Данную серию статей об инструментальном контроле несанкционированного доступа мы посвятим двум программным продуктам. Это «Ревизор 1ХР» и «Ревизор 2ХР». Эти «двое» работают в паре. «Ревизор 1ХР» строит модель разграничения прав доступа пользователей к ресурсам автоматизированного рабочего места (АРМ), а «Ревизор 2ХР» проверяет соответствие настроенных в операционной системе (или системе защиты информации) прав доступа пользователей с моделью, составленной в «Ревизоре 1ХР».
А теперь подробнее о каждом из них.
«Ревизор 1ХР»
Презентация на тему Антивирусные программы
ВведениеПризнаки появления вирусовХарактеристика антивирусных программПрограммы-детекторыПрограммы-доктораПрограммы-ревизоры. ВакциныПрограммы-фильтрыНедостатки антивирусных программИтак, что же такое антивирус?Содержание
Слайды и текст этой презентации
Слайд 1Антивирусные программы
Выполнил: студентка 116 группы,
Шалданова Н. Б.
Проверил: преподаватель информатики,
Ревизор Гоголя кратко. Почему «Ревизор» заканчивается немой сценой?
Цыренова А.
Н.
Министерство образования и науки Республик Бурятия
Государственное бюджетное профессиональное образовательное учреждение
«Бурятский
республиканский информационно-экономический техникум»
Слайд 2Введение
Признаки появления вирусов
Характеристика антивирусных программ
Программы-детекторы
Программы-доктора
Программы-ревизоры. Вакцины
Программы-фильтры
Недостатки антивирусных программ
Итак, что же
такое антивирус?
Содержание
Слайд 3В настоящее время компьютер прочно вошел в повседневную жизнь. Его
возможности используются на работе, при проведении досуга, в быту и
других сферах жизни человека. Количество информации, которую люди доверяют своему «электронному другу», с каждым днем растет, поэтому рано или поздно каждый задается вопросом: «Как обеспечить надежную сохранность данных?»
Сегодня невозможно встретить пользователя персонального компьютера, который не слышал бы о компьютерных вирусах. В Интернете такие вредоносные программы существуют в огромном количестве. Самое неприятное, что многие распространители вирусов успешно применяют в своей практике передовые достижения IT-индустрии. В результате то, что должно служить на благо пользователей, в конечном итоге может обернуться для них большими проблемами.
Н. В. Гоголь «РЕВИЗОР». АНАЛИЗ
Вирус — это вредоносная программа, проникающая на компьютер без ведома пользователя и выполняющая определенные действия деструктивной направленности. Вирусы – едва ли не главные враги компьютера. Чтобы не стать жертвой этой напасти, каждому пользователю следует хорошо знать принципы защиты от компьютерных вирусов.
С давних времён известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Поэтому на любом современном компьютере должна быть обязательно установлена антивирусная программа.
Слайд 4Для маскировки вируса его действия по заражению других программ и
нанесению вреда могут выполняться не всегда, а при выполнении каких-либо
условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной. Все действия вируса могут выполняться достаточно быстро и без выдачи каких-либо сообщений, поэтому пользователь часто и не замечает, что компьютер работает со «странностями». К признакам появления вируса можно отнести:
замедление работы компьютера;
невозможность загрузки операционной системы;
частые «зависания» и сбои в работе компьютера;
прекращение работы или неправильная работа ранее успешно функционировавших программ;
увеличение количества файлов на диске;
изменение размеров файлов;
периодическое появление на экране монитора неуместных системных сообщений;
уменьшение объема свободной оперативной памяти;
заметное возрастание времени доступа к жесткому диску;
изменение даты и времени создания файлов;
разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.);
загорание сигнальной лампочки дисковода, когда к нему нет обращения.
Надо заметить, что названные симптомы необязательно вызываются компьютерными вирусами, они могут быть следствием других причин, поэтому компьютер следует периодически диагностировать.
