Hlavní navigace

Názory k článku Data retention v Česku prakticky I. - co a jak se uchovává

Článek je starý, nové názory již nelze přidávat.

  • 2. 4. 2010 9:22

    :-) (neregistrovaný) ---.56.broadband3.iol.cz
    Přijde mi naprosto příšerné, že vlády vyžadují sledování naprosto všeho jenom proto, že to technologie už umožňuje!! V roce 1930 kdyby se měly sledovat a trvale zaznamenávat do databáze údaje o telefonních hovorech a zaslaných dopisech, tak by to nebylo vůbec technicky realizovatelné, respektive náklady finanční i personální by byly tak obrovské, že by to zmíněné služby učinilo nepoužitelnými.

    Ovšem v dnešní době uchovávat záznamy o telefonních hovorech, e-mailech atd. nestojí prakticky nic a síť nebo server se dá nakonfigurovat tak, že to vykonává naprosto automaticky... A ihned to vláda vyžaduje!!

    --

    Teď se jenom naskýtá otázka jestli mi právě do držky neciví několik HD kamer s citlivými mikrofony proto, že žiji v demokratickém a svobodném státě... Nebo prostě a jednoduše proto, že zatím neexistuje infrastruktura pro přenos?!

    Až budou 100Mbit přípojky do každé domácnosti i v odlehlých částech republiky realitou, budou taky infra HD on-line kamery a mikrofony v každé místnosti také realitou???! Tedy přesně to nebo horší, jak popisuje Orwell?

    Proč to zavést? No protože můžeme, když má každý 100Mbit upload!
  • 2. 4. 2010 17:20

    HaryFotr (neregistrovaný) ---.cust.sloane.cz
    Jediná šance na obranu je útok DoS.
    Počítejme:
    Spojení na náhodně vybranou IP adresu každých 10ms, což moje spojení nezatíží žádným trafikem:
    100/s * 3600/hod *24 * 180dní záznamu = 1 555 200 000 záznamů.
    jeden záznam minimálně 4+4 (2xIP)+ 8(filetime)= 16byte. tj 20GB nekomprimovaných dat od 1 uživatele.
    Násobme řekněme 100 000 uvědomělých uživatelů a jsme na 2PetaBytech.Pokud budou dělat i indexové soubory, pak budou větší, než ta vlastní databáze.

    V tom pak udělat těch 100 000 vyhledávání ročně, to aby si pronajali 1/2 googla.
  • 2. 4. 2010 13:40

    MP (neregistrovaný) ---.static.adsl.vol.cz
    Nespoléhal bych na to. Někde se tuším lidi ze skypu vyjadřovali, že v případě soudního příkazu jsou schopni zajistit, aby se policajti nebo tak něco dostali i k nešifrovanému hovoru.

    I když je to určitěš lepší než mobily, kde je známo, že k hovorům přes ně se policajti (tedy kromě policajtů i lidi kteří mají alespoň jednoho kamaráda u policie, nebo kteří si našli nějakého úplatného policajta) dostanou vemi jednoduše :)
  • 2. 4. 2010 13:51

    dada (neregistrovaný) ---.fortech.cz
    Jak IDTNET vysvetli, az bude tazan, proc na vydany soudni prikaz nesdelil prislusna data a tim porusuje (opakovane?) zakon?

    Co se tyce Skype - krome pripadu 'retranslace' je videt, ktera 2 IP si spolu povidaji...
  • 2. 4. 2010 15:28

    anonymní ---.scz.novell.com
    Co se tyce Skype - krome pripadu 'retranslace' je videt, ktera 2 IP si spolu povidaji... Což ale neznamená, že na žádost nebude Skype posílat hovor na monitorování ještě někam jinam, aniž by to vypsal. Pokud nebudete zrovna sledovat síťový provoz, tak si toho nevšimnete. O Skype se ví, že ho na žádost policie a tajných služeb lze odposlouchávat. Jen se neví, jestli k tomu mají přístup jen ty americké, ale při jeho velikosti bych se tomu spíše divil.
  • 2. 4. 2010 23:00

    krakonoš (neregistrovaný) ---.idtnet.cz
    IDT není poskytovatelem veřejné telekomunikační služby, takže povinnost archivovat data ze zákona nemá. Navíc všichni klienti jsou schováni za minimálně třemi routery a mají dynamické IP adresy, takže dohledat konkrétní stroj je prakticky nemožné.
  • 3. 4. 2010 11:11

    hujer (neregistrovaný) ---.169.broadband4.iol.cz
    Namet na clanek: dnes jsem brouzdal po internetu, napsal komentar na lupu, precetl a napsal par mailu, kolik se toho o me da z tech dat zjistit, resp. co je v uchovavanych logach a po jake dobe se to maze? Pripadne k tomu jeste lze prihodit zavolani z mobilu a z pevne linky.
  • 3. 4. 2010 15:26

    Miloslav Ponkrác
    Vyhledávání v takových datech i indexace je trivka.

    Převedu do podoby, kde nebude IP adresa, ale index IP adresy. Například budu předpokládat, že na mé síti se vyskytuje max. 256 IP adres, tak šup, budu zaznamenávat jen číslo od 0 do 255 (1 bajt). Druhou adreus budu zaznamenávat plnou (4 bajty). Ale ani druhých IP adres není plný 32 bitový prostor, i tam se dá mapovat a snížit velikost.

    Ukládat čas s přesností na vteřinu se dá do 4 bajtů, viz Unix timestamp.

