Сколько провайдер хранит информацию о трафике. Как долго хранится информация о человеке в сети? А хватит ли у провайдеров мощностей запоминать информацию за каждым пользователем

Легенды о сотрудниках компаний-провайдеров, которые от скуки или выгоды ради мониторят трафик клиентов, несложно найти в интернете. Но так ли это? Разбираемся, что действительно знает о вас провайдер.

Как большой брат следит за тобой

Провайдеры в РФ обязаны анализировать трафик пользователей на соответствие нормам российского законодательства. В частности, п. 1.1 Федеральный закон от 07.07.2003 N 126-ФЗ (ред. от 05.12.2017) «О связи» гласит :

Операторы связи обязаны предоставлять уполномоченным государственным органам, осуществляющим оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации, информацию о пользователях услугами связи и об оказанных им услугах связи, а также иную информацию, необходимую для выполнения возложенных на эти органы задач, в случаях, установленных федеральными законами.

Сам трафик провайдер, естественно, не хранит. Однако он выполняет его обработку и классификацию. Результаты записываются в лог-файлы.

Анализ основной информации ведётся в автоматическом режиме. Обычно трафик выбранного пользователя зеркалируется на СОРМ-сервера (средства оперативно-розыскных мероприятий), которые контролируют МВД, ФСБ и др., и анализ проводится уже там.

Составной частью современных систем СОРМ-2 является циклический буфер хранения данных. В нём должен храниться проходящий через провайдера трафик за последние 12 часов. С 2014 года внедряется СОРМ-3. Её главное отличие – дополнительное хранилище, в которое должен складываться трехлетний архив всего биллинга и всех логов соединений.

Как читают трафик с помощью DPI

Пример схемы от VAS Expert

В составе СОРМ либо отдельно могут использоваться DPI (Deep Packet Inspection). Это системы (обычно программно-аппаратные комплексы – железо со специальным ПО), которые работают на всех, кроме первого (физического, битового), уровнях сетевой модели OSI.

В простейшем случае провайдеры используют DPI для контроля доступа к ресурсам (в частности, к страницам сайтов из «черного» списка Роскомнадзора по ФЗ № 139 о внесении изменений в закон «О защите детей от информации, причиняющей вред их здоровью и развитию» или торрентам). Но, вообще говоря, решение могут применить и для чтения вашего трафика.

Противники DPI заявляют, что право на неприкосновенность переписки закреплено в конституции, к тому же технология нарушает сетевой нейтралитет. Но это не мешает задействовать технологию на практике.

DPI без проблем разбирает содержимое, которое передаётся по незашифрованным протоколам HTTP, FTP.

Некоторые системы также используют эвристику – косвенные признаки, которые помогают опознать сервис. Это, к примеру, временные и численные характеристики трафика, а также особые последовательности байт.

С HTTPS сложнее. Однако в уровне TLS, начиная с версии 1.1, который сегодня нередко используется для шифрования в HTTPS, доменное имя сайта передаётся в открытом виде. Таким образом, провайдер сможет узнать, на какой домен вы заходили. Но что там делали, он без закрытого ключа не узнает.

В любом случае провайдеры не проверяют всех подряд

Это слишком затратно. А вот мониторить чей-то трафик по запросу теоретически могут.

То, что отметила система (или товарищ майор), обычно исследуется вручную. Но чаще всего никакого СОРМ у провайдера (особенно если это мелкий провайдер) нет. Всё ищется и находится рядовыми сотрудниками в базе данных с логами.

Как отслеживают торренты

Торрент-клиент и трекер, как правило, обмениваются данными по протоколу HTTP. Это открытый протокол, а значит, смотрите выше: просмотр трафика пользователя с помощью атаки MITM, анализ, расшифровка, блокировка с помощью DPI. Провайдер может исследовать очень много данных: когда стартовало или завершилось скачивание, когда стартовала раздача, какое количество трафика было роздано.

Сидеров найти труднее. Чаще всего в таких случаях специалисты сами становятся пирами. Зная IP-адрес сидера, пир может направить провайдеру уведомление с именем раздачи, её адресом, временем начала раздачи, собственно, IP-адресом сидера и т.д.

