Свободу байтам

    Чисто гипотетически, представьте себе ситуацию, что власть захватили вражеские агенты, мы в информационной оккупации, нас помещают в информационный пузырь.


    Вы видите меня хозяином Франции, но я бы не взялся править ею и три месяца при свободной прессе.
    Наполеон I

    Конечно гипотетически, на самом деле, такое с нами произойти не может. А то, что сейчас блокируют (как устроена блокировка в РФ и РБ), это же конечно "для нашего блага".


    Цель этой статьи: найти и проанализировать открытые или, как минимум, закрытые но бесплатные и удобные инструменты, которые позволяют получить доступ к информации в случае частичной или полной блокировки доступа к сети Интернет.


    Кому лень читать, буду краток: Tor и Bridgefy — это то, что должно стоять у каждого борца за свободу информации.


    Disclaimer: "вдохновлением" для этой статьи послужил беспредел, который происходит в родных краях.

    Матчасть


    Рассмотрим, как как нам могут перекрыть доступ? У нас есть вымышленный Интернет ресурс example.com с IP адресом 123.123.123.123. Что с ним могут сделать?


    • Блокировка по статическому IP адресу (IP black hole). Сомнительный по эффективности способ. В облачных хостингах можно мгновенно получить новый IP адрес. А затем поменять DNS A записи. Да и часто используется Content Distribution Network (CDN), которые хостят ресурсы не на одном IP, и на этом IP по-другому доменному имени хостятся другие веб ресурсы. Заблокируешь эти IP  -  половина сервисов интернета станут недоступны. При попытках заблокировать Telegram, блокировались пулы CDN IP-адресов, которые использовались клиентским приложением — многие ресурсы стали недоступны. Многие бизнесы пострадали. И это не единcтвенный случай.


    • Изменении DNS записи (DNS hijacking). Обходится проще всего: нужно изменить DNS сервер в настройках своего роутера или ОС.
      Но провайдеры могут пойти дальше. DNS протокол придуман давно, и не предусматривал шифрование или обязательную авторизацию ответа. Таким образом, провайдеры могут перехватывать ваши DNS пакеты на любой DNS сервер (Google DNS 8.8.8.8 или Cloudlfare DNS 1.1.1.1) и отвечать за них другими IP-шниками, которые ведут на страницу блокировки (вместо нашего 123.123.123.123). С такими атаками призван бороться DNSSEC. Но этот подход встретил критику: она заключается в том, что DNSSEC все равно не решает проблему полностью. Далее, на помощь приходит DNS over HTTPS или DNS over TLS. В новых релизах от Apple: macOS Big Sur и iOS 14 он уже включен по умолчанию. В Windows 10 Insider так же добавили поддержку. На Linux в systemd-resolved идет разработка. Более того, Firefox включил DNS over HTTPS по умолчанию для новых релизов. В Chromium есть возможность включить поддержку.


    • Глубокий анализ пакетов (Deep Packet Inspection, DPI) - здесь уже интереснее. Например, Ideco Selecta ISP, или Великий Китайский Фаервол. Данные инструменты могут не только обращать внимание на доменное имя, IP адрес, L4 протокол и порт, но и на другие нюансы протокола. Например на используемый TLS Сipher Suite для HTTPS. Или на размер первого, второго, третьего пакета в TLS Handshake. Вот такие инструменты могут достать SNI поле из TLS Client Hello сообщения, в котором содержится доменное имя (в нашем случае "example.com"). И если DPI увидит неугодный ресурс - отбросит пакет.
      Инженеры-борцы за свободу и приватность в сети Интернет пошли дальше: Encrypted SNI (ESNI). В связке с DNS over HTTPS/TLS позволяет скрыть от DPI доменное имя ресурса, к которому вы получаете доступ. Поддерживает ли ваш браузер необходимый функционал? Проверить можно здесь. Firefox поддерживает. Chromium еще нет. Но ESNI заработает только, если создатели ресурса позаботились об этом, а это все еще экспериментальная функциональность. Поэтому, поддерживается не всеми. Хочется добавить, что не все DPI хороши как Великая Китайская Огненная Стена: при блокировке сайта navalny.com, использовали трюк с TCP Window Size, чтобы разделить SNI на несколько TCP cегментов. DPI, который использовался провайдерами, не умел собирать фрагментированные TCP сегменты  —  блокировка не сработала.
      Wireshark, анализ TLS Clientf Hello сегмента


    • Ну и самое банальное. Если регистратором доменного имени выступает регистратор, на который могут "надавить" враги, то доменно имя у вас могут "отжать". Я про такие случаи "не читал, но осуждаю".



