Дополню, пожалуй... Подход использованный в ProxiFyre (с редиректом трафика на прозрачный локальный прокси и дальнейшей передачей через SOCKS5) довольно старый, но достаточно практичный. Ровно так же и на том же драйвере уже много лет работает сетевая фильтрация ZScaler, разве что вместо SOCKS5 трафик перенаправляется через HTTP-proxy. Есть еще вариант завернуть TCP соединение на redirect layer WFP (задержка на таком редиректе меньше, чем спуститься до NDIS и вернуться обратно), но, к сожалению, для UDP этот уровень работает не так как хотелось бы. Если кому-то интересно сделать полноценное коммерческое решение на основе ProxiFyre и завернуть все в инсталлятор, я не возражаю. Если нет возможности лицензировать драйвер, то за "долю малую" сделаю специализоварованную сборку и помогу чем смогу, в оригинальном ProxiFyre есть что соптимизировать. Заниматься этим направлением самостоятельно у меня, к сожалению, сейчас нет времени.
Аналогично может поступить и троянский софт - может просто послать пакет на localhost.
Под Windows коммуникации с localhost не спускаются до уровня формирования сетевых пакетов, так что вряд ли. Но можно попробовать заинжектить такой пакет с уровня NDIS.
Думаю, мы немного отклонились от темы. Вопрос был о возможности использования Cloudflare Warp из России. Ответ: да, он заблокирован, но есть нюанс — можно пользоваться им через WireSock и SOCKS5 прокси.
Делать сложный DPI дорого по ресурсам, одно дело применить фильтр к одному UDP пакету, другое отловить UDP ASSOCIATE в отдельной TCP сессии и ассоциировать с этим UDP пакетом.
Если добавить в суп SOCKS5 прокси и посолить (WireSock/WireSockUI), то Cloudflare тоже можно пользоваться. Правда не проверял, достаточно ли сейчас через прокси только Wireguard handshake пробросить или уже весь туннель надо гнать.
Подойдет любой SOCKS прокси (для UDP необходим SOCKS5), как локальный (динамический порт форвардинг SSH, Shadowsocks c SOCKS интерфейсом и т.п.) так и удаленный. С последним правда есть риск, что DPI сумеет его вскрыть, так как никакого шифрования не будет использоваться.
Динамический список в принципе можно прикрутить, никаких ограничений я тут не вижу. Но честно говоря времени этим заниматься особенно нет. Для своих нужд я обычно настраиваю один браузер ходить через VPN (или прокси), другой напрямую. Если какие-то приложения не хотят работать из РФ, вроде HP Omen Gaming Hub, то их тоже прибиваю к туннелю.
В Windows все запросы к DNS идут в контексте процесса DNSCACHE и выяснить какой конкретно процесс инициировал этот запрос невозможно. Поэтому все DNS запросы уходят либо через впн либо на системный DNS (если в конфигурации не указаны DNS сервера).
Если задача состоит только в том, чтобы обойти блокировку, то да, в каких-то случаях простого SOCKS5 прокси будет достаточно. Но если нужен безопасный доступ к ресурсам частной сети, а Wireguard блокируют, то это можно обойти завернув Wireguard в SOCKS5.
Да, скриншоты и кейлоггеры это первое что приходит в голову. Но в зависимости от платформы есть и более тонкие методы, например внедрение в процесс и перехват некоторых функций. Мне в бытность работы в IBM приходилось делать модули перехвата незашифрованного трафика в различных базах данных (MS SQL, Oracle, Sybase, Informix, Postgres, …) для анализа на возможные угрозы, которые работали подобным образом.
Вроде вы изначально сделали вывод, что Телеграмм скомпрометирован, совсем из другого фактора - что все устройства Дурова взломаны, но да ладно, не об этом речь.
Это ваша интерпретация, поэтому и изложил всю цепочку рассуждений.
А вот почему вы отождествляете о.с. и программы не понимаю. Телеграмм - это отдельная от платформы программа, использующая собственный алгоритм шифрования, который не зависит от операционки, на которой он установлен.
Если у меня есть контроль над операционной системой, значит у меня есть контроль над любым приложением, которое в ней работает. Как бы оно что внутри себя не шифровало у меня есть полный контроль над вводом-выводом.
Дуров не доверяет платформам разработанным в США => не доверяет телефонам и компьютерам под управлением IOS, Android, Windows, … => не доверяет приложениям работающим на этих платформах => Дуров не доверяет Telegram.
Вы все равно будете пользоваться смартфонами iPhone или Android. И теперь, после того, что я испытал в США, у меня очень ограниченное с точки зрения безопасности доверие к платформам, разработанным в США», — сказал он.
из-за внимания спецслужб Дуров по умолчанию считает, что все его устройства уже взломаны
Из чего в частности следует, что и Телеграм работающий на таком устройстве по умолчанию скомпрометирован и не имеет никаких преимуществ по сравнению с другими мессенджерами и звонилками. Да и честно говоря, Телега потихоньку превращается в такую же помойку как и VK.
Да, с официальным клиентом Wireguard для Windows Mobile Hotspot действительно не работает. Но с WireSock/WireSockUI/TunnlTo отлично работает не требуя дополнительных настроек. Прибавьте проброс Wireguard handshake через Socks5 proxy и текущий вариант блокировки Wireguard в РФ идет лесом. Кстати судя по растущему на сайте трафику из Ирана, там это тоже работает.
P.S. Согласен, laptop таскать неудобно. Если найду время, покопаю в сторону мобильного клиента для андроида.