В России пока что это безопасно – все законы ограничивают возможности администрации трекеров и других распространителей пиратского контента, но не рядовых пользователей. Однако в некоторых европейских странах пользование торрентами чревато большими штрафами. Так что если едете за границу, не попадайтесь.

Что происходит, когда вы заходите на сайт

Провайдер видит URL, который вы открыли, если анализирует содержимое пакетов, которые вам приходят. Сделать это можно, к примеру, с помощью MITM-атаки (атака “man-in-the-middle”, человек посередине).

Из содержимого пакетов можно получить историю поиска, проанализировать историю запросов, даже прочитать переписку и логины с паролями. Если, конечно, сайт использует для авторизации нешифрованное HTTP-соединение. К счастью, такое встречается всё реже.

Если сайт работает с HTTPS, тогда провайдер видит только IP-адрес сервера и имя домена, а также время подключения к нему и объём трафика. Остальные данные проходят в зашифрованном виде, и без приватного ключа расшифровать их невозможно.

Что насчёт MAC-адреса

Ваш MAC-адрес провайдер видит в любом случае. Точнее, MAC-адрес устройства, которое подключается к его сети (а это может быть не компьютер, а роутер, например). Дело в том, что авторизация у многих провайдерах выполняется по логину, паролю и MAC-адресу.

Но MAC-адреса на многих роутерах можно подменять вручную. Да и на компьютерах MAC-адрес сетевого адаптера устанавливается вручную. Так что если сделать это до первой авторизации (или поменять позднее и попросить перепривязать аккаунт к новому MAC-адресу), истинный MAC-адрес провайдер видеть не будет.

Что происходит, если у вас включен VPN

Если вы используете VPN, то провайдер видит, что шифрованный трафик (с высоким коэффициентом энтропии) отправляется на определённый IP-адрес. Кроме того, он может узнать, что IP-адреса из этого диапазона продаются под VPN-сервисы.

Куда идёт трафик с VPN-сервиса, провайдер автоматически отследить не может. Но если сопоставить трафик абонента с трафиком любого сервера по временным меткам, можно выполнить дальнейшее отслеживание. Просто для этого нужны более сложные и дорогие технические решения. От скуки никто такое точно разрабатывать и использовать не будет.

Бывает, что внезапно VPN «отваливается» – такое может произойти в любой момент и в любой операционной системе. После того, как VPN прекратил работу, трафик автоматически начинает идти открыто, и провайдер может его анализировать.

Важно, что даже если анализ трафика показывает, что слишком большой объём пакетов постоянно идёт на IP-адрес, который потенциально может принадлежать VPN, вы ничего не нарушите. Пользоваться VPN в России не запрещено – запрещено предоставлять такие услуги для обхода сайтов из «чёрного списка» Роскомнадзора.

Что происходит, когда вы включаете Tor

Когда вы подключаетесь через Tor, провайдер также видит зашифрованный трафик. И расшифровать, что вы делаете в интернете в данный момент, он не сможет.

В отличие от VPN, где трафик обычно направляется на один и тот же сервер в течение большого промежутка времени, Tor автоматически меняет IP-адреса. Соответственно, провайдер может определить, что вы, вероятно, пользовались Tor, по шифрованному трафику и частой смене адресов, а затем отразить это в логах. Но по закону вам за это тоже ничего не будет.

При этом вашим IP-адресом в сети Tor кто-то может воспользоваться, только если вы сконфигурировали Exit Node в настройках.

А как насчёт режима «инкогнито»

Этот режим не поможет скрыть ваш трафик от провайдера. Он нужен, чтобы сделать вид, что вы не пользовались браузером.