Признаки появления вирусов
Слайд 5Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько
видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие
программы называются антивирусными.
Различают следующие виды антивирусных программ:
программы- детекторы;
программы-доктора или фаги;
программы-ревизоры;
программы-фильтры;
программы-вакцины ли иммунизаторы.
Характеристика антивирусных программ
Слайд 6Осуществляют поиск характерной для конкретного вируса последовательности байтов (сигнатуры вируса)
в оперативной памяти и в файлах и при обнаружении выдают
соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Слайд 7Фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат»
их, т.е. удаляют из файла тело программы вируса, возвращая файлы
в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известными полифагами являются программы Aidstest,Scan, Norton AntiVirus,AVT и Doctor Web.
Слайд 8Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают
исходное состояние программ, каталогов и системных областей диска тогда, когда
компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. К числу программ-ревизоров относится широко распространенная в России программа Adinf фирмы «Диалог-Наука».
Вакцины или иммунизаторы — это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Слайд 9«Сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий
при работе компьютера, характерных для вирусов. Такими действиями могут являться:
попытки
коррекции файлов с расширениями СОМ и ЕХЕ; изменение атрибутов файлов;
прямая запись на диск по абсолютному адресу;
запись в загрузочные сектора диска;
загрузка резидентной программы. При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако они не «лечат» файлы и диски.
Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость», а также возможные конфликты с другим программным обеспечением.
Слайд 10 Ни одна из существующих антивирусных технологий не может обеспечить полной
защиты от вирусов
Антивирусная программа забирает часть вычислительных ресурсов системы, нагружая
центральный процессор и жёсткий диск. Особенно это может быть заметно на слабых компьютерах. Замедление в фоновом режиме работы может достигать 380 %.
Антивирусные программы могут видеть угрозу там, где её нет (ложные срабатывания).
Антивирусные программы загружают обновления из Интернета, тем самым расходуя трафик.
Различные методы шифрования и упаковки вредоносных программ делают даже известные вирусы не обнаруживаемыми антивирусным программным обеспечением. Для обнаружения этих «замаскированных» вирусов требуется мощный механизм распаковки, который может дешифровать файлы перед их проверкой. Однако во многих антивирусных программах эта возможность отсутствует и, в связи с этим, часто невозможно обнаружить зашифрованные вирусы.
Недостатки антивирусных программ
Слайд 11Почему-то многие считают, что антивирус может обнаружить любой вирус, то
есть, запустив антивирусную программу, можно быть абсолютно уверенным в их
надежности. Такая точка зрения не совсем верна.
Дело в том, что антивирус — это тоже программа, конечно, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. То есть антивирус против конкретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. Вот и идет эта бесконечная война между авторами вирусов и антивирусов, правда, первых в нашей стране почему-то всегда больше, чем вторых.
Но и у создателей антивирусов есть преимущество! Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими «копиями» придумано новое оружие — эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус
Таким образом, в этой информационной войне, как, впрочем, и в любой другой, остаются сильнейшие. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.
Итак, что же такое антивирус?
Источник: theslide.ru
Сосчитаем агентов «Ревизор»
Не секрет, что за контролем блокировок по списку запрещённой информации в России следит автоматизированная система «Ревизор». Как это работает неплохо написано вот в этой статье на Habr, картинка оттуда же:
Непосредственно у провайдера устанавливается модуль «Агент Ревизор»:
Модуль «Агент Ревизор» является структурным элементом автоматизированной системы «Ревизор» (АС «Ревизор»). Данная система предназначена для осуществления контроля над выполнением операторами связи требований по ограничению доступа в рамках положений, установленных статьями 15.1-15.4 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Основной целью создания АС «Ревизор» является обеспечение мониторинга соблюдения операторами связи требований, установленных статьями 15.1-15.4 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в части выявления фактов доступа к запрещенной информации и получения подтверждающих материалов (данных) о нарушениях по ограничению доступа к запрещенной информации.