RTF сохраненный из Word в качестве текста лицензии имеет место некорректно отображаться в MSI собранном с wixtoolset, а из под Wordpad все хорошо. Не все, знаете ли, успевают…
https:://www.wiresock.net
Дополню, пожалуй... Подход использованный в ProxiFyre (с редиректом трафика на прозрачный локальный прокси и дальнейшей передачей через SOCKS5) довольно старый, но достаточно практичный. Ровно так же и на том же драйвере уже много лет работает сетевая фильтрация ZScaler, разве что вместо SOCKS5 трафик перенаправляется через HTTP-proxy.
Есть еще вариант завернуть TCP соединение на redirect layer WFP (задержка на таком редиректе меньше, чем спуститься до NDIS и вернуться обратно), но, к сожалению, для UDP этот уровень работает не так как хотелось бы.
Если кому-то интересно сделать полноценное коммерческое решение на основе ProxiFyre и завернуть все в инсталлятор, я не возражаю. Если нет возможности лицензировать драйвер, то за "долю малую" сделаю специализоварованную сборку и помогу чем смогу, в оригинальном ProxiFyre есть что соптимизировать. Заниматься этим направлением самостоятельно у меня, к сожалению, сейчас нет времени.
В виде DevDrive ReFS уже какое-то время доступна.
Под Windows коммуникации с localhost не спускаются до уровня формирования сетевых пакетов, так что вряд ли. Но можно попробовать заинжектить такой пакет с уровня NDIS.
Думаю, мы немного отклонились от темы. Вопрос был о возможности использования Cloudflare Warp из России. Ответ: да, он заблокирован, но есть нюанс — можно пользоваться им через WireSock и SOCKS5 прокси.
Можно и на белые списки IP адресов перейти, все что явно не разрешено - запрещено.
«— Работает? — Работает! — Ничего не трогай!»
Идут годы, но желание так и не возникло...
Делать сложный DPI дорого по ресурсам, одно дело применить фильтр к одному UDP пакету, другое отловить UDP ASSOCIATE в отдельной TCP сессии и ассоциировать с этим UDP пакетом.
Если добавить в суп SOCKS5 прокси и посолить (WireSock/WireSockUI), то Cloudflare тоже можно пользоваться. Правда не проверял, достаточно ли сейчас через прокси только Wireguard handshake пробросить или уже весь туннель надо гнать.
Подойдет любой SOCKS прокси (для UDP необходим SOCKS5), как локальный (динамический порт форвардинг SSH, Shadowsocks c SOCKS интерфейсом и т.п.) так и удаленный. С последним правда есть риск, что DPI сумеет его вскрыть, так как никакого шифрования не будет использоваться.
Динамический список в принципе можно прикрутить, никаких ограничений я тут не вижу. Но честно говоря времени этим заниматься особенно нет. Для своих нужд я обычно настраиваю один браузер ходить через VPN (или прокси), другой напрямую. Если какие-то приложения не хотят работать из РФ, вроде HP Omen Gaming Hub, то их тоже прибиваю к туннелю.
В Windows все запросы к DNS идут в контексте процесса DNSCACHE и выяснить какой конкретно процесс инициировал этот запрос невозможно. Поэтому все DNS запросы уходят либо через впн либо на системный DNS (если в конфигурации не указаны DNS сервера).
https://github.com/wiresock/proxifyre
Если задача состоит только в том, чтобы обойти блокировку, то да, в каких-то случаях простого SOCKS5 прокси будет достаточно. Но если нужен безопасный доступ к ресурсам частной сети, а Wireguard блокируют, то это можно обойти завернув Wireguard в SOCKS5.
Да, скриншоты и кейлоггеры это первое что приходит в голову. Но в зависимости от платформы есть и более тонкие методы, например внедрение в процесс и перехват некоторых функций. Мне в бытность работы в IBM приходилось делать модули перехвата незашифрованного трафика в различных базах данных (MS SQL, Oracle, Sybase, Informix, Postgres, …) для анализа на возможные угрозы, которые работали подобным образом.
Это ваша интерпретация, поэтому и изложил всю цепочку рассуждений.
Если у меня есть контроль над операционной системой, значит у меня есть контроль над любым приложением, которое в ней работает. Как бы оно что внутри себя не шифровало у меня есть полный контроль над вводом-выводом.
Дуров не доверяет платформам разработанным в США => не доверяет телефонам и компьютерам под управлением IOS, Android, Windows, … => не доверяет приложениям работающим на этих платформах => Дуров не доверяет Telegram.
Из чего в частности следует, что и Телеграм работающий на таком устройстве по умолчанию скомпрометирован и не имеет никаких преимуществ по сравнению с другими мессенджерами и звонилками. Да и честно говоря, Телега потихоньку превращается в такую же помойку как и VK.
Да, с официальным клиентом Wireguard для Windows Mobile Hotspot действительно не работает. Но с WireSock/WireSockUI/TunnlTo отлично работает не требуя дополнительных настроек. Прибавьте проброс Wireguard handshake через Socks5 proxy и текущий вариант блокировки Wireguard в РФ идет лесом. Кстати судя по растущему на сайте трафику из Ирана, там это тоже работает.
P.S. Согласен, laptop таскать неудобно. Если найду время, покопаю в сторону мобильного клиента для андроида.
Если рядовому пользователю это действительно нужно, то можно подключиться к VPN на laptop'е и раздать подключение через Mobile Hotspot.
RTF сохраненный из Word в качестве текста лицензии имеет место некорректно отображаться в MSI собранном с wixtoolset, а из под Wordpad все хорошо. Не все, знаете ли, успевают…