Всем привет Когда я работал в поддержке провайдера, то иногда мне звонили и задавали такой вопрос: может интернет провайдер видеть на какие сайты я заходил? Ну что тут могу сказать. Тогда, работая в поддержке я конечно отвечал что нет, это невозможно и что провайдер ничего такого не видит. Ну то есть говорил что видит только когда вы подключались к интернету и все… Но понятное дело что я так говорил, чтобы юзеры не бунтовались, не задавали еще больше вопросов.. ну то есть чтобы были спокойны

Что может видеть провайдер на самом деле? Я постараюсь простым языком обьяснить что он может видеть и что не может.

Давайте сначала разберемся с тем что такое провайдер. Ну так, по простому. Провайдер это здание, от которого идут провода, на нем еще тарелки всякие сидят, ну спутниковые, а внутри бывают кассы по оплате, а все что остальное это тьма и темнейший лес..

Провайдер по сути это узел, который продает интернет подороже, который покупает подешевле. Подешевле это можно сказать магистральный интернет, там очень большие скорости.

У провайдера может быть десятки тысяч пользователей а то и сотни.. Это я как бы намекаю, что он не может следить за всеми, но при этом он себе в этом не отказывает.

Следить или нет — это дело чести. Шутка. Это дело государственного уровня. Есть какие-то там законы, которые обязывают провайдеров пропускать трафик через специальное устройство. В любом случае провайдер обязан выдать по запросу полицаев все данные о абоненте, который подозревается в совершении преступления в сети. Проще говоря есть ряд норм, которые провайдеру нужно выполнить, чтобы получить лицензию и предоставлять услуги

• Может ли увидеть провайдер какие сайты я посещаю? При необходимости провайдер в большинстве случаев может получить список всех посещаемых сайтов. Но как правило это список IP-адресов или доменов за какой-то последний промежуток времени. Это может быть месяц, три месяца, полгода, год…
• Если я буду пользоваться VPN, то провайдер не узнает что я использую торрентом? Ну тут такой момент. Да, если вы все сделаете грамотно, я имею ввиду подключение VPN, то все что будет в нем он не увидит. Торренты также будут скрыты. Но сам VPN-сервер будет виден. А также будет видно то, что именно с одним IP-адресом идет подозрительно большой обмен трафика (то есть с VPN сервером). И если админ пробьет IP, смотрит, и видит что это IP например Нидерландов, и если активность длится часами, днями, то это конечно наведет подозрения. Но это если будет причина что-то искать. Обычно всем плевать где вы там ходите и что вы там качаете..

Что видит провайдер?

• Видит ли провайдер HTTPS? Он видит только факт использования защищенного соединения, но само содержимое он не видит.
• Ну а что тогда по поводу HTTP? Тут провайдер видит почти все, ибо нет никакого шифрования. Заголовки пакетов, что и куда вы отправляли. Может увидеть например что вы посещали торрент-трекер, и у него будет список всех страниц.
• Видит ли провайдер TOR? Провайдер видит только сервер TOR, расшифровать что вы там делаете он вряд сможет, если нужно то придут домой. Но чтобы это случилось, вы должны захватить планету Земля в интернете.
• Видит ли провайдер МАК-адрес? Да, это ему видно. Благодаря маку часто у провайдеров идет привязка к оборудованию пользователя. Ну то есть чтобы кто-то не смог воспользоваться вашим интернетом, даже если он знает логин и пароль.
• Видит ли провайдер поисковые запросы? Ну тут на самом деле вот какое дело. Он в принципе может видеть. Сами адреса он видит, это все заносится в лог, то есть все это записывается. Но вот чтобы увидеть запросы, это нужно подключат дополнительную технологию, которая будет обрабатывать пакеты и вытягивать с них запросы. Это я все к тому что это большие мощности нужны, чтобы так следить и поэтому провайдер не видит поисковые запросы.
• Видит ли провайдер прокси? Он может только видеть, что вы соединены с каким-то сервером (который на самом деле является прокси). То есть по факту видит, но еще нужно выяснить, прокси это или просто сервер, с которым работает какая-то программа. Хотя, по большему счету это одно и тоже.
• Так видит ли провайдер куда я захожу? Да, видит. То есть если у провайдера сотни тысяч клиентов, которые могут в сутки генерировать миллион, а то и больше заходов на те или иные сайты, то все это провайдер видит как большую гору трафика. Разумеется что он специально ничего не будет смотреть. Это для статистики и не более.
• Видит ли провайдер что я качаю? Тут я даже не знаю что сказать. Информация о том, что вы качаете и откуда в первую очередь содержится в первом пакете, который отправляется на сервер для запуска процесса скачивания. А так провайдер видит только что вы принимаете данные с определенного IP-адреса.
• Видит ли провайдер что я делаю в интернете? Ну, как я уже сказал, то в общем можно сказать что он видит что вы там делаете. Он может даже составить картинку, ну то есть понять что вы за пользователь, чем интересуетесь, куда заходите и так далее. Провайдер видит всю историю посещения. Но просто так это никому не интересно.
• Хорошо, а видит ли провайдер какие сайты я посещаю в режиме инкогнито в браузере? Режим инкогнито это режим не для провайдера в первую очередь, а для других людей и для сайтов. То есть режим инкогнито позволяет сделать так, будто вы не пользовались браузером. Этим можно обмануть сайты, чтобы они не собирали о вас конфиденциальную информацию ну и знакомых, чтобы они не могли посмотреть на какие сайты вы заходили.

