Disclaimer: практически всё, описанное в статье, не является чем-то принципиально новым или инновационным - оно давно известно и придумано, используется в разных странах мира, реализовано в коде и описано в научных и технических публикациях, поэтому никакого ящика Пандоры я не открываю.
Нередко на Хабре в темах, посвященных блокировкам ресурсов, встречаются забавные заявления вида "Я настроил TLS-VPN, теперь будут смотреть что хочу и цензоры мой VPN не заблокируют", "Я использую SSH-туннель, значит все ок, не забанят же они весь SSH целиком", и подобное. Что ж, давайте проанализируем опыт других стран и подумаем, как же оно может быть на самом деле.
0
Итак, допустим мы купили у какого-то сервиса, или, как подкованные пользователи, установили в личном облаке/VPS и настроили VPN-сервер для себя. Допустим, это популярные WireGuard или OpenVPN. Знаете что? WireGuard - это такой прекрасный протокол, который всеми своими пакетами просто кричит "Смотрите все, смотрите, я - VPN". И это, в принципе, не удивительно, потому что авторы на сайте проекта прямым текстом пишут, что обфускация не входила и не будет входить в их цели и планы.
Соответственно, на оборудовании DPI (оно же ТСПУ) при небольшом желании протокол WireGuard выявляется и блокируется на раз-два. IPSec/L2TP - аналогично. С OpenVPN то же самое - это, наверное, вообще самый первый протокол, который китайцы научились выявлять и банить на своем "великом китайском фаерволе" (GFW). We are fucked.
1
Окей, допустим мы сделали выводы, и вместо совсем уж палевных протоколов решили использовать TLS-VPN, такие как SSTP, AnyConnect/OpenConnect или SoftEther - трафик в них ходит внутри TLS, начальная установка соединения производится по HTTP - что должно быть совсем никак неотличимо от обычного подключения к любому обычному сайту. Ну, как сказать...
В случае с MS SSTP цензоры, желая выяснить, а чем же вы таким занимаетесь, просто сделают запрос на ваш сервер с URL /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ c HTTP-методом SSTP_DUPLEX_POST, как это описано в стандарте протокола, и сервер радостно подтвердит в ответ, что он - да, действительно MS SSTP VPN.
SoftetherVPN в ответ на GET-запрос с путем /vpnsvc/connect.cgi, типом application/octet-stream и пэйлоадом 'VPNCONNECT' выдаст в ответ 200 код и предсказуемый бинарный блоб с рассказом о том, кто он такой.
AnyConnect/OpenConnect при обращении по / или по /auth ответят очень характерной XML'кой. И от всего этого вы не избавитесь никак - это определено в протоколах, и именно через эту логику работают VPN-клиенты. We are fucked.
2
Ясно, мы будем умнее, и поскольку у нас все-таки TLS, давайте поставим перед VPN-сервером reverse-прокси (например, haproxy) и будем разруливать всё по SNI (server name identification): подключения с определенным доменом в запросе будем отправлять на VPN-сервер, а все остальные - на безобидный сайт с котиками. Можно даже попробовать спрятаться за какой-нибудь CDN - не забанят же они весь CDN, правда, и наш трафик из общего трафика ко всей CDN выцепить не смогут, да?
Правда, есть одно "но". В нынешних версиях TLS поле SNI не шифруется, соответственно цензоры легко его подсмотрят и сделают запрос именно с тем именем домена, что надо. На расширение Encrypted Client Hello (ECH), ранее известное как eSNI, можно не рассчитывать: во-первых, оно находится еще в состоянии Draft и неизвестно когда будет принято и повсеместно использоваться, а во-вторых, цензоры могут взять и просто-напросто заблокировать все соединения TLSv1.3 с ECH, как это сделали в Китае. Проблемы индейцев шерифа не волнуют. We are fucked.
3
Шутки в стороны, мы настроены решительно. Например, мы пропатчили OpenConnect-сервер, чтобы он принимал подключения только со специальным словом в URL'е (благо, AnyConnect/OpenConnect-клиенты такое позволяют), а всем остальным отдавал правдоподобную заглушку. Или настроили обязательную аутентификацию по клиентским сертификатам.
Или же мы подключаем тяжелую артиллерию от товарищей-китайцев, которые на обходе блокировок собаку съели - V2Ray/XRay с плагином VMess и VLess поверх Websockets или gRPC, либо Trojan-GFW. Они работают поверх TLS, могут делить один и тот же порт с HTTPS-вебсервером, и не зная заветной секретной строчки, которую подслушать снаружи не получится, выявить наличие туннеля и подключиться к нему, казалось бы нельзя, значит все хорошо?
Давайте подумаем. Каждый TLS-клиент при подключении передает серверу определенный набор параметров: поддерживаемые версии TLS, поддерживаемые наборы шифров, поддерживаемые расширения, эллиптические кривые и их форматы. У каждой библиотеки этот набор свой, и его варианты можно анализировать. Это называется ClientHello fingerprinting. Отпечаток (fingerprint) библиотеки OpenSSL отличается от отпечатка библиотеки GnuTLS. Отпечаток TLS-библиотеки языка Go отличается от fingerprint'а браузера Firefox.
И когда с вашего адреса будут зафиксированы частые и долгие подключения к некому сайту клиентом с библиотекой GnuTLS (которая не используется ни в одном популярном браузере, но используется в VPN-клиенте OpenConnect), или с мобильного телефона через мобильного оператора подключается какой-то клиент на Go (на котором написан V2Ray), we are fucked. Такое детектирование, например, производится в Китае и в Туркменистане.
4
Ладно. Допустим, мы пересобрали наш V2Ray-клиент не со стандартной TLS-либой, а с uTLS, которая может маскироваться под популярные браузеры. Или вообще взяли исходники самого популярного браузера, выдрали оттуда весь код сетевого стека и написали свой прокси-клиент на его базе, чтобы быть совсем уже неотличимыми от обычного браузерного TLS. Или решили пойти в сторону маскировки под другие протоколы типа SSH, или взяли OpenVPN с XOR-патчем. Или какой-нибудь KCP/Hysteria с маскировкой под DTLS.
Короче говоря, допустим у нас что-то более редкое и незаметное. Казалось бы, все хорошо? Ну как сказать. Помните "пакет Яровой"? Тот самый, который требует, чтобы интернет-сервисы сохраняли все метаданные сессий, а интернет-провайдеры так вообще записывали дампы трафика своих абонентов? Многие, еще тогда смеялись - мол, ну тупые, что им дадут гигабайты зашифрованных данных, которые они все равно не расшифруют? А вот что.
Пользуетесь вы, допустим, своим туннельчиком, смотрите всякие там запрещенные сайты. А потом - клик! - и случайно заходите через свой туннель на какой-нибудь отечественный сайт или сервис, замеченный в сотрудничестве с государством - условные там VK/Mail.ru/Яндекс или еще что-нибудь. Или на каком-нибудь безобидном сайте попадается виджет, баннер или счетчик от них же. Или кто-нибудь в комментарии вбросит ссылку на какой-нибудь сайт-honeypot, косящий под новостной ресурс, и вы на нее нажмете.
И вот тут произойдет самое интересное. Что внутри TLS, что внутри SSH, что внутри OpenVPN+xor, данные передаются в зашифрованном виде, и их не расшифровать. Но вот "внешняя форма" (размеры пакетов и тайминги между ними) у зашифрованных данных точно такая же, как и у нешифрованных. Цензоры видят, что от абонента к какому-то неизвестному серверу и обратно ходит трафик, а поток со стороны какого-нибудь подконтрольного сервиса видит, что с того же IP-адреса, что у "неизвестного сервера", туда прилетают какие-то запросы и улетают ответы, и - вот интересно - размеры пакетов и временные моменты практически полностью совпадают. Что весьма характерно говорит о том, что у нас тут прокси, возможно VPN, Андрюха, по коням!
И да, если вы поступите мудрее и у вашего сервера будет два IP-адреса, один на вход, а другой на выход, то сопоставить ваш "вход" и "выход" по адресам не получится, но по "форме" переданных данных, хоть и ощутимо сложнее, но при желании по прежнему можно. We are fucked again.
5
Не так уж плохо дело. Мы настроили для своего туннеля rule-based access. А именно, будем ходить по нему только туда, куда надо, и тогда, когда надо - а во всех остальных случаях пусть пакетики бегают сразу по обычному интернет-подключению. Правда, добавлять каждый раз новый ресурс в список - тот еще геморрой, особенно когда вы держите прокси/VPN не только для себя, но и, например, для далеко живущих немолодых родителей, которые, например, хотят читать всяких там иноагентов - но это, на самом деле, мелочи, мы справимся.
Допустим, мы по-прежнему используем SSH-туннель. Правда, проработает он, скорее всего, недолго. Почему? Потому что дело во всех тех же паттернах трафика. И нет, записывать и мучительно сравнивать ничего никуда уже не надо. Паттерны трафика у ssh-as-console, ssh-as-ftp и ssh-as-proxy очень разные и элементарно выявляются довольно просто должным образом натренированной нейросетью. Поэтому китайцы и иранцы уже давно всё подобное "неправильное" использование SSH выявляют и режут скорость подключения до черепашьей, что в терминале работать вы еще сможете, а вот серфить - практически нет.
Ну или, допустим, вы все-таки используете whatever-over-TLS-туннель с учетом всего приведенного в этой статье. Но проблема в том, что все сказанное в предыдущем абзаце, применимо и к нему - а именно, TLS-inside-TLS выявляется сторонним наблюдателем с помощью эвристик и машинного обучения, которое еще можно дополнительно натренировать на наиболее популярных сайтах. We are still fucked.
6
Ладно. Мы добавили в наш тайный туннель random padding - "дописывание" в конец пакета какого-нибудь мусора случайно длины, чтобы сбить с толку наблюдателей. Или специально бьём пакеты на маленькие кусочки (и получаем проблемы с MTU, ой, придется потом старательно пересобирать). Или, наоборот, когда у нас внутри туннеля устанавливается TLS-соединение с каким-нибудь сервером, мы начинаем слать эти пакеты as-is без дополнительного слоя шифрования, таким образом выглядя со стороны на сто процентов как обычный TLS без двойного дна (правда, придется еще потратить несколько итераций на доведение протокола до ума и затыкание очень тонких и очень неочевидных уязвимостей реализации). Казалось бы, happy end, we are not fucked anymore?
А тут начинается все самое интересное. А именно, рано или поздно в вопросах выявления туннелей и блокировок, особенно с развитием технологий их обхода (в конце концов, мы ещё не затронули стеганографию и много других интересных вещей), начинает расти то, что называется collateral damage - ущерб, возникший случайно в ходе атаки намеренной цели. Например, как говорят инсайдеры и подтверждают сводки с полей, то самое упомянутое выше выявление tls-inside-tls даже с random padding'ом китайцы научились выявлять примерно с точностью 40%. Понятно дело, что при такой точности возможны также ложные срабатывания, но когда проблемы индейцев волновали шерифа?
Протоколы, которые снаружи не похожи ни на что (например, shadowsocks, obfs4, и т.д.) тоже при большом желании можно выявить по... статистике нулей и единичек в байтах, потому что у зашифрованного трафика это соотношение очень близко к 1:1 - хотя, понятное дело, при этом могут пострадать невиновные. Можно банить адреса, когда висят слишком много или слишком долго подключения к не-являющимися-очень-популярными-сайтам. Подобных вариантов довольно много, и если вы думаете, что цензоров остановят ложноположительные срабатывания и ущерб от блокировок добропорядочных сайтов - то вы заблуждаетесь.
Когда Роскомнадзор пытался заблокировать Telegram, они вносили в бан-лист целые подсети и хостинги, таким образом побанив кучу ни в чем невиновных сайтов и сервисов - и им за это ничего не было. В Иране, в связи с популярностью упомянутого выше похожего-на-браузер-прокси-клиента, цензоры вообще тупо запретили подключения с Chrome TLS fingerprint к популярным облачным сервисам. В Китае массово попадают под раздачу CDN, услугами которых пользуются безобидные и невиновные сайты и сервисы. В Туркменистане так вообще заблокирована почти треть (!) всех существующих в мире IP-адресов и подсетей, потому что стоит цензорам только выявить хотя бы один VPN или прокси, как в бан отправляется целый диапазон адресов около него или даже вся AS.
Вы, наверное, можете спросить, а что же делать юрлицам, которые тоже пользуются VPN для работы, или чьи сервисы могут случайно попасть под раздачу? Этот вопрос легко решается белыми списками: если юрлицу нужен VPN-сервер, или нужно обезопасить от случайной блокировки какие-либо свои сервисы, то стоит обязать их заранее сообщать о нужных адресах и протоколах в соответствующие ведомства, чтобы те добавили их в какой надо список - именно такие запросы Роскомнадзор через ЦБ рассылал в банки, задумывая что-то нехорошее, и механизм таких списков уже существует.
Ну и, естественно, вполне вытекающим продолжением из этого будет "все что не разрешено - то запрещено". Закон о запрете VPN и анонимайзеров в целях обхода блокировок в РФ уже есть. Запрет использования несертифицированных средств шифрования - тоже. Подкрутить и расширить их зоны применения и многократно ужесточить наказания за такие "нарушения" - дело несложное. В Китае вежливые ребята пришли в гости к разработчикам небезизвестных ShadowSocks и GoAgent и сделали им предложения, от которых те никак не смогли отказаться. В Иране есть случаи возбуждения дел в связи с использованием VPN для доступа к запрещенным сайтам. Механизм стукачества в органы на неблагонадежных соседей был отлично отработан еще в прошлом веке в СССР. У государств есть монополия на насилие, не забывайте. We are fucked again?
4294967295
К чему это всё?
Как я уже сказал, большая часть того, что описано в статье, не является выдумками или голой теорией - оно давно известно, используется в некоторых странах мира, реализовано в коде и даже описано в научных публикациях.
Обход блокировок - это постоянная борьба щита и меча, и одновременно игра в кошки-мышки: иногда ты ешь медведя, иногда медведь ест тебя иногда ты догоняющий, иногда догоняемый.
Если у вас сейчас есть прокси или VPN, и он работает - не расслабляйтесь: вы всего-лишь на полшага впереди недоброжелателей. Можно, конечно, спокойно сидеть и думать "Да они там все дураки и криворукие обезьяны и ниасилят ничего сложного и реально работающего", но, как говорится, надейся на лучшее, а готовься к худшему. Всегда есть смысл изучить опыт тех же китайских коллег и присмотреться к более сложновыявляемым и более цензуроустойчивым разработкам. На чем больше шагов вы будете впереди цензоров, тем больше времени у вас будет в запасе чтобы адаптироваться к изменившейся ситуации. Если вы разработчик и разбираетесь в сетевых протоколах и технологиях - можно присоединиться к одному из существующих проектов, помочь с разработкой и подумать над новыми идеями. Люди всего мира скажут вам спасибо.
Интересными и полезными в этом плане будут Net4People, No Thought is a Crime, дискуссии в проекте XTLS (там большая часть на китайском, но автопереводчик на английский справляется неплохо), GFW report. Если кто-то знает ещё хорошие ресурсы и сообщества по этой теме - напишите в комментарии
Ну и не стоит забывать, что рано или поздно, не имея возможности противостоять подобному свободолюбию технически, государство может начать противостоять административно (та самая монополия на насилие), причем так, что с вашей стороны, в свою очередь, технически противостоять может уже не получиться. Но это уже совсем другая история, требующая отдельной статьи, и, скорее всего, на другом ресурсе.
Когда я писал эту публикацию, я хотел вставить в нее картинки из какого-нибудь мрачного киберпанк-фильма, где в результате развития технологиий слежения и цензуры и невозможности противостоять этому, люди целиком и полностью стали подконтрольны государствам и потеряли все права на свободу мысли и приватность личной жизни. Но я надеюсь, до этого не дойдет. Все в наших руках.
Комментарии (399)
vkflare
17.01.2023 00:43+25как говорится, надейся на лучшее, а готовься к худшему
Вот да. Меня всегда удивлял оголтелый оптимизм представителей сообщества, которые заявляют, мол, "да у них жопа вместо мозгов" и "все это распил" и продолжают недооценивать своего "противника". Ну вот неправильно так думать! Майндсет вида "хочешь мира - готовься к войне" здесь лучше подходит.
GDragon
17.01.2023 10:09+15Один популярный в телеграм, оппозиционно-айтишный персонаж, в течении нескольких лет говорил буквально:
"Да они же тупые, они же обломаются, а то что не обломаются - разворуют!"
А когда блокировочки (с) начали успешно и заметно работать, спич сменился на:
"Да я же несколько лет говорил что надо бороться, всем было наплевать, вот они кибергулаг и построили!"
vconst
17.01.2023 12:14+32А когда блокировочки (с) начали успешно и заметно работать
Ну и как они «успешно и заметно работают»? Мне вот правда интересно. Расскажите
Они стали шейпить трафик по протоколам?
Гасят ShadowSocks, WireGuard, OpenVPN, SSH?
Ограничивают скорость шифрованных каналов из-за границы?
Что из этого перестало работать?
Отвечу сам — ничего не перестало.
Лично проверял. В данный и конкретный момент проверяю — я вообще не выключаю на смарте WG со своего VPS, потому что нашел сборку, которая еще и рекламу режет через PiHole
Что касается «они же тупые» — одно слово: «localhost»
Кто знает — тот понимает
Потому, все выше перечисленное: «тупые, денег нет, что дадут — разворуют» — все это актуально и спустя десятилетие после начала блокировок. Побомбили Телеграм и обломались, натупили с локалхостом, сертификатами и прочим. Хило-бедно, время от времени угрожающе размахивают банхаммером, а в итоге — заблочат пару айпишников у пары популярных сервисов и через пару дней все по прежнему.
Дело в том, что китайский Золотой щит стоит совершенно ДОХЕРА бабла, они туда олимпиарды денег вкладывают, целый город живых людей занимается этими блокировками. Даже если поделить пропорционально по количеству людей — в России столько денег на это никто не даст. А что дадут — распилят. Забыли, как трехкопеечные китайские свичи с опенврт принудительно подсовывали провайдерам за кучу денег, под видом вундервафли, лучшей отечественной разработки?
Потому, спустя 10 лет, могу сказать — все это как было туфтой, так и осталось.
Теоретически — возможностей дофига. Не надо было, в целой статье, пересказывать технологии работы китайского Золотого щита. Все это и так известно. Но где все это у нас применяется? Я поднимал свои серверы, пользовался бесплатными прогами, пробовал бесплатные периоды у платных прог — все нормально работает. Не было у меня, за все эти 10 лет, какой-то нерешаемой проблемы. Самое «страшное» — пару раз поменял впс-провайдера
И дальше все будет точно также
Потому что — тупые, нет денег (особенно сейчас), а если дадут — то разворуютЕсли у вас сейчас есть прокси или VPN, и он работает — не расслабляйтесь: вы всего-лишь на полшага впереди недоброжелателей
На какие полшага?