С учётом того что, если не все, то многие провайдеры установили данное устройство у себя, должна была получиться большая сеть из пробников-маяков наподобие RIPE Atlas и даже больше, но с закрытым доступом. Однако, маяк он и есть маяк чтобы посылать сигналы во все стороны, а что если их поймать и посмотреть, что мы поймали и сколько?
Прежде чем считать, посмотрим почему это вообще может быть возможно.
Немного теории
Агенты проверяют доступность ресурса, в том числе, посредством HTTP(S) запросов, как этот например:
TCP, 14678 > 80, «[SYN] Seq=0» TCP, 80 > 14678, «[SYN, ACK] Seq=0 Ack=1» TCP, 14678 > 80, «[ACK] Seq=1 Ack=1» HTTP, «GET /somepage HTTP/1.1» TCP, 80 > 14678, «[ACK] Seq=1 Ack=71» HTTP, «HTTP/1.1 302 Found» TCP, 14678 > 80, «[FIN, ACK] Seq=71 Ack=479» TCP, 80 > 14678, «[FIN, ACK] Seq=479 Ack=72» TCP, 14678 > 80, «[ACK] Seq=72 Ack=480»
Запрос помимо полезной нагрузки, состоит ещё из фазы установки соединения: обмен SYN и SYN-ACK , и фазы завершения соединения: FIN-ACK .
Реестр запрещённой информации содержит несколько типов блокировок. Очевидно, что если ресурс будет блокироваться по IP адресу или доменному имени, то никаких запросов мы не увидим. Это самые разрушительные типы блокировок, которые приводят к недоступности всех ресурсов на одном IP адресе или всей информации на домене. Существует также тип блокировки «по URL».
В этом случае система фильтрации должна разбирать HTTP заголовок запроса, чтобы точно определить что блокировать. А до него, как видно выше, должна случится фаза установки соединения которую можно попытаться отследить, так как скорее всего фильтр её пропустит.
Для этого надо выбрать подходящий свободный домен с типом блокировки «по URL» и HTTP, чтобы облегчить работу системе фильтрации, желательно давно заброшенный, для минимизации попадания постороннего трафика кроме как с Агентов. Эта задача оказалась совсем не сложной, свободных доменов в реестре запрещённой информации достаточно много и на любой вкус. Поэтому домен был приобретён, привязан к IP адресам на VPS с запущенным tcpdump и начался подсчёт.
Ревизия «Ревизоров»
Я ожидал увидеть периодические всплески запросов, что говорило бы на мой взгляд об управляемом действии. Нельзя сказать чтобы я совсем этого не увидел, но чёткой картины определённо не было:
Что неудивительно, даже на никому ненужный домен на никогда не используемый IP будет поступать просто масса незапрашиваемой информации, таков современный Интернет. Но к счастью, мне нужны были только запросы конкретного URL, поэтому все сканеры и переборщики паролей быстро были найдены. Также, достаточно просто было понять где флуд по массе однотипных запросов. Дальше я составил частоты появления IP адресов и прошёлся по всему топу вручную отделяя тех кто проскочил на предыдущих этапах. Дополнительно я вырезал все источники которые прислали по одному пакету, их было уже не много. И получилось вот это:
Небольшое лирическое отступление. Чуть больше суток спустя мой хостинг провайдер прислал письмо довольно обтекаемого содержания, дескать на ваших мощностях есть ресурс из запрещённого списка РКН поэтому он блокируется. Сначала я подумал что заблокировали мой аккаунт, это было не так. Потом я подумал что меня просто предупреждают о том, о чём я и так знаю.
Но оказалось, что хостер включил свой фильтр перед моим доменом и в итоге я попал под двойную фильтрацию: со стороны провайдеров и со стороны хостера. Фильтр пропускал только концы запросов: FIN-ACK и RST срезая весь HTTP по запрещённому URL. Как видно из графика выше, после первых суток я стал получать меньше данных, но я всё равно их получал чего вполне хватило для задачи подсчёта источников запросов.