    Итого


    • У вас не возникнет проблем, если:
      • на вашей ОС включен DNS over HTTPS (или over TLS, при условии использования внешнего независимого DNS сервера, например от Cloudflare);
      • и "example.com" использует CDN с поддержкой TLSv1.3 / ESNI;
      • и провайдер не заблокировал независимый DNS по IP адресу;
      • и провайдер не заблокировал пул IP адресов CDN, как это было в во время блокировки Telegram в РФ;
    • Если что-то из вышеперечисленного не поддерживается на клиентской или серверной стороне, то скорее всего доступ прикроют использую DPI ПО — читаем дальше.

    VPN и Proxy


    Все виды блокировок можно обойти с помощью VPN. Но могут заблокировать сам VPN. Для таких случаев придумали Tor (о нем речь пойдет ниже).
    Решения расположены в порядке простоты их использования.


    WARP+


    Закрытый бесплатный VPN от Cloudflare на основе протокола Wireguard. Рекламы нет, поэтому поместил в этот список.


    1.1.1.1 app


    • Протокол блокируется Великим Китайским Фаерволом.
    • Не поддерживается Linux. Но скоро добавят.
    • Лимиты по объему передаваемых данных.
    • Удобство использования.
    • Нет рекламы в бесплатной версии.
    • Wireguard поддерживает роуминг. Это позволяет прозрачно и незаметно для пользователя сменять сети (Wi-Fi, LTE, 3G).

    RiseUP


    Открытое VPN приложение на базе протокола OpenVPN. Предоставляет бесплатно свои сервера. Доступно для Android, Linux, Windows, macOS. Ссылки на приложения доступны на официальном сайте.


    RiseUp, Android


    • Протокол блокируется Великим Китайским Фаерволом.
    • Не поддерживается iOS.
    • Удобство использования.
    • Открытый код.
    • Нету лимитов по объемам передаваемых данных.
    • Есть лимиты по скорости. Для просмотра видео с "example.com" хватит.

    TouchVPN


    Это удобное расширение для браузера для настройки прокси-серверов. Расположение (страну) прокси-сервера можно выбрать в настройках.
    TouchVPN on chrome


    • Дополнение работает только в браузерах на Desktop-системах. Но есть приложения под мобильные платформы, но уже с рекламой.
    • Доступно в Firefox и Chrome.

    VpnGate


    Cписок бесплатных OpenVPN серверов, которые хостятся в основном США и Японии.
    Будет работать с любым OpenVPN клиентом на любой операционной системе.


    • Протокол блокируется Великим Китайским Фаерволом.
    • OpenVPN клиенты есть для всех популярных операционных систем.
    • Тяжело в использовании неопытными пользователями, необходимо скачивать конфигурацию самостоятельно. Нужно скачать конфигурационный файл с сайта и выбрать его в приложении: ,

    Итого


    Попробуйте описанные выше продукты. Скорее всего они вам помогут. Если вам не хватает пропускной способности, а денег много тратить не хочется, можно развернуть свой VPN сервер в сети. Это сложнее, но дешевле (от 3 евро в месяц), если VPN вы собираетесь пользоваться много.


    Tor и Ко


    Вражеские агенты узнали о том, что люди могут получить доступ к информации. VPN начали блокировать DPI инструментами.


    Хьюстон, у нас проблема!

    Не отчаивайтесь, мы не первые. Многие страны уже прошли этот этап. Великий Китайский Фаервол уже давно умеет и практикует. А в РФ и РБ (обкатывают на госорганизациях) есть соответствующие постановления. И инструменты обхода соответствующие разработаны. И интересно, что несколько проектов, которые будут рассмотрены, разработаны правительством США.


    Tor


    Если вас интересует не только возможность получать доступ к Интернет ресурсам, но и еще делать это анонимно, то вам нужен Tor. В обещания VPN провайдеров о том, что они не хранят логи доступа или не начнут дампить пакеты по требованию вражеских агентов, я не верю. Хотя анонимность Tor тоже под вопросом, если узлы сети скомпроментированы.
    Наверняка вы уже слышали о этой сети. И о ее архитектуре, где каждый пакет шифруется несколько раз, а затем расшифровывается на промежуточных сетевых узлах. Это похоже на разворачивании луковицы, поэтому и называется onion (лук)-network. В Беларуси Tor официально заблокирован с 2016 года, но из-за архитектуры, он продолжает работать через Bridges. Конечно враг может пойти дальше и усложнить процесс использования даже Bridges. Но все каналы перекрыть не получится.


