Deep Packet Inspection la operatorii de telefonie

Bogdan Alecu a ales ca, din când în când, să publice articole pe teme tehnologice pe arhiblog. Fiți blânzi și decenți.

 

În urmă cu câteva zile am observat că atunci când fac browsing de pe telefon anumite imagini au o calitate mai slabă. Am fost destul de surprins când am observat că link-ul acelor imagini nu duceau către site-ul original ci către un cu totul alt IP.

Pentru a elimina posibilitatea ca acest lucru să se întâmple doar în cazul în care fac browsing de pe telefonul mobil, am testat din nou punând SIM-ul într-un modem USB. Rezultatul a fost același: orice imagine, animație erau la o calitatea slabă și aveau link-ul modificat.

Dintre toți operatorii, doar Cosmote și Vodafone au manifestat aceast comportament.

Problema

După câteva căutari am aflat că operatorii interceptează traficul și folosesc un fel de proxy ce ar ajuta la reducerea calității imaginilor, rezultând astfel un trafic mai mic. Deși intenția pare bună, eu totuși nu sunt de acord cu interceptarea acestui trafic.  Oficial, pe pagina grupului Vodafoneam găsit o informație prin care precizează că folosesc un motor de optimizare de la ByteMobileîn diferite țări (România nu e trecută, deși este folosit și aici)

Protocols Optimised include HTTP, POP3, FTP, SMTP and IMAP, as well as image reduction

Așadar nu doar imaginile sunt vizate ci și mail-urile. Mai mult, nicăieri în termenii și condițiile de utilizare al serviciului de date al Vodafone sau Cosmote nu am găsit scris că aceștia folosesc o astfel de optimizare. Nu-i așa că acum vă simțiți mult mai în siguranță?

Rolul principal unui provider de Internet este de a transporta biții dintr-o parte în alta, fără a-i modifica în vreun fel. Când traficul este interceptat și modificat, vorbim practic de Deep Packet Inspection și violarea secretului corespondenței conform art 195 din Codul Penal:

Violarea secretului corespondenţei

Deschiderea unei corespondenţe adresate altuia ori interceptarea unei convorbiri sau comunicări efectuate prin telefon, telegraf sau prin alte mijloace de transmitere la distanţă, fără drept, se pedepseşte cu închisoare de la 6 luni la 3 ani.

 

Detaliile problemei

În momentul accesării unei pagini web ce conține imagini sau animații, operatorii modifică codul sursă al paginii și link-ul acestor imagini duce către o adresă IP de tipul 1.1.1.1, 1.1.1.2, 1.1.1.3, 1.1.1.4, 1.1.1.5, 1.2.3.4. Mai mult, aceste adrese nu aparțin operatorului iar traficul efectuat către aceste adrese este tarifat

Un demo privind acest lucru, făcut pe Cosmote

Același comportament este și pe Vodafone, însă ei pun și un Javascript ce modifică textul ce apare la mouse-over pe imagine, text prin care suntem sfătuiți că dacă dorim vizualizarea imaginilor la calitate maximă să apăsăm combinația de taste CTRL+Shift+R. Așa cum era de așteptat, uneori acest script cauzează un comportament total ciudat în cazul paginilor ce folosesc intensiv Javascript.

Problema nu este doar aici. Să luăm 2 cazuri:

a) Să presupunem că navigați pe o pagină web și vreți sa trimiteți o anumită imagine prin email către o altă persoană. Cea mai simplă modalitate e să copiați adresa URL a acelei imagini și să o trimiteți. Ce URL va primi acea persoană? Exact, unul total greșit și bineînțeles că imaginea nu va putea fi vizualizată. Dacă adresa originală a imaginii este http://www.site.com/imagine.jpg , întrucât operatorii de telefonie modifică adresa, va rezulta ceva de genul 1.1.1.1/bmi/www.site.com/imagine.jpg

b) Navigați pe un forum în care cineva atașează câteva imagini. În momentul în care se citează răspunsul cu aceste imagini, de pe Vodafone sau Cosmote, din nou sursa acestor imagini va fi modificată, acest lucru ducând la imposibilitatea vizualizării lor de la un alt ISP. Exemplu (vedeți link-ul de jos):

softpedia-dpi

 

Cât despre e-mail-uri, mi se pare și mai grav că și aici intervine optimizarea. Excepția o face traficul securizat HTTPS care nu suferă nicio optimizare.

