Подводные камни бесплатного Wi-Fi

Что если, кто-то будет заниматься незаконными вещами используя мою точку доступа, а ко мне приедет наряд полиции. С кого будут спрашивать-то? С меня?

забей. У нас в Питере на каждом углу ХСВ без пароля. Всем пофиг.

Я не провайдер, но обязан ли я буду хранить логи, сырой трафик на роутере?

нет конечно. Не храни, а наоборот стирай нафиг.

и будут слушать твой траффик,все,кому не лень

ну слушай мой ssh туннель. Хоть апслушайся...

Ты сообщил по запросу MAC, User-Agent, номер телефона — свободен.

Сомневаюсь что в этой стране все именно так и будет происходить.

Вот покажут органы IP-адрес твоему провайдеру, он ткнет пальцем на тебя. В договоре написано что-то типа: «пользователь использует услуги сам, без права передачи третьим лицам». Твои дальнейшие действия?

Ты правда думаешь что кто-то (напр. провайдер) будет писать тебе на Email и запрашивать логи с твоей точки доступа? Имхо тут нужно копать в сторону регистрации организации и получения лицензии на телематические услуги.

ну так чем ниже безопасность соседей тем выше твоя безопасность

Ущербный подход, ведущий к понижению общей безопасности.

как не странно — нет.

А все равно в глазах школоты ты будешь «лох».

а фоточки обножённых саседок по порадной?

«пользователь использует услуги сам, без права передачи третьим лицам». Твои дальнейшие действия?

сделать умное лицо, и сказать, что роутер тебе настроили так в магазине, а ты его просто включил.

Или у нас каждый пользователь WiFi уже должен знать, чем WPA2 отличается от просто WPA?

Специально для этого открыл отдельный Wi-Fi канал под сниффером.

Поддерживаю. Можно заносить всё в БД, вынести IP и MAC в отдельные таблицы.

В случае с MariaDB (форк MySQL), в итоге на один запрос будет тратиться 4 байта на timestamp и 4 или 8 байт на id MAC/IP (в зависимости, будут ли они в одной таблице или в раздельных). Ну и ключи/индексы (если надо).

Как ни странно — да. Потому что с защитами куда легче выделить из толпы и мониторить/атаковать целенаправленно. При защищенности соседей вокруг лечге потеряться в шуме.

UPD: незащищенный сосед — отличная посредственная цель, взлом или манипуляции которым ещё больше ставят под угрозу твою безопасность.

Раздаю свой стомегабит.
Весь траффик прозрачно гонится через связку privoxy/tor/i2p.

Незнание не освобождает от .., сам знаешь же

без права передачи третьим лицам

Внимательней, пожалуйста: Подводные камни бесплатного Wi-Fi (комментарий)

провайдер … запрашивать логи с твоей точки доступа?

Нет, провайдеру оно не нужно. Но у тебя будет шанс посодействовать следствию. У меня есть такой пример, правда не физик, а мелкая кафешка, но помогли задержать группу обнаглевших от «анонимности» студентов-идиотов на срока от двух до пяти. Хозяин кафе отделался «легким» испугом, прошел свидетелем, а провайдер нарушение договора не форсил.

каждый пользователь WiFi уже должен знать…?

Незнание не освобождает…

Ты сам отвечаешь за сохранность своих паролей и за то, что делает твой ПК. За противозаконные действия вирусов/троянов, повлекшие причинение ущерба, тоже ты отвечаешь по закону. Можешь потом поискать неизвестного, заразившего компьютер, и вчинить ему регрессный иск. Если отыщешь.

Лампочки Ильича запретили а вай-фай --- нет. Прикольно.

БД-то нафига? Что-бы жизнь мёдом не казалась?

незащищенный сосед — отличная посредственная цель, взлом или манипуляции которым ещё больше ставят под угрозу твою безопасность.

в теории оно конечно так, но мы живём в реальном мире. Увы. Потому сосед — из области «дано». Потому такой подход как у тебя ведёт к прямо противоположному эффекту, затеряться в толпе можно тогда и только тогда, когда ты такой же как и все. А если ты бегаешь по соседям, и настраиваешь им роутеры и все их девайсы, то тебя трудно считать незаметным... Да и вряд-ли твой сосед готов выкинуть свой говнеодевайвс только потому, что он не соответствует требованиям твоей безопасности. Ещё раз — увы.

