Что такое СОРМ и можно ли его обойти?

[Veil]

Все юзеры форума пользуются услугами провайдеров. Все знаю, что у них стоит СОРМ, ужасный и могучий. А вот что он может и что нам соответственно ждать от этого, чего нам нельзя и что нужно? Что скажете форумчане? Ваши советы, знания матчасти очень пригодятся в дальнейшем всем нам. К глубокому сожалению я его еще полностью не постиг, поэтому запиливать статью пока не буду. Соберу основной материал. Основные взгляды на СОРМ парни? Пишите, чем больше, тем лучше. Тем обьемнее выйдет запил статьи.
Последнее редактирование: 30.07.2021

 

[1stcerber]

сорм служит для сбора всех логов провайдеров в одном хранилище. Сделано это для удобства, так как не нужно некуда ехать, звонить, требовать логи и т.д. Записываются только время, айпи (как локальный так и удаленный), протокол. А те юзеры, которые попадают под подозрение, то записывается и их трафик. Сам хттпс трафик не составляет труда для расшифровки, поэтому последовательно стоит добавлять слои шифрования тор+впн.

 

[Benihowy]

Товарищ, начни лучше с основ, в духе Ху из Ваш этот сорм?? Что могёт и прочее.

Сегодня работают системы СОРМ-1, СОРМ-2 и СОРМ-3.

СОРМ-1 – это телефонная «прослушка» подозреваемых. Она регулируется приказами Минкомсвязи России от 19.11.2012 № 268 (фиксированная телефония) и от 12.12.2016 № 645 (сотовая связь).
Согласно приказу Минкомсвязи, который постоянно обновляется с развитием технологий, все телефонные операторы обязаны по первому запросу спецслужб передавать на «пульт управления» СОРМ-1 звонки, СМС, любой трафик «объекта контроля» и сервисную информацию или логи (включение или выключение телефона и так далее).

СОРМ-2 – это контроль содержимого интернет-соединений сети передачи данных. Регулируется приказом Минкомсвязи России от 16.04.2014 № 83.
Интернет-провайдеры обязаны по запросу спецслужб предоставлять информацию о трафике любого своего пользователя. При этом, по стандарту СОРМ-2, поставщики доступа в интернет должны еще и хранить информацию всех своих клиентов за последние сутки. С 2018 года, со вступлением в полную силу закона Яровой, СОРМ-2 уступил место СОРМ-3, стандарт которой — долгосрочное хранение информации.


СОРМ-3 – это информационная система баз данных. Регулируется приказом Минкомсвязи России от 29.10.2018 № 573. Основной целью СОРМ-3 является получение максимально полной информации о пользователе, причем не только в реальном времени, но и за определенный период (до 3 лет). Если СОРМ-1 и СОРМ-2 перехватывают информацию от пользователя, то СОРМ-3 хранит только статистику, копит ее и создает профиль человека в сети Интернет.



Также можешь изучить забугорный аналог сорма: DCSNet, Tempora

 

[temshikmgimo]

Если тебе включили СОРМ, то обходить его уже бессмыслено, на твоем месте я бы занялся сушением сухарей и копкой землянки где-нибудь в Сибири.

 

[Apocalypse]

Смешали все что только можно смешать. При чем тут СОРМ к DNS???

Давайте по-порядку. СОРМ выполняет у провайдеров три основные функции:
1. собирает netflow данные (с какого ip - на какой ip - когда были переданы данные и в каком объеме. Сами данные в этом случае не хранятся)
2. собирает трафик по заданным правилам/критериям. Грубо говоря весь трафик на такой-то ip адрес должен быть записан
3. анализирует пакеты и данные по определенным правилам (DPI, если он там есть. Зависит от реализации).

Теперь попробуем понять что провайдер может получить по итогу.
1. Провайдер в любой момент времени может посмотреть на какие ip адреса/порты устанавливались соединения/слались пакет с какого адреса
2. Допустим есть правило на сорме записывать трафик на определенный адрес - значит провайдер может поднять сам трафик в виде pcap файлов (или аналогов)
3. Провайдер может передать указанные файлы по запросу. Или даже отправлять их автоматически на коллектор.
Как провайдер - скажу вам сразу что это нахер никому не нужно. Сидеть и колупаться в вашем трафике. Провайдер лезет в netflow или СОРМ только когда от него это требуется по запросам из органов. Ну я еще раз в год составляю отчеты о потребленном абонентами трафике. Тоже оттуда статистику беру. (суммарно за год потребили столько-то петабайт данных).