    Orbot, Android


    А еще через сеть Tor доступен Darknet. А это что-то реально свободное и неподконтрольное никому. Но организовано неудобно.


    • Obfs4 позволяет обходить даже Великий Китайский Фаервол.
    • Открытый код.
    • Поддерживается всеми популярными операционными системами, в том числе мобильными.
    • Проект развивается давно, поэтому приложения удобные и не вызывают трудностей при использовании.
    • Работает медленнее VPN из-за луковичной архитектуры сети.
    • Работает в виде прозрачного прокси или браузера на всех ОС.

    Psiphon


    Разработан в университете города Торонто. Для туннелирования используется обфусцированный SSH туннель. Но было найдено упоминание о использовании L2TP/IPsec для VPN на Windows. До начала моего исследования я не слышал про этот сервис. А зря, он использовался во время блокировок Телеграм в Иране во время протестов конца 2017 начала 2018 года.


    Psiphon App, Android



    Lantern


    Проект проспонсирован правительством США и может использовать других участников сети для проксирования (если разрешено). Если узлов, разрешающих проксирование, нет, то ПО использует резервные (fallback) прокси сервера, предоставленные самим проектом.


    Lattern, Android


    • Позволяет обходить Великий Китайский Фаервол в Pro версии. Но в бесплатной версии можно получить список Fallback Proxies IP и заблокировать.
    • Поддерживается всеми популярными операционными системами, в том числе мобильными.
    • Открытый код.
    • Не сохраняет анонимность. Прямо так в соглашении прописано, что могут продавать ваши логи.
    • Если же вы, например, в Китае, то бесплатная версия может не сработать. Нужно покупать подписку. По подписке доступны другие сервера, которые сложнее достать цензору.

    Shadowsocks


    От Китайских разработчиков с любовью. Кто, как не инженеры из страны с Великим Фаерволом, может с этим еще бороться эффективнее? В первозданном виде Shadowsocks блокируется Великим Китайским Фаерволом через Active Probing. Но можно подключить другие транспорты, например, Obfs4, который используется сетью Tor. В таком случае нам кран не перекроют.
    Shadowsocks, Android


    • Obfs4 позволяет обходить даже Великий Китайский Фаервол.
    • Открытый код.
    • UX для опытных пользоавтелей.
    • Публичных бесплатных серверов я не видел. Но можно очень просто развернуть свой сервер на Linode.
    • Поддерживается на всех популярных операционных системах, в том числе на мобильных.

    Hotspotshield


    Проприетарное VPN приложение которое использует закрытый протокол Catapult Hydra. Согласно блогу компании, умеет обходить Китайский Фаервол. Приложение платное. В бесплатной версии навязчивая реклама. Но если ничего больше не работает, стоит попробовать.


    Hotspotshield App, Android


    • Обходит Китайский Фаервол.
    • Есть клиенты под все популярные ОС.
    • Реклама в бесплатной версии.
    • Закрытый протокол.
    • Не сохраняет анонимность.

    Итого


    Выбор редакции — Tor. Tor поможет в большинстве случаев. UI\UX приложения Orbot не вызвал у меня вопрос, все понятно. Скорее всего и у вас не будут проблем. Считаю, что это приложение должно быть утсановлено у всех борцов за свободу информации, рано или поздно вам оно пригодится.


    Mesh-сети


    Отлично, разобрались с Tor. А что если вражески-настроенные агенты пошли дальше. Они отключили GSM сеть. Или вообще отключили Интертнет. Перезагрузка ПК и роутера не помогает :).


    Шеф, все пропало!

    В таком случае подойдут mesh-сети. В нашем случае нас интересуют mesh-сети, которые строятся с помощью Bluetoothи Wi-Fi Direct. Используя эти технологии, можно построить mesh-сети между мобильными устройствами: все узлы сети соединяются с соседними узлами в радиусе доступности радиосигнала и помогают передавать пакеты до адресата. Такой вид взаимопомощи, хватит быть эгоистом! ;)


    mesh-network


    Mesh-сети явление не новое. Глоток популярности они получили во время протестов в Ираке и Гонконге в 2014 году благодаря приложения Firechat (уже не поддерживается). В 2015 году использовался активистами во время протестов в Эквадоре и во время протестов "Free Way to the Cataln Republic" в Барселоне. А в 2016 году использовался студентами во время протестов в Индии, когда в университете отключили Wi-Fi сеть.