кстате, все 300мбит только при wpa2+ccmp

Какую херню ты несешь. Объясню, почему:

1. Я говорил про автоматический редирект трафика, а не бегание по соседам. Больше шифрованного трафика — лучше.

2. Даже если бегать по соседам (что маловероятно, обычно они бегают) — то откуда об этом будет знать атакующий, который проходил мимо твоей точки, или живет в дворе напротив тебя (если ты только не живешь в маленьком городишке, где все друг друга знают), и уж тем более, откуда об этом будет знать удаленный атакующий или мониторящий трафик?

Да и вряд-ли твой сосед готов выкинуть свой говнеодевайвс только потому, что он не соответствует требованиям твоей безопасности

Какой говнодевайс с WiFi не умеет HTTPS?

Выпей какао и почитай Брюса Шнайера.

^_^

Незнание не освобождает от

нельзя бездумно применять расхожие фразы. Если ты сел за руль пьяный и без прав — это одно. Если ты купил роутер и его включил — совсем другое. Нету такого закона, что пользователь роутера должен иметь какие-то «права», и потому у этого пользователя нет никаких обязанностей в юридическом смысле. Если педофил пользуется ХСВ, то отвечать должен естественно педофил, а ты тут — третье лицо. Случай юридически эквивалентен тому, что у тебя украли нож, а потом этим ножом кого-то зарезали. Или угнали машину, и кого-то задавили(хотя это тоже другое, ибо при угоне ты обязан сообщить гайцам, но при краже инета такой обязанности нет).

Ну и в полном виде фраза звучит как «незнание закона не освобождает от ответственности», но разве есть закон обязывающий применять WPA2 и стойкий пароль? Нет такого закона.

Дедупликация данных и удобные выборки :)

Или лучше собирать гигабайтные логи, на которые потом натравливать grep?

Ты правда будешь думать, что следователь или прокурор будет слушать твои басни про твоё право не применять WPA2? :)

Ты живешь в реальном мире, а не в стране, где пони блюют радугой. В наших братских странах менты тебя могут посадить в СИЗО в качестве предостерегающих мер, и после профилактической беседы, если ты только не решил брать на себя роль народного героя, ты с радостью подпишешь бумаги, чтобы на тебя не повесили ещё пару висяков.

Ну или отвалишь кучу денег на адвоката и кучу времени на суды с переменчивым успехом (надо же власти демонстрировать, что якобы судебная система справедлива и работает).

В нормальной стуации эти логи вообще нитать не нужно, они нужны только на случай каких-0то проблем.
Дедубликация обеспечивается gzipом.

Харанение логов не типичное применение для распространённых СУБД, а значит при неумении их готовить может обернуться изрядной головной болью.
Из возможных граблей прозреваю: тормоза из-за постоянной перестройки индекса и тормоза из-за блокирующей записи

Ты сам отвечаешь за сохранность своих паролей и за то, что делает твой ПК. За противозаконные действия вирусов/троянов, повлекшие причинение ущерба, тоже ты отвечаешь по закону.

это демагогия. Вирусы/трояны на моём компьютере живут, и потому я за них отвечаю. А вот ХСВ — это уже другое, тут у меня украли интернет без моего ведома. На такой шаткой доказательной базе никакого суда не получится, ведь всем заведомо ясно, что тебя в самом крайнем случае подставили, причём подставили как-то по-детски.

В наше время тотального огораживание и человеконенависти, такое лучше не делать.

Но можно пускать подключившихся на смешную заглушу, и не просто открытым держать а в SSID ребус засунуть кто разгадает пускай подключается.

они нужны только на случай каких-0то проблем

Или для статистики.

Дедубликация обеспечивается gzipом.

Хороший вариант, если выбрал путь не смотреть статистику.

Харанение логов не типичное применение для распространённых СУБД

Я на локалхосте заливал тыщи значений в секунду в БД, общий объем записей был около 40 млн., объем БД — 3 Гб. Тормозов не замечал, мускуль не жрал даже одно ядро на половину, и в I/O не упирался.

У него там не будет 1000 запросов в секунду, значения в среднем должны быть на 3 порядка ниже, с скачками до десятка-двух запросов в секунду. Так о чём волноваться?

тормоза из-за блокирующей записи

Ну дык отправлять раз в 30 сек данные одной транзакцией, а не по sql-запросу на каждый сетевой запрос.

Впрочем, это вообще базовые понятия, а не какие-то сложности.

как человек с выходной нодой тора, я не боюсь пативена.

Здравия желаю тов. майор!

