Интересная публикация. А как объяснить подобные стремления к цензуре в других странах, даже европейских? Там цензура, конечно, не так выражена, как в России, н это вопрос времени. На одном из европейских аналитических порталов мне попалась интересная заметка, что у них на TikTok и в других соцсетях сидят "ультраправые экстремисты", которые поддерживают Россию и ненавидят Украину и ЕС, хотят выгнать всех украинских беженцев (а то и ещё хуже - перебить их "как японцы в Маниле"), и повесить Урсулу фон дер Ляйен (я не утрирую, там реально такие цитаты были). И чтобы остановить распространение таких вредных идей, надо ужесточить регулирование соцсетей (то есть все равно усилить цензуру). Мне кажется, что дело ещё в кризисе доверия. Просто так от хорошей жизни такие идеи не получают распространения, они становятся популярными из-за того, что нынешняя политика страны многих уже не устраивает. Но политикам проще бороться с фактом распространения таких идей, чем разбираться с причинами их возникновения. Так же и в России, проще заблокировать Телеграм и Ватсап и навязывать Макс, чем сначала довести Макс до ума, чтобы люди на него переходили по своей воле, разобравшись с причинами недоверия к Максу. Бороться с видимыми последствиями какого-то явления банально проще, чем разбираться с причинами его возникновения.
Суть в том, что государство имеет возможность сделать так, чтобы VPN сервисы не смогли стать массовыми. Для пользования VPN нужны будут меры предосторожности, чтобы не спалить IP, и хотя бы один неподготовленный пользователь может заблокировать доступ сразу для всех, поэтому удобных однокнопочных решений уже не получится. Технари смогут сделать обход блокировок для себя даже в таких условиях, но не смогут предлагать его простым пользователям.
Выходные IP VPN-серверов легко палятся разными способами, от задержек до категории IP и паттернов трафика. Мне кто-то кинул ссылку на сайт proxydetect.live, там сразу десяток способов используется, и все на стороне сервера. С проверками на стороне клиента ещё проще. Если РКН узнает выходной IP, то это не так страшно - у нормальных VPN он как правило отличается от входного, заблокировали выходной, входной останется доступным. Проблема в другом, что возможность передачи и по VPN-каналу, и в открытую создаёт возможность определить входной адрес VPN. Шпионский модуль в каком-то приложении в открытую передаёт пакет - триггер для ТСПУ, который начинает сохранять сессии пользователя, а потом передаёт информацию, что в такое-то время с VPN этим пользователем было скачано определённое количество трафика. А потом сессии анализируются и смотрится, с какого адреса в это время трафик приходил. А возможностей передать триггер и спалить таким образом входной адрес предостаточно, от сплита по адресам и приложениям (какой-нибудь ВК может открыть ссылку в браузере, а там VPN), до локальных прокси, локального DNS (Андроид открывает DNS на 127.0.0.1 при включении раздачи трафика), и бинда к конкретному сетевому интерфейсу. Поможет только второе устройство (но большинство людей не готово на это пойти) и добавление поддержки прокси в приложения (причём это должен быть не простой прокси, как HTTP или SOCKS, а с маскировкой под HTTPS, наподобие MTProto в телеграме, или хотя бы с защитой всего канала по TLS). Разработчики большинства приложений забьют на это скорее всего.
Пришла в голову ещё одна идея определения VPN - на основании временного отклика. Как отличить пользователя VPN от реального заграничного пользователя? В браузере или через приложение делаем запрос и измеряем время отклика, и делаем определение времени пинга на внешний IP-адрес пользователя, если он заграничный. Если эти величины существенно различаются (как минимум на десятки миллисекунд, трафик VPN должен из-за границы прийти), и разница стабильна по времени (т.е. это не плохой wi-fi) то это пользователь VPN. Правда адрес может не пинговаться, тогда можно запустить mtr и посмотреть время отклика последнего адреса с откликом, оно скорее всего близко к времени конечного адреса. Можно кроме пинга послать произвольный запрос на подключение TCP, и измерить время ответа. На мобильных и спутниковых сетях метод может давать ложные срабатывания, их можно исключить из проверки.