    FireChat был построен на закрытой библиотеке MeshKit от OpenGarden. Сообщество Hackernews ее не одобрили: "Какой это Freedom, если код закрыт"?! Для передачи текстовых сообщений и изображений используются беспроводные сети Bluetooth и Wi-Fi, устройства с установленным клиентом могут обнаруживать друг друга в радиусе до 60 метров. Каждое устройство с клиентом фактически становится ретранслятором для других устройств с этой программой, организуя распределенную mesh-сеть.


    Хотелось бы напомнить, что вас могут отследить, если вы подключены к GSM сети. Переведя же телефон в режим полета и присоединившись к Bluetooth mesh-сети, вы лишаете вражеских агентов возможности отследить вас.

    Так как FireChat закрыт, а приложение уже недоступно, предлагаю посмотреть на доступные альтернативы.


    Bridgefy


    Разработчики приложения позиционируют его как способ для общения во время путешествий и различного рода общественных мероприятий, когда GSM сеть может оказаться перегруженной. Приложение может работать в 3 режимах:


    • Person-to-Person: общение возможно только между двумя участниками. Используется Bluetooth, в таком режиме радиус действия сильно ограничен.
    • Mesh-сеть: сообщения шифруются и передаются через других участников сети (узлы). Тот режим, который нас интересует.
    • Широковещательный (Broadcast): отправляет широковещательное сообщение всем участникам сети кругом. Все увидят ваше сообщение, даже если их нету в вашем контакт-листе.


      Я протестировал приложением между двумя Android смартфонами, работали все режимы с выключенным Wi-Fi. Также, сообщения синхронизируются через сеть Интернет.



    Bridgefy приложение


    • Поддерживаются iOS и Android.
    • Закрытый код.
    • Добавлять можно только те контакты, которые рядом, что неудобно.

    Briar


    Этот проект с открытым кодом разработан для активистов, журналистов и других, кто нуждается в безопасном и надежном виде коммуникации. В отличии от традиционных мессенджеров, Briar полагается не только на центральный сервер, а синхронизирует сообщения между пользовательскими устройствами. Если сеть Интернет недоступна, Briar может синхронизировать сообщения через Bluetooth или Wi-Fi. Если сеть Интернет доступна, сообщения синхронизируются через Tor сеть, защищая пользователей от наблюдения. Больше деталей в официальной документации.


    Briar Network Overview


    Я протестировал приложение между двумя Android смартфонами. Работали все режимы с выключенным Wi-Fi, добавление контакта через QR код и микроблогинг. Сообщения синхронизируются через сеть Интернет.


    • Не поддерживает iOS. Только Android. Со временем доработают.
    • Открытый код.
    • Можно вести свой микроблог, полезная вещь, если нужно оповестить большую аудиторию о чем-то важном.
    • Можно добавлять контакты по ссылке, которая представляет собой публичный ключ.

    Итого


    Используя мессенджеры на основе mesh-сетей можно наладить связь при массовых скоплениях людей без сети Интернет. Основная проблема — побудить всю "толпу" установить приложение. Мой выбор пал на Bridgefy, потому что поддерживается iOS и Android. Хотя UI\UX и функциональность понравились больше у Briar: возможность добавлять контакты через считывание QR кодов, индикаторы доступных каналов связи, возможность добавлять контакты с помощью ссылок, т.е не надо быть в радиусе-действия Bluetooth.


    Хочу отметить, что мои коллеги предупредили, что сотни WiFi 2.4 GHz на небольшой площади из-за Beacon могут "нашуметь" на столько, что на данной частоте будет невозможно поддерживать связь. Но я с этим не сталкивался, пока что.


    Заключение


    Буду краток: Tor и Bridgefy спасут вас с большой вероятностью. Для тех, кто в РБ, советую Psiphon (так как Tor блокируется, доступ можно получить через Bridges, но это усложняет UX).


    Хотелось бы отметить, что вражеские агенты могут пойти дальше. Если начнут глушить не только GSM, а 2.4ГГц или 5ГГц, на котором работает Wi-Fi и Bluetooth, то здесь уже ничего не поделаешь. Или поделаешь? Поделитесь идеями!


