Pull to refresh

Comments 146

info

This publication could cause conflicting feelings. Be critical of any posted information. Remember the Community Guidelines before posting your comment.

How to write and what to do?
  • Don`t write offensive comments or get personal.
  • Refrain from obscene language and toxic behavior, even in a veiled form.
  • o report comments that violate the rules of the site, click the "Complain" button or fill out the feedback form.
Useful links: the codex of the authors of Habr, habraethics, the full version of the site rules.
What to do if: karma goes down, the account is blocked.

"Не доверяй свою личную информацию VPN. Доверь её лучше НАМ!" (с)

Если в 2023 году у вас чувствительная личная информация ходит без шифрования, таким образом, что её приходится доверять либо ИМ, либо VPN-сервису, то у меня к вам вопросы.

В 2023 году не так важно каким образом ходит ваша личная информация. Гораздо интереснее какая конкретно контора сольет в сеть вашу личную информацию первее всех)

Доверься яндексу, он не сольет вашу инфу..

Подымать свой vpn с блекджеком и виски нужно, со своим dns параллельно

На чем вы его поднимать будете? Вы доверяете использованным решениям? ОС, гипервизору, сетевой карте?

RFC 1149, только на него надежда и осталась

В некоторой степени чувствительными являются и DNS запросы, которые чаще всего не шифруются, и IP-адреса и размеры пакетов, которые не шифруются принципиально.

С большой долей уверенности могу сказать, что чувствительная личная информация ходит у меня с шифрованием, но меня это не спасло -- на известном сайте есть вся информация обо мне, полученная из разных утечек (в первую очередь из утечки ГИБДД).

Так что будь ты 100500 раз шифропанком -- это не поможет от слива данных из всяких госсервисов, которые то ломают, то из которых коррумпированные сотрудники информацию сливают.

А Вы не пробовали поменять себе имя, фамилию, отчество, место и дату рождения?

UFO just landed and posted this here

Это мы с вами знаем об HTTPS и прочих шифрованиях. Но, боюсь, данная реклама нацелена не на аудиторию Хабра в первую очередь, а на пользователей далеких от сетей и разработки в частности и от IT в целом.

VPN будет нужен, правда для того, для чего был предназначен изначально — построения частных сетей поверх публичных.

А чего такого важного там заблокировано Роскомнадзором? Я просто про VPN вспоминаю, когда надо сервисы заюзать вроде Ahrefs и некоторые другие зарубежные с пересмотревшими пропаганду владельцами, а также зайти на украинский сайт.

И кстати да, многие VPN реально опасны. Ставят софт дополнительный + используют твое устройство как прокси. А дальше уже IP используется для накруток, скликивания, мошенничества. С удивлением это недавно узнал, когда прокси искал для парсера.

А чего такого важного там заблокировано Роскомнадзором?

Всё подряд, в том то и дело. Например, сайт архиватора 7Zip был пару лет заблокирован, потому что не в том ЦОДе хостился.

Ставят софт дополнительный

Они ставят или вы ставите? А вы не ставьте!

Но соглашусь, бесплатные VPN это слишком подозрительно.

UFO just landed and posted this here

Ну если это все, то можно было и не начинать:)

Спасибо за ваше ценное мнение(нет).

UFO just landed and posted this here

Возможно ютуб в скором времени

А чего такого важного там заблокировано Роскомнадзором?

Информация. Сейчас большие дяди в кабинетах решают, какую информацию вы можете получать, а какую нет. Таким образом формируют картину мира у вас и вашего окружения.

Есть те, кому нравится жить в счастливом неведении, но я всё же предпочитаю свободу.

Вот да. Именно так. Вы глина. Они гончары, как хотят так и лепят. В скором времени будет как в Японии, молодое поколение не вкурсе кто бомбу на хиросиму кинул, Европа реально считает что это они нацизм победили. А в США думают что мы спим с медведями в ушанках... в ближайшем будущем книги по истории перепишут, а раз нет источника другой информации значит что написано то и правда.

в ближайшем будущем книги по истории перепишут, а раз нет источника другой информации значит что написано то и правда.