Есть рекомендация в целях безопасности использовать для подтверждения банковских операций отдельное устройство, лучше всего простой кнопочный телефон без интернета. Поэтому СМС в любом случае надо оставить.
Из статьи непонятно, что имеется в виду: запретить доступ с VPN (а как тогда отличить доступ с VPN? по IP-адресу блокировать? (а как тогда отличить VPN-щиков от обычных пользователей из-за рубежа?) проверять флаг VPN в мобильных приложениях, даже если VPN реально не используется для обхода блокировок?), или запретить использовать свои ресурсы, доступные в "белых списках", для организации VPN? (это условие вроде и раньше было).
Зато у модемов было одно большое преимущество, особенно актуальное сейчас - что можно было создать канал передачи данных через телефонную сеть без интернета. Просто поставил два модема в разных местах, позвонил, настроил и канал связи готов. Никакие "белые списки" не помеха. А теперь вся коммуникация идёт через интернет, который может и не работать или быть ограничен. Идея этих "белых списков" как раз в том, чтобы ограничить создание неконтролируемых каналов связи. Хотя такие каналы часто бывают нужны, возможно их сделать более контролируемыми? Достаточно часто нужен просто канал связи между двумя точками, и TCP/IP для этого избыточен. А такой технологии не осталось, даже телефонная связь перешла на IP (и в домашних телефонах, и в мобильных VoLTE). Чем можно заменить связь точка-точка по номерам телефонов сейчас? может быть есть какие-то хитрые VoLTE модемы, которые вместо голоса и видео могут передавать произвольный поток данных? Разве в сети LTE не предусмотрели никаких возможностей эмулировать модем с каналом точка-точка? для каких-нибудь банкоматов это имело бы смысл.
А есть ли такое приложение, которое позволяло бы соединяться без сервера, просто по IPv6 адресу? У нас уже 2 из 4 основных мобильных операторов поддерживают IPv6. Чтобы позвонить кому-то через интернет, запускаешь приложение, получаешь ссылку и отправляешь нужному человеку, он может позвонить по ней даже через браузер. Можно и через домашний интернет без IPv6 принимать звонки, если адрес внешний, а на роутере работает UPNP, либо перенаправление портов настроено. Нет сервера - блокировать нечего, разве только по сигнатурам.
Я как-то несколько лет назад экспериментировал с Linphone, но там SIP сервер нужен. Хотя по адресу напрямую тоже можно было звонить, я даже прикручивал динамический DNS для звонков по адресу. А есть ли какие-то более простое решение такого типа?
А как это согласуется с виртуальной памятью в современных ОС? там для загрузки бинарников используется mmap, секция с кодом mmap'ится как read-only, и если у системы мало памяти, она может выгрузить секцию из памяти и загрузить повторно из файла с бинарником при необходимости. А если секция с кодом стала изменяемой? файл с бинарником тогда остаётся как есть, а страница памяти кода с изменениями выгружается уже не в никуда, а в своп, как страница с данными? А если файл и так находится в памяти (например, в tmpfs), тогда при обычном запуске он из этой же памяти и запускается, а при модификации кода создаётся копия? или как-то по-другому?
Да, это риск, который нужно было учитывать. Я, когда брал IT-ипотеку, имел в виду и то, что я долго уже работаю в одной компании, и меня она устраивает, значит скорее всего я продолжу работать там дальше и указанный риск смены компании маловероятен.
А ограничение на Москву и Петербург действует по месту регистрации компании или по расположению объекта недвижимости? можно, работая в подмосковной компании, взять льготную IT-ипотеку на новых условиях на квартиру в Москве? или работая в московской, взять ипотеку на квартиру в Подмосковье?
Большинство мышек подключается по USB-A. Мышки USB-C и microUSB это какая-то экзотика (для мобильных устройств разве только), проще переходником воспользоваться.