Как 10 лет назад я поднимаю свой ВПС с банальнейшим ОпенВПН — так и сейчас. Ничего не поменялось, никакого прогресса нет.
Я не заморачиваюсь обфускацией трафика, не заворачиваю его в ССЛ, не подсовываю сайты для коннекшн проуб — ничего вообще. Разве что, время от времени, меняю протоколы, чисто от скуки — что-то новое попробовать. Сейчас на ВГ, какое-то время сидел на ШС, прокидывал даже ССШ, на случай «а вдруг». Не понадобилось, никаких «а вдруг».Помните «пакет Яровой»?
Помним
А еще помним, что во всем мире нет столько хардов, чтобы хранить весь отечественный трафикGDragon
17.01.2023 12:25+5Хотите сказать ТСПУ:
1) не установлен у всех провайдеров
2) не управляется централизованно
3) не работает
?
А всё остальное дело опыта. Не суть важно сколько разворуют, если у государства есть мотивация - бабла будет влито столько, что бы успешно решить задачу тем что не разворовывается.vconst
17.01.2023 12:28+3Я перечислил все способы, какие пробовал за 10 лет. Никогда, ни один из них, не давал каких-то серьезных сбоев. Я читал инет, слушал других людей, из разных городов, задавал вопросы, сам ездил по разным городам, в пределах 2к по трассе от Мск.
За 10 лет я никаких признаков прогресса не заметил
Выводы делайте сами
Бабло, в нужном количестве влито не будет. Никогда
1001
18.01.2023 11:31Может быть просто никто всерьез ничего не блокирует и не собирался? В конце концов, любые ограничения для законопослушных людей. Им сказали, что нельзя, они и не пользуются.
vconst
18.01.2023 12:19+3Законы здесь принимаются не для того, чтобы их соблюдение защищало людей от мошенников и других неприятностей
А для того, чтобы не было «не нарушивших»
YuryB
19.01.2023 02:19вы это всё делали, потому что власти ещё всерьёз не начинали. но есть пример близкого Туркменистана, там начали и любой вам скажет, что может интернет там и работает и блокировки всё равно обходятся, но скорость при этом ооочень низкая.
vconst
19.01.2023 11:56Да, мы тут уже почти год слышим «Они просто еще всерьез не начинали».
А Туркменистан — маленькая страна, с населением как половина Мск, да и трафик туда, почти весь, из России идет, уже отфильтрованный.
domix32
17.01.2023 12:28+7Они стали шейпить трафик по протоколам?
Гасят ShadowSocks, WireGuard, OpenVPN, SSH?
тут вопрос скорее, а надо ли им это делать? Большая часть ресурсов блочится по принципу "кому-то сверху что-то не понравилось". И туда через все эти протоколы ходят три с половиной анонимуса.
Вторая проблема - доставка поддержки пробинга в этих их "устройства на палках", чтобы проверять, что оно по этим протоколам не ходит куда запретили. Но тут сесурити через роспил.vconst
17.01.2023 12:30Даже не стоит вопроса «надо или нет»". Потому что, по уму — конечно им все это надо. Иначе зачем они нужны?
А вот будет ли все это детектироваться и шейпиться? Пока я ни о чем подобном не слышалdomix32
17.01.2023 12:41+3Слышал, что в Питере были проблемы с доступами через те OpenVPN и Wireguard. Доподлинно всей истории не помню, но возможность блокировок как минимум есть. Нога конечно тоже будет с дыркой, но тут вопрос именно необходимости делать что-то такое. Если сайты блочить можно за цп/мятжи/фейки, то целесообразности жечь электричество на такое уже заметно меньше, с учётом дырявой ноги, конечно же.
vconst
17.01.2023 12:46+2Истории всякие есть, что-то отвалилось, роскомпозору вставили — «привалилось» обратно. Всегда так было, они вечно что-то ломают
Tarakanator
18.01.2023 09:39несколько раз за год отваливался ipsec. В пределах россии*.
Один раз успел задебажить. UDP 500 долетали только в одну сторону.
*одна из сторон в некоторых базах числился как французский IP.
Areso
17.01.2023 16:50+5И туда через все эти протоколы ходят три с половиной анонимуса.
Что-то незаметно, что рутрекер сорниками зарос.
Dmi3yD
17.01.2023 14:40+7Если примут "Белые списки" на территории всей страны, я думаю вам будет сложно (невозможно) обходить это. А про проблемы индейцев ТС уже написал.
vconst
17.01.2023 14:48+1Когда дойдет до белых списков — цензура в инете будет далеко не самой приоритетной проблемой
Другое дело в том, что они поломают белыми списками половину рунета. Причем, не развлеательного, типа ютуба, а служебного: логистика магазинов и складов, банкинг, авиаперевозки, ржд — все это делается не за 5 минут по указанию «А ну перечислите нам сайты, которые не блокировать!»
Сделать все по уму и правильно — они тупо не смогут, ибо локалхост
M_AJ
17.01.2023 14:53+1А ну перечислите нам сайты, которые не блокировать!
К сожалению не всегда. Когда в одном из регионов тестировали ТСПУ много у кого поотваливались корпоративные OpenVPN поднятые для связи с филиалами.
vconst
17.01.2023 14:59Так я о том и говорю, что будет сломано очень многое, как бы они не старались
qw1
17.01.2023 15:31+3Поломают, потом в течение нескольких месяцев будут чинить, не впервые такое. Вон PlayStation Network не работал несколько месяцев после блокировок телеграма. Миллионы игроков поныли, да сами стали искать решения.
vconst
17.01.2023 15:32Еще раз. Я говорил не про условные ютубы, а про структуры критичные для государства и бизнеса
qw1
17.01.2023 15:38+4Если касса отвалится в пятёрочке, мне кажется, государство скажет «сами дураки, настроили своих VPN-ов, сами и решайте проблему, например вот VPN от РосТелекома, недорого».
vconst
17.01.2023 15:40А если перепутаются самолеты в аэропорту?
Мне кажется, первым делом — вылетит какой-то критичный сервис у сберкассы. Просто потому что
qw1
17.01.2023 15:43+2первым делом — вылетит какой-то критичный сервис у сберкассы
Это вообще не проблема. Скажут: приходите завтра.А если перепутаются самолеты в аэропорту?
Не представляю даже теоретически такой сценарий. Не вылететь — могут. Перепутаться — нет.
qw1
17.01.2023 15:59+3Это всё решается постепенным вводом ограничений. Ну, подумаешь, в Воронеже все Камазы отвалились от «Платона». Не по всей стране же, да и починили быстро, за 2 дня. Зато «Платона» внесут в белые списки…
qw1
17.01.2023 16:05+2Но и поднять её «сразу всю» можно будет за полчаса, добавлением одного правила в белый список.
MiraclePtr Автор
19.01.2023 12:28Там скорее всего другой принцип устройства VPN - не подключение к VPN-серверу поверх обычного интернета, а выделение им отдельных VLAN'ов в ростелекомовских сетях и маршрутизация между ними. Поэтому все описанное в статье работу им никак не сломает.
karabas_b
17.01.2023 17:39+14Они не моргнув глазом поломали нефтегаз. Думаешь, они испугаются поломать половину рунета? Крупные банки и торговые сети внесут в белые списки, а на мелкие фирмочки им плевать.
vconst
18.01.2023 12:20+2Ну, значит — ждем белых списков
В конце концов — ни «я интересуюсь политикой», ни «я сам себе ВПН» — против этого ничем не поможет.
dartraiden
17.01.2023 15:19+7Они стали шейпить трафик по протоколам?
Да, например, режут весь HTTP/3 (QUIC) трафик на зарубежные направления.vconst
17.01.2023 15:31Неожиданно
А какой город и провайдер? Может они в него просто не умеют и боятся? Как это можно помацать? Достаточно просто зайти на сайт гугли из последнего хрома?dartraiden
17.01.2023 17:48+4Любой провайдер, у которого установлены ТСПУ.
Проверить любым тестом QUIC, например. Первый прогон будет успешным, начиная со второго — облом.qw1
17.01.2023 17:51Провайдер ДОМ.РУ, оба прогона успешны на 100% (3000/3000).
dartraiden
17.01.2023 17:52+2А на cloudflare-quic.com?
У меня (дом.ру, Тверь) стабильно скатывается в HTTP/2. Только через zapret удавалось пробивать DPI и тогда я видел заветный HTTP/3.Провайдер ДОМ.РУ, оба прогона успешны на 100% (3000/3000).
Не все провайдеры еще с ТСПУ, а где есть (дом.ру), часто бывает балансировка нагрузки, где не все пути оборудованы ТСПУ.vconst
17.01.2023 18:00По моему они просто ниасиливают — что это и зачем. Новый, экспериментальный протокол, в стандартах еще нет, провайдеры просто не знают, что с ним делать. Это, скорее, некомпетентность, а не запрет
qw1
17.01.2023 18:23+2Вроде там обычные UDP-пакеты. Если ничего специально не осиливать, они будут проходить, как любые другие UDP
MiraclePtr Автор
17.01.2023 18:29+3А зачем с ним что-то делать? Протоколов тысячи, и провайдеры не должны знать, что делать с каждым из них. Бегает - не трогай. К тому же в качестве транспорта там самый обычный и всем привычный UDP.
Так что причина проще - из QUIC by design гораздо сложнее вытащить SNI и узнать, на какой именно сайт внутри CDN лезет юзер. Поэтому, как и в случае с ECH, просто режут нафиг и все, не разбираясь.
mizugoji
17.01.2023 19:00Несколько дней назад записал трафик QUIC, чтобы вообще ознакомиться с ним, что это такое и из каких пакетов состоит.
Результат - это "почти" обычный HTTPS/TLS внутри UDP.
Хост из TLS соединения в Wireshark-gtk читается хорошо.Так что вопрос идентификации QUIC в железе провайдера - вопрос времени выпуска новой прошивки и обновления этого оборудования этой новой прошивкой.
Для тех, кто пишет эту прошивку - скорее это обычная работа, не более.
MiraclePtr Автор
17.01.2023 19:03+1Не совсем обычный. Там всё-таки SNI в первом пакете хитренько спрятан. Да, выцепить его при большом желании можно, но ещё в прошлом году из используемых в России DPI-систем это не мог делать почти никто.
mizugoji
17.01.2023 22:34Значит кто то или зря получает зарплату или не могут найти специалистов кто бы это сделал. Там всё по RFC, прочитал - написал код.
Странно конечно, что DPI оборудование до сих пор не знает QUIC.Это почти тоже самое, что сказать - наш браузер не поддерживает TLS.
vconst
18.01.2023 12:21Мне таки хотелось бы получить ответ на свой вопрос выше:
«Ну и как они «успешно и заметно работают»? Мне вот правда интересно. Расскажите»
qw1
17.01.2023 18:24А на cloudflare-quic.com?
Пишет «When loading this page from Cloudflare's edge network, your browser used HTTP/2»qw1
17.01.2023 18:32+1Действительно, блокируют
curl.exe --http3 https://cloudflare-quic.com/
curl: (55) ngtcp2_conn_handle_expiry returned error: ERR_HANDSHAKE_TIMEOUT
Непонятно, почему quic.nginx.org показывает положительный результат.
fisoon
18.01.2023 12:37+1Wireguard вполне себе успешно блокируют. Во время выборов был момент, долго не работал. Я не мог понять в чём дело, оказалось заблокирован сам протокол. Думаю они большую часть описанного в статье умеют, просто пока не внедряют.
vconst
18.01.2023 12:42Я последний год на WG — «ни одного разрыва»
Понятно, что личный опыт в статистике не много весит, но все это эпизодически и не везде
Если они 10 лет все это «давно умели — но не применяли», я сорее соглашусь с тем — что ничего они не умеют
Просто вспомним — локалхостAreso
18.01.2023 12:59+2WireGuard резался в ноль Йотой и МФ (СЗ).
vconst
18.01.2023 13:32+1Йота вапще поганая контора. Одно время они взяли моду — шейпить весь шифрованный трафик, типа «А мы вас знаем! Вы торренты через ВПН качаете на нашем безлимите!». После такого закидона от йоты ушли разом все, кто админил через ssh или просто работал удаленно через vpn — одним днем.
Они испугались и перестали резать трафик, но было уже поздно
PKav
17.01.2023 23:21+1Я когда-то по работе разговаривал с людьми, ответственными за СОРМ и блокировки. Таких буратин надо ещё поискать. Пришлось помогать им настраивать их же серверы. Поэтому, да, они действительно ничего не смогут, кроме как ушатать интернет всем без разбора.
Ну и бонусом идут санкции, когда требуемое для умных блокировок оборудование и техподдержку не купить даже за деньги, а приличная часть специалистов, способных это оборудование настроить разбежалась кто куда.
agugnin
18.01.2023 03:23+12Вопрос: а зачем вы вообще помогали этим "буратинам"? Сам же себе яму роете!
Такие лица должны быть нерукопожатыми. Любые их попытки создать подобные системы должны саботироваться всеми возможными способами!
Не помогайте никому из власть имущих ограничивать вашу свободу, и тогда не случится никакого цифрового гулага.
kondaaakov
17.01.2023 00:53+4Мрачновато конечно...(
MiraclePtr Автор
17.01.2023 01:36+21Ну это я так, немного нагнетаю. В случае с РФ мне всё-таки кажется более вероятным вариант "исполнители - криворукие обезьяны, и ничего путного у них не выйдет". Хотя, как уже не раз сказано, расслабляться все равно не стоит.
А вот за тем, что происходит в Китае, Иране и Туркменистане с блокировками, наблюдать очень интересно. К счастью, есть возможность делать это на расстоянии.
dartraiden
17.01.2023 02:21+19В случае с РФ мне всё-таки кажется более вероятным вариант «исполнители — криворукие обезьяны, и ничего путного у них не выйдет»
Мне так казалось (включая ещё «да попутно и большую часть денег распилят») до того момента, как ТСПУ научились блокировать трафик по паттернам.
После этого перестало быть смешно.
Gorthauer87
17.01.2023 09:26+2Весной очень много было разговоров про чебурнет, а год спустя вот даже Ютуб работает, а в телеграмме вообще можно найти все что угодно, чего там говорить про VPN.
Наверное, там есть какие-то фундаментальные ограничения, ведь ситуация такая, что можно все что угодно забанить и ничего за это не будет. Но видимо не все так просто.
MiraclePtr Автор
17.01.2023 09:31+2Ограничения - коррупция и низкая квалификация исполнителей :)
А вот их китайские, иранские и туркменские коллеги гораздо более успешны в своих грязных делах.
M_AJ
17.01.2023 12:07А вот их китайские, иранские и туркменские коллеги гораздо более успешны в своих грязных делах.
И тем не менее, даже они не заблокировали все. Потому что все эти решения имеют свою цену – их производство стоит денег, а сами они они жрут электричество. И чем глубже мы хотим анализировать трафик, тем дороже это стоит.
domix32
17.01.2023 12:32+4не заблокировали все
Если не считать что у интерентов имени Туркмен-баши просто половина сетей в бане, как это было при блокировках телеграма, только в больших масштабах, то да, можно сказать что не всё заблокировали.
M_AJ
17.01.2023 12:58+1Если не считать что у интерентов имени Туркмен-баши просто половина сетей в бане
Ну бан подсетями это простой дешевый и максимально эффективный тип блокировок. Эффективнее только просто физически отключиться от глобальных линков, как в КНДР. В некоторых странах так вообще периодически просто обрубают всю сеть, впрочем, если дойдет до такого, то отсутствие интернета будет уже не самой большой проблемой. Но в статье все-таки говорится о более продвинутых, прицельных и соответственно затратных способах блокировок.
regint
17.01.2023 12:22+5Тут скорее следствие, что сейчас это не привлекает большого внимания государства. Как только они действительно решат пойти по сценариям главных антогонистов VPN сервисов, они могут дать "очень много" денег условным касперскому, инфовотч, впн и те напишут им нужного качество по для этого. У данных компаний и специалистов и квалификации хватит.
karabas_b
17.01.2023 17:41+3Если у Ирана и Туркменистана получается, почему у РФ не получится? Ресурсов у РФ для этого дела всяко больше.
Hlad
17.01.2023 11:28+10Фундаментальным ограничением тут выступает знание принципа Парето. Нет нужды наглухо перекрывать информацию, достаточно отрезать от неё подавляющее большинство аудитории.
dfgwer
18.01.2023 18:18Нет, это не Парето.
Есть люди, им поставлена задача, заблокировать, они будут работать и блокировать. С каждым днем блокируя всё больше и лучше, у них нет границы, вот тут останавливаемся и прекращаем.vconst
18.01.2023 18:20Граница у них простая — бюджет и квалификация сотрудников. Если с первым еще более-менее, хоть и не в тот карман. То второе — локалхост
nlykl
18.01.2023 23:25Локалхост был несколько лет назад. После ухода Жарова ведомство стало работать гораздо эффективнее.
vconst
19.01.2023 11:59В чем это выражается? Как я лично должен был это заметить? Мои способы обхода ничем не отличаются от тех, которые я начал использовать 10 лет назад
Недавно были громкие визги, что успешно заблочили какой-то массовый сервис, галочку поставили, премии получили. Сервис через пару дней со всем разобрался и работает как ни в чем не бывало
И так 10 лет
xkb45bkc4
17.01.2023 11:31+14Весной очень много было разговоров про чебурнет, а год спустя вот даже Ютуб работает, а в телеграмме вообще можно найти все что угодно, чего там говорить про VPN.
Зато в в так называемой ДНР, которая якобы теперь часть РФ — заблокирован google, почти все укр ресурсы и даже Хабр без vpn не открывается.
Реакция людей на блокировку Гугла была — ну есть Яндекс, а какая разница?! Опытные пользователи накатили бесплатные vpn, так как купить платные у нас нет возможности. Карты местного банка не принимают к оплате в РФ, а Сбер и ко у нас нет.
Так что блокировка ютуба, гугла или еще чего там это просто дело времени, на жителях ДНР технологию обкатали, мнение известно, так что заблокируют только в путь.
upd Ютуб примерно месяц весной или летом блочили, резали скорость очень сильно. Сейчас без vpn иконки каналов не прогружаются и иногда верстка уезжает.
CaptGg
17.01.2023 17:28VPN вы купить можете, просто российский.