Конспирологи постоянно этим пугают, что их "правду" скоро отовсюду сотрут, перепишут и запретят, правда годы идут, а никто ничего не стирает.

Вообще, я про Россию говорил. По ощущениям, пока что, в России эта проблема развита сильнее всего.

У меня много знакомых/друзей из Европы, США, Индии, Японии. И в плане знания истории все примерно одинаково знают столько же, сколько и простой человек в России.

Проблема в другом. Когда начинаешь разговаривать с человеком из России о второй мировой, Сталине, СССР и прочем, то у многих лицо наливается краской, закипает голова и они рьяно начинают что-то доказывать. Это и есть эффект контроля информации о котором я говорю.

Зарегистрирован 30 марта 2023 г.

Так 15 или 45 рублей за камент?

Исходя из комментария, платят там за слово.

Мне приходится регулярно включать vpn, когда хочу зайти на линкедин, quora, OpenAI для СhatGPT )) Последний, надо сказать, заблокировал доступ россиянам сам без помощи Роскомнадзора.

Игнорирую политику совсем, посещаю заблокированные зарубежные ресурсы для профессиональных целей. Не читаю ни российскую пропаганду, ни зарубежную. Но даже такие как я теперь вынуждены регулярно включать VPN

Ради интереса читаю что с одной стороны что с другой. Обе стороны пишут и говорят анектодами, можно сказать "сказочные дол@@ы".

А чего такого важного там заблокировано Роскомнадзором?
Почтовые сервисы вроде Протонмейла. У меня 2 основных почтовых ящика в разных сервисах оказались заблокированы. Приходится ходить на них через Тор.

Ну например страничку с школьным докладом по рядам Пизано.

Не уверен, как он угрожает нашей власти, но без ВПН с ним ознакомиться не удалось.

Ну вот из заблоченных мне бывает нужен только рутрекер для всего того, чего нет на кинопоиске. А так, чаще всего использую впн для chatgpt

реально х.з. что я там забыл ?

У меня свой развернут и все норм. ? Как бесплатный vpn может быть качественным? Только если ты сам его развернул, и то это уже не бесплатно. Банальный сыр в мышеловке.. Повезёт покушал, не повезло так уже и кушать не надо. ? Развернуть свой личный vpn не сложно. На дешёвый vds можно повесить несколько клиентов. Ребята вон делали 1ядро, 1гиг озу, до 100 клиентов держит. Стоит оно грош копейка.. Взял пару абонентов себе, скинулись, вот вам и норм vpn. И обходит он так же все блокировки. Года три так живу. ? Жадный платит как минимум дважды! ?

В поднятии своего есть небольшая проблемка. Он у тебя будет в строго определенной локации, а если покупать вдс по всему миру это уже не то чтобы прям дешево. Мне вот бывает надо, ну например проверить доступность сайта и из США, и из Европы, и из Азии, и из ЮАР. В условном расширении для браузера за 5 долларов локацию менять можно парой кликов, в отличии от.

UFO just landed and posted this here

Это где так дёшево?
Поделитесь ссылкой?

UFO just landed and posted this here
UFO just landed and posted this here

Вообще, непонятно, если уж хостеры продают серваки за такую цену - ну и продавали бы попутно еще и VPN сразу без сервера так же по 5.55 в год... Заодно и WireGuard могли бы там запустить (а то на OpenVZ он не взлетает вроде).

UFO just landed and posted this here

Ну вот для меня, который достаточно хорошо разбирается в системе, и много раз ставил wireguard, ваше описание все равно создает впечатление квеста без гарантий успеха. Заплачу за год, и может сумею настроить, а может не сумею (и тогда зачем мне он?). Или сумею, но, времени уйдет столько, что вряд ли это будет экономией.

Мне кажется, это одно из основных правил бизнеса с асимметричным товаром (когда продавец знает его качества, а покупатель - нет) - продавец берет на себя риски, если он уверен, что они низкие. То есть, я (покупатель) не уверен, что там wireguard там взлетит легко и просто. А продавец, допустим, уверен. Тогда продавцу выгодно давать товар, где все уже взлетело, чтобы просто заплати, получи конфиг VPN и пользуйся.

Вообще, странно, что VPNы стоят дороже VPSок.