Когда я писал видит ли, это я имел ввиду провайдера, но с точки зрения не человека а машины! Человек видит там мало что. Ибо работников страшно мало по сравнению с количеством юзеров и их трафиком. Человек может увидеть все, но только по запросу свыше…

Но на самом деле провайдеру побарабану что вы делаете за компом. Нет такого понятия что кто-то там спецом сидит в комнате и смотрит, а что это там качают.. Пользователей просто очень много и следить за всеми вручную невозможно, все записывается. И записывается по минимуму, ибо трафика очень много и даже тут нужно экономить, хотя это всего лишь текст.. Если вы просто пользуетесь сайтами то нечего вам боятся. Даже если вы постоянно будете пользоваться VPN или Tor, то никто ничего вам не скажет, ну если вы конечно не будете делать какие-то там коварные дела

Но в чем вообще прикол в с фильмами? Прикол вот в чем. В Германии есть закон какой-то там, короче что типа нельзя качать фильмы не заплатив. Ну так вот. Как работает эта схема? Вы качаете торрент. И его же начинает качать какой-то там полицай. И он видит в самом торренте с кого он качает фильм. И тут анализируя эту статистику он и может понять, с кого можно потянуть штраф. Ну то есть вы понимаете, что тут как раз VPN будет уместным.

На этом все, надеюсь что написал все понятно и доступно. Если что не так, то извините, удачи вам и всего хорошего

Правительство РФ утвердило правила хранения данных для мобильных операторов и интернет-провайдеров «с целью упреждения преступлений и обеспечения дополнительных мер по защите от терроризма».

Какие данные будут сохранять операторы?

Согласно документу, мобильные операторы должны будут хранить все «текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео- и иные сообщения пользователей», а интернет-провайдеры и организаторы распространения информации в интернете (мессенджеры, интернет-форумы и сервисы электронной почты) — все электронные сообщения.

Как отмечает главный аналитик Российской ассоциации электронных коммуникаций (РАЭК) Карен Казарян , принятое постановление вводит максимально возможный срок хранения сообщений и не ограничивает максимальный размер хранения информации.

«На данный момент организатор распространения информации (ОРИ, то есть интернет-компания) должен хранить все данные пользователей в течение полугода. Операторы связи должны хранить всю голосовую информацию и интернет-трафик в пределах определенного объема в течение месяца. Сейчас сроки хранения информации регулируются законами и постановлениями правительства. Для операторов связи сроки интернет-трафика передвинули на 1 октября для того, чтобы могли отработать технологии хранения», — говорит Казарян.

Как прокомментировали АиФ.ru в компании «Мегафон», с 1 октября операторы и интернет-провайдеры будут обязаны хранить интернет-трафик в течение 30 суток.

«Для операторов срок начала хранения информации был утвержден ранее правительством и не менялся. С 1 июля операторы начнут хранить голосовой трафик, с 1 октября — интернет-трафик», — заявили в пресс-службе «Мегафона».