Теперь по обходу СОРМА.
1. Там сохраняются все ваши запросы. Если протоколы используются не шифрованные - видно куда вы лазили, что запрашивали, кого пинговали. Соответственно использование DOH/DOT скроет ваши DNS запросы. Использование VPN скроет посещенные домены/ip адреса. НО не скроет объем принятых/переданных данных. Органы по статистике сразу определят что вы пользуетесь таким-то VPN-ом.
2. Сам сорм НЕ ВСКРЫВАЕТ шифрованные данные. Естественно, если используются современные алгоритмы шифрования. Если был использован древний бажный алгоритм времен деда Мазая - то по слепку трафика будет возможность дешифровки. Но этим никто не будет заниматься если вы не высокого полета птица. Ибо дорого очень.
3. СОРМ не делит трафик на принадлежность к приложениям. Для него это все tcp коннекты или udp пакеты. При правильной настройке СОРМ может отдельно ложить данные браузерные и не браузерные. Просто основываясь на dst port. Грубо говоря все, что было передано в ответ на обращение к 80 или 443 портам - считать данными полученными браузером. Но это неудобно. Поэтому данные или ложатся в общую кучу откуда можно их выбирать или не сохраняются вообще. По закону Яровой операторы у вас должны вообще хранить все принятые/переданные данные. Это нужно именно для описанных выше действий, ибо сам СОРМ не резиновый и хранить ваше все просто физически не в состоянии.

 

[Ar3s]

Ar3s сказал(а):
Как провайдер - скажу вам сразу что это нахер никому не нужно

Золотые слова. Провайдеру нужно, что бы вовремя абонентскую плату платили.
Арес добавлю к сказанному, что даже провайдер не может "снять галочку СОРМа" с абонента. Видимо у СОРМа больше админ прав, чем у инженера провайдера.

 

[Veil]

Ну давайте так. Зачастую (а это порядка 90% случаев) у провайдера вообще нет доступа к СОРМу. Если что я сейчас про свою страну говорю. С огромной долей вероятности в РФ то же самое.
Ситауция происходит следующим образом:
1. провайдер приобретает сертифицированный СОРМ.
2. провайдер размещает его на своей площади и включает в сеть, выдает ip адрес
3. провайдер с ядерного маршрутизатора зеркалит весь трафик на интерфейс сорма (и входящий и исходящий)
4. провайдер настраивает отправку netflow на определенный iport СОРМа
5. приходит специальный человек из органов и принимает СОРМ в работу.

Таким образом провайдер не имеет доступа к конфигам или web-интерфейсу СОРМА. Провайдер не знает, что там творится и как оно варится. Провайдер не может там ничего изменить. Откуда у меня познания в этой области? Я изучал СОРМы и их возможности не так давно по специфике своей работы. Общался с многими специалистами, получал описание и требования.

 

[Ar3s]

Ar3s сказал(а):
1. провайдер приобретает сертифицированный СОРМ.

Ar3s сказал(а):
2. провайдер размещает его на своей площади и включает в сеть, выдает ip адрес

Ar3s сказал(а):
3. провайдер с ядерного маршрутизатора зеркалит весь трафик на интерфейс сорма (и входящий и исходящий)
4. провайдер настраивает отправку netflow на определенный iport СОРМа
5. приходит специальный человек из органов и принимает СОРМ в работу.

Ar3s сказал(а):
Провайдер не может там ничего изменить.

Ar3s сказал(а):
Провайдер не знает, что там творится и как оно варится.

Ar3s сказал(а):
Таким образом провайдер не имеет доступа к конфигам или web-интерфейсу СОРМА.

Ar3s сказал(а):
Я изучал СОРМы и их возможности не так давно по специфике своей работы.

Вот про это точно сказать не могу. Мы приобретали или чекисты притащили. Думаю, что за наши деньги они купили, но конкретно что внутри не знаю.

Да их ящик стоит рядом с нашим оборудованием. Но на этом все и заканчивается.