VPN — это юридический кошмар во многих странах. (У них было еще более развернутое видео на тему, но давно, и сейчас не могу найти).
Отчасти по этой причине компании, предоставляющие услуги VPN, только этим и занимаются. И не имеют связей с компаниями другой направленности.

У меня вот был-есть феномен - VPSка от Scaleway, на ней VPN, через нее все подряд, включая торренты. Никаких проблем.

Заказчику ставил сервер в Hetzner, поставил на него VPN, поставил качаться сериальчик (старый!) и не успел сериал докачаться, как заказчику написали, а он мне, что идет пиратская раздача.

Вот, гадаю, почему? Просто случайность? Или дело в том, в какой стране хостер зареган? Или, в какой стране дата-центр? Или страна клиента, мол русские - они дикие, им можно, а раз сервер принадлежит белому европейцу - то ему нельзя?

Просто не повезло.
Там же боты в пирах не к каждой раздаче висят, а туда-сюда ходят.
Вот пришли "к вам" в удачное время.

разве не нужно платить за трафик отдельно будет? мне вот эта часть затрат показалась высоковатой при оценке собственного сервера в облаке.

UFO just landed and posted this here

Он еще и строго с одним IP обычно. То есть, зашел на "секретный сайт", и там вы известны как Джон Доу, с IP 1.2.3.4. Кто этот загадочный человек с этого адреса - не знают.

Но потом вы зашли на хабр с этого же адреса, и уже можно увязать Джона Доу и gremlin244, так как оба пользуются одним IP. А потом вы зашли на Озон, и вот вы уже Вася Петров, с ул. Ленина. А уж если на Госуслуги зайдете - станет даже известно, когда Джон Доу последний раз в районную поликлинику ходил.

UFO just landed and posted this here

Вы путаете анонимность и обход блокировок.

Почему вы думаете, что я их путаю?

Мне важно и то и другое.

Но потом вы зашли на хабр с этого же адреса, и уже можно увязать Джона Доу и gremlin244, так как оба пользуются одним IP

Для этого нужно, чтобы секретный сайт слил ваш IP, И вообще, тут речь идет о получении доступа, а не об анонимности, если нужна анонимность одним VPN и даже связкой TOR+VPN не обойтись. Если вы условный Ассанж, то одними техническими методами вы не обойдетесь.

А я правильно понимаю, что для этого, необходим глобальный наблюдатель?
Который контролирует и секретный сайт, и Хабр, и Озон, и Госуслуги?


И стоит ли волноваться о каких-то ВПНах, при условии существования такого глобального наблюдателя?

В РФ такой глобальный наблюдатель есть. Не то, чтобы он читал каждый байт трафика, но ему доступен каждый байт в стране - по запросу, и Хабр и Озон и Госуслуги все сообщат. Может быть, даже и алиэкспресс сообщит, если у него есть здесь представительство и он хочет продолжать поставлять товары в РФ.

Плюс, периодические утечки. Допустим даже (ну, пофантазируем), ФСБ не контролирует Яндекс (смелая фантазия). Но потом возникает утечка с яндекса, и уже все могут обогатить свои базы данным с яндекса. Раньше был просто Джон Доу 1.2.3.4, а теперь еще и Иван Петров, 1.2.3.4, заказал пиццу с ананасами вечером.

Вообще-то в России таким глобальным наблюдателем является организация с совершенно дурацким названием «Данные — центр обработки и автоматизации» (ДЦОА), которые получают netflow от устройств ТСПУ в реальном времени и видят, куда, кто и по какому протоколу подключается.

Мне вот бывает надо, ну например проверить доступность сайта и из США, и из Европы, и из Азии, и из ЮАР.

Looking glass?

Кажется, заблокированные публичные платные VPN'ы, вроде SurfShark'а, без проблем работают в виде браузерных расширений, если есть личный VPN.

surfshark не весь заблокирован
заблокирован бэкенд с апишечкой для мобильного приложения и wireshark для некоторых нод
но если не приложением пользоваться, а вручную статические конфиги лепить, то опенвпн всегда работает, а вайргард через раз

Заблокируют протоколы извесные, дальше что? Половина людей со своим vpn на скриптах с гита удалит их. И все больше и больше будет тех кто верит 1-у каналу . Нравится цитата "чем громче и чаще говорить неправду - тем охотнее люди в неё верят"

UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here

Справедливости ради, некоторые VPN предоставляют такие услуги безопасности как адблок, антивирус, чистка от трекеров. Для чего ставят свой сертификат и организуют MITM.