În mod normal și legal asemenea lucruri n-ar trebui să se întâmple. Da, știu că oricum tot traficul este interceptat, indiferent de operator (orice ar zice reprezentanții lor), însă când începi să-mi modifici traficul parcă nu mai e atât de plăcut. În cel mai rău caz ar trebui să existe posibilitatea ca fiecare utilizator sa opteze pentru folosirea aceste optimizări, în niciun caz ea să fie aplicată la toți. Prin alte țări europene, operatorii de telefonie mobilă dau opțiunea utilizatorilor de a renunța la această optimizare, mergând la o anumită adresă web. În România asemenea lucru nu există și nici măcar nu e specificat în termenii și condițiile serviciului (TOS). Doar la Vodafone am înțeles că s-ar putea scoate această optimizare, însă trebuie să suni la relații clienți, să dai motive foarte bune (ce poate fi mai bun decât ilegalitatea!?) și apoi dacă în urma analizei Vodafone consideră ca e ceva ce te afectează atunci vor scoate această optimizare. Cam lung drumul și cu multe condiții.

Aceste modificări ale traficului nu au nicio legătură cu DNS-urile operatorilor sau broswer-ul folosit (da, chiar și Safari). Am folosit inclusiv DNS-uri open și rezultatul a fost același: trafic interceptat și modificat.

Codul sursă pentru Javascript-ul folosit de către Vodafone îl găsiți aici.

 

Concluzii

Sunt oarecum curios ce are de zis ANCOM și Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal, deși nu-mi fac așteptări prea mari să se modifice ceva. Vă las în continuare cu o serie de imagini ce arată modificarea pachetelor de date pe Vodafoneși Cosmote.

cosmote-dpi1  cosmote-dpi2

 

vodafone-dpi1  vodafone-dpi2

 

 

UPDATE: am fost contactat de către Vodafone și mi-au comunicat că nu este vorba de DPI și că tot ceea ce se face este o optimizare a traficului, prin scăderea calității imaginilor afișate, pentru a ajuta clienții. Această optimizare este făcută doar pentru traficul efectuat prin APN-ul de live (live.vodafone.com) atât la prepaid cât și postpaid.

UPDATE2: un utilizator a testat pe APN-ul tobe.vodafone.ro cu un SIM de date prepay și inclusiv pe acest APN există această optimizare.

UPDATE3: primit din partea Cosmote Romania

Pentru a veni in intampinarea clientilor si pentru a le imbunatati experienta de navigare in conditii de retea cu rata de transfer (viteza) mai scazuta, reteaua COSMOTE Romania realizeaza o optimizare a imaginilor gif/jpeg. Aceasta optimizare este aplicata doar pentru APN-urile “internet” si “wnw”, in conditii de navigare Internet, nu si pentru e-mail-uri sau transfer de fisiere.
Astfel, COSMOTE nu intercepteaza continutul informatiilor transferate de abonat, optimizarea reprezentand doar o adaptare la conditiile de livrare specifice unei retele mobile.

Later edit: Pentru a veni in intampinarea clientilor si pentru a le imbunatati experienta de navigare in conditii de retea cu rata de transfer (viteza) mai scazuta, reteaua COSMOTE Romania realizeaza o optimizare a imaginilor gif/jpeg. Aceasta optimizare este aplicata doar pentru APN-urile “internet” si “wnw”, in conditii de navigare Internet, nu si pentru e-mail-uri sau transfer de fisiere.
Astfel, COSMOTE nu intercepteaza continutul informatiilor transferate de abonat, optimizarea reprezentand doar o adaptare la conditiile de livrare specifice unei retele mobile.

__________________________________________________
Dacă ți-a plăcut articolul, dă-mi o bere virtuală BERE
Loading...

32 comentarii

  1. Deci mai mult decat fosta securitate.
    Nu stiu ce se intampla dar am asteptat aprox 15 sec si nu se deschid ultimile link-uri de la sf articolului.

    Thumb up 0 Thumb down 0

  2. Pentru majoritatea utilizatorilor de internet pe telefon aceasta optimizare este un lucru bun. Ca se mai gaseste cate un blogger ce pune intrun articol 20 de poze de 6 MB fiecare si te lasa fara net in jumatate de zi. Call center-ul prefera sa discute cu 100 oameni nemultumiti de optimizare decat sa discute cu 50000 de clienti care au cost suplimentar si nu inteleg de ce. E vorba exclusiv de bani (resurse 3G, call center, depasire trafic alocat).

    Thumb up 0 Thumb down 0

    • Există Opera Mini, să ştii.

      Thumb up 0 Thumb down 0

    • Mihai eu n-as fi atit de sigur ca e un lucru bun. Uite ca pe la Orange nu e aceasta optimizare si totusi nu sunt atitea plingeri pentru trafic suplimentar.
      Aceasta asa-zisa optimizare ar trebui sa fie pe baza de subscriptie din partea fiecarui client in parte.
      Traficul pe care il faci catre aceste IP-uri iti este contorizat oricum (deci nu e gratuit), iar in plus "beneficiezi" de o calitate mai slaba a imaginilor, de intrat in mail-urile personale etc

      Thumb up 0 Thumb down 0

  3. Absolut mizerabil!

    Isi bat joc de:
    1. confidentialitatea datelor
    2. continutul original.