Приходит специальный человек, который сам все подключает, настраивает и сам себе принимает. Провайдер даже не вмешивается.
У нас было так.

Абсолютно прав. Приоритет СОРМа больше инженера связи провайдера это точно.

Врать не буду, но спрошу. Знают наши или не знают, что творится на станции? Весь мой разговор веду про телефонную станцию, а не про интернет трафик. Что творится на серваках я не знаю.

Прав на сто процентов, они имеют мы нет.

Мне тоже шеф порекомендовал, для общего развития прочитать основы интерфеса СОРМа, по древней книжке. Из нею я сделал вывод, что СОРМ на телефонной станции, видит все что видит станционный инженер, но прав значительно больше. СОРМ практически это удаленное управление телефонной станцией с большими правами, чем у провайдера. Ну там есть свои нюансы, станционный инженер конечно тоже может сделать некоторые вещи, но его за это посадят, а СОРМ может и его никто не посадит.))
Последнее редактирование: 03.08.2021

 

[Veil]

Что такое СОРМ - есть в википедии.
Провайдер при получении лицензии обращается в ФСБ России и ему дают список "что,где,как".
В ведомстве ему определят уполномоченного, с которым оператор в дальнейшем будет взаимодействовать по вопросам реализации СОРМ.
Если плана нет, уполномоченное подразделение ФСБ в срок до трех месяцев с даты подачи заявления совместно с оператором ведет его разработку. Итоговый документ составляется в трех экземплярах: для ФСБ, территориального управления Роскомнадзора и оператора.
Согласно плану, ФСБ выдает технические условия, а оператор устанавливает за свой счет ТС СОРМ. Затем происходит их тестирование и подписывается акт ввода в эксплуатацию, а сервер - опечатывается.

ИЗ ЧЕГО СОСТОИТ СОРМ?
Из трех основных частей:
Пульт управления (ПУ). За государственный счет устанавливается у оператора органом, осуществляющим оперативно-розыскную деятельность (ОРД).
Съемник. Технические средства (коммутатор, сервер, плата в автоматической телефонной станции), которые устанавливаются на сети оператора связи за его счет.
Каналы связи. В том числе виртуальные (VPN) между ПУ и съемником. Работы по организации канала связи тоже производятся за счет оператора.
Как именно работает СОРМ и что он собирает конкретно - государственная тайна. То что мы знаем лишь то что известно и то не многое.

Подключаешься через VPN+TOR - это видно что есть подключение к серверу VPN и в сеть TOR а по каким ссылкам бегаешь это уже проблематично вычислять. Не хочешь попасть в СОРМ - не пользуйся РУ провайдерами ну и пользоваться современными видами шифрования везде где можно.

 

[Kanan]

Ar3s сказал(а):
Таким образом провайдер не имеет доступа к конфигам или web-интерфейсу СОРМА. Провайдер не знает, что там творится и как оно варится. Провайдер не может там ничего изменить.

Абсолютно верно, сотрудники провайдера не имеют доступа и не знают, какого именно пользователя "пасут"

 

[swap3r]

swap3r сказал(а):
Абсолютно верно, сотрудники провайдера не имеют доступа и не знают, какого именно пользователя "пасут"

Veil сказал(а):
Мне тоже шеф порекомендовал, для общего развития прочитать основы интерфеса СОРМа, по древней книжке.

Именно для этого провайдерам и не дают туда доступа. Что бы по дружески не дали инфу когда кого-то начали пасти. Или когда в рамках гос задания начали массово снифать какой-то трафик.


Мне посчастливилось узнать немного больше. Не буду рассказывать где и как, скажу только, что кто-то успел засунуть дюбку в свежепривезенный СОРМ до его запуска. Все что успел увидеть - это linux с не настроенными интерфейсами, винты для хранения данных, набор утилит для записи трафика и какой-то gui для работы со всем этим.
т.е. ничего экстра-закрытого или специализированных разработок там не было. Стандартные линуховые тулзы, обвешанные гуем для удобства пользования. Соответствено, ни о каком вскрытии шифрованного трафика речи не ведется. У СОРМа просто нет на это мощностей.