Ближе к делу. На мой взгляд совершенно чётко видно два всплеска каждый день, первый поменьше, после полуночи по Москве, второй ближе к 6 утра с хвостом до 12 дня. Пик не приходится точно на одно и то же время. Сначала я хотел выделить IP адреса попавшие только в эти периоды и каждый во все периоды, исходя из предположения что проверки Агентами выполняются периодически.
Но при внимательном просмотре я достаточно быстро обнаружил периоды попадающее в другие интервалы, с другими частотами, вплоть до одного запроса каждый час. Потом я подумал про часовые пояса и что возможно в них дело, потом я подумал что вообще система может быть не синхронизирована глобально. Кроме того, наверняка, свою роль сыграет NAT и один и тот же Агент может сделать запросы с разных публичных IP.
Так как изначальная моя цель не была в точности, я посчитал вообще все адреса которые попались за неделю и получил — 2791. Количество TCP сессий установленных с одного адреса в среднем по 4, с медианой 2. Топ сессий на адрес: 464, 231, 149, 83, 77. Максимум из 95% выборки — 8 сессий на адрес.
Медиана не очень высокая, напомню что по графику видна явная суточная периодичность поэтому можно было ожидать что-то около 4 до 8 за 7 суток. Если выкинуть все единожды встречающиеся сессии то как раз получим медиану равную 5. Но я не смог их исключить по чёткому признаку. Наоборот, выборочная проверка показала, что они имеют отношение к запросам запрещённого ресурса.
Адреса адресами, а в Интернете важнее автономные системы — AS, которых получилось 1510, в среднем 2 адреса на AS с медианой 1. Топ адресов на AS: 288, 77, 66, 39, 27. Максимум из 95% выборки — 4 адреса на AS. Вот тут медиана ожидаема — один Агент на провайдера. Топ тоже ожидаем — в нём крупные игроки.
В большой сети Агенты, наверное, должны стоять в каждом регионе присутствия оператора, не забываем и про NAT. Если взять по странам, то максимумы будут: 1409 — RU, 42 — UA, 23 — CZ, 36 из других регионов, не RIPE NCC. Запросы не из России обращают на себя внимание. Наверное, это можно объяснить ошибками геолокации или ошибками регистраторов при заполнении данных.
Или тем что российская компания может иметь нероссийские корни, или иметь иностранное представительство потому что так проще, что естественно имея дело с заграничной организацией RIPE NCC. Какая-то часть несомненно является лишней, но отделить её достоверно сложно, так как ресурс находится под блокировкой, а со вторых суток под двойной блокировкой и большинство сессий представляют собой лишь обмен несколькими служебными пакетами. Условимся на том что это небольшая часть.
Эти числа можно уже сравнивать с количеством провайдеров в России. По данным РКН лицензий на «Услуги связи по передаче данных, за исключением голоса» — 6387, но это сильно задранная оценка сверху, не все эти лицензии относятся именно к провайдерам Интернет которым нужно ставить Агента. В зоне RIPE NCC похожее число AS зарегистрированных в России — 6230, из которых не все провайдеры.
UserSide делал более строгий подсчёт и получил 3940 компаний в 2017 году, и это скорее оценка сверху. В любом случае мы имеем число засветившихся AS в два с половиной раза меньше. Но тут стоит понимать что AS не строго равно провайдеру. У некоторых провайдеров нет своей AS, у некоторых их больше одной.
Если предположить что Агенты всё же стоят у всех, значит кто-то фильтрует сильнее остальных, так что их запросы неотличимы от мусора если вообще доходят. Но для грубой оценки вполне терпимо, даже если что-то и потерялось из-за моей оплошности.