Вы, вероятно, полагаете, что российский VPN блокирует трафик так же как российские интернет-провайдеры, в связи с чем толка от него нет. Но на деле у тех VPN, что имеют большое количество серверов, на 80% внутрироссийских из них нет никаких блокировок, а на зарубежных нет вообще (да, российские VPN-провайдеры и сейчас прекрасно предоставляют серверы по всему миру).
Если же вас беспокоит гипотетическая слежка "товарища майора", то тогда вариантов у вас действительно не много.
MiraclePtr Автор
17.01.2023 17:37+3VPN вы купить можете, просто российский.
Ваш собеседник вроде вроде вполне четко скзал, "Карты местного банка не принимают к оплате в РФ".
Вы, вероятно, полагаете, что российский VPN блокирует трафик так же как российские интернет-провайдеры, в связи с чем толка от него нет
Айайай! Закон нарушают же, причем даже не скрываются! Куда смотрит РКН? :)
CaptGg
18.01.2023 19:52На картах свет клином не сошелся, почти все они принимают СБП и QIWI.
MiraclePtr Автор
18.01.2023 22:43Вы кажется не совсем поняли. Разговор идёт о банках на довольно специфичной территории. С СБП они, скорее всего, не работают, да и QIWI вы оттуда тоже не пополните.
vikarti
19.01.2023 09:09+1А почему бы в этом случае не жаловаться в ЦБ на банки которые предоставляют оплату на сайта на нарушение законодательства РФ не принимая карты выпущенные на территории РФ?
Ну а что — территория официально считается частью России — пусть ЦБ РФ займется решением вопросов по защите прав новых граждан России. Ну или пусть признают официально что ДНР это "не совсем" Россия.
И с остальным тоже.
CaptGg
19.01.2023 11:37Я-то всё понял и предлагаю решение. Из банков ДНР мне известен только "Центральный Республиканский Банк", у которого есть онлайн-банкинг и мобильное приложение под Android и отдельный сервис переводов между банком и СБП (правда с процентами), но тем не менее можно, а значит можно пополнять QIWI. А чтобы получить QIWI нужен только российский номер и, если нужна идентификация, паспортные данные.
Еще прямо в заголовке сайта этого банка есть баннер Промсвязьбанка (ПСБ), у которого вообще с работой в РФ нет никаких проблем. Подозреваю, что между банками есть какая-то связь и можно стать клиентом непосредственно самого ПСБ.
Выглядит так, что варианты вполне есть.
xkb45bkc4
17.01.2023 18:52+2VPN вы купить можете, просто российский.
Я даже номер одноразовый для chatGPT купить не могу! С нашими картами только в булочную пускают и то местную. Кстати, если у кого есть желание помочь мне с регистраций chatGPT буду очень рад.Вы, вероятно, полагаете, что российский VPN блокирует трафик так же как российские интернет-провайдеры, в связи с чем толка от него нет.
Не знаю как там российские vpn, я тут о том, что у нас Хабр с Гуглом без vpn не работают по воле местных чиновников, в нарушение законов РФ. У нас ту русское поле экспериментов в прямом смысле слова.
Товарищ с погонами меня вообще не беспокоит, если что пусть Хабр со мной читает.CaptGg
18.01.2023 19:54QIWI или ЮМани зарегистрируйте и платите. СБП ваш банк же по идее поддерживает? Напрямую СБП тоже платить много где можно и пополнять без процентов другие счета или электронные кошельки.
eugenex15
17.01.2023 19:30+3Макеевка, donapex, promtelecom
google, хабр работает без vpn
flutter, dart перенастроил на .cn зеркала
vpn proton и многие другие блокируются (намучился в итоге свой)
больше бесит iptv, gitlab, sourceforge (блок на скачку), my.zerotier.com (процедура авторизации), google developers и другие, часто требуется включать, выключать vpn.ну и двоякое
зарубежные ресурсы: вы заблокированы т.к. вы из Россия или в списке Сомали, Иран, Северная Корея
российские ресурсы: вы заблокированы т.к. вы из Украина.xkb45bkc4
17.01.2023 19:59+1Горловка, блокирует Inmart, Dominion, Terra-line каждый по разному. На одном провайдере может совсем не работать, на другом может днем работать, вечером нет.
ну и двоякое
зарубежные ресурсы: вы заблокированы т.к. вы из Россия или в списке Сомали, Иран, Северная Корея
российские ресурсы: вы заблокированы т.к. вы из Украина.
Тут аналогичная ситуация, кроме протона, он подымается нормально. Еще reCAPTCHA без vpn не але.
Flexits
18.01.2023 12:50+1У меня вполне себе в РФ без VPN иконки каналов на ютубе частенько не прогружаются и изредка верстка уезжает. Я думал это просто баг, а оно вот как оказалось (
equeim
17.01.2023 14:44+1Ютуб - одна из крупнейших платформ для российской пропаганды, как и телеграм. Многие "потребители" этого контента, внезапно, телевизор не смотрят и "потребляют" его через интернет. Так что пока хозяева этих ресурсов не введут запрет на росс. пропагандистский контент (который действительно будет соблюдаться), блокировать их не будут - это принесет больше "вреда" чем "пользы".
qw1
17.01.2023 15:13А с другой стороны, после закрытия ютюба, куда пойдут потребители этой пропаганды? Видосики в телеграме — другой формат. Остаются vk, ok, Yandex.Zen.
Komrus
17.01.2023 11:20-8По содержанию - очень замечательная и правильная статья. Спасибо.
Но вот за постоянный рефрен "We are f#cked" (как и в большинстве случаев когда вместо аналитики "С одной стороны, с другой стороны, в тоже время необходимо учесть..." прилетает "Всё пропало!") - почему-то хочется поставить минус :(
Astroscope
17.01.2023 14:31почему-то хочется поставить минус
Возможно, вам просто нужно отдохнуть. :)
Музыкальная пауза
BIG666
18.01.2023 00:03-2Был в Китае год назад, сталкивался с их фаерволом. Никаких убер-мега-нейро-шейпинг-актив-пробинг и т.д. замечено не было.
Максимум, что на моих глазах произошло - DPI нешифрованных соединений. Обнаружил это, когда пробовал подключаться к заблокированным в Китае ресурсам через обычный HTTP-прокси, который поднял на своём сервере в РФ.
Происходило это так: мой клиент успешно устанавливает TCP-соединение с прокси-сервером (squid/openwrt). Затем отправляет прокси-серверу запрос конкретного сайта (например google.com или facebook.com). И соединение тут же рвётся. Если TCP до прокси шло внутри какого-нить шифрованного канала (например - HTTPS или SSH) - всё работало нормально. Посему я прекрасно пользовался VPN через SSTP до своего сервера SoftEther.Кроме того, прекрасно работали различные (даже бесплатные) VPN из Google Play .
Всё это проверялось на совершенно разных провайдерах (в т.ч. сотовых) в разных городах.
Откуда берутся все эти страшилки про active probing, разпознавание паттернов нейросетками и т.д. - для меня загадка.
MiraclePtr Автор
18.01.2023 00:38+3Откуда берутся все эти страшилки про active probing, разпознавание паттернов нейросетками и т.д. - для меня загадка.
Это не страшилки. Исследованиями этого занимаются инженеры со всего мира, и есть очень много самых разных свидетельств с полей из Китая. То что вы все описанное не словили, опять же, уже не раз разобрано: ресурсы GFW тоже не безлимитны, и агрессивность блокировок во-первых зависит от региона (где-то по самое небалуй, а где-то почти лафа) и от обстановки (например, активизируются когда проводятся всякие там съезды партии или происходит какая-нибудь нездоровая фигня).
BIG666
18.01.2023 01:15Агрессивность блокировок во-первых зависит от региона
География моих изысканий: Шеньжень, Донггуань, Хайнань, Гуанчжоу
например, активизируются когда
Пробыл 5 месяцев там. Неужели недостаточно, чтобы хоть разок наткнуться на серьёзную блокировку?
Исследованиями этого занимаются инженеры
Я инженер и я исследовал
MiraclePtr Автор
18.01.2023 01:27+2Поздравляю. Не могу сказать, почему у вас такой опыт, а у других другой. Может быть очень сильно повезло вам, может быть очень сильно не повезло другим, может совпадение ещё каких-то факторов (гостиницы/офисы/квартиры, оформлена ли landline/симка на местного или на экспата, и ещё куча возможных различий).
BIG666
18.01.2023 01:50Может быть потому, что вокруг GFW очень много мифов, сказок и просто откровенного вранья, а на самом деле всё гораздо прозаичней?
MiraclePtr Автор
18.01.2023 02:03+1Маловероятно.
BIG666
18.01.2023 02:13Прямо сейчас мои коллеги в Донггуане - у них всё прекрасно работает.
Опять повезло?
Да этот GFW - прямо какая-то беспроигрышная лотерея :)
NetBUG
18.01.2023 02:07+1Я за пару месяцев ещё в 2016 наблюдал снижение скорости ssh-туннеля, который в первые 15 минут в первый день работал на скорости до мегабита, а в последние дни сразу после подключения падал до 30-60 кбит
NetBUG
18.01.2023 02:02Я правильно понимаю, что Туркменистан – то ли площадка для тестирования, то ли младший брат китайцев? Ну не верю я, что там достаточно компетентных людей для этого.
MiraclePtr Автор
18.01.2023 02:05+3Все может быть. Возможно разрабатывают/настраивают не сами, а заказывают где-нибудь на стороне. В мире достаточно в том числе и хайтек-компаний, который считают что деньги не пахнут.
Areso
18.01.2023 10:55+1Израильские компании тому пример.
Продают разным государствам и режимам, в т.ч. буквально людоедским (в Африке), самое разнообразное ПО. Например, Pegasus:
Did Israel use spyware as a bargaining chip with Ghana in its lobbying for AU accreditation status?
Journalists and activists in Côte d’Ivoire, Rwanda, Morocco, and Togo, along with Kenya, Equatorial Guinea, Egypt, Cameroon, Uganda and Ethiopia
Note1: AU - African Union.
GbrtR
17.01.2023 00:54-2Лучший VPN это старлинк терминал.
MiraclePtr Автор
17.01.2023 00:59+9Во-первых, без наземных станций оно не работает. Учитывая высоту полета спутников, расстояние от абонента до наземных станций ограничено, и поэтому работать оно будет нормально только в приграничных районах и около.
Во-вторых, тут работает все то, что описано в последнем абзаце главы 6. Такой терминал на коленке не соберёшь, его нужно купить, ввезти через таможню (или сначала ввезти, а потом купить) и использовать так, чтобы об этом никто не узнал. Чем больше будет таких хитрозадых - тем суровее будут законы и наказания. Можно пофантазировать о детектировании подобных железок полетами дронов над населенными пунктами, чтобы засечь луч сигнала, но по факту ничуть не хуже сработают старые добрые доносы от наблюдательных соседей.
GbrtR
17.01.2023 01:07без наземных станций оно не работает
Вроде пока не работает.в приграничных районах
Москва с Питером попадут? По идее там же главный потребитель инфосмиконтета.Можно пофантазировать о детектировании подобных железок полетами дронов над городом, чтобы поймать луч сигнала, но по факту ничуть не хуже сработают старые добрые доносы от наблюдательных соседей.
Тут мне кажется сильно проще, вывозим к бабушке в урюпинск, в сарае ставим и не трогаем. Если бабушка в пригроничной зоне живёт, то совсем хорошо, тунель с оптикой прокопать через границу в какую нибудь Латвию и тогда без старлинка не заметят. Сейчас наверное хорошее время для того чтобы уже начинать потихоньку копать. Или через направленную wifi антену, я в своё время несколько километров легко пробивал. Читал ещё через оптический канал, тогда не засекут радиоизлучение, но погода будет влиять.
А до бабушки ходим же по внутреннему каналу, его не сильно мониторят. Поставим там медиа сервер, и с него друзьям видосики раздаём, главное чтобы у бабушки канал был толстый. Ваш внешний трафик в видеопотоке затеряется.
Но конечно согласен, что при желании, у медведя завсегда толще и с резьбой он всегда найдётся.
И как только начнутся посадки, надо правильно приоритеты расставить.MiraclePtr Автор
17.01.2023 09:36+11Если бабушка в пригроничной зоне живёт, то совсем хорошо, тунель с оптикой прокопать через границу в какую нибудь Латвию и тогда без старлинка не заметят
А строительство туннеля заметит бабушкин сосед калдырь Михалыч и сообщит куда надо, или его случайно раскопает местный молодой археолог-любитель Петя. И тогда есть уже шанс не то что лишиться кабеля, а поехать к следователю, а потом и в Сибирь лес валить. Играть с государством в азартные игры может быть весело, но и кончается иногда плохо.
vadimk91
17.01.2023 10:33+6Да, и еще надо заметить, что ресурсы государства в этих играх никак не ограничены, а вот второго игрока могут иссякнуть весьма быстро.
rdp
17.01.2023 16:45+4Шутка конца 80-х:
Объявление. Bозьму в аренду один метр государственной границы.
iShrimp
17.01.2023 20:10+1через оптический канал, тогда не засекут радиоизлучение
Лазерный луч, даже инфракрасный, это палево, пожалуй даже хуже вай-фая. Тем более, что жители приграничных населённых пунктов отличаются особой бдительностью.
Тогда уж лучше вступить в клуб радиолюбителей и работать на средних или коротких волнах, подальше от гос. границы.
GbrtR
17.01.2023 20:18+1Тогда уж лучше вступить в клуб радиолюбителей и работать на средних или коротких волнах, подальше от гос. границы.
Там лучше чем v22bis наверное не вытянишь.MiraclePtr Автор
19.01.2023 12:37+1Насчёт длинных и средних волн не скажу, а через голосовой канал УКВ-радиостанций Motorola GM340 мы в свое время с помощью то ли GSMK, то ли PFSK модема вполне успешно гоняли данные со скоростью 19.2 kbps на растояния в пару десятков километров (если высоко подвесить и поддать мощности в антенну, то и до 50). Правда, у нас пакеты были по 250 байт и некоторые терялись, да.
Astroscope
19.01.2023 13:02Осветите вопрос подробнее, пожалуйста. А то в пределах, как вы сказали, голосового канала, на GMSK хорошо если 9k6 поднимется - то есть как, поднимется, конечно, но нужна довольно тщательная настройка девиации. Скорее всего я что-то упускаю, было бы предельно интересно восполнить пробел.
Странная мощность - 50W в антенне. Не для спора, просто интересно, как был обустроен антенно-фидерный тракт. Голая станция отдает около 25W, минус потери в фидере должны составить что-то в районе 7dB, чтобы на вход среднестатистического усилителя подать негласный стандарт в 5W. Это, в зависимости от диапазона и марки кабеля, пару десятков метров длины этого самого кабеля. Дальше, допустим, усиливаем до 100W и еще кусок кабеля, на котором теряем 3dB. Правильно я фантазирую? Или совсем неправильно? Очень же любопытно.
MiraclePtr Автор
19.01.2023 13:16+1Вот тут есть рассказ о том, как и для чего оно было.
Мощность у этих Моторолок максимальная была как раз 25W, а "до 50" - это расстояние в километрах, максимальное которое мы тестировали.
Глянул записи - модемы были на чипе FX909, модуляция GMSK. 19200 бод у них заявлено прямо в даташите, и с хорошими Мотороловскими радиостанциями оно действительно так и работало. Конкуренты игрались с какими-то из Кенвудов и больше 9600 так и не выжали, в итоге тоже перешли на Моторолы.
sshemol
17.01.2023 08:05Кстати, насчет приграничных районов. Возможно ли там работать симки соседнего государства, через его мобильную сеть?
MiraclePtr Автор
17.01.2023 09:37Возможно, но нужен подходящий рельеф и подбираться очень близко к границе.
maximnik0q
17.01.2023 09:56Возможно.Но провайдеры стараться максимально ограничить луч базы чтобы через границу много не прелитало,что бы не платить штрафы .У ещё у нас земли до хрена-до фига мест где пограничная зона 15 км,что до тебя дойдет по мощности сигнала.Вдобавок не забывайте про незаметные зелёненькие машины уазики-они вмиг засекут что с таким имэем связался аппарат с вражеской территории.И при желании можно заглушить попытку связи-придеться постоянно имей менять.Но опять же ещё не забываем про бэкдоры в телефонах-что мы знаем-а точно доказано что могут определить место телефона -+150 м,включить тихий звонок,скопировать телефонную книжку ,заставить телефон отключиться.В спецхакере ещё в демократические времена приводили расследование шведской-норвежкой хакерской группы.
madcatdev
18.01.2023 03:21+1> что мы знаем-а точно доказано что могут определить место телефона -+150 м,включить тихий звонок,скопировать телефонную книжку ,заставить телефон отключиться
Можно подробнее? Желательно со ссылками.
maximnik0q
18.01.2023 12:17Спецхакер или хакер за 99-2000 год,точнее не скажу,времена первого сорма.Была статья насчёт телефон слушает тебя- общее положение по сорму и краткое ссылка на иследования хакерской группы.В общем есть спецсимволы которые с телефона не отправишь в виде СМС,это комбинация и есть бэкдор.Все исследованные группой на тот момент телефоны выполняли эти команды .На диске были ещё тексты на английском (сокращённые),но сами команды не приводились.Я так себе отнёсся к этой статье,ну понятно что если телефон сообщит телеметрию с 3 вышек то методом треугольника определят положение с такой точностью.А потом спустя 5 лет обратил внимание на рекламу МТС и услуги бесплатного восстановление контактов с симки.А откуда у МТС содержимое моей симки?Тогда только только пошла "E" и wap в качестве мобильного интернета и 1 мгб стоил дорого.И не было андроида...т.е инфа пошла и скрывать эту инфу стало бессмысленно,вот и разрешили эту услугу.Статьи в инете нету,хакер не выкладывал ищите PDF или оригинал.Кстати произошла охренеллая утечка насчёт Сорма2 от Нокии (работник ,он неправильно расшарил диски и в сеть утекло 1,5 гиг документов),ищите сами,ссылок не привожу чтоб не налипнуть на статью.
(У меня отрицательная репутация,ушел отсюда на Пикабу,там народ менее токсичный,последнюю букву q убери у меня там такой ник)
TIgorA
17.01.2023 15:59Зачем фантазировать, технологии поиска терминалов давно есть http://www.ard-satcom.ru/default.aspx?page=64
MiraclePtr Автор
17.01.2023 16:11Это VSAT. У Старлинков используется ФАР, и там очень узконаправленный луч.
konst90
17.01.2023 23:15В Британии даже телевизоры (с эфирной антенной) ловят, хотя они вообще-то ничего излучать не должны. А тут могут быть боковые лепестки, всё ещё проще.