Например Surfshark. Благо у них можно просто скачать конфиги к OpenVPN и Wireguard и обойтись без из софта.

То есть внезапно выяснилось, что в 2023 году РКН даже не подозревает о существовании TLS и HTTPS
Они знают. Это они втирают тем, кто не знает — то есть большинству. Я тёте на девайс ставил личный VPN, она потом спрашивала, безопасно ли через него ходить в Сбербанк Онлайн.
UFO just landed and posted this here
О как. Забавно. Проверил — и правда первая ссылка http. Хорошо хоть на тот домен…
UFO just landed and posted this here

Сертификаты протухли, а новые не выдают. При открытии через яндекс, https.
При переходе в форму входа, сертификаты подтягиваются и в Хроме.

$ showcert -i sberbank.ru
IP: 194.54.14.168
Names: sberbank.ru www.sberbank.ru sbrf.ru www.sbrf.ru
notBefore: 2022-09-26 19:12:21 (196 days old)
notAfter: 2023-09-26 19:12:21 (168 days left)
Issuer: C=RU O=The Ministry of Digital Development and Communications CN=Russian Trusted Sub CA

Есть у них сертификат, что уж вы так. Только от такого авторитетного CA, что лучше уж на HTTP всех заводить.

А какой сертификат у вас показывается, когда вы через Яндекс открываете?? Неужели какой-то "настоящий", или тоже от минцифры?

UFO just landed and posted this here

В Сбер через VPN ходить не очень безопасно, они на раз блокируют доступ, приходится звонить на горячую линию и разблокировать. Может мне просто не очень повезло, но всего один раз забыл VPN отключить и сразу попал. Если кто-то знает как такую "защиту" можно отключить, был бы признателен

Не блокирует ничего, у меня ВПН практически не выключается, просто показывает попап "лучше выключить ван" и все

Тссс они не вкурсе про anyconnect/openconnect , sstp и другие решения ) зато у них есть ГОСТ tls и ГОСТ ssl VPN... интересно откуда украли идею ...

UFO just landed and posted this here

И что же опасней лично для меня, персональная информация, которая попала в руки спецслужб моей страны или в зарубежные спецслужбы?

Ну это ваш личный интерес, это понятно. А государственный, общественный? А если вы - это террорист, которые идет взрывать школу?

США вон из кожи вон лезут, чтобы данные только их спецслужбам доставались. Тикток уже замучился это доказывать, а Хуавей так заблокировали без права переписки. А там ведь считается, что люди выбирают, на выборы ходят. В Европе ровно такая же ситуация, причем дошло до дури, когда согласие на Cookies содержит информации как небольшой блог.

Обычно до таких слов опускаются, когда человеку нечего ответить по существу)

"а в америке, а в европе". Этот "патриот" сломался, несите нового

А если вы — это террорист, которые идет взрывать школу?
Если я — это террорист, который идет взрывать школу, то я подельникам напишу, что «купил арбузы к празднику и скоро приеду». Успехов.
А если вы — это террорист, которые идет взрывать школу?

То мне будет глубоко покласть на государственные интересы.


В этом и заключается проблема. Террорист всё равно найдёт способ общаться с подельниками. Поднимет свой веб-чат, например. С самоподписанными сертификатами. Что вы сделаете, запретите HTTPS внутри страны? Да можете вообще обрубить интернет, тогда я начну по СМС общаться зашифрованными сообщениями. OTR натягивается на любой канал связи.


Не будет такого, что террорист скажет "о нет, теперь придётся открытым текстом по СМС писать 'Го убивать детишек посоны'"

Террорист всё равно найдёт способ общаться с подельниками. Поднимет свой веб-чат, например

"Народная воля" и IRA обходились вообще без компьютеров.