    Прошу прощения за возможные ошибки и описки. Посоветуйте плагин для VS Code, который может исправлять синтаксис и пунктуацию в Markdown.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 81

      0

      Спасибо за гайд. Сегодня он многим будет полезен.

        +1

        В ситуации когда глушат 2.4 и 5Ghz помогают старые добрые транспарант, сцена и громкоговоритель.

          +20

          Это глушится старой доброй резиновой дубинкой в руках "космонавта".

          –1

          Есть еще vpn Outline от google, поднял его на 5$ дроплете в DigitalOcean, клиенты для всех систем. Насчет бллкировки китайским файрволом не знаю.

            0
            А причём тут google? Outline это один из клиентов shadowsocks.
            +1
            Можно ещё lify, ультразвук или сверх широкополосный WiFi попробовать.
              –8

              Обязательно упомянуть РФ в статье. Я живу в в Украине, тут заблокировано куча ресурсов. В Европе блокируют торрент и не важно легальный вы контент качаете или нет. Везде есть блокировки в том или ином виде. Любая страна не важно какой там политический строй стремится контролировать свое информационное пространство.


              И почему не рассматривается сценарий — враги государства используют интернет для пропаганды. Я не топлю за заколачивание гвоздей, просто вопрос намного шире и все не так просто

                0
                Лидеры в блокировках — РФ и Китай, в статье упомянуты оба.

                почему не рассматривается сценарий — враги государства используют интернет для пропаганды.


                Наши смелые разведчики vs ихние подлые шпионы? ;) Спасибо, но статья совсем не о пользе блокировок.
                  +3
                  Простите, откуда у вас информация, что лидеры в блокировках РФ и Китай?
                  У вас есть ссылка на источник?
                  По-моему, как минимум Туркменистан и Северная Корея блокируют сильнее, чем РФ.
                    +1
                    Лидеры не по числу заблокированных ресурсов, а по используемым технологиям блокировки.
                    У Сев Кореи блокировка — скучный whitelist.
                    Но завереного нотариально рейтинга у меня нет.
                  –20
                  Россияне думают, что они умнее украинцев и остальных, кому цветные революции помогли улучшить ситуацию с экономикой и свободами.
                    +4

                    Кремль != россияне

                    • НЛО прилетело и опубликовало эту надпись здесь
                        0
                        Россия всегда была богаче соседей, на то она и лидер в СНГ. Плюс в 20 веке добавились нефть и газ.
                        Насколько знаю, если раньше ездили в Москву на заработки, то сейчас в Польшу. А это говорит о сильном падении уровня жизни в РФ. Причем оправдать это нельзя, это надо умудриться иметь столько бедного населения с такими ресурсами. В двух вышеназванных странах особо ничего и нет кроме плодородной земли.
                        • НЛО прилетело и опубликовало эту надпись здесь
                            0
                            В отдельных областях может быть так, а речь про страну в целом.
                            Во Львове когда был прекрасно все понимали русский и многие даже отвечали на нем. А писать может не пишут, смысла действительно нет.
                          0
                          Прощу прощения, почему то я подумал, что сарказм про экономику и свободы будет очевиден. Хотя я понимаю, что даже на Хабре достаточно упоротых, готовых говорить, что Украина сейчас живет богаче и свободнее, например.

                          Хотя нет, это было пару тройку лет назад, теперь моднее говорить, что Украина и не могла жить богато, потому что нет таких ресурсов как в России(кстати Википедия про ресусры утверждает обратное — их на Украине много)

                          ctc, прошу прощения и за ваш сарказмометр)
                          0
                          Мой сарказмодетектор сломался на этом комментарии. Нужен соответствующий тег.
                          +4
                          В Европе блокируют торрент и не важно легальный вы контент качаете или нет

                          А можно поподробней? А то Европа большая, за всем не уследить. Вдруг у меня торрент заблокировали уже а я и не заметил…
                            0
                            Могу добавить про Австралию. У нас Telstra блокирует rutracker. Приходится включать VPN в Австралию же чтобы открыть сайт. Сами торренты качаются без проблем и с выключенным VPN
                              +1
                              Это как бы конечно блокировки, но это не блокировки торрента. Вот имено чтобы торрент блокировали я пока не слышал. Более того он часто интегрирован и в обычный софт(например для скачивания апдейтов) и если начать блокировать торренты, то проблемы будут не только у пиратов.
                          +2

                          Подождите, но чтобы получить список мостов для Тора надо ведь зайти на bridges.torproject.org? А если он заблокирован?