А можно пойти с другой стороны. На терминал светит антенна, и у нее даже при узком луче пятно в километры - и частота довольно редкая. Если на район светит спутник - значит, там работает терминал.
MiraclePtr Автор
17.01.2023 23:27хотя они вообще-то ничего излучать не должны.
Ну как сказать. Не должны, а излучают :)
Можно ли запеленговать сигнал радиоприемника? История и современность вопроса
jovany
17.01.2023 17:14+2Всё ещё проще, оператор сам выключает работу терминалов на запрещённой территории. Иначе на спутники будет направлена помеха. И если помеха будет похожа на сигнал, то кроме простого глушения, будет попытка обработать сигнал, что посадит аккумуляторы. Днём не проблема, а ночью это ограничит легальных пользователей из других стран, до них спутник прилетит разряженным.
Реальность ещё банальнее: Маск до конца надеется, что сможет продавать услуги на территории России, и ссориться с государством ему не с руки.
vikarti
17.01.2023 08:00+1Даже если считать что второе поколение спутников (то что с лазерными линками межспутниковыми без нужды в наземных станциях с терминалом) уже в работе и без учета что скорость… все же спутниковая а не то как бы смотрим:
- эпилог статьи (да и отследить терминал на местности — можно, а для упрощения — можно в блокировку доступа с не-ру адресов для госуслуг и прочих банков внести исключения, разрешив доступ со старлинка, но при этом — сливать куда следует данные тех кто так зашел, после чего бригада по поиску терминала выезжает на место — как минимум адрес регистрации они уже знают)
- новости (насколько актуальные — вопрос отдельный… но даже если ЭТИ новости — фейк, не значит что нельзя так сделать) проскивавшие про то что вна Украине в том числе тестируются и способы противодействия старлинку без пуска противоспутниковых ракет а допустим лазеров которые перегревают спутник("свет теплиц")… после чего вроде бы были какие то договоренности...
- как ввозить то?
Pastoral
17.01.2023 01:02-3Как по мне, не по делу. Всякий VPN существует лишь беспричинной милостью той стороны, в просторечии противника. Будет милость - найдётся и способ чтобы работало. Не будет милости - он пришёл, значит. Или настал?
Самое сложно блокируемое и подглядываемое - удалённый доступ по SSH и только там работает браузер, а того лучше - Python. Но всё равно - нужна милость, и всё равно, как и сейчас с VPN попроще - использование эквивалентно выходу в одиночный пикет с плакатом «я ненавижу».
А обсуждаемые самопальные приёмы - это corner case.
unwrecker
17.01.2023 01:03+7Ну странно, что не упомянут такой несложный в реализации но при этом такой с виду беспалевный вариант, как сидеть в интернете через удалённый рабочий стол.
ЗЫ. Хотя наверное не стоило писать, да?
MiraclePtr Автор
17.01.2023 01:24+12Вариант неплохой. Да, не самый дешёвый и массовый (нужна удаленная машина, которая нормально будет тянуть гуй и жирный браузер, копеечной виртуалкой не обойтись), не самый комфортный (тормозит-с, и видео с хорошим качеством не посмотришь, с телефона играться неудобно), но в целом рабочий. Правда, когда как в Туркменистане перебанили половину интернета и почти всех облачных провайдеров, до вашего RDP/VNC надо ещё как-то достучаться будет умудриться.
Правда, тут в итоге все приходит к тому же самому. Когда таких "удаленщиков" мало, цензорам на них наплевать. Когда все остальные возможности поотстреливают и явление станет массовым - тогда займутся и ими. Это, опять же, к вопросу, что лучше быть не на шаг, а на много шагов вперёди. Я не удивлюсь, если паттерны трафика у RDP/VNC/etc. при кликаньи по окошкам для конфигурирования чего-либо и при активном веб-серфинге в браузере тоже весьма различны. А даже если не получится достоверно детектировать способ использования, то все может придти к очередному "физлицам RDP запрещен, если сильно надо - получайте справку в Роскомнадзоре в кабинете номер 203 с утра по пятницам, с собой иметь характеристику от участкового и анализ кала".
dormin
17.01.2023 17:49+5Это Вы погорячились дешевый и легкий вариант уже давно существует. Посмотрите browserless docker давно выложены контейнеры с Хромом, которые не плохо работают на совсем дешевых VPN. Их использую немаленькие корпорации для повышения инфобезопасности при работе в интернете. Плюс дополнительная фишка после выхода из контейнера он возвращается к исходному состоянию. Плюс можно оплатить и пользоваться уже установленными контейнерами браузерами в облаке.
qw1
17.01.2023 01:19Покупается виртуалка с виндой в облаке Azure, заходим по RDP, открываем браузер и серфим в своё удовольствие. Что на это ответят цензоры?
dartraiden
17.01.2023 02:23+15Баном доступа к Azure.
qw1
17.01.2023 09:55Сложно, потому что за последние несколько лет евангелисты микрософт погастролировали по предприятиям РФ и посадили многих на PowerBI, Application Insights, облачный Sharepoint, облачные файлохранилища и т.д. и т.п., это всё глубоко интегрировано в рабочие процессы. Например, примитивный бизнес-процесс, как согласование отпуска с подбором замещающего сотрудника и визой руководителя, легко там скриптуется…
Neikist
17.01.2023 11:26+1И как за это все компании из РФ сейчас платят, если MS деятельность прекратили?
qw1
17.01.2023 14:23-1Спросил у своих: прямых контрактов с MS не было никогда, все эти впариватели облаков — официальные реселлеры, оплата через них шла и сейчас идёт. Ресселером может кто угодно стать, learn.microsoft.com/ru-ru/partner-center/indirect-provider-tasks-in-partner-center
red5
18.01.2023 13:53+1Ну, при больших объемах и желании можно было и напрямую в MS платить. Сейчас оплата идет через ресейлеров, но, только, по существующим контрактам. Новые не заключаются. Стать ресейлером нельзя, партнерскую программу продлить нельзя и т.п. и т.д.
dwdraugr
17.01.2023 11:42+7Не переживайте, вам подробно объяснят, что дело тут в национальной безопасности и можно потерпеть ради такого. А Майкрософт - вообще вражья фирма, неча их слушать
necoop
17.01.2023 11:43+2Так в чём проблема разрешить только для юриков?
qw1
17.01.2023 14:25Ради 1.5 анонимуса, которые купили azure с турецкой банковской карты, городить огромную нагрузку на провайдеров?
PsyHaSTe
17.01.2023 16:19+2Выше правильно сказали, что проблемы индейцев шерифа не волнует. Когда телеграм скакал по адресам и РКН веерно банил миллионами айпишники никто что-то не пикнул. Развалился сайт сбера, перекрестка, яндекс штормило, но никто не остановился и не сдался.
В худшем случае сделают действительно просто интернет по белым спискам, по сертификатом выдаваемым госуслугами по вашему паспорту, без которого вас в интернет не выпустят.
lopatoid
17.01.2023 01:33+1В комментария сейчас будет много кринж-идей (там выше уже кто-то предлагает туннель с оптикой прокопать через границу), так что вброшу ещё одну (просьба не воспринимать серьёзно).
Достаём с полки запылившийся модем (не 4g, не adsl, а тот самый на V.92) и дозваниваемся до пула в другой стране :)
MiraclePtr Автор
17.01.2023 01:37Уж что-то, а несущую модема в голосовом телефонном канале при желании детектировать можно вообще на раз-два :)
BigBeerman
17.01.2023 07:58+1слишком дорого
MiraclePtr Автор
17.01.2023 09:28+3Почему дорого? Учитывая, что все современные АТС - цифровые, то это делается чисто софтово. Более того, скорее всего такие фичи уже есть и запилены, например, в некоторых городах на излёте эпохи диалапа злые телефонные компании ещё в 2000-х годах выявляли пользователей модемов (которые звонили даже не не модемные пулы провайдеров, а друг другу - помните Fidonet?) и присылали им письма счастья чтобы попробовать срубить денег. Можно почитать, например, вот эту прекрасную статью, я аж вспомнил юность и прослезился.
BigBeerman
17.01.2023 10:11+1промахнулся веткой. Звонить за границу очень дорого, разве что через VoIP
Fau74
17.01.2023 12:44+5Во времена развития айпи-телефонии многие вендоры наткнулись на тривиальный факт, что модем и факс нормально ходят только по несжатым кодекам типа G.711, и нужно уметь различать голос и факс, чтобы понимать что сжимать а что не сжимать. А то если жать все - бизнес-клиенты обидятся на непроходящие факсы, а не жать ничего - на дальнем трафике разоришься. Потом еще T.38 появился... в общем, умение поймать модемный тон в канале у современных АТС даже и пилить не нужно, нужно сдуть пыль со старой доки и найти формат обращения к соответствующему сисколлу :)
YMA
17.01.2023 09:41+1v92 устойчиво работал фактически только в пределах одной АТС, когда серверная часть оборудования была расположена на "последней миле", так что опасаюсь, что после прохождения международных голосовых каналов от v92 останутся только ошметки. ;)
Комплекс из двух 4g модемов и RPi + аккумулятор и солнечная батарея, заныканный где-нибудь в приграничном районе и играющий роль гейта наружу - выглядит более реальным.
event1
17.01.2023 16:30Сейчас вся телефонная связь идёт через ip-телефонию. Если пограничный оцифрователь не умеет определять модем, то модемное соединение не установится. А если умеет, то он же может сообщить куда следует. Согласитесь, частное лицо использующее v.92 модем в 2023-м году выглядит крайне подозрительно.
GbrtR
17.01.2023 01:41+5Цензоры видят, что от абонента к какому-то неизвестному серверу и обратно ходит трафик, а поток со стороны какого-нибудь подконтрольного сервиса видит, что с того же IP-адреса, что у «неизвестного сервера», туда прилетают какие-то запросы и улетают ответы, и — вот интересно — размеры пакетов и временные моменты практически полностью совпадают.
Совместить VPN с прокси, т.е. не отдаём до тех пор пока прокси всё не выкачает к себе плюс случайная задержка. Картинки/видео пережимаем в другим качеством (заодно канал экономим), а текст отдаём используя другой алгоритм компресии в сравнении с тем что нам оргинальный сервер отдал. Тогда может не так сильно будет матчится.MiraclePtr Автор
17.01.2023 09:19+2Это неплохая идея, но учитывая повсеместный HTTPS, это потребует реализации man-in-the-middle и установки себе на устройство-клиент кастомного CA (цепочки сертификатов). Тут на сто процентов надо доверять используемому серверу/хостеру, потому что с простым прокси худшее, что случится в случае компрометации - кто-то узнает, куда и когда вы ходили, а в случае с MitM, попавшим в плохие руки, абсолютно весь ваш трафик со всеми паролям и приватными данными окажется в открытом виде как на ладони.
А насчёт компрессии - идея прикрутить алгоритм zstd для этого самого у авторов XRay/VLess уже есть, обещают запилить в какой-нибудь из следующих версий протокола (правда, компрессить они хотят сам TLS-трафик без промежуточной расшифровки).
lgorSL
17.01.2023 02:02+19А всё потому, что эту проблему надо решать не в технической плоскости.
Как-то законодательство развитых стран дошло до того, что человек имеет право на неприкосновенность частной жизни и тайну переписки. Следующий логичный шаг — добавить право пользоваться интернетом и выбирать любой способ шифрования.
Arqwer
17.01.2023 05:16+13То есть вы предлагаете убедить противника не быть противником? Ну, во-первых, не факт, что это возможно. А во-вторых, даже если получится, то в результате мы всё равно окажемся в положении зависимым от его милости. В один день он может быть раздобреет и впишет в конституцию всё, что вы хотите, а в другой день вычеркнет - это вне нашего контроля. Технические средства хороши тем, что они являются для нас прямым источником власти - это как оружие, но только на информационном фронте. В странах, о которых вы говорите, у граждан есть больше власти, чем у нас, поэтому, чтобы приблизиться к тем странам по уровню защиты своих прав, нам нужно отвоёвывать себе власть у государства. По кусочку. Средства обхода цензуры как раз одним из таких кусочков и являются.
qyix7z
17.01.2023 07:28+6убедить противника не быть противником
Скорее сменить противника. Выбрать другого, и это не противник будет, а исполнитель, исполнитель госуслуг.
Понятное дело, что выбрать качественного в любой стране непросто.
s207883
17.01.2023 09:07+4Где же этот светоч демократии, в котором не банится неугодный контент?
qyix7z
17.01.2023 11:35Наверное нигде. Сама постановка задачи не имеет решения:
С одной стороны мы хотим свободу слова, шифрование и смотреть любые сайты.
С другой стороны мы не хотим, чтобы попадалось на глаза всякое цп, экстремизм (что это такое, каждый понимал по-своему), наркота и т.п.Neikist
17.01.2023 11:45+11С другой стороны мы не хотим, чтобы попадалось на глаза всякое цп, экстремизм (что это такое, каждый понимал по-своему), наркота и т.п.
Честно говоря вообще пофиг, оно даже если бы не было запретов было бы только на специфичных сайтах. Ну и за производство — да, надо искать и банить по тюрьмам. А банить что то в интернете чтобы изображать деятельность при отсутствии выхлопа — такое себе.qyix7z
17.01.2023 12:10+2Честно говоря вообще пофиг
Это Вам, как конкретному индивидууму. Говоря «мы», я имел в виду вообще общество, которое состоит из разных индивидуумов и соответственно формирует разные (взаимоисключающие) запросы к тому институту, который оно выбрало себе для управления собой.
Neikist
17.01.2023 11:43+1Тут вопрос как всегда в балансе. Россия тут точно не вариант ни разу для выбора.
vikarti
17.01.2023 08:07+8А потом из всяких неразвитых стран всякие сноудены сбегают. А полиция запрашивает "а кто там гуглил интересное" — https://www.eff.org/deeplinks/2022/05/geofence-warrants-and-reverse-keyword-warrants-are-so-invasive-even-big-tech-wants
Или там — прямо просто запрашивают логи и получают — https://arstechnica.com/tech-policy/2022/08/teens-jailing-shows-exactly-how-facebook-will-help-anti-abortion-states/
Да, хоть какой то контроль есть — все же по ордерам, и публичное обсуждение тоже есть. Но все же.
khulster
17.01.2023 11:15+6Как-то законодательство развитых стран дошло до того, что человек имеет право на неприкосновенность частной жизни и тайну переписки.
И битвы на тему распространяется ли это право на корпоративную почту/мессенджер не стихают до сих пор.
Следующий логичный шаг — добавить право пользоваться интернетом и выбирать любой способ шифрования.
Это будет работать ровно до чего-то вроде 9/11, когда массовый пользователь потребует от государства защитить его от угрозы и готов будет пожертвовать своей privacy ради безопасности.
Ну и последний момент, большая машина цензоров, может не блокировать, а банально шейпить трафик. В этом случае доказать что вам кто-то что-то блокирует будет довольно проблематично, но при этом и пользоваться "заблокированным" ресурсом вы толком не сможете.
vikarti
17.01.2023 15:13Один из трендов — P2P сети. Нет я не про торрент, я про Mastodoon и прочие PeerTube.
Другое дело что всплывают статьи вроде https://www.secjuice.com/mastodon-child-porn-pedophiles/ (если кратко — некоторые товарищи заявляют что лоликон-контент на некоторых инстансах — есть, потому что те кто его постят считают что это допустимо по законам их страны, разработчики вместо решения проблемы как сделать чтобы не было — решают более узкую проблему — как сделать чтобы не было на тех инстансах которым оно даром не надо и при этом не поломать все остальное) и поди пойми — толи это проблема с точки зрения тех кто это пишет толи это попытки испортить репутацию. Или там новости что публичные списки инстансов все же немного цензуряться по политическим причинам и не всем это нравится.
M_AJ
17.01.2023 20:42Я как то думал развернуть PeerTube но в итоге так и не понял, что там с конфиденциальностью. Что будет если завтра какой-то размещённый там ролик признают незаконным и запрещенным к распространению? Постучит ли в дверь к хозяину сервера спецназ с автоматами?
vikarti
18.01.2023 11:16Как я понимаю — в цивилизованных странах — напишут владельцу сервера с требованием решить вопрос (и он может это сделать без вопросов, и во многих случаях — сделает).
Если сервер в другой стране — ну так же как в других похожих случаях.
Есть особенности — ну например то что этот же контент могут зеркалировать другие сервера (в том числе — автоматически) + контент может быть физически на каком то S3-хранилище + при просмотре другие пользователи шарят контент с теми кто в этот момент смотрит.Если же автору ролика это не нравится — никто не мешает ему свой сервер поднять.
Еще потенциально уязвимое место — возможна ситуация (trending или там поиск так работает) когда контент отображается под url сервера но реально он совсем не тут (особенность работы федерации, в этом случае контент стримится с исходного сервера и это прям видно в dev tools Chrome).
Ну и если на сервере активно постят ролики что путин — краб… уж наверно автор роликов думал ГДЕ этот сервер расположен и чей именно спецназ может ворваться.
И (например) Cloudflare сервер тоже никто не мешает прикрыть.
nuclight
18.01.2023 21:03А как бы они могли решить проблему? Это социальный вопрос, в чистом P2P/федерации он технически нерешаблен.
vikarti
19.01.2023 09:21Как я понимаю — решение скорее социальное.
- Разработчики Peertube — просто предоставляют инструмент.
- Если кто-то размещает что-то запрещенное И интересное многим то в худшем случае — пострадает один конкретный узел (и при этом вполне может быть что копии всплывут быстро — кнопочка "скачать" по умолчанию доступна, хотя и отключабельно).
- Если размещает что-то условный Дождь — у них весьма вероятно будет свой сервер в такой юрисдикции где фиг достанешь их. Да, можно заблокировать. А можно поднять новый. При этом контент будет искатся и через другие сервера федерации.
А вот требование сделать так чтобы ролики условного Царьграда в поиске по федерации были вышие условного Дождя — а от кого требовать? от разработчиков(ну допустим они это сделают, и документируют — opensource ж, и в changelog опишут)? от админов конкретного экземпляра? так они не смогут (ну и в худшем случае пострадают админы это экземпляра и видимо будет еще один скандал) если сами не программисты да и проще будет в такой ситуации дропнуть федерацию с сервером условного Дождя или условоного Царьграда и запрос формально выполнен :).