А еще я вам напомню, что чаще всего обвиняемый сливается сам. Достаточно один раз забыть включить vpn, а затем следаку показать, что ты на такие-то ресурсы лазил и приплыли. Или люди сами раскалываются или суд с удовольствием принимает такие доказательства без выяснения, что ты там делал или, что именно тебе пришло в ответ.

Выдуманный пример: в суде доказывают что некий Username продавал на форумах некую абстрактную малварь. Прокурор дает инфу о том, что чаще всего подсудимый пользовался шифрованием и скрывал свой трафки, но вот такого числа мы видим обращения на такой-то ip (где расположен форум такой-то). Скорее-всего подсудимый забыл включить VPN. К тому же на этом форуме в это же время Username был онлайн. Это доказывает что подсудимый и Username одно и то же лицо. Бла-бла-бла имеются косвенные доказательства бла-бла-бла. И все. Это уходит на ура и никто не будет ничего рассматривать. И ваши возражения типа "это совпадение", "я на том форуме под другим ником", "законом не запрещено посещать такие форумы" и т.д. всем глубоко фиолетовы.

 

[Ar3s]

Ar3s сказал(а):
т.е. ничего экстра-закрытого или специализированных разработок там не было. Стандартные линуховые тулзы, обвешанные гуем для удобства пользования.

Повторюсь.По книжке я тоже понял, что СОРМ это просто удаленное управление телефонной станцией. Больше чем может увидеть станционный инженер СОРМ не сможет. Да и как он увидит больше станции? Никак.

 

[Veil]

Ar3s сказал(а):
некий Username продавал на форумах некую абстрактную малварь. Прокурор дает инфу о том, что чаще всего подсудимый пользовался шифрованием и скрывал свой трафки, но вот такого числа мы видим обращения на такой-то ip (где расположен форум такой-то). Скорее-всего подсудимый забыл включить VPN. К тому же на этом форуме в это же время Username был онлайн

Сейчас половина Дамаги срочно начнет регать дополнительный, чистый акк для ментов, в котором кроме компьютерных новостей и ругани в болталке ничего не будет.
Зато будет пруф для суда, да посещал, да читал, да ругался в болталке, но ничего не продавал. Пруф мой акк, где ни хрена ничего нет.

 

[Veil]

Что такое СОРМ и как уберечь личную жизнь от спецслужб - CamSlider - Ваша защита и приватность в цифровом мире
Вероятнее всего, спецслужбы не расскажут вам, что вы стали объектом оперативно-розыскных мероприятий (ОРМ).
camslider.ru

 

[Veil]

Пожалуйста, обратите внимание, что пользователь заблокирован
Обойти(пройти) сквозь точки анализа трафика СОРМ безусловно можно. СОРМ-это просто система регистрационных журналов трафика и снифферов определенной служебной информации.
Последнее редактирование: 14.08.2021

 

[sysbooter]

Benihowy сказал(а):
Сам хттпс трафик не составляет труда для расшифровки

Внимание! TLS 1.3 устарел, Benihowy умеет легко его расшифровывать. Зачем ты людей в заблуждение вводишь? Они увидят, что у тебя 190 лайков, подумают, умный.

 

[Iridium]

Iridium сказал(а):
Внимание! TLS 1.3 устарел, Benihowy умеет легко его расшифровывать. Зачем ты людей в заблуждение вводишь? Они увидят, что у тебя 190 лайков, подумают, умный.

где написано что я могу расшифровать? А по поводу лайков - следите за своими. Я же не спрашиваю вас, как аккаунт с 2х месячным стажем добился 103 лайка при этом опубликовав только 29 сообщения?

 

[Benihowy]

Benihowy сказал(а):
где написано что я могу расшифровать? А по поводу лайков - следите за своими. Я же не спрашиваю вас, как аккаунт с 2х месячным стажем добился 103 лайка при этом опубликовав только 29 сообщения?

Ответ у меня в подписи.

 

[Iridium]

СОРМ это специальные средства оперативно разыскного мероприятия.Словом говоря есть комната выделенная у повайдеров в которую даже провайдеру запрещенно заходить и там стоит специальное оборудование которое установленно спецслужбами и при необходимости они через него к вам и подключаются.Кароче говоря они в любом случае вас прослушают как бы вы не хотели!