Так вспомните соседов казахов с митм на уровне государства, или ставь корневой серт и пользуяся либо сиди без интернета

У казахов не взлетело. А у нас уже какие-то мутные сертификаты, выданные непойми кем, вполне себе практикуются, к сожалению.

или ставь корневой серт и пользуяся либо сиди без интернета

Эта проблема имеет стандартное решение — туннель в туннеле. Верхний уровень зашифрован гос. сертификатом, и спокойно пропускается через весь РКН, а что под ним — вскрыть не получается.

Ну это ваш личный интерес, это понятно. А государственный, общественный?

А без меня народ неполный!

из-за использования VPN персональные данные и финансовую информацию пользователя может узнать кто угодно от курьера и продавца в магазине до случайного человека на автобусной остановке

Вапщет, ВПН для того и пользуют — чтобы официант или случайный бомж на остановке, не мог сниффить твой траффик, который идет через публичную точку доступа


Да-да, я кэп очевидность, но — тем не менее...

На самом деле, из этих роликов получается отличная реклама использования Tor. Я с утра как раз переделал все ролики, заменив слайд в конце видео, и залил на YouTube в виде плейлиста:


https://www.youtube.com/watch?v=egKOic-d2eU&list=PLds3DI-vArK_R2TRr_KgEMUe9jvAVH0Ji

На всякий случай по капитаню, больше для своего успокоения. VPN сервис не имеет доступа к паролям, логинам и данным карт, передаваемым между пользователем и сайтом магазина. Если только вы не устанавливаете дополнительное программное обеспечение, которое может получить доступ локальным данным пользователя. Или перехватить данные вводимые с клавиатуры. Использовать сервисы со стандартным OpenVPN клиентом безопасно.

Если кто знает обратные примеры, просьба не минусить, а ткнуть носом заблудшего, для общей пользы и восстановления истины.

Выше писали, что Surfshark умеет ставить свой корневой сертификат.
Если они там на дурачка разместят инструкцию о том, как его установить всем (автоматически это вроде нельзя сделать в Android), ненулевое количество народу сделает.

Почему-то я четко помню, что в 2014-2015 специально тестировал одно из ходовых рутовых приложений для андроида в сетке своего друга и таки смог зайти в его учетку VK. А VK тогда уже по https ходил, между прочим.

Видимо это был SSL Strip и последующий перехват cookies.
Сработает сейчас или нет - не знаю. Наверняка есть сервисы и/или браузеры, где прокатит.

Для сервисов с числом пользователей в полтора калеки или неосиливших HSTS (сервисов) может и сработает. Для youtube/vk/банкинга/уже посещенного пользователем сайта с настроенным HSTS - нет.

11 декабря 2022 года VPN-сервис Surfshark перестал работать в России. Не работает десктопное и мобильное приложение (Android, iOS) и расширение к браузеру Chrome. Пользователи жалуются, что с оплаченной подпиской они не могут подключиться ни к одной из представленных в приложении стран. В техподдержке сервиса не могут ответить по поводу остановки работы в РФ.

Ну вообще Surfshark работает. Через OpenVPN.

Кстати, по поводу Surfshark через OpenVPN: никто не в курсе, что означает

WARNING: 'auth' is used inconsistently, local='auth SHA512', remote='auth [null-digest]'

Дали людям tor - пользуйтесь. Нет, хотим VPN от непонятных компаний.

TOR слишком медленный для ряда задач. Плюс местами блокируется со стороны сайта.

UFO just landed and posted this here

Либо ходить в TOR через VPN. Круг замкнулся!

VPN предназначены для защиты ваших данных в интернете, но если вы не проведёте собственного исследования, то можете в конечном итоге выбрать некачественный Сервис, который сделает всё абсолютно наоборот.

Такое случается с очень неопытными поставщиками услуг (признаки включают в себя глючные приложения, отсутствие руководств и поддержки, а также отсутствие четкой информации о том, какую безопасность они предлагают). Еще такое встречается с бесплатными поставщиками VPN-услуг. В последнем случае, как правило, у вас наиболее вероятно возникнут проблемы, так как бесплатные VPN не гарантируют правильные настройки шифрования или могут даже стать источником вредоносного ПО.