M_AJ
19.01.2023 09:40Если размещает что-то условный Дождь — у них весьма вероятно будет свой сервер в такой юрисдикции где фиг достанешь их
Мы же говорим о блокировках других юрисдикций. Просто поднять сайт СМИ на своём сервере можно и без федерации. Смысл в том, чтобы контент можно было распространять внутри периметра.
nuclight
19.01.2023 21:38Кажется, это ответ не на тот вопрос, который был задан, и не в контексте. Напомню:
разработчики вместо решения проблемы как сделать чтобы не было — решают более узкую проблему — как сделать чтобы не было на тех инстансах которым оно даром не надо и при этом не поломать все остальное
Вы ж, собственно, описываете ту самую более узкую. А вопрос - как могла бы быть решена более широкая.
anonym0use
17.01.2023 19:44Как-то законодательство развитых стран дошло до того, что человек имеет право на неприкосновенность частной жизни и тайну переписки
Законодательство дошло а реальная жизнь нет, особенно после Patriotic Act и все подобное в ЕС и других странах.
amartyno
17.01.2023 03:08+3возможным решением будет глобальный переход на какие-то децентрализованные сети, когда нет смысла блокировать какой-то один источник/сайт/сервис/etc
я не про крипту, а больше про что-то типа fediverse, хотя это конечно не настоящая децентрализация, но уже хоть что-то
qw1
17.01.2023 10:07+3Здесь эффективным будет запугивание пользователей таких сетей.
«С вашего IP-адреса поступили противозаконные призывы, поэтому на основании УК NNN мы конфисковываем у вас всю электронику в доме как вещдок до окончания расследования, а сами вы задержаны до выяснения личности настоящих террористов».BIG666
18.01.2023 02:28Уже было такое. Чувака за ноду TOR помариновали в СИЗО (довольно долго), но в итоге дело развалилось и его отпустили.
Beo
18.01.2023 18:35+1Если будут регулярно изымать электронику, год мариновать в СИЗО, а потом отпускать, это нельзя назвать хорошим исходом и торжеством правосудия.
ss-nopol
17.01.2023 12:42глобальный переход на какие-то децентрализованные сети
Децентрализованные физически сети. В крупном городе, можно построить что-то на беспроводных рутерах. В будущем может появится что-то новое, типа нейтринного приёмопередатчика.
qw1
17.01.2023 14:14О да, я тоже мечтал о таких гипотетических устройствах связи, которые могли бы быть связаны в пару, и передавали данные строго между собой, и никто физически не смог бы перехватить или установить факт передачи.
DarkKefir
17.01.2023 03:11Отличный разбор тематики!
Немного в сторону, если позволите:
Что скажете насчет DNSCrypt и GoodByeDPI - я так понимаю тут дело только в доступе к контенту? От слежки это не спасает?
MiraclePtr Автор
17.01.2023 09:03+4DNSCrypt защищает только от совсем уж детсадовских блокировок, когда вам отдают левый адрес в ответ на DNS-запрос или подменяют ответ целиком. GoodbyeDPI использует баги некоторых кустарных механизмов блокировок провайдеров, но против современных ТСПУ он малоэффективен.
ivan386
17.01.2023 14:22-3Мне DoH и DoT в сочитании с некоторым упорством позволяет таки пробить блокировки.
MiraclePtr Автор
18.01.2023 13:53Значит у вашего провайдера ещё не появились ТСПУ (DPI), это ненадолго.
vconst
18.01.2023 13:57+1«Теперь» — надолго
Все деньги идут на другоеAstroscope
18.01.2023 14:01Разве провайдеры не обязаны вот это вот все за свой счет - за те деньги, которые пока что нельзя (пока еще нет формально узаконенного механизма) бесхитростно изъять и непосредственно направить на это самое другое?
vconst
18.01.2023 14:06+1Строгость законов — смягчается… (С)
Оборудование СОРМ тоже должно было быть в обязаловку и за деньги провайдеров. Но часто его «договаривались» купить и поставить — когда прям все, жосткая проверка и не избежать
MiraclePtr Автор
18.01.2023 14:02-1Там вон выше предложили закупать железки и софт у китайцев, благо у них опыта в таких делах больше всех в мире. И расплачиваться можно сразу нефтью, ибо из-за санкций ее внезапно стало столько, что девать некуда.
vconst
18.01.2023 14:04-2Да чего уж там, расплачиваться сразу — ансамблями песни и пляски. Китайцам очень нравятся русски девушки
steanlab
17.01.2023 04:44+3«мыши кололись, плакали, но все равно жрали кактус»
может все-таки релокейт, м? а то что-то эта гонка напоминает сюжет фильма Пии закончится какой-нибудь карательной психиатрией, шарашкой или вообще окопом в Бахмуте
imbalance
17.01.2023 10:16+4Прекрасный совет!
Но как быть тем, у кого есть обстоятельства непреодолимой силы, препятствующие покиданию страны тем или иным способом?
Neikist
17.01.2023 11:32+4Релокейт не для всех прямо сейчас доступен. А для части людей недоступен в принципе. Потому тема вполне важная, хотя бы для тех кто еще какое то время вынужден будет с цензурой жить.
MTyrz
17.01.2023 16:33Тем, кому еще какое-то время придется жить с цензурой, стоит понять, что им придется жить с цензурой. И все более жесткой цензурой. Дело привычное, вон википедия подсказывает, что ему уже порядка тысячи лет.
Neikist
17.01.2023 23:39+1Вопрос в уровне этой цензуры. В нулевых в интернете было достаточно свободно.
MTyrz
18.01.2023 00:29Да, в начале нулевых ее просто не было. И в девяностых, лет пятнадцать прожили без нее.
Я к тому, что обход цензуры — дело весьма вероятностное. Иногда получится, иногда уже не очень. Лучше отдавать себе отчет в том, что рубильник по-любому не у вас, и возвращение в режим «Эрика берет четыре копии» вполне вероятно.
nronnie
17.01.2023 06:13+2Я не сильно глубоко в теме (хотя OpenVPN вполне могу с нуля "руками" настроить), но вот мне интересно, если TLS-VPN идентифицируется путем отправки того или иного HTTP-запроса к серверу, то нельзя ли сам подобный запрос как-то аутентифицировать по клиентскому сертификату, который есть только у меня? Боты РКН будут получать просто 401/403 и все - и пускай тогда гадают что там на самом деле.
может все-таки релокейт, м?
Увы, не всем подходит.
ShadF0x
17.01.2023 08:07V2Ray?
nronnie
17.01.2023 08:32Ну это вроде как вообще не VPN, а какая-то китайсткая тема. Если уж использовать платный VPS, то хотелось бы что-то более стандартное и полноценное.
MiraclePtr Автор
17.01.2023 09:48Да, это не VPN, а прокси. Но из всех существующих технологий, он пока один из самых цензуроустойчивых при правильном применении.
ShadF0x
17.01.2023 12:49Ну это вроде как вообще не VPN
Что мешает пустить VPN внутри Shadowsocks + V2Ray?
MiraclePtr Автор
17.01.2023 09:05но вот мне интересно, если TLS-VPN идентифицируется путем отправки того или иного HTTP-запроса к серверу, то нельзя ли сам подобный запрос как-то аутентифицировать по клиентскому сертификату, который есть только у меня?
Да, я этот вариант упомянул в статье. Правда, сам факт наличия клиентского сертификата, если я правильно помню, стороннему наблюдателю тоже виден, что уже привлекает внимание, и он решает только одну проблему (active probing) из множества описанных. Короче говоря - с этим лучше, чем без этого, это один шаг вперёд, но дальше надо придумывать что-то ещё :)
nronnie
17.01.2023 09:54Ну виден и виден. Может у меня там просто веб-сайт который настроен на "сертификатную" аутентификацию. Я, кстати, сильно сомневаюсь, что он виден потому что челленж по 401 должен, по идее, идти уже по шифрованному TLS соединению.
MiraclePtr Автор
17.01.2023 10:55Даже если оно ходит уже внутри зашифрованного соединения, то размеры пакетов при хендшейке оно все равно раздует и это будет видно. А "чем грозит" - желанием присмотреться к юзеру поближе. Например, проанализировать те же самые fingerprint'ы и все остальное, описанное в статье.
event1
17.01.2023 16:39+3В openVPN есть опция tls-auth, которая добавляет hmac на основе пароля в конец каждого пакета. Сервер отбрасывает все пакеты без валидного hmac в конце
GbrtR
17.01.2023 06:16+5Ещё вариант. Создаём два сервера внутри и три снаружи (все в разных облаках). Все сервера привязаны к нескольким публичным IP, лучше из разных подсеток.
Два внутри, выглядят как невинные веб сервера, предоставляющие услуги обработки картинок. Но они также выступают как и принимающие данные от внешних.
Один сервер снаружи работает как контрольный канал, т.е. на него идут исходящие запросы через ssh или http.
Остальные два (или больше) внешние сервера, работают как воркеры и передают результаты двум (или больше) внутренним серверам.
Т.е. алгоритм такой — на компьютере стоит наш специальный прокси, браузер прозрачно работает через него. При запросе ресурса, прокси передаёт небольшое количество данных на внешний сервер который работает как входящий контрольный канал. Это внешний сервер передаёт запрос на один из воркеров, это воркер исполняет запрос и посылает ответ на один из внутренних серверов. Наш локальный прокси соединён с внутренними серверами и как только на них приходят данные от внешних воркеров, передаёт их браузеру.
Плюс воркеры время от времени передают случайные данные, чтобы не было явных паттернов соответсвия.
Также мы переодически убиваем воркеры. И перезапускаем их, т.е получаем новые облачные IP, так как их у нас два мы не теряем работоспособность в течении перезагрузки.
Итого, на сервер контрольного канала идёт небольшой исходящий трафик, почти что нету входящего.
Соединение к внутренним серверам всегда входящее, т.е. не похожее на паттерн VPN. Эти IP часто меняются. Дополнительный случайный трафик маскирует паттерны использования.
Выглядит как вполне надёжный вариант, для личного использования.
pvsur
17.01.2023 22:58Т.е. распределённый между несколькими серверами канал связи с разделением по времени и по пакетам :) чем больше серверов и хаотичнее алгоритм переключения тем лучше. Тспу с ума сойдёт... Только скорость будет страдать :(
GbrtR
17.01.2023 23:30Да примерно. Скорость будет ок, вот latency чуток просядет. Если каналы между внешними и внутренними серверами будет толстый и так как прокси у нас кастомный, то вполне возможно реализовать начало передачи на внутренние сервера и потом на клиент сразу после получения первых порций данных внешними серверами.
Плюс, я бы добавил ещё оптимизатор картинок (пережимал под лучший размер) и заглушки отдавал на видео. Добавил бы расширение для браузера, если надо оригинальную картинку или видео — в контекстом меню добавил бы пункт «загрузить оригинал».
И агрессивную стратегию кеширования, если на внутреннем сервере есть файл с там же размером и sha256, то используем его, а не передаём заново (даже если домен/имя другое).
Ещё в hosts компьютера файл добавил данные из MVPS HOSTS базы, это бы порезало хорошую часть джанка.
Внутренние сервера являются потенциальной точкой блокировки. На всякий случай надо иметь ещё пару серверов в холодном резерве, т.е. если прекратилась передача от внешних серверов до внутренних, иницируем полный рестарт всех внешних ресурсов (чтобы IP обновить) и коннектимся к холодному резерву. Ну и плюс на внутренних серверах иметь минимум по два публичных IP, т.е. внешние сервера идут только на один из них, а прокси идёт на только другой. Чтобы не было явных связей.
shasoftX
17.01.2023 06:16+5Можно даже попробовать спрятаться за какой-нибудь CDN - не забанят же они весь CDN,
Когда таким образом подумает много человек, то забанят. А потом будут крики почему cdn забанили, они наверное криворукие!
mrkaban
17.01.2023 07:01+1Статья очень интересная и качественная, спасибо. Прям с удовольствием прочитал, но уверен, что блокировки VPN за бугор не будет, так как у госорганов слишком много представительств в других странах, а там свои тонкости и есть те, которые перемещаются, поэтому на разбан адресов по телефону никто не пойдёт. Будут более индивидуальные попытки блокировок, но не запрет VPN протокола за рубеж. Например, у того же МВД есть представительства в Австрии, Израиле, Индонезии, Финляндии, Турции, Тайланде, Франции, Швейцарии, ЮАР, Молдавии, Латвии. Слишком трудно такой белый список вести, особенно если учесть разницу часовых поясов с некоторыми из стран, в которых есть представительства госорганов.
qw1
17.01.2023 10:17Можно стандартизировать протокол VPN и разрешать только соединения, пописанные определённым сертификатом. Сертификаты выдавать строго под контролем, на небольшие периоды времени.
MiraclePtr Автор
17.01.2023 10:52+2Например, у того же МВД есть представительства в Австрии, Израиле, Индонезии, Финляндии, Турции, Тайланде, Франции, Швейцарии, ЮАР, Молдавии, Латвии. Слишком трудно такой белый список вести
А его и не надо вести. В данном случае все работает а обратную сторону: VPN-сервер (не для обхода блокировок, а для доступа в защищенную внутреннюю сеть) ставится где-нибудь в России, и все "представительства" подключаются к нему снаружи. Таким образом фильтрация на них не распространяется, а если распространяется, то достаточно внести в белый список только один конец (сервер в России) и проблема решена.
mrkaban
17.01.2023 10:55но совокупить хотелки всех ведомств к одной точке входа не получится, тогда нужно каждому ведомству свою точку входа.
event1
17.01.2023 16:41+1Тогда и обычные граждане тоже смогут поднять дома VPN и настроить автоподключение из забугорной vps
MiraclePtr Автор
17.01.2023 17:01-1Смогут до тех пор, пока не будут введены белые списки для VPN-протоколов. А когда будут введены - их домашний IP или их "внутренний" VPS в этих списках, в отличие от МВДшного, не окажутся, вот и сказочки конец.
anzay911
17.01.2023 07:55+5В соревновании щита и меча должно быть тяжело бить по тысячам бегающих щитов. Tor, I2P, IoT, если сильно масштабировать, можно израсходовать оперативную память цензора.
Antra
17.01.2023 20:01+1А зачем ?
Перкрыть поступление информации на 100% нереально все равно. Достаточно, чтобы это не было массовым. Ну вот как неким VPN сервисом начинают пользоваться слишком многие - его блокируют. А отдельные фрики чего-то там прочитают - да и пофиг.
Если же начнется бурление - ну введут уголовку за такие обходные маневры. Собственно прецеденты с привлечением за исходящую ноду тора уже были.
stdamit
17.01.2023 08:56-2Давайте просто признаем, что государство фундаментально устарело как концепция. И нужно просто избавиться от него, погрузить всё в анархию.
Допустим, имеется сеть. Допустим, там есть правильные челики, у них птичьки растут, цветочьки поют. Всё чинно благородно. Допустим приходит новый челик и делает сайт с ЦП. Это замечает кто-то правильный с птичками. Пишет жалобу. Нарушителя отключают. Казалось бы, всё збсь. Но. Проходят миллиарды лет, космические корабли бороздят вселенную. И опять приходит новый маргинал и вывешивает уже своё, новое ЦП с собакой и гигантским пауком. И может его фамилия будет даже не Панин.
Что я хочу сказать? Что пользователи - люди. А среди людей бывают маргиналы, любящие ЦП и т. п. и поэтому всех их перебанить невозможно. Новое нежелательное содержимое будет появляться вновь и вновь.
Следовательно - модерация бесполезна. Мы просто загребаем пригоршнями воду из лужи и выливаем в кастрюлю, но кастрюля ржавая и течёт. Плюс еще будет дождь (лол, эвфемизм получился на tvrain, ну да ладно). Следовательно, зачем платить модераторам? Они ж работу не делают ёмана. (рассуждаем логически с позиции толстого наетого директора: за вычистку вирусов админу патлатому уплочено? уплочено. вирусы появились? появились. вывод: патлатый деньги пробухал, вирусы не чистил.)
Правда, некоторое время государству будет больно. Поконяхи с мухтаром там будут натыкаться с банку с рубленными гвоздями и взрывчаткой... и всякое такое. Мухтара порвёт, с десятиминутным наматыванием кишков в DOKA2.
Рано или поздно сеть станет абсолютно немодерируемой. Правило "это интернет детка" должно действовать. И слюнявые школьники с селфхармом должны быть натренированы родителями. А не аноном. Уберите ваших впечатлительных детей от моего небезопасного интернета на██й.
khulster
17.01.2023 11:25+5Рано или поздно сеть станет абсолютно немодерируемой.
Сайты мошенников тоже не банить?
Интернет давно перестал быть площадкой для трепа и котиков. К сожалению сейчас это место, где люди могут потерять свои деньги, причем все. А следовательно люди начинают требовать защитить себя от подобных угроз, со всеми вытекающими.
Так что мой прогноз строго противоположный - количество правил и регулировок в сети будет только увеличиваться, а вместо абсолютно не модерируемой сети мы к сожалению получим "интернет по паспорту".
Cerberuser
17.01.2023 12:05+10Сайты мошенников тоже не банить?
Как бы, по идее, "банить" надо самих мошенников, а не сайты. Но, да, это требует от соответствующих органов заметно больших усилий.
khulster
17.01.2023 12:29+1Как бы, по идее, "банить" надо самих мошенников, а не сайты. Но, да, это требует от соответствующих органов заметно больших усилий.
Не совсем так. Банить мошенников занимает определенное время - нужно собрать материалы, доказательную базу, провести расследование и т.д. Это все время. И это правильно. Но проблема в том, что мошенники зачастую именно этим и пользуются. Пока на них собирается доказательная база, через очередной ресурс выводится сколько успеют, ресурс выбрасывается на помойку.
Поэтому реально эффективный метод - банить по подозрению. Есть жалоба на мошенничество или подозрение в оном? Ресурс блокируется, привязанные к нему счета замораживаются, владельцу уходит запрос с требованием предоставить определенную информацию. И если это false alarm, то в разумное время все разблокируется и работает как раньше. А вот мошенники, позволить себе такую роскошь, как потеря времени не могут - время работает против них.
Поэтому тут у нас два параллельных процесса:
Вычислению и сбор доказательной базы на мошенников
Быстрое предотвращение хищений, путем ограничения доступа к подозрительным ресурсам, пока идет процесс один.
gatoazul
17.01.2023 12:46Почему бы не разделить сети на защищенные и обычные?
qw1
17.01.2023 14:17Потому что сетями управляет государство, а его цель — контроль над гражданами, а не их безопасность.
vikarti
17.01.2023 15:30Куда девать системы для оплаты заказов?
qw1
17.01.2023 15:37Тут скорее вопрос, куда вынести форумы купи-продай, типа «Авито».