                            +3
                            Можно отправить email на специальный адрес, бот ответит списком бриджей.
                            0
                            GoodbyeDPI, который использовался некоторыми провайдерами, не умел собирать фрагментированные TCP сегменты  —  блокировка не сработала.

                            Чего?
                              0

                              Подробнее вот здесь http://www.compromat.ru/page_38868.htm. Может есть источники и авторитетные.

                                +2

                                GoodbyeDPI — программа для обхода DPI, которая в т.ч. умеет фрагментировать пакеты специальным образом. Провайдеры используют свою какую-то систему DPI, которая неправильно обрабатывает такие разбитые пакеты и поэтому блокировка не срабатывает (зависит от провайдера, конечно).


                                DPI, который использовался некоторыми провайдерами, не умел собирать фрагментированные TCP сегменты  —  блокировка не сработала.

                                Так будет правильнее

                                  0
                                  Спасибо! Поправил.
                                    0
                                    Автор, статью еще не читал, но относительно высказывания в самом начале: Тор должен стоять у всех. Я надеюсь вы в курсе о 90-ФЗ (о внесении изменений в 149-ФЗ «Об информации...), в рамках которого ВСЕМ граничным операторам поставять новые железки, т.н. ТСПУ (тех. средства противодействия угрозам), и на базе оного будет контролироваться весь трафик в РФ?
                                    Тор будет прикрыт чуть более чем полностью.
                                    Не знаю насчет „мостов“, но думаю и с ними справятся.
                                      0

                                      Теперь и в Тор через VPN заходить?

                                        0
                                        Не все способы обфускации заблокировали. Например, читал отзывы, что Shadowsocks + simple-obfs работал. Это значит, что могут быть подобные бриджи для Tor. Но популярные obfs4 бриджи не работали на момент блокировки в РБ.
                              +1
                              Простите, не совсем понял:
                              когда GSM сеть может оказаться перегруженной.

                              работали все режимы с выключенным Wi-Fi. Также, сообщения синхронизируются через сеть Интернет.

                              Сеть не работает («перегружена»), Wi-Fi выключен…
                              Как оно работает-то без того и другого «через сеть Интернет»?

                              Заранее прошу прощения, если я невнимателен или просто недопонял.
                              Спасибо!
                                0

                                Работает через Bluetooth и WiFi в режиме Direct. Под выключенным WiFi я подразумевал отключение от WiFi точки доступа. И выключения WiFi в мобильной ОС.

                                  0
                                  Работает через Bluetooth и WiFi в режиме Direct.

                                  По-моему, вы смешиваете WiFi Direct как частную реализацию протокола и ad hoc network (SPAN) как класс.
                                +4
                                Ну все же понимают, что если власть всерьёз решит строить северокорейский рай, то все эти меры лишь продлят агонию.
                                Белый список IP у провайдеров — и вот уже большинство средств обхода не действует. Бизнес пострадает? Ну так проблемы индейцев шерифа не волнуют, главное чтоб у 10 государствообразующих предприятий всё нормально было. А если и не будет, то всегда можно подбросить им денег из бюджета за счёт всех прочих.
                                Связь через Bluetooth и прочие Mesh'и? Вводим уголовную ответственность и пускаем росгвардейцев патрулировать, пеленгуя их сигнал.
                                Ну и, конечно же, социальный рейтинг ввести, чтоб ежели кто-то сильно умный пытается троллить систему, находя способы связи, всё ещё не нарушающие закон, не смотря на все принятые меры, то просто по-тихому порезать ему рейтинг, и всем его родственникам за компанию, чтоб ни в транспорте не мог проехать, ни карточку завести.
                                Вы, образно говоря, пытаетесь, обладая правами пользователя, противодействовать даже не человеку с рутовым доступом, а человеку у стойки сервера (тогда как у вас доступ к железу только по удалёнке).
                                  +7
                                  Весьма внушительная подборка, спасибо! В текущих условиях весьма полезная.
                                  Правда, только в текущих. Тут выше было сравнение с человеком у стойки сервера; я бы сказал даже жёстче: вы пытаетесь победить боксёра в шахматы.
                                  Да, пока что он смотрит на вас немного недоумённо и пытается кое-как двигать фигуры, в то время как вы реализуете блестящие миттельшпили и неожиданные рокировки. И вы его, конечно, с лёгкостью обыгрываете. Так и мы все сейчас: ловко обходим нелепые и неуклюжие блокировки, посмеиваясь над неграмотностью «бешеного принтера».
                                  Но когда боксёр действительно решит вас победить, он просто исполнит техничный хук слева, один раз. И… Всё. Шахматисты как-то обычно не очень хорошо умеют ставить блок и подниматься из нок-дауна. То же и с блокировками: если правда захотят «запретить и не пущать», то будут действовать в других плоскостях. Белые списки, уголовная (да хоть бы и административная) ответственность… И никакие IT-хитрости не помогут.
                                    0
                                    Белые списки, уголовная (да хоть бы и административная) ответственность…
                                    Ну или всегда можно отключить газ))
                                      0
                                      Ну во первых нельзя всех физически посадить. Можно только запугать тех кто боится. Во вторых без интернета или почти без интернета (в варианте только белых адресов) любая страна будет отброшена в 20ый век. Практически невозможно контролировать спутниковый интернет, терминалы провезут контрабандой или диппочтой… Контроль междугородней проводной связи экономика то же не переживет.