1. Я говорил про автоматический редирект трафика, а не бегание по соседам. Больше шифрованного трафика — лучше.

причём тут сосед, про которого говорил я, и у которого безопасность ниже плинтуса, и который тоже раздаёт трафик(причём по собственной дурости, и даже про это не знает)?

2. Даже если бегать по соседам (что маловероятно, обычно они бегают) — то откуда об этом будет знать атакующий, который проходил мимо твоей точки, или живет в дворе напротив тебя (если ты только не живешь в маленьком городишке, где все друг друга знают), и уж тем более, откуда об этом будет знать удаленный атакующий или мониторящий трафик?

атакующий не будет знать. За то узнают менты, которые придут к тебе следуя логам твоего провайдера, после успешно проведённой через тебя атаки.

Да и вряд-ли твой сосед готов выкинуть свой говнеодевайвс только потому, что он не соответствует требованиям твоей безопасности

Какой говнодевайс с WiFi не умеет HTTPS?

дался тебе этот ssl/tsl, тебе-то что? Я про твою безопасность говорю, а не про безопасность соседа/врага, за которую ты так переживаешь... Смотри: некий А пишет всякую ерунду на сервер Б через тебя. Ну и толку, что ты его через tsl заредиректишь? Админ Б поднимет логи, увидит твой IP, стуканёт куда надо, менты отправят запрос твоему прову и приедут к тебе. Что ты им скажешь? RFC будешь читать по памяти сокамерникам? (:

Ты правда будешь думать, что следователь или прокурор будет слушать твои басни про твоё право не применять WPA2? :)

да я ваще не фкурсе. Какое WPA?! Я просто купил роутер, и его включил. Вот чек. А надо было WPA? Да? А в каком Законе это «надо» прописано?

Ты живешь в реальном мире, а не в стране, где пони блюют радугой. В наших братских странах менты тебя могут посадить в СИЗО в качестве предостерегающих мер, и после профилактической беседы, если ты только не решил брать на себя роль народного героя, ты с радостью подпишешь бумаги, чтобы на тебя не повесили ещё пару висяков.

в этой стране мне менты принесут пакетик героина, а не станут читать RFC, и прессовать меня за незнание этого RFC. Героин — это проще и эффективнее.

причём тут сосед, про которого говорил я, и у которого безопасность ниже плинтуса, и который тоже раздаёт трафик(причём по собственной дурости, и даже про это не знает)?

Вообще я думал о соседе-пользователе твоей точки, а не о соседе-раздавающем. Но даже в таком случае я бы нашел точку и рассказал про проблему, а дальше, в зависимости от его реакции или настроил бы ему, или просто ушел.

атакующий не будет знать. За то узнают менты, которые придут к тебе следуя логам твоего провайдера, после успешно проведённой через тебя атаки.

Читай ниже...

дался тебе этот ssl/tsl, тебе-то что? Я про твою безопасность говорю, а не про безопасность соседа/врага, за которую ты так переживаешь..

Тему бы прочитал сначала. Подводные камни бесплатного Wi-Fi (комментарий)

HTTPS и служит для защиты пользователей точки доступа. А хозяин уже защитит себя, если будет роутить трафик через Tor.

Харанение логов не типичное применение для распространённых СУБД, а значит при неумении их готовить может обернуться изрядной головной болью. Из возможных граблей прозреваю: тормоза из-за постоянной перестройки индекса и тормоза из-за блокирующей записи

а ещё твой индекс будет занимать больше лога. Причём в разы. А самое главное: ЗАЧЕМ? Если есть такая нужда, лог всегда можно засунуть в СУБД.

да я ваще не фкурсе. Какое WPA?! Я просто купил роутер, и его включил. Вот чек. А надо было WPA? Да? А в каком Законе это «надо» прописано?

Ты же понимаешь, что такая гнилая отмазка прокатит только если прокурору похер, и он не желает тебя наказывать или зарабатывать себе score.

в этой стране мне менты принесут пакетик героина, а не станут читать RFC, и прессовать меня за незнание этого RFC. Героин — это проще и эффективнее.

Тем более. Поэтому проще не допустить ситуации, чтобы менты пришли за тобой, чем потом разгребать последствия.

Хороший вариант, если выбрал путь не смотреть статистику.

статистика — очень опасная штука. Меньше знаешь, крепче спишь.

Я на локалхосте заливал тыщи значений в секунду в БД, общий объем записей был около 40 млн., объем БД — 3 Гб. Тормозов не замечал, мускуль не жрал даже одно ядро на половину, и в I/O не упирался.