Про DPI
Несмотря на то что мой хостинг провайдер включил свой фильтр начиная со вторых суток, по информации за первый день можно сделать вывод что блокировки работают успешно. Только 4 источника смогли пробиться и имеют полностью законченные HTTP и TCP сессии (как в примере выше). Ещё 460 могут прислать GET , но сессия мгновенно обрывается по RST . Обратите внимание на TTL :
TTL 50, TCP, 14678 > 80, «[SYN] Seq=0» TTL 64, TCP, 80 > 14678, «[SYN, ACK] Seq=0 Ack=1» TTL 50, TCP, 14678 > 80, «[ACK] Seq=1 Ack=1» HTTP, «GET /filteredpage HTTP/1.1» TTL 64, TCP, 80 > 14678, «[ACK] Seq=1 Ack=294» #Вот это прислал фильтр TTL 53, TCP, 14678 > 80, «[RST] Seq=3458729893» TTL 53, TCP, 14678 > 80, «[RST] Seq=3458729893» HTTP, «HTTP/1.1 302 Found» #А это попытка исходного узла получить потерю TTL 50, TCP ACKed unseen segment, 14678 > 80, «[ACK] Seq=294 Ack=145» TTL 50, TCP, 14678 > 80, «[FIN, ACK] Seq=294 Ack=145» TTL 64, TCP, 80 > 14678, «[FIN, ACK] Seq=171 Ack=295» TTL 50, TCP Dup ACK 14678 > 80 «[ACK] Seq=295 Ack=145» #Исходный узел понимает что сессия разрушена TTL 50, TCP, 14678 > 80, «[RST] Seq=294» TTL 50, TCP, 14678 > 80, «[RST] Seq=295»
Вариации этого могут быть различны: меньше RST или больше ретрансмитов — зависит ещё от того что фильтр посылает исходному узлу. В любом случае это наиболее достоверный шаблон, из которого видно что запрашивался именно запрещённый ресурс. Плюс всегда есть ответ который появляется в сессии с TTL большим чем в предыдущих и последующих пакетах.
От остальных не видно даже GET :
TTL 50, TCP, 14678 > 80, «[SYN] Seq=0» TTL 64, TCP, 80 > 14678, «[SYN, ACK] Seq=0 Ack=1» #Вот это прислал фильтр TTL 53, TCP, 14678 > 80, «[RST] Seq=1»
TTL 50, TCP, 14678 > 80, «[SYN] Seq=0» TTL 64, TCP, 80 > 14678, «[SYN, ACK] Seq=0 Ack=1» TTL 50, TCP, 14678 > 80, «[ACK] Seq=1 Ack=1» #Вот это прислал фильтр TTL 53, TCP, 14678 > 80, «[RST, PSH] Seq=1» TTL 50, TCP ACKed unseen segment, 14678 > 80, «[FIN, ACK] Seq=89 Ack=172» TTL 50, TCP ACKed unseen segment, 14678 > 80, «[FIN, ACK] Seq=89 Ack=172» #Опять фильтр, много раз TTL 53, TCP, 14678 > 80, «[RST, PSH] Seq=1» .
Обязательно видна разница в TTL если что-то прилетает от фильтра. Но часто может вообще ничего не прилететь:
TCP, 14678 > 80, «[SYN] Seq=0» TCP, 80 > 14678, «[SYN, ACK] Seq=0 Ack=1» TCP Retransmission, 80 > 14678, «[SYN, ACK] Seq=0 Ack=1» .
TCP, 14678 > 80, «[SYN] Seq=0» TCP, 80 > 14678, «[SYN, ACK] Seq=0 Ack=1» TCP, 14678 > 80, «[ACK] Seq=1 Ack=1» #Прошло несколько секунд без трафика TCP, 80 > 14678, «[FIN, ACK] Seq=1 Ack=1» TCP Retransmission, 80 > 14678, «[FIN, ACK] Seq=1 Ack=1» .
И всё это повторяется и повторяется и повторяется, как видно на графике, точно не один раз, каждые сутки.
