Продолжая тему глобального заговора, не будет лишним упомянуть такой метод, а если быть более точным, набор технологий под общим названием DPI (Deep Packet Inspection).

Имея святую веру в свою непогрешимость, некоторые индивиды реально считают, что допустимо всё, что явно не запрещено, и можно остаться незамеченным. Спешу разочаровать этих наивных людей, ведь всегда существовали люди, которые получали зарплату за то, что обеспечивали безопасность и собирали информацию. Мы не будем сейчас углубляться в историю шпионажа или искусства слежки. Моя задача всего лишь показать возможность автоматизации той её части, которая касается мира IT.

Итак, DPI. Технология вбирает в себя множество областей знания: от математики уровня начальной школы до физики электрических процессов. Рассмотрим математику информационно-технических средств.

Про математику можно долго рассуждать и верить или не верить в пригодность её аппарата для такого применения, однако всё лежит на поверхности. Как-то, читая статью про системы обнаружения вторжений, обратил внимание на работу испанских специалистов по сетевой безопасности, которая была приведена в списке литературы. Заинтересовавшись, ознакомился и с ней. Оказывается, что целью было определение аномалий сетевого трафика с целью обнаружения вторжений. Они применяли статистические методы и сравнение с образцовым трафиком. Подобный подход даёт огромный выигрыш в производительности, поскольку не требуется анализировать каждый пакет в потоке, а достаточно собрать статистику. Нет операций сравнения с образцом или тяжёлого поиска последовательностей, и это не что-то новое и уникальное, это просто статистика, точно такая же, которая используется для предсказаний погоды. Чтобы понять технологию, не требуется какого-то специального образования, достаточно лишь курса высшей математики любого вуза нашей страны, если этот курс включал в себя теорию статистики. Вот так всё просто, оказывается. Люди склонны искать сложности, а тем временем истина лежит на поверхности. Как применять данный метод для идентификации источников аномального трафика, в работе также указывается. Но авторы не одиноки. В мире существует множество других исследователей и институтов, работающих над похожими проблемами. Например, уже в одном из американских университетов проводилось исследование по идентификации точек обмена P2P-трафиком. Да-да, того самого, который используется файлообменными сетями и протоколом BitTorrent. Занималась исследованием группа китайских учёных, финансировалось оно крупнейшими IT-компаниями США и Японии, которые, надо отметить, обладают весомыми позициями в министерствах обороны этих двух стран. Вообще, китайцы, надо сказать, собаку съели на анализе трафика. Чего только стоит их Великий китайский фаервол. Забегая вперёд, скажу, что результаты работы положительные, и с очень высокой долей вероятности можно определить два узла, ведущих обмен частями файла с точной идентификацией каждого из них. Самое интересное, что природа трафика в данном случае абсолютно не интересна, и это может быть даже шифрованный либо обфусцированный трафик. Данный метод тоже основан на старой доброй статистике. Что это даёт? Прежде всего, выявление связей и круга общения конкретного объекта: как бы он ни шифровался, всегда возможно определить круг его взаимодействия, а в дальнейшем и установить личность.

Конечно, для проведения статистического анализа требуется получить копию потока где-то на пути от одного объекта к другому, что в текущих реалиях не представляет никакой проблемы: все операторы либо должны иметь средства СОРМ, либо они должны быть у вышестоящих операторов, что в итоге охватывает 100% трафика, даже с избыточностью по оборудованию.

Отлично. С математикой стало более-менее ясно. Следует перейти к технологиям мира IT. Итак, с помощью математики мы выявили сеть узлов, которые обмениваются некоей информацией, которая нам может быть интересна. Надо заметить, что это уже сильно снижает затраты на дальнейшую детальную обработку. Таким образом, обладая идентификаторами узлов, можно построить фильтры, с помощью которых получить лишь ту часть трафика, которой обмениваются эти узлы. Если обмен не зашифрован, то спокойно можно просмотреть всю информацию из отфильтрованного потока, а если зашифрован, то включаются методы криптоанализа. Как правило, всё классически: MITM, атака на ключ, поиск закономерностей. То есть в работу включаются методы более медленные, в силу чего применение их для всего потока невозможно.