А платные - гарантируют правильные настройки шифрования? В чем выражается гарантия?

UFO just landed and posted this here

В чем выражается гарантия?

Hidden text

Я, в свою очередь, предупреждаю о рисках НЕ использования VPN-сервисов

Вот тут все "в теме". Кто-нибудь может на техническом языке понятно объяснить, чем вообще могут быть опасны бесплатные VPN? Вот, допустим, я злодей. Сделал свой бесплатный VPN. И.... как дальше "делать гадкие подлые дела"? Вести лог всех соединений? Но как, да и это будет охренительных размеров лог. И по нему еще надо будет найти что-то "нужное". Например, ЦРУ попросило "а кто у вас пользовался gmail в 11:22?". Мы по своему терабайтному логу грепаем, и обнаруживаем, что пользовались им в то время 100500 человек.

Да и как вести этот лог всех соединений? Задачка тоже нетривиальная. Но вот в Китае есть их Great China Firewall. У нас есть СОРМ и РКНовские фильтры. Это сложные технические задачи, и для их решения есть сложные и дорогие технические решения. Удержать их в тайне невозможно, они оставляют огромный документальный, финансовый и информационный след. Если захотеть - можно и габариты каждой коробочки найти, и тепловыделение и цену и все что угодно.

А для шпионажа за VPN пользователями - какой продукт надо покупать? Есть готовые решения для логирования ВСЕХ соединений? Или нашему школьнику, который хочет свой злой бесплатный VPN сделать, нужно будет реализовать задачу, для которой требуется быть минимум Huawei с его отделом разработки?

Мне кажется, наоборот, бесплатный VPN кое-чем лучше:

  1. Нет финансового следа. Если за платный VPN вы платите картой с именем - вы оставляете след. Если даже платите криптой - вы светите кошелек, а крипта вся открытая - всем виден этот кошелек, и откуда там деньги. Поэтому, если вдруг кто-то сможет отследить вас до уровня конкретного пользователя VPN, то дальше это можно увязать с финансами (чаще всего - вообще с именем на карте). В бесплатном VPN - ваше имя никто не знает.

  2. Очень часто у бесплатного VPN очень много пользователей. Они малоактивные (вряд ли могут качать-раздавать торренты), но их много. А значит, вы песчинка в куче песка. А вот если вы пишете на хабр с самого защищенного VPN в мире, но у него мало пользователей - уже это позволяет вас примерно идентифицировать.

И.... как дальше "делать гадкие подлые дела"?

Как и при любой атаке типа MITM, все зависит от пользователя, как у него настроено устройство и куда он ходит -- если он например не использует шифрование DNS, то можно подсовывать ему левые ответы и так перенаправлять на фишинговые страницы.

UFO just landed and posted this here

Для этого осталось только научиться волшебным образом генерировать валидные TLS-сертификаты для этих доменов.

Зависит от того, смотрит ли человек на то, что у него в адресной строке. Как показал тест на реальных юзерах, достаточно многие не замечают редиректа даже на совершенно левый домен.

UFO just landed and posted this here

Зачем, если юзер сам поставил себе клиент, а клиент поставил самопальный trusted root и с его помощью подписывает любые соединения?
Любой антивирус с https traffic inspection так поступает, проверьте на себе.

Автоматически в фоне поставить trusted root нельзя, вроде, уже нигде.
А Android еще и на мозги будет капать до тех пор, пока вы лишний сертификат не прибьете.

Да, практически нигде кроме Windows и Linux (с правами администратора, конечно же). А Android почему капать должен? Я вот решил, что доверяю такой то организации, соответственно установил ее root CA.

Да, практически нигде кроме Windows и Linux (с правами администратора, конечно же).
Не скажу за Linux, а Windows вроде как в любом случае окно подтверждения показывает.
А Android почему капать должен?
Он пишет что-то вроде «соединение небезопасно и может прослушиваться» в шторке.

Так там заботливо пишут, счас выскочит окно, нажмите в нём ДА, проблема решена :)

Если у нас есть столь лояльный и доверчивый пользователь - надо просто попросить его, и он сам все нужные данные нам в формочку в нужном в формате вобьет!