какие индексы? И были-ли они у тебя вообще? Нет? А чем это тогда отличается от текста+grep/sed?

а ещё твой индекс будет занимать больше лога. Причём в разы. А самое главное: ЗАЧЕМ?

Вопрос индивидуальный. Мне пару гигабайт не жмет, зато интересно было бы посмотреть масштабы и регулярность использования моей точки в виде наглядных графиков.

Если есть такая нужда, лог всегда можно засунуть в СУБД.

Писать парсер, перегонять сотни мегабайт данных в БД... Я бы лучше сразу настроил нормально. Но, это, повторюсь, индивидуальный вопрос.

Вообще я думал о соседе-пользователе твоей точки, а не о соседе-раздавающем. Но даже в таком случае я бы нашел точку и рассказал про проблему, а дальше, в зависимости от его реакции или настроил бы ему, или просто ушел.

а я подумал, и промолчал...

HTTPS и служит для защиты пользователей точки доступа.

да. А если мне на них насрать?

если будет роутить трафик через Tor.

ну его нафиг. Если я подниму tor, то ко мне сразу жеж пативен приедет. Ибо в округе Over9000 ХСВ, и ни одной ноды. Моя будет первой. Нет уж, я так обойдусь. Листья надо прятать в лесу.

Ты же понимаешь, что такая гнилая отмазка прокатит только если прокурору похер, и он не желает тебя наказывать или зарабатывать себе score.

ВНЕЗАПНО: прокурору всегда похер. Если ему конечно не заплатили, что-бы именно тебя посадить. А за меня никто платить прокурору не будет, кому я нужен? Настучать — да, могут, уже стучали. Но что-бы платить — это вряд-ли...

Тем более. Поэтому проще не допустить ситуации, чтобы менты пришли за тобой, чем потом разгребать последствия.

ментам больше делать нечего, кроме как обходить Over9000 ХСВ точек. Самому не смешно? Какой профит-то?? У меня нечем поживится, кроме моего говнокода(я знаю магию shred, и тщательно всё уничтожаю, что не нужно, и может принести мне вред даже теоретически).

у меня украли интернет без моего ведома

Да ну? Прокрались домой и установили точку доступа?

Знаешь, то, как ты раздавал интернет налево вопреки договору, — это мелочь. А вот доказывать, что «тебя в самом крайнем случае подставили», будешь сам.

Хитроумный взломщик украл сто тыщь мильёнов, а теперь пытается состряпать алиби, предъявляя открытую WiFi AP? Да кто ж ему поверит? Это же явно либо дебил, либо коммунист — покупать за деньги, а раздавать задаром! Ну ничего, экспертиза выяснит: в психушку или в тюрьму! :)

интересно было бы посмотреть масштабы и регулярность использования моей точки в виде наглядных графиков.

хозяин барин. Только не забудь всё подчистить...

Смотри проблема в чем, ты финальное звено через которое выходят в сеть и совершают нечто, таким образом получается что это тебе придется доказать что ты не нарушал.

статистика — очень опасная штука. Меньше знаешь, крепче спишь.

Правда лучше сладкой лжи. Сколько раз убеждался. Но мы отвлеклись...

какие индексы? И были-ли они у тебя вообще? Нет? А чем это тогда отличается от текста+grep/sed?

PRIMARY KEY и KEY (MySQL). А что? Сомневаешься, что у меня были индексы? :)

да. А если мне на них насрать?

Твоё дело. Мне не насрать. Поэтому мы бы поступили по-разному.

ну его нафиг. Если я подниму tor, то ко мне сразу жеж пативен приедет. Ибо в округе Over9000 ХСВ, и ни одной ноды. Моя будет первой. Нет уж, я так обойдусь. Листья надо прятать в лесу.

Я не говорил о ноде Tor. Я говорил об пускании трафика через Tor, а значит, Tor будет юзаться только как клиент.

Знаешь, то, как ты раздавал интернет налево вопреки договору

«передача третьим лицам» это когда тебя попросили, и ты дал. А когда у тебя взяли без спроса — это не передача. Если это казённое имущество, то тебе максимум халатность могут пришить, а если твоё личное — нет такого закона. Даже Российский суд не станет тебя судить за то, что ты — лох.

Хитроумный взломщик украл сто тыщь мильёнов, а теперь пытается состряпать алиби, предъявляя открытую WiFi AP?