    Takže jednoduchým způsobem, který by udělal každý, kdo by měl obětovávat místo na logy jsem Váš odhaz z 16 bajtů na záznam skrouhnul na 9 bajtů na záznam. Ve skutečnosti se dá skrouhnout ještě více, a to stále budu ještě u nezávislého záznamu logu.

    Pokud budu ukládat některá data rozdílově proti předchozímu záznamu, stáhnu to velmi výrazně níže. Například čas se dá ukládat jedním bajtem, pokud bude obsahovat rozdíl času proti předchozímu záznamu. V tuto chvíli jsem 6 bajtech na záznam. Stále mám pevnou délku záznamu.

    Pokud dovolím proměnnou délku záznamu, dá se to velmi výrazně stáhnout dolů.

    Dále se dají sloučit do jednoho stejné záznamy. Vzhledem k tomu, že posíláte každých 10 ms spojení, stačí do logu napsat 100× v této sekundě stejný záznam. V tuto chvíli nejste schopen vygenerovat více, než 86400 záznamů za den v celkové velikosti logu max. stovek KB.

    Dále mohu slučovat záznamy lišící se pouze časem a ukládat jen rozdílově čas. Zbytek je stejný – to by asi Váš útok zcela zrušilo a učinilo směšným, a stlačilo log celého Vašeho útoku na max. několik KB za den.

    A tak bych mohl pokračovat a pokračovat. Zdaleka nejsme u konce s možnostmi.

    A první útok tohoto druhu by vedl k úpravě logu tímto směrem, tudíž by fungoval jen jednou.
  • 4. 4. 2010 14:05

    MP (neregistrovaný) ---.static.adsl.vol.cz
    > Pokud dovolím proměnnou délku záznamu, dá se to velmi výrazně stáhnout dolů.

    Ano, pokud logy zkompresuji, budou mensi. Ale potrebuju pak vetsi vypocetni vykon

    > posíláte každých 10 ms spojení, stačí do logu napsat 100× v této sekundě stejný záznam

    Ale pokud by kazde spojeni bylo na jinou IP adresu, tak to jaksi nejde.

    Pokud budu uvazovat pevnou delku zaznamu a budu logy skladovat inteligentne (napr. 1 log soubor pro kazdou zdrojovou IP, takze ji pak nemusim ukladav vubec), porad potrebuju na kazde spojeni cilovou IP (4 bajty), zdrojovy port (2 bajty) a cilovy port (2 bajty). Predpokladejme prumerne 1 bajt na cas (a to v tom nejsou vubec ani pocet prenesenych bajtu, coz se myslim taky ma uchovavat). Je to 9 bajtu, cca 1 kb/sec, 3.6MB/hodinu, 2.6 gb/mesic, 15 gb/pulrok po ktery se to tusim musi povinne uchovavat. ISP koupi nejakou starou krabici, soupne do ni jeden 2 TB disk a ma rezervu asi na 130 problemovych zakazniku co vytvarej nonstop 24/7 velky mnozstvi nesmyslnych spojeni.

    Takovehle zahlcovani logserveru k uspechu nepovede, protoze pujde relativne dobre odfiltrovat (odstranim tcp spojeni kde bylo preneseno 0 bajtu a mam "normalni provoz uzivatele")

    Co by mohlo fungovat je bud si pustit u sebe tor node (pokud nechci riskovat ze mi nekdo pres to bude delat neplechu, tak jen jako vnitrni uzel a ne exit bod), pripadne stahovat a seedovat pres torrent nejaka legalni data (napr. linuxove distribuce). To udela (z povahy pouziteho komunikacniho protokolu) celkem dost nahodnych spojeni na nahodne adresy, kterymi protekaji nahodna data a uz se to odfiltrovava hure (tor je komplet sifrovany, torrent sice ne, ale pro analyzu se uz musi koukat do paketu a to je jednak narocne na CPU, jednak mimo rozsah povinneho data retention, takze na to ISP kasle pokud k tomu nema jiny duvod ...). Navic je to smysluplny provoz a ne nahodne bombardovani nicnetusicich "obeti" nahodnymi pakety.

    Sice se tim nezahlti logy obrovskym mnozstvim nesmyslu, ale i tak v nich pribyde dost balastu (mnohem vic nez normalni provoz) a ten se hlavne uz da hure rozpoznat od bezneho provozu (obtizny pak neni sber logu, ale jejich analyza, aneb z tech logu vykoukat neco rozumneho).
  • 26. 12. 2010 17:14

    siva01 (neregistrovaný) 217.29.9.---

    tak podle mě a podle zákona je IDTNET.cz jasný poskytovatel telekomunikační služby. Nabízí připojení k netu.. takže není o čem diskutovat.

  • 2. 4. 2010 11:06

    krakonoš (neregistrovaný) ---.idtnet.cz
    Můj ISP naštěstí nic nearchivuje a tudíž nemůže bonzovat, ani kdyby chtěl. A on nechce, je to pro něj jen zbytečná práce navíc. Bohužel je to o tom, že stačí, aby byla špiclována druhá strana. Ještě, že máme Skype, na ten je naše policejní cenzura krátká.
  • 2. 4. 2010 15:34

    Flasi (neregistrovaný) ---.hq.iol.cz
    Kdyby měl krakonošův ISP vysvětlovat všechno, co o něm ten člověk napsal v diskuzích na lupě, tak nebudou do konce roku dělat nic jiného.