Вспомнился меметичный перевод старой версией промта: "Для эффективной помощи техничного упора, наш инженер должен знать торговую марку вашей мыши, тип (в-портовая мышь, периодическая мышь, автобусная мышь, Полицейский Участок /2 мышь, без поводка мышь, гениталий на гусеничном ходу и т.п.)..."
"Периодическая мышь" это скорее всего serial mouse, с подключением через последовательный разъём. "Автобусная мышь" это bus mouse. "Полицейский участок /2" это PS/2. А вот "в-портовая мышь" чем могла быть? А вот "гениталий на гусеничном ходу" это трекбол, это уже конструктив, а не способ подключения. У трекболов способы подключения скорее всего были такие же, как у обычных мышек.
Вспомнил ещё такой момент. Если будет небольшое число правильных с точки зрения российских властей VPN-сервисов, используемых для обхода санкций - западные политики и компании наложат санкции на эти VPN, и заблокируют их адреса вместе с адресами из России, и это работать не будет. Западные политики могут поддерживать VPN-сервисы для предоставления в России доступа к их западной информационной картине, но российские власти как раз этого и не хотят, такие VPN-сервисы никогда не станут одобренными в России. Тут как раз должно быть так, чтобы перечень адресов для выхода из другой страны не был ограничен.
может быть, чтобы VPN считался правильным, он сам должен блочить все протоколы VPN, чтобы нельзя было подключаться через него к другому VPN. Или вообще пропускать только HTTP/HTTPS.
Я писал о том, что блокировки бывают не только со стороны нашего правительства, но и со стороны его противников. А средства обхода блокировок зачастую бывают необходимы для борьбы с последствиями западных санкций. Например для того, чтобы качать документацию и драйвера с сайтов производителей компьютерного оборудования. Ведь даже Intel не хочет видеть на своём сайте пользователей из России.
Добавлю ещё ссылку на публикацию, а то видимо кому-то кажется странным то, что я написал о европейских странах.
Интересная публикация. А как объяснить подобные стремления к цензуре в других странах, даже европейских? Там цензура, конечно, не так выражена, как в России, н это вопрос времени.
На одном из европейских аналитических порталов мне попалась интересная заметка, что у них на TikTok и в других соцсетях сидят "ультраправые экстремисты", которые поддерживают Россию и ненавидят Украину и ЕС, хотят выгнать всех украинских беженцев (а то и ещё хуже - перебить их "как японцы в Маниле"), и повесить Урсулу фон дер Ляйен (я не утрирую, там реально такие цитаты были). И чтобы остановить распространение таких вредных идей, надо ужесточить регулирование соцсетей (то есть все равно усилить цензуру).
Мне кажется, что дело ещё в кризисе доверия. Просто так от хорошей жизни такие идеи не получают распространения, они становятся популярными из-за того, что нынешняя политика страны многих уже не устраивает. Но политикам проще бороться с фактом распространения таких идей, чем разбираться с причинами их возникновения. Так же и в России, проще заблокировать Телеграм и Ватсап и навязывать Макс, чем сначала довести Макс до ума, чтобы люди на него переходили по своей воле, разобравшись с причинами недоверия к Максу. Бороться с видимыми последствиями какого-то явления банально проще, чем разбираться с причинами его возникновения.
Суть в том, что государство имеет возможность сделать так, чтобы VPN сервисы не смогли стать массовыми. Для пользования VPN нужны будут меры предосторожности, чтобы не спалить IP, и хотя бы один неподготовленный пользователь может заблокировать доступ сразу для всех, поэтому удобных однокнопочных решений уже не получится. Технари смогут сделать обход блокировок для себя даже в таких условиях, но не смогут предлагать его простым пользователям.
Выходные IP VPN-серверов легко палятся разными способами, от задержек до категории IP и паттернов трафика. Мне кто-то кинул ссылку на сайт proxydetect.live, там сразу десяток способов используется, и все на стороне сервера. С проверками на стороне клиента ещё проще.