                                      Меш-сети могут работать локально, но очень легко заглушить wi-fi/bt. Вся страна быть в одной мешсети не сможет технически.
                                        0
                                        нельзя всех физически посадить

                                        Так всех и не надо, достаточно провести пять-десять показательных процессов с реальными сроками.
                                        страна будет отброшена в 20ый век

                                        Как будто это смутит тех, кто может запретить=) Да хоть в XIX, лишь бы налоги платили.
                                        провезут контрабандой или диппочтой

                                        Опять-таки, до первых показательных процессов. А если не получится контролировать, можно просто запретить – физически уничтожать спутники. Придумать какое-нибудь «вторжение в пространство» или ещё что-то, и всё.

                                        Да или самое простое: запрет на доступ в интернет физлицам, а юрикам – с жёстким протоколированием: кто пользовался, когда и как. И никаких нелегальных котиков – легко, быстро и эффективно.
                                          0
                                          Да хоть в XIX, лишь бы налоги платили.


                                          Так вы до натурального хозяйства докатитесь, например.

                                          Да или самое простое: запрет на доступ в интернет физлицам, а юрикам – с жёстким протоколированием: кто пользовался, когда и как.


                                          Ну организуют физики своё FIDO поверх разрешенного протокола связи. Даже во время войны, когда иметь радиоприемник было опасно (например), находились желающие получать информацию.
                                            0
                                            Ну будет у вас 5-10% диссидентов. И дальше что?
                                              0
                                              Ну будет у вас 5-10% диссидентов. И дальше что?

                                              И дальше всё. СССР 1.0. Чтобы просто оставаться на месте — нужно бежать. Чтобы двигаться вперед — нужно быстро бежать. Пока все остальные будут осваивать 8G и летать на Марс — ваша цивилизация будет занята охотой на диссидентов.
                                                0
                                                Для сaмой цивилизации это может быть и проблема. Но в чём проблема для людей сидящих у власти и имеющих полный доступ к благам всех остальных цивилизаций?
                                                  –2
                                                  И дальше всё. СССР 1… Пока все остальные будут осваивать 8G и летать на Марс

                                                  Интересно что за страна создала первый спутник, отправила человека в космос, первый выход в космос, создала первую космическую обитаемую станцию, атомную электростанцию, атомный ледоход, и тд и тп?
                                                    0
                                                    Интересно что за страна создала первый спутник..


                                                    Что за страна создала первые пирамиды?
                                                    СССР, ага. Но СССР официально не существует с 1991 года. СССР существовал 70 лет. Древний Рим (например) по сравнению с СССР — образец стабильности.
                                                      0
                                                      Атомный ледоход, это на Новой Земле?

                                                      kinall сбивать спутники, да и просто нарушать их работу, это уже за гранью. С тем же успехом можно нанести ракетный удар по датацентрам. А вот вайфайглушилки дело сугубо внутреннее.
                                                        0
                                                        Ну так самолёты-то сбивают, в случае вторжения в воздушное пространство. Осталось поднять верхняя границу этого самого пространства, а это уже дело техники.
                                                  0
                                                  Так вы до натурального хозяйства докатитесь, например.