Там раздолье для мошенников, но с другой стороны сверх-строгая верификация участников как-то странно будет выглядеть. Хочешь продать старый велосипед — авторизуйся по паспорту?Areso
17.01.2023 17:38+1С одной стороны дико, а с другой:
1) велосипед хоть и старый, но может быть краденый
2) если его предмет продают через интернет, то есть шанс, что предмет будет несколько отличаться от заявленного.
3) если это условный айфон, есть шанс, что покупатель повертит его в руках, и откажется - мол, коцанный - успев поменяв айфон продавца на заранее заготовленную реплику.
Тут, увы, слишком много переменных, где может пойти что-то не так, и концы в воду.
khulster
17.01.2023 17:56+1Хочешь продать старый велосипед — авторизуйся по паспорту?
Нет, в принципе, если хочешь зайти в сети - авторизуйся по паспорту. Трафик на заглушку провайдера с требованием ввода разового кода полученного на госуслугах, как вариант. Мобильный интернет и так де-факто по паспорту у нас.
Тут, увы, слишком много переменных, где может пойти что-то не так, и концы в воду.
Если уже говорить о разделении сети на А и Б, то все операции с финансами логично принудительно размещать только в защищенном сегменте.
Но в целом, проблем и тонкостей действительно настолько много, а выгоды для инициатора данного регулирования нет совсем, следовательно, никто ничего делить по сортам не станет. Рубанут сразу и все.
qw1
17.01.2023 18:36Нет, в принципе, если хочешь зайти в сети — авторизуйся по паспорту
У провайдера и так все авторизованы. Но существуют прокси-сервера и всякие скрытые сети. Если под «зайти в сети» имеется ввиду vk или avito, там уже по сим-карте.
gatoazul
17.01.2023 20:42Оплаты, разумеется, в защищенные. Посмотрите на оффлайновый аналог - банкноты защищены, объявления на улице - нет.
vikarti
18.01.2023 10:32А оплату смайликов во вконтакте? Или книжек на Author.Today? Или подписки на яндекс плюс?
Оплату стараются же интегрировать в сайт.
К защищенной части у нас как доступ вообще? это тот же физический канал? тот же браузер? незащищенная страница может иметь iframe c защищенной? а редирект из незащищенной на защищенную как?
Вообще в чем главные отличия защищенной — в том что обязательная надежная идентификация пользователя? А насколько надежная? Проверенный аккаунт госуслуг? Любой аккаунт госуслуг? ЕБС?Кстати если любая оплата — в защищенную — например (потому что они не одни такие) киви куда? С их кучей уровней аккаунтов и возможностью на низшем уровне — иметь просто по номеру телефона аккаунт а на чуть более высоком — по паспортным данным (не фото даже)
MAXH0
17.01.2023 12:10+1Анархия - это не про отсутствие управления. Это про управление в условиях отсутствия архонтов имеющих лицензию решать за других. Коммюнити правильных челиков вполне могут поставить для себя фильтр, чтобы не видеть взаимодействия собак с арахнидами. И даже пропагандировать подобный фильтр. НО не навязывать.
qw1
17.01.2023 14:21Нет средств, гарантирующих отсутствия принуждения в таких сообществах.
Экономическое принуждение скорее всего будет: если сообщества настолько сильны, их члены сильно вложились, и выход будет так же затратен, как переезд в другую страну.
То есть, в пределе получаем те же государства.
vikarti
17.01.2023 15:28С одной стороны — логичное решение: дать возможность пользователю настраивать что ему не надо. Как на клиентском железе (продвинутый аналог антивируса с вебфильтром которые просто лезет везде в процессы) так и на уровне сервисов (продвинутый аналог семейных режимов поиска). И списки от разных групп.
С другой стороны — это уже существует и используется корпорациями но сложно в настройке И дорого (вот Astaro Security Gateway был для пользователей домашних и где он).С третьей — есть люди которые считают что они имеют право другим настраивать фильтрацию и при этом даже если по закону у них такое право есть — мнение тех кому так ставят фильтрацию может быть иным. (К тому что родители для детей фильтры ставят обычно нормально относятся и есть рынок, к тому что этот же софт стоит по библиотекам — уже нет, к тому что госструктуры хотят фильтры для всех — обычно мало кому нравится). А еще ведь есть и авторы фильтруемого контента которым это не нравится. (Потому что это может быть как Дождь так и РенТВ так и например спам и откровенное мошенничество)
event1
17.01.2023 16:46+2Давайте просто признаем, что государство фундаментально устарело как концепция. И нужно просто избавиться от него, погрузить всё в анархию
Давайте, нет.
Что я хочу сказать? Что пользователи - люди. А среди людей бывают маргиналы, любящие ЦП и т. п. и поэтому всех их перебанить невозможно. Новое нежелательное содержимое будет появляться вновь и вновь.
...
Следовательно - модерация бесполезна ...
Что я хочу сказать? Что люди, это люди. Среди людей бывают насильники и убийцы. Всех их пересажать не возможно. Новые убийцы и насильники будут появляться вновь и вновь. Следовательно — милиция, суды и уголовное право бесполезны.
nuclight
18.01.2023 21:48Давайте просто признаем, что государство фундаментально устарело как концепция. И нужно просто избавиться от него, погрузить всё в анархию.
Глупость, причем вредная, чреватая миллионами жизней.
Следовательно - модерация бесполезна
Точно, мыть посуду тоже не надо, как и подтираться.
Рано или поздно сеть станет абсолютно немодерируемой. Правило "это интернет детка" должно действовать.
Кому должно? С чего станет? Влажные фантазии не доросших до взрослой жизни.
stdamit
19.01.2023 16:45Владеет спайсом тот, кто может уничтожить спайс.
Посмотрим как РКН запоёт если народ тупо перестанет пользоваться сетью. Там дотации от государства не помогут, придётся мигом на авито выдумывать способы как поднять рентабельность своей организации.
MAXH0
17.01.2023 09:45+14Когда то, когда этот тренд только начинался я писал статью Пожар и гики.
Это не про техническую часть, это про то, что социальные проблемы не имеют технических решений. Нужен социум. Коммюнити. Нужны эксперты, отбирающие решения. Техники, их распространяющие. Технические писатели пишущие тексты для пользователей. Масса школоты запускающих шифрование и создающих информационный шум, просто для того, чтобы трудно было выделить немногих занимающихся делом. Нужны ресурсы для привлечения пользователей (да, пиратские). И их лицензирование. Чтобы люди туда заходящие за горшочком мёда не попали в ловушку.Господа, у нас было 10 лет, за которые мы НИЧЕГО не сделали. Мы собирали донаты кому угодно, только не на свою свободу и безопасность.
Обидно... Но такова жизнь.
CrushBy
17.01.2023 09:47+2Технически все конечно верно, но все-таки важно понимать, что вариантом 0 воспользуется (может воспользоваться) условно 1% населения. Вариантом 1 - 0.1%, 2 - 0.01%. Так вот государству нафиг не упали эти 0.0...01%. Ну будут они ходить на свои "запрещенные" сайты. Никакой угрозы в таком количестве они не представляют. Стратегически/экономически бороться с ними дороже, чем просто забить.
С обходом блокировок - как в том анекдоте, что не нужно бежать быстрее медведя, а нужно бежать быстрее того, кто бежит рядом.
MiraclePtr Автор
17.01.2023 09:54Тут достаточно посмотреть, как оно все развивалось в Китае - когда почикают простые варианты, население с них рано или поздно переползает на более сложные, пусть не сами, а с помощью советов из интернета и от опытных товарищей, и рано или поздно цензоры примутся и за них. Так что всегда стоит быть не на один, а на несколько шагов вперёди - съев того, кто бежит рядом, медведь все равно может остаться голодным :)
Asparagales
17.01.2023 10:45В Китае без проблем можно использовать обычные публичные VPN-сервисы, включая бесплатные. В этом легко убедиться, если зайти в Ютуб/Инстаграм и посмотреть видосики и фоточки от иностранных студентов/экспатов, обучающихся или работающих в Китае. Они сами говорят, что используют обычные VPN для доступа к западным соцетям, а вовсе на какие-то изощренные средства.
И для китайских властей это не проблема; кому по каким-либо причинам нужен доступ к заблокированным ресурсам, могут легко получить его, большинство же китайцев просто не нуждаются в этом. Потому что у китайцев все свое - свой китайский ютуб, фейсбук, гугл, инстаграм и даже китайский тик-ток. В западных соцсетях мало контента на китайском, а иностранными языками китайцы владеют плохо. Однажды мне попалось видео, снятое иностранцами, которые общались с местными. Китайцы спросили, в какую соцсеть пойдет это видео, им ответили что в Ютуб. На что 20-летние китайцы, чрезвычайно удивившись спросили "а что такое Ютуб?"
когда почикают простые варианты, население с них рано или поздно переползает на более сложные
Не хочу выглядеть снобом, но по моему мнению, 97 - 98% населения не осилят ничего сложнее, чем случай когда нужно просто скачать и запусить какую-то программку и нажать на кнопку, как в случаях с публичными VPN, Tor-браузером илиили расширением в браузере.
NiPh
17.01.2023 11:39+2В целом вы как бы правы, и наверное самые упертые потребители смогут это сделать. Но на практике во время визитов в Китай Ютуб лично я переставал смотреть очень быстро, потому что его работа непредсказуема. Он может работать день-два, а потом перестать. Может просесть до 144p. Может начать работать в VPN, а может не начать. Да, если есть цель посмотреть конкретное видео сторонними средствами - можно это сделать, но тут мы снова утыкаемся в то что "легко и непринужденно воспользоваться youtube-dl c докачкой" могут не все, да и нет в этом особого смысла, если говорить чисто про развлекательный контент. А в итоге перестаёшь туда вообще ходить, за любым контентом, что и требовалось. Instagram - примерно то же самое, оставляешь телефон с приложением, и может он загрузит твои фотки и подтянет ленту во время ужина, а может и нет.
Это мой личный опыт по использованию сервисов в Шеньчжене пятилетней давности, возможно всё уже изменилось.
izogfif
17.01.2023 11:54+2используют обычные VPN для доступа к западным соцетям
Это в обычное время. Когда бывают съезды компартии, тогда на Великом Китайском Файрволле нажимают кнопку и все эти VPN блокируются. Когда съезд закончится, кнопку нажимают еще раз, и VPN опять работает.
Arhammon
17.01.2023 10:55Насколько я понимаю, китайский интернет практически родился под цензурой, контент там практически весь свой и вопрос - что лучше "Яндекс" или Гугл, "Однокласники или Фейсбук, "Рутуб" или Ютуб, просто не стоит... и соответственно параллели с Китаем довольно натянутые.
vconst
17.01.2023 12:24Тут достаточно посмотреть, как оно все развивалось в Китае
Нет смысла вспоминать — «как оно в Китае».
Тут тупо никто не даст роскомпозору столько бабла, чтобы оно заработало «как в Китае». Никогда в жизни. И денег на квалифицированных специалистов у них нет
Ndochp
18.01.2023 12:31+1Так можно заплатить китайцам и развернуть "коробочное" решение с собственными настройками и обновлением, а не разрабатывать с нуля.
vconst
18.01.2023 12:40Ейб-гу, правда так сложно прочитать дальше первой строчки?
Тут тупо никто не даст роскомпозору столько бабла
Ndochp
18.01.2023 13:13+1Бабла, что дадут на разработку не хватит, а на "коробку" — на мой взгляд вполне.
vconst
18.01.2023 13:33Только купят они не дорогу и оригинальную разработку китайских спецов, а оем нонейм роутер с али, роскомпозорные студенты накатят туда openwrt и зальют список айпишников — как уже было
Astroscope
18.01.2023 13:45Выглядит как полноценный бизнес-план с распилом и откатом - т.е. как нечто намного более чем просто очень вероятное.
MiraclePtr Автор
18.01.2023 13:48+1TpLink'овский роутер с кастомной OpenWrt прошивкой у них был не для осуществления блокировок, а для проверки того, что эти блокировки осуществляются как надо. Для такой задачи - это вполне недорогое и рабочее решение.
vconst
18.01.2023 13:50+1Ну да, только они продавали его провайдерам, добровольно-принудительно, за олимпиард рублей, ибо «отечественная супер-разработка»
Gryphon88
18.01.2023 14:05В госучреждениях странные отношения с коробками: могут дать денег на коробку, но не дать на инфраструктуру или обучение/сопровождение/эксплуатацию/развитие. Чтобы потом купить новую коробку, побольше. Сколько раз с медоборудованием проходил…
Ndochp
19.01.2023 00:08+1Ну то есть бабла не просто нет на коробку, его есть на две коробки. ЧТД
(в госах вообще много удивительного, но оно ползет к лучшему. Наблюдал в одном гос гараже:
- Машина сломалась, денег на ремонт нет, на бензин есть, но перебрасывать нельзя. На следующий год в бюджет заложили ремонт, но срезали бензин с формулировкой "в прошлом году денег давали, вы не потратили. Значит в следующем дадим столько, сколько потратили в прошлом"
- Через время разрешили перебрасывать деньги между всеми расходниками, то есть на бензоденьги можно купить запчасти. Но не услуги по ремонту. Так что опять сломанная машина стоит в гараже.)
HiLander
17.01.2023 10:25-5Господа, давайте взглянем на проблему со стороны товарища майора. Вот выявил некий детектор ваши хождения #кудатонетуда и что? Наркотики вы продаете? Или оружие? Или денюжку Бен-Ладону шлете? Не-а... Максимум почитываете новостные ленты потенциального противника и тихонько морально разлагаетесь. А таких миллиарда 3 наберется. И какой прок вас всех крепить?
Позакрывать и не пущать, оно, конечно, можно, но тогда все упомянутые выше категории реальных какашек уползут на что-то более технологичное или вообще начнут почтовых голубей слать и детектить их тогда будет принципиально сложнее (там-то с бюджетами все хорошо-хорошо).
Вывод: пока вы не залезли в какое-то реальное гуано, имеется ненулевой (ниже статистической погрешности) шанс что кто-то сделает на вас показатель. Для галочки. Но тут можно и просто на улице кошелек "найти". Или вас машина собьет (вероятность в разы выше). В остальном, вы с вашими ВПН-чиками в полном шоколаде.
"Если у вас паранойя, это не значит что за вами не следят. "
П.С. насчет криворукости и малобюджетности есть мнение что там тоже работают люди которые тоже используют соответствующие ресурсы по назначению. В этом может быть (ИМХО) причина длительных и безуспешных блокировок рутрекера, например....
MiraclePtr Автор
17.01.2023 10:48+5Опять же, никто не ведёт речь про "посадить всех", все проще. Есть проблема: граждане не хотят слушать Соловьева, а вместо этого слушают всяких там иноагентов, используя средства обхода блокировок. Не нужно сажать всех, достаточно из этой массы выбрать несколько рандомных людей и возбудить дела на них, громко и показательно, как это сделали в Иране. Ну и потом ещё по паре человек раз в годик, чтоб не расслаблялись. И после этого желание заниматься подобным у многих граждан резко поубавится - не каждый хочет проверять на практике свою неуловимость и удачливость, когда в перспективе маячит небо в клеточку и швабра.
HiLander
17.01.2023 12:47-2Вы переоцениваете действие Соловьева и Ко на нормальный мозг, тренированный СССР-овскими "союз нерушимый" и "Я врач псЫхотераПэвт" 90-х в совокупности с "Куплю жене сапоги" )))
Все паттерны промывания мозгов весьма очевидны и вычленяются из "адекватных" новостей на ура (написать что ли антивирус для мозга на досуге?). Было бы из чего вычленять (с этим сейчас трудно, да).
Касаемо возбуждать дела на кого-то из массы... Тут как раз вопрос про "Галочку" и теорию вероятности. Опять же, не забываем о том что у исполнителя на местах всегда есть пара-тройка "ходячих по мозолям" закрыть которых по формальным признакам сам бог велел. И до обывателя очередь к Колыме дойдет, примерно как очередь на получение квартиры в СССР. Теоретически возможно, но практически надо сильно постараться...
Принцип "был бы человек, статья найдется" к сожалению, относится ко всем государственным образованиям вне зависимости от формы правления или языка общения...
Nnnnoooo
17.01.2023 14:09+9Вы переоцениваете действие Соловьева и Ко на нормальный мозг, тренированный СССР-овскими "союз нерушимый" и "Я врач псЫхотераПэвт" 90-х в совокупности с "Куплю жене сапоги" )))
Вы похоже как раз недооцениваете :))))
Люди хотят обманываться, поэтому любая такая тупая на первый взгляд пропаганда, так хорошо и работает. Она как раз такая тупая чтобы работать как можно для большего количества населения. Для оставшихся процентов всегда будут свои, "типа умные" и "не такие" пропагандисты.
event1
17.01.2023 16:54-3Есть проблема: граждане не хотят слушать Соловьева, а вместо этого слушают всяких там иноагентов, используя средства обхода блокировок.
Если не хотят слушать Соловьёва просто не ходят на его канал, нет? Речь про насильное прослушивание Соловьёва вроде, пока, не идёт. Иноагенты тоже, на сколько я слышал, вполне доступны. Только с дебильной плашкой "Я — ИНОАГЕНТ". Во всяком случае, я такие плашки вижу в некоторых каналах в телеге, что как бы намекает, что в России они доступны.
MiraclePtr Автор
17.01.2023 17:02+2Не надо душнить, а. Вы как будто не в России живёте. Довольно много "иноагентских" сайтов именно что забанены Роскомнадзором по разным формальным причинам.
event1
17.01.2023 17:23-7Я действительно не живу (и более того, никогда не жил) в России.
Довольно много "иноагентских" сайтов именно что забанены Роскомнадзором по разным формальным причинам.
Если 10% банят а 90% остаются, то логично предположить, что забаненые перешли некую черту, которую переходить не стоило и дело не в иноагентстве самом по себе.
gatoazul
17.01.2023 13:00+3И какой прок вас всех крепить?
Отвечает Рэй Брэдбери:
Тревожное ожидание. Улица в перспективе. Вот сейчас какой-нибудь бедняга выйдет на прогулку. Какой-нибудь чудак, оригинал. Не думайте, что полиция не знает привычек таких чудаков, которые любят гулять на рассвете, просто так, без всяких причин, или потому, что страдают бессонницей. Полиция следит за ними месяцы, годы. Никогда не знаешь, когда и как это может пригодиться. А сегодня, оказывается, это очень кстати. Сегодня это просто спасает положение.
Vindicar
17.01.2023 10:30Я не думаю, что Роскомнадзор будет заморачиваться с хитрыми эвристиками.
Будут банить "в ручном режиме", а когда припрёт - обрубят кабель (физически, логически или законодательно), и вся недолга.