Если РКН узнает выходной IP, то это не так страшно - у нормальных VPN он как правило отличается от входного, заблокировали выходной, входной останется доступным.
Проблема в другом, что возможность передачи и по VPN-каналу, и в открытую создаёт возможность определить входной адрес VPN. Шпионский модуль в каком-то приложении в открытую передаёт пакет - триггер для ТСПУ, который начинает сохранять сессии пользователя, а потом передаёт информацию, что в такое-то время с VPN этим пользователем было скачано определённое количество трафика. А потом сессии анализируются и смотрится, с какого адреса в это время трафик приходил.
А возможностей передать триггер и спалить таким образом входной адрес предостаточно, от сплита по адресам и приложениям (какой-нибудь ВК может открыть ссылку в браузере, а там VPN), до локальных прокси, локального DNS (Андроид открывает DNS на 127.0.0.1 при включении раздачи трафика), и бинда к конкретному сетевому интерфейсу.
Поможет только второе устройство (но большинство людей не готово на это пойти) и добавление поддержки прокси в приложения (причём это должен быть не простой прокси, как HTTP или SOCKS, а с маскировкой под HTTPS, наподобие MTProto в телеграме, или хотя бы с защитой всего канала по TLS). Разработчики большинства приложений забьют на это скорее всего.
Пришла в голову ещё одна идея определения VPN - на основании временного отклика. Как отличить пользователя VPN от реального заграничного пользователя?
В браузере или через приложение делаем запрос и измеряем время отклика, и делаем определение времени пинга на внешний IP-адрес пользователя, если он заграничный. Если эти величины существенно различаются (как минимум на десятки миллисекунд, трафик VPN должен из-за границы прийти), и разница стабильна по времени (т.е. это не плохой wi-fi) то это пользователь VPN. Правда адрес может не пинговаться, тогда можно запустить mtr и посмотреть время отклика последнего адреса с откликом, оно скорее всего близко к времени конечного адреса. Можно кроме пинга послать произвольный запрос на подключение TCP, и измерить время ответа.
На мобильных и спутниковых сетях метод может давать ложные срабатывания, их можно исключить из проверки.
В мобильной сети это называется "выделенный APN"
Есть рекомендация в целях безопасности использовать для подтверждения банковских операций отдельное устройство, лучше всего простой кнопочный телефон без интернета. Поэтому СМС в любом случае надо оставить.
А почему по e-mail нельзя? c DKIM/SPF проверкой это достаточно безопасно.
Сервисы могут определить выходную точку, а она как правило зарубежная, чтобы проще обойти блокировки.
Из статьи непонятно, что имеется в виду: запретить доступ с VPN (а как тогда отличить доступ с VPN? по IP-адресу блокировать? (а как тогда отличить VPN-щиков от обычных пользователей из-за рубежа?) проверять флаг VPN в мобильных приложениях, даже если VPN реально не используется для обхода блокировок?), или запретить использовать свои ресурсы, доступные в "белых списках", для организации VPN? (это условие вроде и раньше было).
Зато у модемов было одно большое преимущество, особенно актуальное сейчас - что можно было создать канал передачи данных через телефонную сеть без интернета. Просто поставил два модема в разных местах, позвонил, настроил и канал связи готов. Никакие "белые списки" не помеха.
А теперь вся коммуникация идёт через интернет, который может и не работать или быть ограничен. Идея этих "белых списков" как раз в том, чтобы ограничить создание неконтролируемых каналов связи. Хотя такие каналы часто бывают нужны, возможно их сделать более контролируемыми?
Достаточно часто нужен просто канал связи между двумя точками, и TCP/IP для этого избыточен. А такой технологии не осталось, даже телефонная связь перешла на IP (и в домашних телефонах, и в мобильных VoLTE).
Чем можно заменить связь точка-точка по номерам телефонов сейчас? может быть есть какие-то хитрые VoLTE модемы, которые вместо голоса и видео могут передавать произвольный поток данных? Разве в сети LTE не предусмотрели никаких возможностей эмулировать модем с каналом точка-точка? для каких-нибудь банкоматов это имело бы смысл.