Интернет-провайдеров обязали с октября хранить трафик пользователей в течение 30 дней. В частности, провайдеры должны будут хранить текстовые сообщения, голосовую информацию, изображения, звуки и видео пользователей. По словам интернет-эксперта Антона Меркурова, закон будет работать выборочно. «Что касается требований к интернет-провайдерам, то они не будут работать. Этот закон будет выборочным, не для всех. И интернет-провайдеры будут выбирать сами, что хранить. Естественно, всю музыку хранить не будут, потому что тогда у нас интернет будет стоить миллионы долларов в месяц», — говорит Меркуров.

У многих операторов пока нет необходимых систем хранения данных, чтобы обслуживать весь трафик. На данный момент только крупные операторы могут найти средства и так или иначе выполнить требования закона. «Главное, что сейчас требуют от интернет-провайдеров, чтобы в Сети оставалась сохраненная информация, которая передавалась по Сети. Информацию будут хранить на серверных хранилищах, объем которых зависит от величины передаваемой информации», — говорит генеральный директор провайдера SMART Telecom Андрей Суходольский.

Кто будет иметь доступ к данным?

Доступ к данным будут иметь только органы, осуществляющие оперативно-розыскную деятельность и обеспечение безопасности: МВД, ФСБ, Служба внешней разведки (СВР), Федеральная служба охраны (ФСО), Федеральная служба исполнения наказаний (ФСИН), Федеральная таможенная служба (ФТС) на основании судебного решения.

В минувшую субботу была опубликована инструкция Министерства связи, согласно которой с 1 января 2016 года провайдеры в течение года хранить историю посещения сайтов пользователями. Onliner.by попросил операторов, предоставляющих интернет-услуги, прокомментировать новую норму.

В «Белтелекоме» считают выполнение инструкции посильной задачей, для реализации которой надо провести подготовительные технические работы.

Директор компании «Атлант Телеком» Игорь Сукач уточнил корреспонденту Onliner.by, что большая часть требований, описанных в инструкции Минсвязи, в соответствии с существующими законами выполнялась и ранее. Главное отличие нового документа в том, что со следующего года провайдеры должны будут хранить объем переданных и принятых данных в привязке к каждому посещенному ресурсу с его IP-адресом.

«Фактически постановление напрямую указывает операторам использовать на своей сети протокол NetFlow и хранить результаты его работы в течение года. Данный протокол очень ресурсоемкий и в основном использовался на заре массового прихода интернета в Беларусь, когда объемы трафика были не сопоставимы с текущими. В настоящее время многие операторы отказались от этого протокола. Его использование на конкретном оборудовании увеличивает загрузку процессора на 50%. Это значит, что при включении протокола активное оборудование оператора должно быть удвоено. В случае с „Атлант Телекомом“ речь идет о разовой инвестиции, превышающей 1 миллион долларов», - отметил Игорь Сукач.

По его словам, абсолютно непонятно, как наличие информации об объеме переданного или принятого трафика к конкретному ресурсу может способствовать выполнению норм декрета президента Республики Беларусь №6 «О неотложных мерах по противодействию незаконного оборота наркотиков».

Игорь Сукач выразил сожаление, что Минсвязи не обсудило с представителями бизнеса новый документ. «Его нормы являются для нас полностью неожиданными и не соответствующими целям принятия данного документа. Бизнес был лишен возможности на предварительном этапе подготовки документа выразить свое отношение к нему, привести свои аргументы и услышать аргументы Министерства связи и информатизации», - подчеркнул директор «Атлант Телекома».

Представитель еще одного белорусского провайдера, пожелавший высказаться анонимно, подчеркнул, что для пользователей принятие новых норм означает, что «теперь у него не получится „затеряться в толпе“, даже если провайдер использует NAT». Источник Onliner.by добавил, что спрос на перечисленные в документе данные востребован среди клиентов - юридических лиц, которые хотят точно знать, какие сайты посещают сотрудники.