    Eu vreau sa vad pozele si video-urile la calitatea lor originala, nu macelarite de javrele astea. Nu mai zic ca pozele si video-urile sunt deja comprimate in formatele lor respective (jpeg, png, gif, mp4, avi, flv, etc). Le mai comprima astia o data si arata ca dracu'.

    Thumb up 0 Thumb down 0

  4. #7

    @Mihai- nu crezi ca ar trebui sa fie optiunea mea daca vreau sa am traficul "optimizat" sau nu?

    Thumb up 0 Thumb down 0

  5. #8

    Exact ceva de genul avea si zapp, dar la ei era optional, functiona ca un plugin de ie parca. Zapp Turbo se numea.

    Thumb up 0 Thumb down 0

  6. Vodafone nu s-a ascuns deloc cu optimizarea imaginilor, memoria mea este un pic neclara in privinta detaliilor, dar cand au lansat internetul prin Xnet sau cel mobil se laudau chiar cu reducera traficului de date prin folosirea de compresii pentru imagine.

    Thumb up 0 Thumb down 0

    • Corect, insa atunci era vorba de un soft pe care ti-l ofereau ei si DOAR DACA tu doreai ti-l instalai, nu iti era bagat fortat pe gat

      Thumb up 0 Thumb down 0

  7. felicitari pentru articol, asteptam mai multe!

    PS: misto disclosure 😉

    Thumb up 0 Thumb down 0

  8. #12

    Si ce treaba are articolul cu deep packet inspection. Titlu de cancan.

    Thumb up 0 Thumb down 0

    • Informațiile din articol sunt pentru cunoscători.

      Thumb up 0 Thumb down 0

    • #14

      Doar ca deep packet inspection e altceva decat un amarat de proxy transparent care magareste poze. Doar zic.

      Thumb up 0 Thumb down 0

  9. Nu sunt jurist insa eu stiu ca daca eu gigi, pun un sniffer pe retea, sunt acuzat din start de vre-o 5 articole de legi informatice.
    Faza cu interceptatul si modificatul datelor e penala, deoarece in cazul unui SIM de exemplu nu se semneaza un contract prin care sa le dai voie (la abonament e posibil sa fie o clauza undeva cu o steluta mica).
    Parerea mea e ca treaba asta se incadreaza direct la :
    Art. 43. - (1) Interceptarea, fără drept, a unei transmisii de date informatice care nu este publică și care este destinată unui sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem informatic constituie infracțiune și se pedepsește cu închisoare de la 2 la 7 ani.
    (2) Cu aceeași pedeapsă se sancționează și interceptarea, fără drept, a unei emisii electromagnetice provenite dintr-un sistem informatic ce conține date informatice care nu sunt publice.
    Art. 44. - (1) Fapta de a modifica, șterge sau deteriora date informatice ori de a restricționa accesul la aceste date, fără drept, constituie infracțiune și de pedepsește cu închisoare de la 2 la 7 ani.
    (2) Transferul neautorizat de date dintr-un sistem informatic se pedepsește cu închisoare de la 3 la 12 ani.
    (3) Cu pedeapsa prevăzută la alin. (2) se sancționează și transferul neautorizat de date dintr-un mijloc de stocare a datelor informatice.

    Legea 161/2003

    De ce spun asta ? Pentru ca vad pozitionarea javascript-ului care este dupa primul tag , nicidecum la inceput sau la sfarsit! Asta inseamna ca mai intai intercepteaza continutul pachetului, il analizeaza, si ulterior il modifica.
    Daca gresesc, nu aruncati cu pietre, aruncati cu argumente - sunt mai putin dureroase 🙂

    Thumb up 0 Thumb down 0

    • Si la prepay (intr-adevar nu e semnat) exista un TOS, insa atit la prepaid cat si postpaid nu e mentionat nicaieri ca ar exista vreo astfel de optimizare, indiferent ca vorbim de Cosmote sau Vodafone.
      Nici eu nu sunt jurist insa incadrarea in legea 161/2003 e oarecum cu 2 aspecte. Ca angajator de exemplu ai dreptul sa monitorizezi traficul facut de catre angajati, cu conditia ca acestia sa fie informati si sa isi dea acordul. In cazul operatorilor e drept ca nu au informat pe nimeni 🙂

      Thumb up 0 Thumb down 0

  10. #18

    Ati descoperit gaura din dodoasca!

