasoma spoznati, da obstaja tudi 'dobra' DPI tehnologija, ki služi izključno naši varnosti. Pozablja se, da že antivirus in IPS uporabljata DPI tehnologijo, da lahko opravita svoje delo, saj inšpicirata VSEBINO paketov, da bi odkrila škodljive vsebine. Teoretično bi lahko celo antispam rešitve označili kot neke vrste DPI tehnologijo, saj ravno tako 'vpogleda' v vsebino sporočil. DPI filtriranje nudi še tisoče drugih koristnih možnosti uporabe, ki služijo izključno varovanju našega omrežja in se s samo vsebino komunikacije sploh ne ukvarjajo.
Jaz razmišljam podobno kot SasoS. Težava se pa lahko pojavi pri njihovih željah po preboju enkricpije (SSL in drugo). Torej uporaba storitev Gmail, Facebook in vse kar uporablja SSL zaščito pade v vodo, če imajo proxy strežnike z MITM certifikati in lahko vse preberejo.
Ena od možnosti, ki nas lahko zaščiti pred tem pa je kombinacija samopodpisanih SSL certifikatov ter povezava storitev, ki jih uporabljamo z našimi samopodpisanimi certifikati. Na primer ustvarim si CA in lasten certifikat, ta certifikat naložim na Gmail in se vsebina šifrira preko tega. MITM pa ne more biti, ker sem sam svoj CA. Dostava gre pa po enaki poti, Gmail strežnik ga prevzame od mene kot CA za moj Gmail račun. Mnenja? :)
@ales85: Niti ne rabiš samopodpisan certifikat - https inšpekcija (vsaj pri meni) ne deluje, čim imaš opravka s server in user certifikatom (ki je lahko tisti uradni od klika, poštarce, sigen,...).
Ker so strani s takšno dvostransko avtentikacijo 'zaupanja vredne', imam zanje postavljen 'exception' in gre promet nanje skozi brez inšpekcije.
Https inšpekcija pokaže svoj pravi smisel, ko prideš na neko spletno stran, kjer te napotijo na https://www.domena.com/malware.url - saj edino v primeru, da se razpakira promet lahko požarna pregrada tudi odkrije malware in prepreči, da pride do tvojega računalnika.
Bo treba p2p, VoIP in take "prepovedane" protokole zakriti. Torej da bi torent odjemalci vse pakete zapakirali v en navaden http paketek in potem v sliko znotraj http ali kam drugam skrili svoje informacije. ISP torej ne bi mogel ločiti brskanja od interneta od prenašanja torentov in tudi ne prekinit enega, brez da prekini tudi drugo, zadeva rešena.
Podobno stališče je zagovarjala tudi Borka Jerman Blažič, predsednica slovenske Internet Society, ki je zavrnila očitek, da njeno združenje zgolj upravičuje zahodni pogled na upravljanje interneta.
A je OZN "naša" organizacija? Ali OZN zagovarja naše vrednote?
Komaj čakam, da dam glasovalno pravico za upravljanje z internetom Iranu, Kitajski, Indoneziji, Saudovi Arabiji, Rusiji. Seveda bodo te države robantile nad "zahodnim monopolom" nad internetom, ampak jaz imam raje ameriški 1. amandma z večstoletno ustavno tradicijo kot karkoli drugega na svetu. Še širjenje Mein Kampfa je ustavno zaščiten govor, prav tako kritiziranje islama.
PS: Ali je to "očitek", da zagovarjaš demokratične vrednote?
Največja napaka desetletja je bila narejena 4. novembra 2008
Oni so goljufali in Alah je goljufal, Alah je najboljši prevarant. (Koran 3:54)
Citiraj svetega očeta Benedikta XVI. in postani "persona rudis"...
Dobro vem, da kar predlagam JE tehnično izvedljivo. Posledice če se kaj takega naredi bi sicer znale biti kolaps kakšnih omrežij, ne vem podrobnosti. Ampak imam raje izpade, če lahko dosežem, da vsi paketki, ki gredo od mene zgledajo podobni, ne glede na vsebino. Je kar dosti "dovoljenih" protokolov, da se da p2p omrežje razporediti tistega, kjer je to tehnično najmanj zahtevno, ali pa kar v več, zaradi raznovrstnosti in še težje blokade.