Про IPv6
Хорошая новость — он есть. Я могу сказать достоверно что с 5 различных IPv6 адресов происходят периодические запросы к запрещённому ресурсу, именно то поведение Агентов которое я ожидал. Причём один из IPv6 адресов не попадает под фильтрацию и я вижу полноценную сессию. Ещё с двух я увидел только по одной незавершённой сессии, одна из которых прервалась по RST от фильтра, вторая по времени. Итого всего 7.
Так как адресов мало я подробно изучил все их и оказалось, что собственно провайдеров там всего 3, им можно аплодировать стоя! Ещё один адрес — облачный хостинг в России (не фильтрует), ещё один — исследовательский центр в Германии (есть фильтр, где?). А вот зачем они проверяют по расписанию доступность запрещённых ресурсов вопрос хороший. Оставшиеся два сделали по одному запросу и находятся в не пределов России, причём один из них фильтруется (всё-таки на транзите?).
Блокировки и Агенты это большой тормоз для IPv6, внедрение которого итак движется не очень быстро. Это печально. Те кто решил эту задачу в полной мере могут собой гордиться.
В заключение
Я не гнался за 100% точностью прошу меня за это простить, надеюсь кто-то захочет повторить такую работу с большей аккуратностью. Для меня было важно понять будет ли в принципе работать такой подход. Ответ — будет. Полученные цифры в первом приближении, я думаю, вполне достоверны.
Что можно было бы ещё сделать и что я поленился сделать — посчитать запросы к DNS. Они не фильтруются, но и не дают большой точности так как работают только для домена, а не для всего URL. Периодичность должно быть видно. Если совместить с тем что видно непосредственно в запросах, то это позволит отделить лишнее и получить больше сведений. Возможно даже определить разработчиков DNS используемых провайдерами и много что ещё.
Я совершенно не ожидал того, что для моего VPS хостер включит ещё и свой фильтр. Может быть это обычная практика. В конце концов РКН присылает запрос на удаление ресурса как раз хостеру. Но меня это не удивило и даже где-то сыграло на пользу.
Фильтр работал очень эффективно срезая все правильные HTTP запросы к запрещённому URL, но не правильные, прошедшие до этого через фильтр провайдеров долетали, пусть только в виде концовок: FIN-ACK и RST — минус на минус и почти получился плюс. Кстати, IPv6 хостером не фильтровался. Конечно это повлияло на качество собранного материала, но всё равно дало возможность увидеть периодичность. Оказалось это важный момент при выборе площадки для размещения ресурсов, не забывайте интересоваться вопросом организации работы со списком запрещённых сайтов и запросами от РКН.
В начале я сравнил АС «Ревизор» с RIPE Atlas. Это сравнение вполне оправдано и большая сеть из Агентов может приносить пользу. Например, определение качества доступности ресурса из различных провайдеров различных частей страны. Можно посчитать задержки, можно строить графики, можно это всё анализировать и видеть изменения происходящие как локально так и глобально.
Это не самый прямой путь, но используют же астрономы «стандартные свечи», почему не использовать Агенты? Зная (найдя) их стандартное поведение можно определять изменения которые происходят вокруг них и как это влияет на качество оказываемых услуг. И при этом не надо самостоятельно расставлять пробники по сети, их уже поставил Роскомнадзор.
Ещё один момент который я хочу затронуть, каждый инструмент может быть оружием. АС «Ревизор» закрытая сеть, но Агенты сдают всех с потрохами посылая запросы на все ресурсы из запрещённого списка. Заиметь такой ресурс не представляет ровным счётом никаких проблем.
Итого, провайдеры через Агентов, сами того не желая рассказывают о своей сети много больше, чем возможно стоило бы: типы DPI и DNS, местоположение Агента (центрального узла и служебной сети?), сетевые маркеры задержек и потерь — и это только самое очевидное. Так же как кто-то может мониторить действия Агентов для улучшения доступности своих ресурсов, кто-то может это делать в других целях и этому нет препятствий. Обоюдоострый и очень многогранный инструмент получился, любой может в этом убедиться.
- Информационная безопасность
- Сетевые технологии
- Законодательство в IT
Источник: habr.com