Comments 37
И зачем такое постить и публиковать. Вообще не понимаю.
Чтобы показать необходимость шифрования поверх OpenVPN. И предупредить, что товарищ майор тоже мог додуматься до таких способов.
товарищ майор тоже мог додуматься
Логическая нестыковка детектед. Если он додумался, значит он неглуп. Если он неглуп, то почему он занимается товарищмайорными делами?
Идейный, неапример.
Не стоит недооценивать своих врагов.
Ну, и "товарищ майор" не обязательно конкретно российский. Это, скорее, собирательный образ. С тем же успехом можно назвать его "мистер АНБшник" или "мистер ФБРовец". Вся разница лишь в том, что мистер ФБРовец от меня далеко, а товарищ майор близко.
В моём сообщении ничего не написано про Россию.
Не нужно изобретать. Этот собирательный образ давно существует. Зовется "дядя Сэм".
Идейный, неапример.
Скорее наоборот, когда умение в айти вполне может сочетаться с желанием в деньги при отсутствии морально-этических ограничений.
Идейность там в основном костыльная.
Главное отличие мистера ФБРовца от товарища майора в том что мистер ФБРовец ловит террористов и по совместительству педофилов, и то исключительно в юрисдикции Штатов или через Интерпол если он каким-то образом оказался вне, накрытый немецкий самый крупный ресурс с цп и российская Гидра, накрытая так же неожиданно Германией этому подтверждение, так что сравнивать вообще некорректно, типа а вот европах тоже так же. Так же да не так же, и сидят в Европах так же, другой вопрос за что, и воруют тоже, вопрос как и в каких масштабах.
Есть, к сожалению, пласт весьма квалифицированных товарищей, которым интересно решать сложные технические задачки без оглядки на последствия. То, что плодами их инженерного синтеза будут пользоваться тащмайоры, их не волнует - так и возникают разного рода конторы, "специализирующиеся на решениях ИБ". Да чего далеко ходить - несколько из них периодически постят материалы на Хабре.
Они могут быть "весьма квалифицированы", но они будут хуже тех кто с другой стороны. Не может человек уровня Линуса Торвальдса работать на такую систему.
Как показывает практика - им и не нужно быть столь же изобретательными для достижения целей системы. Когда становится ясно, что технические методы буксуют, они просто включают административные.
В рамках обсуждаемой темы это может быть бан или замедление всего трафика, который невозможно однозначно идентифицировать или вовсе белые списки.
Это как раз ещё технические способы. Административные - это срок за наличие VPN на телефоне.
А как поступать, если тот-же самый VPN в телефоне используется для доступа к корпоративной инфраструктуре, например?
Пф. Справка о разрешении VPN такой-то конторы для устройства с таким-то IMEI, владелец сотрудник такой-то. Можно даже интегрировать в госуслуги. Ну а контора предварительно проходит сертификацию VPN на отсутствие доступа через него к запрещённому контенту, с оборотными штрафами при найденных нарушениях.
Опыт, кстати, есть, первые мобильники были по именным разрешениям.
Уже такое проходили
Они могут быть "весьма квалифицированы", но они будут хуже тех кто с другой стороны.
Как показывает практика, на совершенно разные с моральной точки зрения стороны могут работать люди высокой квалификации вполне сопоставимых уровней. Пример - атомные проекты СССР и США в плане ключевых для термоядерного оружия решений: схема Теллера-Улама была воспроизведена в СССР совершенно независимо и достаточно быстро, а использование дейтрида лития-6 для боезаряда было предложено в СССР AFAIK даже раньше, чем в США.
А ещё практика показывает, что на совершенно разные с моральной точки зрения стороны может работать вообще один и тот же человек с уровнем ведущего специалиста. Пример - Вернер фон Браун.
Так что ваш оптимизм практикой не подтверждается.
Это точно.
Не может человек уровня Линуса Торвальдса работать на такую систему
Google: "учёные третьего рейха"
Этот уровень программеров сомнителен. Сложные задачи решают в Гуглах и Купертинах.
Например потому, что государство способно очень неплохо платить, а он не видит ничего плохого в том что делает. Многие склонны недооценивать государство и ржать над тупым роскомнадзором, который не смог заблокировать Телеграм. Вот только правда в том, что когда государсову действительно, что то надо, оно способно долго и последовательно прикладывать усилия для достижения своих целей. И в том числе организовать/выкупить/национализировать целый ряд компаний с очень неплохими специалистами в своей области. Если речь идет о хороших специалистах, государство может себе позволить платить очень высокие зарплаты, в итоге каждый занят своим делом, специалисты по сигнатурному анализу - выявлением трафика шифрованых протоколов, специалисты в области сетевого оборудования делают новые высокопроизводительные комплексы межсетевого экранирования, и все это уже стоит в сетях и работает... Государство сделало выводы. Думаю сейчас, при новом противостоянии с телеграмом, все было бы не так просто...
Додумываться будет не товарищ майор. У него несколько другие задачи. Додумываться будут разного рода специалисты по ИБ, пишущие софт для корпораций. А корпорации тоже не прочь фильтрофать трафик, дабы пресечь недозволенную активность в своей сети. А уж доступность этого софта для остальных - совсем не проблема для этих остальных.
А чем шифрование поверх OpenVPN поможет против определения сеансов OpenVPN ?
Эту информацию можно передать по закрытым каналам ращрабам випинЭ софта. Чтоб пофиксили. А тут все на блюдце преподносится. Сразу возникает вопрос, какую цель проследует пост?!...
Чтобы разработчики OpenVPN выпустили исправления в код новой версии, которые предотвратят возможность детекции данными способами, а заинтересованные в этом пользователи своевременно обновились.
As with all attack-oriented research, there is a risk that our work developing VPN fingerprinting techniques will be adopted by real attackers. To minimize this risk, we are in the process of responsibly disclosing our findings to the VPN operators whose obfuscated servers we successfully identified in our evaluation. We believe that the security of the VPN ecosystem is best advanced by having these problems surfaced by responsible researchers. Our work will help accurately inform users about the VPN services they rely on, and we hope it will enable more robust countermeasures to be developed and deployed.
Возможно, чтобы некий хабровец, для которого такие вещи создают некоторые угрозы, отправил бы опенвпнщикам свой патч, эти угрозы сводящий на нет.
У меня pptp настроен на роутере, ко мне из Азии коннектится коллега, он для своей работы поднимает опенвпн на своем ноутбуке и их ИБ его не палит, что он из-за бугра ведёт работу. Возникает вопрос, а могут ли они спалить его при данной рабочей схеме???
Автор в курсе, что XOR применяется во всех криптоалгоритмах?
Очередная сказка что как то vpn отследить можно на самом деле никак вообще, у меня провайдер блокировал торренты и простое включение принудительного шифрования сделало скачивание торрентов на максимальной скорости. а в впн используется такое же шифрование и его никак не проанализировать поскольку никак и эти статьи не более чем просто лажа, тупо смотрят какой порт лол ..
Исследователи раскрыли три способа определения сеансов OpenVPN в транзитном трафике