Можно, но это так себе метод... Уж очень палится (порушится репутация моментально, плюс явное нарушение закона) и современный HTTPS неплохо от этого защищен. Да и нужно же производительное решение для этого, чтобы сразу с тысячами клиентов это делать. И снова упираемся в вопрос - а где эти решения, сколько стоят?

Как-то не верится мне, что хоть один из более-менее известных бесплатных VPN такое может делать.

В теории бесплатный VPN со своей стороны может начать долбить ваше устройство на предмет поиска уязвимостей. Не забывайте что по факту вы открываете прямой сетевой доступ их серверу к своей машине, даже если вы за натом.

Вы и правы, и нет. Firewall на этой схеме куда девается? Даже на Windows есть возможность отключить smb на конкретном интерфейсе. В iptables можно вообще одним правилом запретить input с конкретного интерфейса (а еще лучше политикой со всех)

Люди, которые пользуются VPN из поисковой выдачи, вряд ли умеют настраивать Firewall & iptables

А как тогда находят VPNы люди, которые умеют настраивать firewall?

(У меня есть VPN на своем серваке, но я тут в комментах уже написал, почему он в анонимизации проигрывает общедоступному файрволу)

 Например, ЦРУ попросило "а кто у вас пользовался gmail в 11:22?". Мы по своему терабайтному логу грепаем, и обнаруживаем, что пользовались им в то время 100500 человек.

А вы посмотрите демки работы Palantir. Да, по одному data point много информации не получишь. Но вот если источников данных много и вы можете искать корреляции в этих данных, то все становится уже заметно веселее. Но это так, фантазии.

Да и как вести этот лог всех соединений? Задачка тоже нетривиальная.

Эммм, да хоть через tcpdump. Благо pcap позволяет очень гибко настраивать правила.

Это сложные технические задачи, и для их решения есть сложные и дорогие технические решения.

Ну зависит от масштабов. Если у вас магистральный провайдер с 10ГБ линками во все стороны - то вам конечно будет сложно. А на уровне SOHO - чуть ли не любой роутер справляется. Вы ж не забывайте что тот же NAT тоже требует realtime инспекцию пакетов для поддержки всяких FTP, VoIP и так далее.

А для шпионажа за VPN пользователями - какой продукт надо покупать? 

Нанять нормального сетевого инженера? Перехватывать и анализировать трафик, который ходит через вашу машину - вот вообще не проблема. DNS запросы вообще перехватываются и подменяются каждым вторым провайдером. HTTP сессии - тоже. Как вы думаете, работает Captive Portal в бесплатных WiFI сетях или сообщение "на вашем счету нет денег" у вашего правйдера? Проблема - это SSL/TLS. И то, есть sslstrip тот же.

У меня нет сомнений в теоретической возможности всего этого, и все это я сам делал руками много раз. Но есть огромная разница между 1) "умею сделать руками как-то на соплях и синей изоленте", tcpdump'ом и шелл-скриптами и если я уволюсь - хрен кто разберется в том, что я натворил и 2) есть готовый продукт, отлаженный, купил и все через час заработало, с поддержкой, инструкцией и любой может этим воспользоваться, а если инженер по этому продукту ушел - то любой другой через два дня чтения документации может его заменить.

Про Captive Portal вы хорошо привели пример - эта немного хакерская технология давно прижилась в каждом аэропорту, гипермаркете и кофейне. Но не потому, что в каждой кофейне работает хороший сетевой хакер, а потому что в каждой кофейне стоит штатная недорогая железяка, в которой эта функция включается одной кнопкой.

Вот огромное количество бесплатных VPNов, и столь часто слышимый мною аргумент про то, что "вы сами товар" наталкивают меня на мысль, что должен быть какой-то типовой способ такого злоупотребления-вскрытия-атаки с готовым оборудованием от cisco, d-link и huawei или хотя бы с готовым "VPN движком" (арендуешь сервер, накатываешь туда этот пакет, и как iredmail/mailcow для почты - сразу получаешь готовый VPN сервис с удобной кнопочкой "следить за пользователем".