не смеши ты меня. Прокурору насрать. Банку, у которого украли конечно не насрать, но в банке тоже не дебилы, и понимают, что посадив меня они просто посадят меня. Я им сто тыщь миллионов по любому не верну, ибо их у меня нет. Смысл подкупать прокурора и выкидывать ещё деньги на ветер? Что бы по ящику показали, как их обул простой русский говнокодер, ИЧСХ бабла так и не нашли? Не вижу логики.

Смотри проблема в чем, ты финальное звено через которое выходят в сеть и совершают нечто, таким образом получается что это тебе придется доказать что ты не нарушал.

да, есть такой риск. Но он реален тогда, и только тогда, когда в округе всего один ХСВ, через который воруют сотни нефти. А когда в округе их Over9000, ИЧСХ никому они нафиг не нужны...

PRIMARY KEY и KEY (MySQL). А что? Сомневаешься, что у меня были индексы?

были-бы у тебя годные индексы, то тысяч инсертов в секунду у тебя-бы не получилось. Разве-что на меленькой базке в 20% от RAM.

а если твоё личное — нет такого закона. Даже Российский суд не станет тебя судить за то, что ты — лох.

Чисто для примера: если украдут твоё охотничье ружье из-за того, что ты не хранил его безопасно и сделают с ним преступление — то ты тоже будешь проходить по делу.

Что бы по ящику показали, как их обул простой русский говнокодер, ИЧСХ бабла так и не нашли?

Именно! Ты описал типичный сюжет новостей. Ну и висяк же надо закрыть) А кого садить? Ментам проще пришить тебе дело, чем расписаться в собственной профнепригодности найти настоящего злодея (за это их могут и вы#####ь). А ты потом будешь доказывать, что не верблюд.

были-бы у тебя годные индексы, то тысяч инсертов в секунду у тебя-бы не получилось

Если делать один запрос на один insert — действительно, тысяча инсертов не выходит. Жалкий десяток или несколько, разве что.

Но если обернуть тысячу insert в одну транзакцию — то производительность повышается на порядки(!!!).

Твоё дело. Мне не насрать.

в данном случае тактика «насрать» самая годная, т.к. только она делает тебя незаметным. Ты палишься, если тебе не насрать.

Я не говорил о ноде Tor. Я говорил об пускании трафика через Tor, а значит, Tor будет юзаться только как клиент.

клиент тоже заметен. Что ты там гоняешь конечно непонятно, но понятно, что гоняешь ты через тор. Значит ты == террорист. Или в лучшем случае педофил. В депо пативенов уже загорелась красная лампочка на пульте диспетчера...

Чисто для примера: если украдут твоё охотничье ружье из-за того, что ты не хранил его безопасно и сделают с ним преступление — то ты тоже будешь проходить по делу.

ага. Это потому что у нас есть Закон об Оружии. Твой пример == деление на ноль, т.к. я не только закона не знаю, но и оружия у меня нет, и легально приобрести я его не могу.

А вот роутер — могу. Потому что Закона об WiFi у нас нет. Есть конечно статьи в УК на эту тему, но они на меня не распространяются. Их можно разве что натянуть на того, кто запускал вирусы в своём маздае(да и то, мало вероятно).

в данном случае тактика «насрать» самая годная, т.к. только она делает тебя незаметным. Ты палишься, если тебе не насрать.

Из-за тактики «моя хата с краю» общество находится в жопе. Ты, как член общества, тоже оказываешься в жопе. Только более масштабной, а не в конкретном деле с WiFi.

клиент тоже заметен. Что ты там гоняешь конечно непонятно, но понятно, что гоняешь ты через тор. Значит ты == террорист. Или в лучшем случае педофил. В депо пативенов уже загорелась красная лампочка на пульте диспетчера...

ОМГ, провайдеры не могут научится нормально блочить сайты по HTTP, а ты предполагаешь, что они будут ковырять бешенные потоки шифрованного трафика, ища заветные хэдеры tor-трафика. Нет, в США и Европе такое вполне может быть, но наши провайдеры в жопе. (Работал в межрегиональном ISP).

Именно! Ты описал типичный сюжет новостей. Ну и висяк же надо закрыть) А кого садить? Ментам проще пришить тебе дело, чем расписаться в собственной профнепригодности найти настоящего злодея (за это их могут и вы#####ь). А ты потом будешь доказывать, что не верблюд.

в какой стране ты видел ТАКИЕ новости?

В России, В Украине.