Eeej folk. Dejmo pisat politikom da naša vlada slučajn ne podpiše spet kake traparije tko k je podpisala ACTO. Pa naj se širi vest o tem tud na protestih!
Dobro vem, da kar predlagam JE tehnično izvedljivo. Posledice če se kaj takega naredi bi sicer znale biti kolaps kakšnih omrežij, ne vem podrobnosti. Ampak imam raje izpade, če lahko dosežem, da vsi paketki, ki gredo od mene zgledajo podobni, ne glede na vsebino. Je kar dosti "dovoljenih" protokolov, da se da p2p omrežje razporediti tistega, kjer je to tehnično najmanj zahtevno, ali pa kar v več, zaradi raznovrstnosti in še težje blokade.
Umiri se pa beri malo standarde, pa ne sanjaj tolk. Ta DPI je basicaly a big fuck you to TOR. happy? Ko boš to štekal se pa javi za inet v2.
Mogoče je to mišljeno s kombinacijo MITM-a in vpogleda v privat del certifikata.
MITM se postavi med A in B in izpogaja z vsako stranjo za shared secret medtem ko že ima ključa obeh korespondentov, ki ju je dobil kako drugače ( vdor, cesarjev oproda, ki ga je generiral, naredi rezervno kopijo še za vohljače itd)...
Pri navadnem https (enostranska avtentikacija) strežnik NE sprašuje: 'kdo hoče podatke od mene? Prosim predstavi se!'. Zato lahko proxi, ki stoji med tabo in strežnikom prestreže tvojo zahtevo in jo v tvojem imenu pošlje na strežnik, ki mu bo tudi lepo odgovoril. Ta odgovor pa potem proxi pregleda in tebi posreduje prejeto sporočilo.
Ker pa se proxy ne more izdajati za izvorni strežnik (nima njegovega certifikata), se lahko zgodi, da nam bo proxy vrnil odgovor kot navaden http ali pa bo proxy zadevo zapakiral z lastnim certifikatom. Tako v enem, kot v drugem primeru se da opaziti, da se je zgodil 'poseg' v promet - le pozoren moraš biti.
@Matthai: meni gre https DPI na Slo-Tech gladko skozi brez vsakega 'problema' - je pa res, da imam nameščen certifikat požarne pregrade.
Matthai> Kolikor vem, Slo-Tech uporablja DNSSEC že na vseh domenah. Celo na .si domeni. Res je pa, da smo bili med prvimi. STS pa ni problem uporabiti.
Če Arnes šenka ključe (v primeru .si zone) lahko država (ali kdorkoli že ima dostop do njih) komot pride okoli tega.
Ne samo Arnes, pač pa kdorkoli ima dostop do teh ključev. Če je to obični študent, zaposlen prek vez (stričev prijatelj)... je toliko več razlogov za skrbi.
V ozadju vsega je to, da svet vodijo roparji in upravljajo s premoženjem, ki ni njihovo in ga niti niso zaslužili. In naredili bodo vse, da si to omrežje moči zaščitijo.
V ozadju vsega je to, da svet vodijo roparji in upravljajo s premoženjem, ki ni njihovo in ga niti niso zaslužili. In naredili bodo vse, da si to omrežje moči zaščitijo.
DPI je kot kuhinjski nož. Kuhar brez njega ne more, v rokah morilca pa postane smrtonosno orožje.
Žal je vse preveč lobijev, ki vsak po svoje skušajo ubiti zasebnost na internetu. Če jim daš nož v roke, bo naslednji korak želja po spremembi zakonodaje, ki jim bo omogočila nekaznovano ubijanje zasebnosti.
Torej ni problem v nožih, problem je v zakonodaji, ki jo je potrebno braniti, da ne bo služila lobijem. Vse ostalo je nepotrebna paranoja.