Если же такого нет, тогда, выходит, что теоретически угроза может существовать, но ее осуществление для случайного пользователя крайне маловероятно. (В мире на 1000 бесплатных VPN созданных фанатами и школьниками будет пара созданных спецслужбами)

А значит, вы песчинка в куче песка.

Это не так, на один сервер много пользователей не приходится. И потом вообще можно при ханипоте раскидывать пользователей по одному на сервер.

Если не забуду, отвечу на вопросы потом (или пинганите). Истратил запал на сегодня. https://youtu.be/8IJxO44kq24

Риски есть. Начиная от сбора статистики и продажи этих данных и оканчивая вмешательством в траффик и SSLstrip (который, к счастью, уже много лет неактуальный в силу HSTS). Еще могут долбиться "с той стороны" в поисках работающих сетевых сервисов на вашей машине. Конечно риски несоизмеримы со шваброй в служебном отверстии тела от товарища майора, но всё же.

Вот я тоже про это несоизмеримость.

Причем, если мы доверяемся какой-то надежной платной компании (ProtonVPN, платный тариф или SurfShark или Mullvad) - все равно есть риск, что компания "хорошая", но в ней работает какой-то агент, который что-то вдруг сольет. А его слив может включать и оплату по карте с именем, что для анонимности гораздо хуже.

Тысяча VPN сервисов в этом плане лучше, потому что случайный в который наугад ткнете - скорее всего окажется "фанатским", который какой-то студент поднял по приколу.

Например, ЦРУ попросило "а кто у вас пользовался gmail в 11:22?"

так оно откуда знает время и IP вашего VPN? ему google сказал, а гугл сказал не только IP, но и порт, уникально идентифицирующий подключение.
И вот вы уже грепаете не просто коннект на google.com, а на google.com с клиентского порта 12345, находите NAT-трансляцию, и конкретного клиента. Если бы было всё так просто, ФСБ бы не смог кидать запросы Мегафону, тот бы всегда отмазывался "у нас NAT, за которым сидит 100500 человек, вот вам весь список, ищите сами"


Есть готовые решения для логирования ВСЕХ соединений?

Конечно. И логирование, и аггрегация/архивация, и анализ. https://ru.wikipedia.org/wiki/Netflow

Думаю тут основная опасность в том, что люди, которые будут использовать непонятные vpn сервисы, имеют ещё одну своеобразную привычку: использовать один и тот же пароль везде, где только можно. Поэтому если сервис требует регистрации, то это сразу готовая база на руках

не используйте VPN при входе в свои аккаунты — начиная с соцсетей и заканчивая банковскими приложениями.

Так нихрена же не работает без vpn! Позаблокировали доступ с зарубежных ip, пришлось сервер в РФ арендовать...

В обратную сторону аналогично. Так что вы к нам, а мы к вам через VPN :)

Сделал свой личный VPN.

Начиная от установки пакетов OpenVPN и заканчивая генерацией ключей. Без Докера.

На микроте настроил 2 адреслиста.

  1. Добавляем сайт. И все в домашней сети идут на него через VPN.

  2. IP пк и пк автоматом ходит только через VPN.

    Конституция Рф. Статья 23. Пункт 2. Гражданин имеет право на тайну переписки.

Вы молодец во всем, кроме самого комментария об этом.

Сделал свой личный VPN.

Это сейчас за подобным не следят и не наказывают :)

Даже если мою инфу бы украл ВПН сервис, это всё равно безопаснее чем оставлять её ру провайдерам и дядям ментам.

А у меня Дядя Ваня ВПН безупречно работает, что наводит на конспирологические подозрения.

А можно с таким же энтузиазмом и задором снять ролики про многочисленные утечки ПД? Ну раз уж мы так яростно боремся щитом и мечом с невежеством рядовых пользователей?

Выглядит сейчас эта ситуация как-то странно: про риски использования «всяких VPN» мы вам расскажем, а про фантастическое количество утечек ПД на любой вкус и цвет мы тактично промолчим. Раз уж взялись доносить мудрость до масс, то объясните %username%, что его ПД никто защищать не будет, а на случай утечки компанию при самом плохом раскладе будет ждать копеечный штраф.

Sign up to leave a comment.

Other news