Так что особенно выкручивать не потребуется - поначалу и так будет работать, а потом - никак не будет работать. Если уж готовиться, то к этом сценарию.
Dimozavrik
17.01.2023 11:46+3Мне кажется все придёт просто к белым спискам, хотите чтобы ваш ресурс был доступен - пожалуйста заявление в компетентные органы, срок рассмотрения 30 дней.
terraplane
17.01.2023 11:47+1Проще цензоров транклюкировать, чем бороться с вот этим вот всем.
MAXH0
17.01.2023 12:00+5не проще.
Для этого нужно: организация, обеспечить членов организации транклюкаторами, убедиться, что члены организации остановятся на цензорах, а не начнут превращать в кактусы обычных граждан.А то помнится царя сбросили, а закончилось всё И.В.С.
nuclight
18.01.2023 22:05Так ведь и хорошо закончилось - мы обязаны этому всеми нынешними (а не появились бы через век) технологиями.
Vobraz
17.01.2023 11:58Спасибо за доступное объяснение блокировок и способов обхода
Интересно, а на каком этапе здесь находится Tor?MiraclePtr Автор
17.01.2023 12:07С ним все сложно. Простой Tor режется быстро и легко, потому что адреса всех guard nodes (к которым подключаются клиенты) опубликованы в общей базе в открытом доступе.
Есть более хитрый вариант доступа к Tor через так называемые мосты (bridges), подключение к которым обфусцировано. Они пока много где работают, но тут первая проблема в том, что они выглядят как "непонятные протоколы", и рано или поздно может случится "тут какой-то явно зашифрованный веб-трафик бегает, давайте его порежем на всякий случай", а во-вторых, адреса бриджей откуда-то надо брать - там, где их берут обычные пользователи (веб-сайт Tor, емайл-бот, Телеграм), там же их могут взять цензоры и забанить нафиг. У меня так РКН прихлопнул два бриджа, причем не только порты, но целиком их айтишники. Поэтому бриджи должны быть персональные и секретные.
Ещё есть такая штука как Snowflake, когда подключения к Tor идут через промежуточные прокси поверх WebRTC. Там слабым звеном является во-первых центральный брокер (он работает до тех пор, пока возможен domain fronting), а во-вторых, даже такие подключения цензоры иногда умудряются выявлять и блокировать разными способами.
penetration
17.01.2023 12:15+1Вы указали сайт tlsfingerprint.io, можете эту ссылку вынести под, что-то типо «Проверьте свой отпечаток», чтобы обогащать базу отпечатков. В статье много отсылок, ссылка не выделяется. Спасибо.
gatoazul
17.01.2023 20:38-1Они собирают отпечатки из кампуса университета. "Проверить свой отпечаток" что-то я там не вижу.
Astroscope
17.01.2023 14:50Почему все пишут про попытки технического обхода блокировок - когда успешные, когда не очень, вместо административной отмены блокировок в принципе? Это не политический комментарий в смысле призыва к чему-то или против чего-то, а просто вопрос без скрытого подтекста. Ведь проще отменить блокировки, чем с бороться с ними и одновременно оплачивать их усиление из собственных налогов.
zlat_zlat
17.01.2023 15:00+2Наверное, потому, что блокировки устанавливаются не голосованием на хабре, где притом половина комментаторов "а я умненький технарь, для себя сделаю вот это и вон то и мне нипочём". Поэтому ваше "проще" звучит прямо как "не проще ли отменить преступников, чем с ними бороться"? В каком смысле проще, если не секрет - в теоретическом?
Astroscope
17.01.2023 15:51За введение и дальнейшее усиление блокировок ответственны четко известные люди, занимающие четко известные должности. Эти должности либо выборные непосредственно (депутаты, президенты и т.д.), либо на эти должности назначают те, кого выбрали, т.е. выборные опосредовано. Преступники же неизвестны до тех пор, пока совершенное ими преступление не будет раскрыто, а вина - доказана. А если преступление не совершено, то нет (пока что) и преступников. Мне кажется, что вы непредумышленно, не злонамеренно использовали демагогический прием с подменой понятий и ложной аналогией, сами на него и попавшись. Могу ошибаться, простите.
zlat_zlat
17.01.2023 16:50+2Очень много слов, и очень мало по сути: какие "более простые действия" мне предпринять, чтобы блокировки отменили? Переизбрать президента и правительство?
Astroscope
17.01.2023 17:20-1Очень много слов, и очень мало по сути
Простите, я не имею ни права, ни желания, переставлять за вас ноги - ваш путь вы должны пройти сами. Это в общем. А в частности не просите меня уходить так далеко от комментирования статьи, что это нарушит и писанные, и неписанные правила Хабра. Мой изначальный комментарий был по сути статьи - обход блокировок, покуда возможен, суть тупик, тогда как решение носит не технический, но чисто административный характер. Используйте это решение вместо увлекательной, но гарантировано проигрышной игры в "ах, вы так, тогда мы вот так".
Переизбрать президента и правительство?
Это один из наиболее очевидных способов. Вы, кстати, его пробовали? Известны неединичные случаи, когда при формальной демократии и формально существующем выборном праве власть фактически захватывается и удерживается единоличным правителем, опирающимся на коррумпированных сподвижников. Тогда люди выходят на улицы и выгоняют зарвавшегося диктатора. Дальше вероятна либерализация и отмена блокировок вместо дальнейшего усиления блокировок и введения сначала административной, а потом и уголовной ответственности за их обход. Это, кстати, вполне реалистичный сценарий - сажать тех, кого удастся (или кого скажут) поймать для устрашения всех остальных.
Belibak
17.01.2023 22:54+1А.. Ну да. Ведь проще организовать недовольных людей для свержения правителя и коррумпированных прихвостней, чем технически обойти блокировки, которые соорудили полтора каллеки за оплату 300$ в месяц.
В стране, где большАя часть верит в "непогрешимость" "солнцеликого".
MiraclePtr Автор
17.01.2023 23:20+4Тогда люди выходят на улицы и выгоняют зарвавшегося диктатора.
Буквально пару дней назад попался прекрасный комментарий на эту тему:
...В современной истории нет случаев, когда тоталитарный или жёсткий авторитарный режим менялся только из-за протестов граждан. Во всех случаях, когда подобное случалось, обязательным условием был переход на сторону оппозиции полиции, либо военных, либо ещё каких-либо обладающих реальной властью сил - людей на улицах (даже с коктейлями молотова) недостаточно. В России ни первое, ни второе, ни третье в настоящее время невозможно. Лет 10 назад ещё возможно было, теперь время упущено. А что происходит с гражданскими протестами там, где описанное выше условие не выполняется, можно прекрасно увидеть на примере Беларуси и Ирана: власть просто топит протест в крови не считаясь ни с чем, и в итоге ничего не меняется.
nuclight
18.01.2023 22:11Есть такое дело, что после войн образуется множество людей с оружием на рукой. Ну вот после Первой Мировой, например.
BIG666
18.01.2023 02:57+1люди выходят на улицы и выгоняют зарвавшегося диктатора
Поделитесь своим опытом свержения диктаторов в России
vconst
18.01.2023 12:34+7Тогда люди выходят на улицы и выгоняют зарвавшегося диктатора.
Беларусь просто утопили в крови и пересажали всех, кто «шаг в сторону»
Здесь крови пока еще не очень много, но количество политзаключенных уже рекордное. Хотите выйти? Чтобы избивать потом омоновцем своими почками, а потом падать в обезьяннике на шокер в стиле «и так 30 раз подряд»? А потом запытать самого себя до смерти уже в тюрьме?
Увы, диктатуры живут десятилетиями, карательные механизмы подавления протестов — давно отлажены. Потому говногвардии не видно на войне — она нужна здесь, чтобы разгонять дубинками всех, кто хоть пустой листок покажет. А кто не просто листок покажет — того в штрафбатAstroscope
18.01.2023 13:20+3Я вас
по традициипо сути и по форме плюсую, хотя с вашим каментом согласен лишь более чем отчасти и имею немало что возразить. Но, буду честен, у меня имеется фобия - не знаю, как она называется по-научному, когда человек боится, что его каменты на Хабре похитит НЛО. Этот подспудный, неконтролируемый страх заставляет меня молчать.vconst
18.01.2023 13:36+3Это называется «Fear of alien abduction» :)
AlchemistDark
19.01.2023 20:55+1Вы, очевидно, не из России или Белоруссии раз плохо понимаете что такое узурпация власти и полицейское государство.
event1
17.01.2023 16:59Так это же надо встать с дивана, создать крупную сильную организацию, вести какой-никакой диалог с чиновниками/депутатами/силовиками. Агитацию в массах проводить, проводить опять же. Для нашего брата неподъёмная ноша.
MiraclePtr Автор
17.01.2023 17:09+1вести какой-никакой диалог с чиновниками/депутатами/силовиками.
Напомнило какой-то старый мемчик (картинку найти не могу, увы), где человек задвигает что-то про свои права, а его собеседник (бугай в два раз выше ростом) в ответ просто не задумываясь бьёт ему в голову.
event1
17.01.2023 17:36Сначала надо создать организацию, а потом вести диалог.
MiraclePtr Автор
17.01.2023 23:32+3Одни, помнится, в России создали организацию, которая даже пользовалась широкой поддержкой граждан, пытались добиться диалога, активно проводили агитацию, а в итоге их лидера сначала чуть не убили, а потом посадили вместе с рядом других активистов, организацию признали экстремистской и запретили, и остальные товарищи вынуждены были эвакуироваться кто куда чтобы их тоже не засадили.
Так план "создать крупную и сильную организацию, вести диалог, проводить агитацию" - отличный, надёжный как швейцарские часы.
vconst
18.01.2023 12:35Синие ведерки?
Areso
18.01.2023 13:02+1Как ФБР, только последняя буква не Р.
У них даже посты на Хабре были, но потом выпилили.
vconst
18.01.2023 13:36+1Слишком сложный намек ((
M_AJ
18.01.2023 15:23+4Первое слово в названии организации "фонд", руководил ей человек, известный как "этот господин", "упомянутый гражданин", "различный активист", "политический проходимец", "человек которого суд неоднократно признавал преступником" и "блогер Лёша".
nuclight
18.01.2023 22:13-2Это НБП, что ли? Широкой поддержкой они не пользовались. Подвальный тем более.
MiraclePtr Автор
18.01.2023 22:51Ну уж точно не НБП, этих фриков в приличном обществе даже вспоминать как-то не удобно. Но окей, давайте даже согласимся, что поддержка была "небольшая". Большой поддержи у вас самого начала по щелчку пальцев быть не может, она может только расти от "небольшой" к "большой". И пример выше - прекрасная демонстрация, что даже объединения с "небольшой" поддержкой в авторитарном режиме просто задушат на корню от греха подальше, и до "большой" поддержки дело даже не дойдет.
nuclight
19.01.2023 01:23В приличном обществе вспоминать неудобно как раз Анального, который не просто постоянно врал, начиная с выборов мэра, но и не смог построить организацию, которая смогла бы существовать сама, без лидера - как только его закрыли, всё очень быстро развалилось. А те ребята что-то могли, не даром их запретили быстро - значит представляли реальную угрозу.
Что же касается поддержки, которая смогла бы стать большой - для этого нужны соответствующие исторические условия, о чем говорили те же большевики, численность которых на начало 1917 составляла около 24 тыс. человек - капля в море (население РИ было больше РФ сейчас). Если это отвечает чаяниям масс - пробьются, как в 1917; если же нет, как у коррупшенфюрера - она попросту не сможет расти до большой сама, не на чем.
Astroscope
17.01.2023 17:33+3Так это же надо встать с дивана
Задача практически непосильная, можно дальше и не продолжать, но для единичных исключиений, пожалуй, стóит.
Агитацию в массах проводить, проводить опять же.
Агитация обхода блокировок - это агитация заметания мусора под ковер. Казалось бы, благое дело - и в известной степени так и есть. Но в реальности это ловушка. В реальности борцам с блокировками позволяют (пока что) спустить пар и повоображать себя умными, тогда как на самом деле их просто уводят от root-проблемы к маловажным частностям. Просто замыливание глаз тем, кто иначе был бы в состоянии, в отличие от среднестатистического электората, увидеть суть. Как видим по комментариям совсем неглупых людей, замыливание успешное.
Я не хочу сказать, что не следует бороться с блокировками - следует. Я лишь хочу сказать, что не следует попадаться в ловушку, когда сиюминутная победа над блокировками означает растрату всех ресурсов на ложнцю цель и стратегическое поражение в целом.
event1
17.01.2023 17:39+1Агитация обхода блокировок - это агитация заметания мусора под ковер
Я имею ввиду агитацию против блокировок вообще. Потому что, не удастся отказаться или серьёзно ограничить блокировки пока граждане в массе поддерживают их.
realevil
17.01.2023 15:13+7Мне кажется, уже на третьем пункте можно прийти к заключению о том, что цели ради которых ты начинаешь заморачиваться всем этим техническим стаффом чаще всего таковы, что надо брать в руки оружие и цензурировать "цензоров", а не заниматься так называемой "адаптацией", тем более, что в рамках упомянутой в конце статьи "монополии на насилие" у террористической власти хоть Китая, хоть Туркменистана (*список стран с диктатурой и узурпированной властью) вся "адаптация" заканчивается фигой в кармане. Террористическая власть просто отнимет у вас девайсы вместе с "интернетом".
Чего я пока не могу понять, и что разочаровывало меня все эти годы на хабре: почему люди так упорно отводят глаза в сторону от логического заключения очевидных вещей.anonym0use
17.01.2023 20:34+4> надо брать в руки оружие и цензурировать «цензоров»
Очень опасно и сложно, лучше живому и здоровому городить «домик» из проксей, чем помереть в неравной схватке с людоедами во имя всеобщего блага, логика примерно такая, а в остальном все всё понимают.
Вот когда совсем припрет, что то вроде продовольственного кризиса, когда станет все равно будешь завтра жить или нет, тогда можно будет увидеть что то интересное, но такой ситуации узурпаторы стараются не допускать.
gatoazul
17.01.2023 20:41+3Для политических действий нужно объединение, а РФ - страна атомизированных одиночек. Результат отрицания любых форм коллективизма после СССР. Поэтому городить в одиночку прокси - реально единственная стратегия, других просто нет (кроме как смириться).
vconst
18.01.2023 12:36+2Такое впечатление, что все забыли, как «успешно» свергли Лукашенко
Ndochp
18.01.2023 13:18Ну собственно для любого свержения нужна организация и ресурсы.
Как тут правильно заметили, при сильной сколь угодно диктаторской власти создать такую организацию внутри не реально. Значит это будет организация, финансируемая извне, с находящейся за рубежом значительной частью актива. Такие свержения/восстания, и то, чаще с вмешательством зарубежных активистов (например Ливия, Сирия) еще возможны.
Без иностранных ресурсов и интересантов возможны только дворцовые перевороты, когда в качестве ресурсной организации используется существующая армия или полиция.
Astroscope
18.01.2023 13:37+1В соседней Украине вполне успешно избавились от своего "легитимного", или как он там назывался.
vconst
18.01.2023 13:39+2Я бы не назвал это словом «успешно»…
Astroscope
18.01.2023 14:43Я бы не назвал это словом «успешно»…
Люди на Украине перестали бояться.
vconst
18.01.2023 14:58+2Таки — там не было авторитарной диктатуры с карательными внутренними армиями
Nnnnoooo
18.01.2023 21:44+2у-у-у-у-у… не хочу расстраивать, но они были и по факту многие остались на своих местах. и отморозки были точно такие же. дуболомы нужны любой власти. Да многое поменялось, но явно не все. Многие из дуболомов не только не лишились своих званий а пошли на повышение.
Надо понимать, что большая часть ментовских верхов очень хитрожопые и всегда стараются усидеть при любой власти. И если бы сопротивление граждан на Майдане не было настолько жестким, то дуболомы продолжили бы жестить ибо знали что ничего им не будет. Вообще-то они и жестили, но получив местами хороших таких люлей стали поаккуратнее. Надо понимать что они уж очень сцыкливые, могут только толпой на безоружного, а когда есть хоть шанс ответа сразу сливаются. Т.е. не было бы активного сопротивления на Майдане то "легитимный" гарантированно бы был при власти и ничего бы не поменялось.Я помню протесты в Белоруси — там же чуть ли главный девиз был — у нас МИРНЫЕ протесты. Мы не такие как в Украине, мы цивилизованные. Только вот, к сожалению, цивилизованные и мирные методы против моральных уродов и дуболомов не работают. Для них это джекпот в плане выявления недовольный и для повышения скила сафари на гражданских.
Neikist
19.01.2023 00:23+1Ну в Иране протесты трудно назвать мирными. Нифига не вышло, все равно задавили, неслабой кровью.
AlchemistDark
19.01.2023 21:11+1Сколько бы людей не вышло на протесты, но против, например, автоматического оружия, они бессильны. А у нас его полиция носит пусть и не регулярно, но вполне штатно. Не говоря уже про всякую Россгвардию, которая его как раз носит штатно. В Россгвардию у нас, кстати, распределяют не только контрактников, но и призывников, так что численность у неё должна быть не маленькая.
Cerberuser
18.01.2023 14:50+1От своего - успешно. Сейчас им проблему создаёт "чужой" (относительно них).
MiraclePtr Автор
18.01.2023 13:56+3в Украине не было авторитарного режима, а вот в Беларуси - был.
Astroscope
18.01.2023 14:13в Украине не было авторитарного режима
Если придираться к нюансам, то наверное вы правы - на Украине до полноценного авторитарного режима просто не хватило терпения народа. А ведь успех был так близок.
а вот в Беларуси - был
То есть сейчас уже нет, да?
vconst
18.01.2023 14:23Встречный вопрос: а здесь — нет?
Astroscope
18.01.2023 14:48Встречный вопрос: а здесь — нет?
То, что для одного "здесь", для другого - вполне себе "там".
vconst
18.01.2023 15:00+2Конкретно здесь и сейчас, в этой самой России — авторитарная диктатура. И это не антисоветская пропаганда от врагов народа, достаточно просто открыть страничку в вики на эту тему и… И не найти отличий
Astroscope
18.01.2023 15:18+1достаточно просто открыть страничку в вики
Заблокировать, срочно!
Интнресно, что будет, если не сделать пометку о том, что этот камент шутливо-саркастичный, тем более что шутка не кажется прямо такой уж смешной, а до оригинальности ей и вовсе слегка бесконечно далеко?
nuclight
18.01.2023 22:15-1Если совсем уж придираться, то он у них таки появился и есть. Прямо сейчас.
odins1970
17.01.2023 16:46+1"государство может начать противостоять административно (то самое монополие на насилие), причем так, что с вашей стороны, в свою очередь, технически противостоять может уже не получиться. " Ну что ж, welcome to 1917 v.2.0 ?