Y.2770 specifically states that DPI actions may include for instance the following: - Discard the packet (silently or otherwise); - Redirect the packet to other output interfaces; - Replicate/mirror the packet to other output interfaces; - Prioritization, blocking, shaping and scheduling methods of individual packets. - Generation of logging/tracing data and reporting to policy management; - Notification of intrusion detection systems (e.g., by reporting traffic samples, suspicious packets); [...] It is believed that most of the headings listed in the table of contents of Y.2770 are self-explanatory with respect to the intended case of application, e.g.: I.8.2 DPI use case: Modification of packet payload II.2.1 Example "Security check - Block SIP messages with specific content types and derive SIP device address" II.3.1 Example "Security check - Process SIP messages (from a particular user) with specific content types - User identification via flow information" II.3.4 Example "Forwarding copy right protected audio content" II.3.6 Example "Detection of a specific transferred file from a particular user" II.4.1 Example "Security check - Block SIP messages (from a particular user) with specific content types - User identification via application information" II.4.2 Example "Security check - Block SIP messages (across entire SIP traffic) with specific content types" II.4.7 Example "Blocking of dedicated games" II.4.8 Example "Statistics about Operating Systems of game consoles" II.4.11 Example "Identify uploading BitTorrent users" II.4.13 Example "Blocking Peer-to-Peer VoIP telephony with proprietary end-to-end application control protocols"
Aha, zgleda da bo dokument, ki sem ga linkal, kar pravi. To je, je vsaj ena različica tega standarda - vsaj podobna tej, katero so komentiral nemci - ni pa nujno da ravno sprejeta.
Cool...se prav bodo zrastla privat omrezja, ki bodo sifrirana na obeh koncih...s tem, da se bodo certifikati folku dal na usb kljucu in bo ves promet moral bit kriptiran ze v startu. Ce ne zaradi drugega ze zato, da dojamejo kaksno metanje denarja cez okno ustvarjajo.
DNSSEC seveda res ne rešuje vseh problemov. Skupaj s STS šifriranjem pa zadeva vsekakor poveča varnost. Itak pa glavni point DNSSEC-a ni braniti se pred Državo, pač pa zlasti pred kriminalom. In ja, preverjanje podpisov SSL certifikatov še vedno zmaga. Žal v brskalnikih ni preveč pametne podpore za to...
DNSSEC seveda res ne rešuje vseh problemov. Skupaj s STS šifriranjem pa zadeva vsekakor poveča varnost. Itak pa glavni point DNSSEC-a ni braniti se pred Državo, pač pa zlasti pred kriminalom. In ja, preverjanje podpisov SSL certifikatov še vedno zmaga. Žal v brskalnikih ni preveč pametne podpore za to...
In potem si spet pri DPI, ki ti lahko omogoči točno to preverjanje na 'višjem nivoju'. Blagor in prekletstvo neke tehnologije....
V ozadju vsega je to, da svet vodijo roparji in upravljajo s premoženjem, ki ni njihovo in ga niti niso zaslužili. In naredili bodo vse, da si to omrežje moči zaščitijo.
Dwba trol.
Koliko voditeljev držav pa je uspešnih podjetnikov, ki ne bi vladanja naslanjali na izkoriščanje naravnih virov in skupnih javnih sredstev? Izrazito prevladujoči vzorci v svetu so podedovani položaji; položaji, pridobljeni z nasiljem; vojaški generali; trajni javni uslužbenci in podobno. Od tod izhaja vsa želja po nadzoru - ker položaj moči ni ekonomsko zaslužen, je ranljiv (uspešni podjetniki se z nadzorom ne ukvarjajo, ker jim moči nihče ne more vzeti). To je bilo mišljeno s tekstom, ki si ga odebelil.
Komaj čakam, da dam glasovalno pravico za upravljanje z internetom Iranu, Kitajski, Indoneziji, Saudovi Arabiji, Rusiji. Seveda bodo te države robantile nad "zahodnim monopolom" nad internetom, ampak jaz imam raje ameriški 1. amandma z večstoletno ustavno tradicijo kot karkoli drugega na svetu. Še širjenje Mein Kampfa je ustavno zaščiten govor, prav tako kritiziranje islama.