Примененяется глубокий анализ пакетов, к счастью, не только для целей вскрыть информацию или проследить за кем-то. Очень часто на сетях операторов связи или крупных владельцев сетей связи приходится обеспечивать приоритеты одного вида трафика над другим. В таком случае используется та же технология DPI, но уже в «мирных целях». Можно, например, урезать полосу для BitTorrent-сессий и обеспечить нормальное прохождение голоса. Спасибо в таком случае должен сказать сам клиент, даже тот, который пользуется торрентами, так как в противном случае он и сам не мог бы нормально просматривать Интернет или позвонить другу на другой континент. Есть, конечно, и негативные примеры использования технологии, хотя и в мирных целях: фильтрация по адресам из-за ограничения доступа к некоторым ресурсам, блокировка таких сервисов, как Skype, VoIP, ICQ, Jabber на сетях мобильных операторов, но к счастью, это пока единичные случаи.

Сама технология не представляет ни опасности, ни пользы: её представляют лишь люди, которые берут технологию на вооружение, и цели, которые они преследуют.

На фоне адресной асфиксии, в лучших традициях рынка: спрос рождает предложение, — как грибы после дождя, выросли множественные посредники и продажники уже дефицитных адресов IPv4. Появились также и сами адреса, которые были получены чуть ли не во времена царя Гороха, а лица, ими владевшие, уже сменили не один бизнес или закрылись вовсе. Таким образом с подачи RIPE у нас снова наблюдается тот самый старый добрый World Wild Web.

Однако, не всё так грустно и ужасно: RIPE с голливудской улыбкой раздаёт всем желающим чуть ли не бесплатно адреса IPv6, что не может не радовать, но остаётся всё же привкус ложки дёгтя в бочке мёда: адреса эти — не более чем профанация, по крайней мере на данный момент. Их поддержка как операторами связи, хостерами, так и конечными клиентами находится в самой зачаточной стадии, и всем нам предстоит ещё проделать огромный путь к вершине: повсеместному использованию IPv6. Как ни прискорбно об этом говорить, но в России, да и много где по миру, операторы вообще не поддерживают или не могут обеспечить маршрутизацию трафика IPv6.

Теперь постараемся разобраться в причинах такого насильственного перехода к новой технологии. Ни для кого не секрет, что в Африке, Азии, Южной Америке и даже Северной Америке региональные регистраторы вполне ещё обладают ресурсами адресов для выделения. Однако вместо того, чтобы перераспределить сети, достать из резервов неиспользуемые ресурсы и технологические затычки, принимается решение об освоении нового пути, имя которому IPv6.

Как бы я ни презирал и не относился бы с иронией ко всяческим теориям заговора, в свете новостей из мира IT и телекома в частности мысли о массовой слежке не удаётся отогнать уже давно.

Давайте посмотрим и определим, в чём основное отличие нового протокола IPv6 от старого IPv4. На мой взгляд — отсутствие NAT как класса. То есть теперь он не нужен, и его отсутствие позиционируется как вселенское благо. Так ли это на самом деле? Может, да, а может, и нет. С одной стороны, действительно, отпадает надобность в костыле на уровне сети — всеми так «любимом» NAT. С другой же стороны, теперь нет единой точки выхода в общую сеть, но есть множество узлов, каждый из которых уникален и обладает адресом. Стоит ли говорить, что это содержит опасность, в том числе коммерческую, для абонентов? Статистически становится возможным выяснить количество рабочих мест абонента — юридического лица. Кто из его сотрудников куда заходит и что вообще делает. Далее анализ можно углубить: вот это Мария Ивановна, она бухгалтер и может быть нам интересна, а это Маша, менеджер по продажам, и реальной информацией не обладает. А тут у нас Сергей Васильевич, генеральный директор, и надо бы за ним последить.

Да, скажете вы, но есть же способы защиты — фаерволы и системы обнаружения вторжений. Кроме того, IPv6 нативно включает в себя семейство протоколов IPSEC, что говорит о большей его безопасности.

Это так, но всё же остаётся ещё множество вопросов. Не так давно была статья об аппаратных закладках в оборудовании разного класса: от домашней кофеварки до самых современных фаерволов от таких гигантов рынка, как Cisco и Juniper. Также следует учитывать эффект деанонимизации пользователя, поскольку у каждого появляется уникальный адрес, который ни за чем более не скрывается. АНБ и другие службы активно внедряют закладки и финансируют системы глубокого анализа трафика. Никто не говорит об исследованиях коллизионности шифорв, которые на данный момент считаются устойчивыми, а тем не менее, подобные исследования проводятся при их разработке и описываются во внутренней документации. Все эти факторы, сложенные вместе: выпуск оборудования с предустановленными закладками, телефоны, которые самостоятельно передают координаты, усиление внедрения IPv6 с прямым доступом в сеть, заставляют меня задуматься о перспективе свободы нашего мира, а ведь у каждого человека должно быть личное пространство, но его постоянно сужают.

А что же нас ждёт завтра?..