А есть ли такое приложение, которое позволяло бы соединяться без сервера, просто по IPv6 адресу? У нас уже 2 из 4 основных мобильных операторов поддерживают IPv6. Чтобы позвонить кому-то через интернет, запускаешь приложение, получаешь ссылку и отправляешь нужному человеку, он может позвонить по ней даже через браузер. Можно и через домашний интернет без IPv6 принимать звонки, если адрес внешний, а на роутере работает UPNP, либо перенаправление портов настроено. Нет сервера - блокировать нечего, разве только по сигнатурам.
Я как-то несколько лет назад экспериментировал с Linphone, но там SIP сервер нужен. Хотя по адресу напрямую тоже можно было звонить, я даже прикручивал динамический DNS для звонков по адресу. А есть ли какие-то более простое решение такого типа?
А как это согласуется с виртуальной памятью в современных ОС? там для загрузки бинарников используется mmap, секция с кодом mmap'ится как read-only, и если у системы мало памяти, она может выгрузить секцию из памяти и загрузить повторно из файла с бинарником при необходимости. А если секция с кодом стала изменяемой? файл с бинарником тогда остаётся как есть, а страница памяти кода с изменениями выгружается уже не в никуда, а в своп, как страница с данными?
А если файл и так находится в памяти (например, в tmpfs), тогда при обычном запуске он из этой же памяти и запускается, а при модификации кода создаётся копия? или как-то по-другому?
Да, это риск, который нужно было учитывать.
Я, когда брал IT-ипотеку, имел в виду и то, что я долго уже работаю в одной компании, и меня она устраивает, значит скорее всего я продолжу работать там дальше и указанный риск смены компании маловероятен.
А ограничение на Москву и Петербург действует по месту регистрации компании или по расположению объекта недвижимости? можно, работая в подмосковной компании, взять льготную IT-ипотеку на новых условиях на квартиру в Москве? или работая в московской, взять ипотеку на квартиру в Подмосковье?
Большинство мышек подключается по USB-A. Мышки USB-C и microUSB это какая-то экзотика (для мобильных устройств разве только), проще переходником воспользоваться.
Вспомнился меметичный перевод старой версией промта:
"Для эффективной помощи техничного упора, наш инженер должен знать торговую марку вашей мыши, тип (в-портовая мышь, периодическая мышь, автобусная мышь, Полицейский Участок /2 мышь, без поводка мышь, гениталий на гусеничном ходу и т.п.)..."
"Периодическая мышь" это скорее всего serial mouse, с подключением через последовательный разъём. "Автобусная мышь" это bus mouse. "Полицейский участок /2" это PS/2. А вот "в-портовая мышь" чем могла быть?
А вот "гениталий на гусеничном ходу" это трекбол, это уже конструктив, а не способ подключения. У трекболов способы подключения скорее всего были такие же, как у обычных мышек.
Вспомнил ещё такой момент. Если будет небольшое число правильных с точки зрения российских властей VPN-сервисов, используемых для обхода санкций - западные политики и компании наложат санкции на эти VPN, и заблокируют их адреса вместе с адресами из России, и это работать не будет.
Западные политики могут поддерживать VPN-сервисы для предоставления в России доступа к их западной информационной картине, но российские власти как раз этого и не хотят, такие VPN-сервисы никогда не станут одобренными в России.
Тут как раз должно быть так, чтобы перечень адресов для выхода из другой страны не был ограничен.
может быть, чтобы VPN считался правильным, он сам должен блочить все протоколы VPN, чтобы нельзя было подключаться через него к другому VPN. Или вообще пропускать только HTTP/HTTPS.
Я писал о том, что блокировки бывают не только со стороны нашего правительства, но и со стороны его противников. А средства обхода блокировок зачастую бывают необходимы для борьбы с последствиями западных санкций. Например для того, чтобы качать документацию и драйвера с сайтов производителей компьютерного оборудования. Ведь даже Intel не хочет видеть на своём сайте пользователей из России.