    1. Orice trafic poate fi analizat prin retea, ba chiar in lege se spune ca operatorii tin minte 6 luni ce URL-uri ai accesat!
    2. Daca traficul nu e criptat (gen SSL), atunci e si inteligibila "captura".
    3. Se fac mari economii de banda, atat la abonamente, cat si la banda disponibila pe purtatoarea 3G. Remember Zap Turbo ?
    4. In Austria am avut un SIM prepaid de date, cu acest serviciu.
    In 2 saptamani, folosind telefonul ca Hotspot, nu am avut probleme.
    5. In Italia, pe Vodafone si fara optimziare, dupa 4 zile imi halise 1 Gb date!
    Atata timp cat compresia nu e foarte mare, nu sunt probleme.
    Vorbim de imagini, pentru ca fisierele html (text) sunt deja trimise de servere ca gzip!

    Thumb up 0 Thumb down 0

    • legea aia de care spui tu nu exista, a fost in stadiul de intentie si a fost respinsa

      Thumb up 0 Thumb down 0

  11. #20

    Semidoctelor, care ii diferenta dintre ce spuneti voi si un firewall?

    Thumb up 0 Thumb down 0

  12. #21

    Plin de angajati sau fani pe aici. Sugeti pula.
    Mi se pare cel putin de bun simt cat inca am dreptul de a alege ceva sa o pot face. Stiu si singur ce e bine pentru mine.

    Thumb up 0 Thumb down 0

    • #22

      Prost pana la capat, cum dracu puteti sa dati din clanta fara acoperire iar ala ii expert in securitate cum sunt eu pilot de avion.

      Thumb up 0 Thumb down 0

    • #23

      Nu tu mah, mie.

      Thumb up 0 Thumb down 0

  13. Titlu de cancan, produs de un michimaus white-hat-wannabe, pe un blog de mana a zecea.
    Printre alte aberatii, ca sa poti invoca legislatia tre' sa dovedesti intentia si raul cauzat.

    Thumb up 0 Thumb down 0

  14. promiscous post sniffed

    Thumb up 0 Thumb down 0

  15. Mai nou s-a lansat legea Big Brother care obliga toti providerii de internet sa logheze tot traficul care se face de catre orice utilizator pe o perioada de timp.

    Evident, ce face vodafone si cosmote nu este doar logare, ci este modificare a traficului si a pachetelor ceea ce nu este inclus in legea Big Brother, deci, ilegal.

    Thumb up 0 Thumb down 0

    • Traficul in sensul ca se retin urmatoarele informatii: IMEI, IMSI, data inceput trafic, data sfarsit trafic, celula, locatie. Continutul (ce ai vorbit, ce mesaj ai trimis, ce pagini ai accesat etc.) nu au voie sa il intercepteze.
      Ce se intimpla cu adevarat niciodata nu vom putea sti.
      Am pus update cu informatiile primite de la Vodafone.

      Thumb up 0 Thumb down 0

  16. #28

    Ce ti-au spus aia de la vodafone si pe mai care i-ai oripilat prin email e adevarat. Interceptarea traficului (si a convorbirilor telefonice) este insesizabila de cei vizati.
    FAIL

    Thumb up 0 Thumb down 0

    • VPN cu un reteaua de acasa (merge cu DD-WRT, daca nu ma insel). Tot ce trece prin operatorul de telefonie e criptat si trebuie sa ii dea drumul fara inspectie. Nu pot sa-l blocheze pentru ca sunt multe firme ce folosesc VPN. Dupa ce ajunge traficul la tine acasa mergte mai departe prin providerul tau de net.
      Bonus nu mai pot sa-ti filtreze skype si alte chestii de genul.

      Thumb up 0 Thumb down 0

  17. stiti care e totusi paradoxul? dupa ce ca fac transparent proxy & shit mai si fura la trafic!

    la recomandarea unui amic si nemultumit de cosmote (daca aveam datele active pe nokia 6300 nu puteam sa sun) mi-am pus orange pe smartphone si imi mergea ok. cand am cumparat al doilea smartphone a venit cu slot de sim mai mic si pentru ca nu aveam la indemana un cleste am dat fuga peste drum si vodafone avea sim mic.

    ei, aici voiam sa ajung: acelasi smartphone cu vodafone a consumat mult mai repede traficul decat ulterior cand am decupat sim-ul de orange sa-l pun in el.
    deci dupa ce ca imi pun proxy transparent, ma mai si fura la trafic. chestie verificata din aplicatie de contorizat date.

    nici orange nu sunt sfinti (uneori nu vine sms-ul de atentionare cand atingi limita si te ard automat din credit cand expira) dar macar contorizeaza corect si nu altereaza traficul!

    Thumb up 0 Thumb down 0

    • a, mint, modifica ceva: se baga peste pagina de login de la facebook si pun link catre orange romania.

      Thumb up 0 Thumb down 0

  18. in primul rand: dpi. lol :)))))

    in al doilea rand: datele ajung, inainte de operator, la browser care iti aplica exact acelasi lucru. Indiferent ca vorbim de Chrome, Safari sau Opera.

    nu strica articole se genul asta dar mai multa cercetare inainte.
    ktnxbye

    Thumb up 0 Thumb down 0