Rhoads
17.01.2023 18:31Собственный Socks5 прокси туннель (да, и прекратите уже называть прокси VPN'ом) с любым кастомным шифрованием пишется за полдня например на C#. Даже такой лентяй как я написал. Наверняка есть и готовые опенсорс решения для слишком занятых. Чат с друзьями реализуется через jabber сервер. Установка и настройка так же полдня от силы. Итого один день на полное решение всей проблемы приватности и интернет цензуры.
MiraclePtr Автор
17.01.2023 18:59+2Вы статью не читали, да? Никто не путает VPN и прокси, я в статье разделяю эти понятия. И вся статья о том, что написанный за пол дня "socks с кастомным шифрованием" в долгосрочной перспективе, когда за это возьмутся, вам не поможет, не надо переоценивать себя и недооценивать врага. Это у вас не "полное решение проблемы", а только начало этого решения.
Shadowsocks и VMess - те же самые "socks с кастомным шифрованием", но в итоге цензоры всё-таки нашли способы к ним подобраться: replay-атаки, fingerprint'ы, сопоставление паттернов трафика (то же сравнение дампов или тот же tls-inside-whatever), и все остальные приколы, описанные в статье - там реально огромное количество неочевидных нюансов, без учёта которых ваш "кастомный протокол" рано или поздно где-то да проколется. Каких-то специфических вещей вы избежите, так как ваш протокол будет Неуловимым Джо (если им будете пользоваться только вы), а все остальное против вас сработает также как и против остальных.
И даже если у вас все сделано очень хорошо, от варианта когда цензоры задолбались и начали тупо резать все, что не смогли опознать, он вас все равно не спасет.
anonym0use
17.01.2023 20:41Спасибо за статью, возник наивный вопрос, а можно ли сделать протокол который при анализе будет выглядеть как запрос на условный яндекс, но вместо реального яндекса будет подключаться на наш VPS а потом куда надо? Довести по возможности до побайтового совпадения, так чтобы вообще в теории нельзя было сказать что там что то другое может быть? Или это невозможно?
MiraclePtr Автор
17.01.2023 22:37+1Ну вот смотрите, к Яндексу у нас в наше время все подключаются по HTTPS. Допустим, мы подключаемся на наш VPS, но хотим чтобы казалось, что мы подключаемся к Яндексу, и поэтому мы в поле SNI (которое видно стороннему наблюдателю) поставим www.yandex.ru. Тупой механизм блокировок подумает "А, ну это Яндекс, все нормально", а вот умный механизм блокировок подумает "А там точно Яндекс?", и сделает запрос на IP вашего сервера от себя с SNI=yandex.ru. И тут проблема в том, что ответить как настоящий Яндекс вы уже не сможете, потому что у вас нет приватного TLS-сертификата Яндекса. Всё, unhappy end.
Но похожие механизмы маскировки под известные сервисы существуют. Например, domain fronting. Суть его в том, что существуют большие CDN и облачные хостеры, которыми пользуются тысячи сайтов. И у некоторых таких CDN фронтенд-серверы вели себя очень интересно - они отдавали контент с wildcard-сертификатом, при этом их мало интересовало, что именно вы передаёте в SNI, а вместо этого они смотрели HTTP-заголовок Host (он передается уже в зашифрованном виде и его не посмотришь). Например, вы можете сделать запрос к любому гугловскому фронтенда, передавая в SNI www.google.com или вообще без SNI, а внутри запросить maps.google.com, и получите Google Maps. И оттуда же были доступны сервисы, которые хостились на appspot.com :) - и тогда и со стороны, и при active probing все выглядело весьма прилично, да и популярные CDN цензоры банить боялись. Доступные возможности отличаются в зависимости от CDN/облака (где-то так удается раздавать только статический контент, где-то можно запустить какую-нибудь serverless-лямбду, а где-то полноценный сервис), но проблема в том, что крупнейшие хостеры типа Google и Amazon по каким-то причинам эту лафу прикрыли, в Azure, говорят, ещё работает, но тоже планируют прикрыть. Ну и как выяснилось, цензоры CDN банить не то что прям боятся - например, во время борьбы РКН то ли с Телеграмом, то ли с Навальным, они прихлопнули некоторые гугловские домены, и у людей перестали грузиться превьюшки на Ютубе.
И ещё один вариант маскировки под известный сервис. Мы подключаемся к нашему серверу как будто к www.yandex.ru, но при подключении наш сервер ожидает определенный TLS token. Если он есть и он правильный - мы открываем ларчик и работаем как прокси, если нет - переадресовввакм подключение "как есть" (даже без расшифровки) на настоящий Яндекс. Таким образом, насколько я слышал, довольно успешно обходили блокировки в Туркменистане, но проблема в итоге классическая - когда явление становится массовое, цензоры научатся высматривать токены и стрелять такие подключения.
anonym0use
18.01.2023 00:58Спасибо за столь развернутый ответ, в последнем случае разве цензоры смогут как то узнать о необходимости существования токена? Даже если явление станет массовым. Мы можем сделать помимо токена привязку к чему то еще, нашему IP + каким то другим характеристикам наших устройств, если цензор попытается делать много запросов, что то вроде фаззинга — блокировать самим подобные соединения за спам.
MiraclePtr Автор
18.01.2023 01:17в последнем случае разве цензоры смогут как то узнать о необходимости существования токена?
Я глубоко эту механику с токенами не изучал и могу ошибаться, но судя по тому, что в этом случае есть возможность форвардить подключение на левый сайт as-is, в нынешней версии TLS они передаются в хендшейке ещё до начала шифрования потока. Соответственно, можно выявить ихтналичие и киллять такие подключения.
привязку к чему то еще, нашему IP
С IP идея тоже старая :) Есть такой класс программ, как knocker'ы, в том числе и https-knocker'ы: по умолчанию сервер маскируется под какой-нибудь левый сайт, но если вы сделаете подключение/запрос на какой-нибудь секретный URL (возможно даже на другом сервере), то на целевом сервере применится специальное правило фаервола, и, например, в ближайшие 5 секунд подключения именно с вашего IP будут обрабатываться по-другому (например, передаваться на прокси-сервер вместо веб-сервер). Правда, тут проблема в том, что сейчас у многих провайдеров повсеместный NAT и куча клиентов сидит с одного и того же IP. Достаточно поставить probe'лку за тем же NAT'ом и научить ее реагировать довольно быстро в течении тех же 5 секунд, как сервер ошибочно примет подключение от нее за "своих" - IP клиента ведь тот же самый.
nuclight
19.01.2023 01:07Вот интересно было бы узнать, что это за механика с токенами, то есть как реализовано, соответственно можно было бы придумывать методы обхода выявления.
0HenrY0
17.01.2023 20:51А для чего нужен Интернет без VPN?
Сам не сможешь подключиться к зарубежному серверу, твои коллеги не смогут работать удаленно во время заграничных командировок.
Не проще ли сразу физические оптические линки на госгранице отключить и превратить всё в Интранет?
Flux
18.01.2023 00:55+1Заблокировать абстрактный инстаграм у 90% аудитории не стоит почти ничего - просто раздаёшь указание провайдерам направлять траффик в блекхолл.
Следующие 5% уже сложнее - нужно блокировать общедоступные vpn/прокси и сервисы их продающие.
Следующие 2% это пользователи селф-хостед vpn решений которые блокируются либо блоком ip диапазонов популярных хостеров, либо DPI и блокировкой протоколов.
Следующие пол процента это криптошизикиэнтузиасты c шадоусоксами и прочей обфускацией траффика. И на этих можно найти управу, вплоть до аппаратно-ускоренной детекции c помощью ML.А теперь вопрос. Если практика использования ресурса отмирает сама собой уже после первого шага потому что "раньше всё работало а сейчас чето нажимать надо, да и Вася с Машей больше тут не сидят", зачем тратить НЕВМЕНЯЕМОЕ количество ресурсов чтобы заблокировать ресурс строго у всех и каждого?
Так что перед тем как придаваться печали о том что технически отслеживается и блокируется, нужно задаться вопросом о том какую задачу решают блокировки.
anonym0use
18.01.2023 01:05> Если практика использования ресурса отмирает сама собой уже после первого шага потому что «раньше всё работало а сейчас чето нажимать надо, да и Вася с Машей больше тут не сидят», зачем тратить НЕВМЕНЯЕМОЕ количество ресурсов чтобы заблокировать ресурс строго у всех и каждого?
Этот вопрос пожалуйста переадресуйте властям Китая и Туркменистана. То что там пока еще что то работает — результат постоянной гонки страждущих свободного интернета.Flux
18.01.2023 04:53-1То есть логически вам возразить нечего и вы апеллируете к китайскому опыту, утверждая что он обязательно будет применён?
MiraclePtr Автор
18.01.2023 09:17+1Не надо подменять, речь не про "...обязательно будет применен", а про "...может быть применен".
Ваша ошибка в том, что Вы почему-то рассматриваете этот вопрос, исходя из установки, что лица, принимающие решения - разумные и рациональные люди. Хотя даже событиями прошлого года (а на самом и гораздо ранее) они прекрасно продемонстрировали, что это вообще не так, там до разумности и рациональности очень далеко.
Именно поэтому "надейся на лучшее, готовься к худшему".
nuclight
19.01.2023 01:10-1событиями прошлого года (а на самом и гораздо ранее) они прекрасно продемонстрировали, что это вообще не так, там до разумности и рациональности очень далеко
Нет, там всё вполне разумно и рационально, если знать соответствующие вводные. А если эту логику продолжать до предела, то с определенных позиций и распилы с откатами весьма разумны и рациональны. Поэтому, например, к самому худшему готовить необязательно - китайского варианта можно не ждать, скажем.
Areso
18.01.2023 01:06+1На Кубе до некоторых пор Интернета, можно считать, что не было.
И ничего. Из других латиноамериканских стран прилетали люди с хардами, флешками, забитыми контентом, и этот контент расползался за неделю-другую по всему Острову.
Так что наличие некоторых точек обмена приведёт к тому, что свежие видосики, как Голливуда, так и оппозиции тоже будут попадать внутрь. Толку-то от них? Даже если вся страна их посмотрит.
MiraclePtr Автор
18.01.2023 01:37+2Из других латиноамериканских стран прилетали люди с хардами, флешками, забитыми контентом, и этот контент расползался за неделю-другую по всему Острову.
Напомнило времена моему молодости, когда в нашем мухосранске интернет был либо только по диалапу, либо ADSL с адски дорогой помегабайтной оплатой. И друзья приезжали из Москвы с болванками и хардами привозя фильмы, музыку и свежий софт... :)
MiraclePtr Автор
18.01.2023 01:20Если практика использования ресурса отмирает сама собой уже после первого шага потому что "раньше всё работало а сейчас чето нажимать надо, да и Вася с Машей больше тут не сидят", зачем тратить НЕВМЕНЯЕМОЕ количество ресурсов чтобы заблокировать ресурс строго у всех и каждого?
Спросите у китайцев и иранцев. Они уже дошли до того шага, где, как вы сказали, остались только "полпроцента с криптошизиками" и пока что, кажется, не собираются останавливаться. Возможно потому что Вася с Машей ниасилили нажать/настроить и больше там не сидят, но вот Петя осилил, посмотрел запрещенку, и на кухне расскажет Васе с Машей о том, что увидел.
Flux
18.01.2023 04:51но вот Петя осилил, посмотрел запрещенку, и на кухне расскажет Васе с Машей о том, что увидел
Это и есть причина по которой нет смысла заниматься блокировками дальше первого-второго шага, потому что даже один человек может запустить распостранение информации. Добиться стопроцентной блокировки возможно только обрубив магистрали и запретив въезд-выезд из страны. И как бы местная аудитория не рассказывала что "так всё и будет, живём почти в кибергулаге" - до этого ещё как до луны и даже дальше.
И да, аргумент - "китайцы делают а значит и мы будем" это не аргумент.
MTyrz
18.01.2023 06:07+2даже один человек может запустить распостранение информации
Вот только протоколы передачи информации «человек — человек» обычно не подразумевают контроля четности. Поэтому при передаче уже через третьи-четвертые руки информация иногда прекращает напоминать исходную. А еще, играя за плохих парней, в этот процесс передачи можно много чего подмешать.Astroscope
18.01.2023 13:42+1Вот-вот, отравленный торрент, когда все раздают всем предумышленно искаженную кем-то информацию, бездоказательно (просто привычно) считающуюся достоверной.
Flux
18.01.2023 18:22Вот только протоколы передачи информации «человек — человек» обычно не подразумевают контроля четности.
Я конечно извиняюсь, но назовите хоть один протокол подразумевающий контроль честности передаваемой информаии.
Cerberuser
18.01.2023 19:02+2Не честности, а чётности. Передачу массива байт от системы к системе можно устроить так, что на целевую систему придут именно те байты, которые были отправлены. Передачу информации от человека к человеку - нет: даже в разговоре двух людей уже есть минимум три источника ошибок (формулировка говорящим, различия в семантике языка, восприятие слушающим).
vconst
18.01.2023 22:07+1Технически — там не контроль четности, а контрольная сумма. Это не одно и то же
Astroscope
19.01.2023 00:37+1Ну да, контроль четности - это как бы на уровне отдельных байтов, а контрольная сумма - как бы на уровне выше, от пакетов до целых файлов или что там у нас будет в качестве логической единицы измерения целостного автономного куска информации или его самостоятельного фрагмента. Но как для оборота речи, пожалуй, эта неточность могла бы быть простительна.
MTyrz
18.01.2023 20:36Вот мне тоже показалось, что вы в слове четности лишнюю «с» приписали.
Хотя ваш вопрос тоже хороший, да )
Beo
18.01.2023 18:48У меня facebook, в теории, работает. А на практике я туда больше не хожу. В моей ленте какая-то унылая жизнь осталась, но смысла в ней уже нет.
nuclight
19.01.2023 01:27+1Перестал им пользоваться еще почти лет 5 назад (ну не считая изредка присылаемых ссылок на конкретные посты). Адовый UX же абсолютно.
AlchemistDark
19.01.2023 21:38Дело не только в UX, но и в том, что блокировки, даже если 10% смогут их обойти, разрушают комьюнити на заблокированых платформах, ведь 90% обойти не смогут.
Neitr
18.01.2023 09:18Вот не пойму чисто технически неужели не дешевле просто физически отключить кабели из-за границы? Ведь все VPN сервера там которые нужны для обхода блокировок, да и большей частью весь запрещенный контент за рубежом.
А для тех кому по работе надо или гос структурам, сделать специальный шлюз с подачей заявки и заведомо введенными фильтрами и черными спискамиAntra
18.01.2023 09:30Чтобы каждая компания, каждый энтузиаст индивидуально подавал заявку на доступ к гитхабу и стековерфлоу?
Ведь оставлять их в публичном доступе нельзя. Там и так-то частенько публикуют репы с прокламациями и т.п. А уж если это останется единственным источником...
Вот допилят gitflic, тогда можно будет, наверное :)
Neitr
19.01.2023 02:20Просто отключить физически кабели за границу (их не так много точек входа) на порядки дешевле и по реализации и по ресурсемкости, чем сидеть ловить "на каждом углу". Причем ладно бы ловить кучу, ведь за границу прям настырно (не по случайности) лезут реально единицы процентов. А за сложную инфраструктуру средств блокировки реально приходится расплачиваться всем в составе платы за услуги или налогами. Сразу решается вопрос со всеми "удаленно-из-за границы" работающими. Они все легализуются потому что придется подавать заявку на подключение.
Интересно есть цифры во сколько обходятся внедрение и поддержание работы всех средство блокировки?
r4nd0m
18.01.2023 12:54"Скоро брат, скоро..." (с)
Для тех кому по работе сделают внутренние зеркала с модерацией и будут парсить всё туда. А шлюзы только для парсеров оставят.
YuryB
19.01.2023 01:51+3Закон о запрете VPN и анонимайзеров в целях обхода блокировок в РФ уже есть. Запрет использования несертифицированных средств шифрования - тоже
а начиналось всё на сколько помню с речей о защите детей и борьбой с детским порно.
YuryB
19.01.2023 02:13+4самый популярный новостной сайт в Беларуси, который теперь работает из-за границы, пошёл путём регистрации новых доменов в ответ на каждую блокировку. ссылки на статьи распространяются через телеграм канал. за подписку на канал грозит уголовка, за пересылку ссылки на статью гарантированы 15-30 суток в пыточных условиях (приходит к вам милиция как к неблагонадёжному, который засветился 2 года назад на марше, подключает ноутбук и потрошит в автоматическом режиме ваш телеграм).
в принципе доменные имена могут и неделю работать, наверно подустали банить, хотя другие сервисы могут забанить и за часы. Ну и ещё зарисовочка по ситуации для граждан соседней страны, которую это всё ждёт: забанены наверно все новостные и аналитические сайты в принципе, кроме onliner.by который сочетает в себе и подобие яндекс маркета (наверно только по этому). Подумаешь сайт о хипстерах, моде и городских мероприятиях - в БАН, говорите у вас сайт про банковскую систему и финансы? - вы что-то не хорошее пишете о ситуации в стране, вам тоже бан. Едва не заблокировали dev.by но видимо руководство парка высоких технологий отмазало, хотя владельца спецназ всё равно помял (маски шоу главное, чтобы тикток работал, они его смотрят). Так что совсем не обязательно что будут банить только идеологически не правильные сайты, если система испугается, то банить будут всех подряд кто работает просто независимо и имеет влияние на аудиторию в десятки тысяч людей. А напринимать законов об уголовной ответственности за подписки, за написание инструкций о методах обхода блокировки и т.д. можно запросто и по команде МВД начнёт всё это исполнять, ведь это простая работа, которая обеспечит погоны звёздами.
stdamit
19.01.2023 17:56но вы забыли тот пункт где поголовно всё население будет желать функционерам смерти от рака. а то и нерадивая медсестричка в больничке будет им при заборе крови раковые клетки трансплантировать. доказать ой как сложно будет.
dormin
Это Вы погорячились дешевый и легкий вариант уже давно существует. Посмотрите browserless docker давно выложены контейнеры с Хромом, которые не плохо работают на совсем дешевых VPN. Их использую немаленькие корпорации для повышения инфобезопасности при работе в интернете. Плюс дополнительная фишка после выхода из контейнера он возвращается к исходному состоянию. Плюс можно оплатить и пользоваться уже установленными контейнерами браузерами в облаке.