                                                  Сам видел, как в селе лет 20-25 назад за живые деньги покупали разве что мыло. Ну и технику, конечно. А продукты все были либо свои, либо меняли у соседей.
                                            +1
                                            Спасибо сегодня меня спасла эта статья и получилось нориально работать в РБ. Но остался вопрос — за счет чего такие VPN как например Touch VPN сущетсвуют?
                                            в описании позиционируется как бесплатный, но так не бывает ведь. Можно и ему подобные его использовать более менее безопасно или нет?
                                            ✓ Free VPN: 100% free. No credit card information needed. No trials offered.
                                            ✓ Unlimited VPN: Truly unlimited. No session, speed or bandwidth limitations.
                                            ✓ Simple: Unblock websites and access the world with just one touch of the “Connect” button.
                                            ✓ Secure VPN: Our strong SSL encryption will make you fully anonymous and secure.
                                              0
                                              Можно и ему подобные его использовать более менее безопасно или нет?


                                              Можно, если вы уверены, что ваш логин/пароль/логи куда и когда вы подключались не будут слиты когда потребуется.
                                                0
                                                В мобильном приложении есть реклама. А расширение… Кто знает, может такой маркетинг?!
                                                  +1

                                                  Аналитика запросов пользователей, скорее всего, продаётся. Где http — можно продать всё, где https — адреса, объём трафика, частота обращений.

                                                    0
                                                    Имеет смысл.
                                                  0
                                                  И интересно, что несколько проектов, которые будут рассмотрены, разработаны правительством США.

                                                  Проекты обхода блокировок или самих блокировок?

                                                    0
                                                    Обхода блокировок. Tor, Lantern.
                                                    +3
                                                    У вас не возникнет проблем, если

                                                    «example.com» использует CDN с поддержкой TLSv1.3 / ESNI

                                                    Ох уж это IT. Статья только вышла, а уже частично неактуальна
                                                    «Великий китайский файрвол» начал блокировать весь HTTPS-трафик, который шифруется с помощью TLS 1.3 и ESNI
                                                      0
                                                      Спасибо, обновлю!
                                                        0
                                                        Есть подозрение, что это и в России делается. Во всяком случае мои эксперименты с использованием связки DNS over HTTPS + ESNI окончились фейлом: как только включал ESNI, так сразу упс. Впрочем, детально не рабирался, может и не в DPI дело было…
                                                        +1
                                                        … представьте себе ситуацию, что власть захватили вражеские агенты, мы в информационной оккупации, нас помещают в информационный пузырь.

                                                        Представил, но теперь у меня флешбеки, уже который год… вокруг одни вражеские агенты, информационный пузырь, пропаганда рептилоидов… доктор, что мне делать?
                                                          +1
                                                          Напомню классическую статью семилетней давности Tools for Treason, не как техническое дополнение, конечно, а как идейное обоснование необходимости упомянутых выше инструментов.
                                                          techcrunch.com/2013/07/06/tools-for-treason
                                                            +1
                                                            Занятно — совершенно случайно, в поисках статьи из комментария выше, наткнулся на другую, демонстрирующую монополистские устремления гигантов индустрии Amazon, Google, Facebook, которым также ничего не мешает, пользуясь монопольным положением, влиять на коммуникации.
                                                            techcrunch.com/2020/07/31/house-antitrust-investigation-documents
                                                            +1
                                                            Статью не читай @ сразу отвечай (на базе TL;DR).

                                                            В случае сколь-нибудь серьёзного закручивания гаек обыкновенные скрытносети превратятся в тыкву, так как работа будет вестись либо по белым спискам типов трафика, либо по белым спискам целевых узлов, либо по белым спискам организаций клиентов (грубо говоря, банкам и НИИ в интернет можно, прочим юрлицам в индивидуальном порядке, физлица перебьются).

                                                            Вопросы вроде долговременного экономического эффекта и т.п. в этом сценарии ставиться просто не будут. Горизонт планирования будет измеряться днями — до выходных дожили без революции, уже хорошо.

                                                            Так что, если нет желания лицезреть аналог «Лебединого озера», нужно либо срочно строить mesh-сети (прямо скажем, маловероятно), либо искать что-то более старомодное вроде КВ связи. Вспоминаем термин «слушать голоса».
                                                              0

                                                              В таких случаях все равно эффективнее голосовать ногами и все же совершить революцию, чем строить меш сети.

                                                              +1
                                                              Почему в подобных статьях никто не упоминает протоколы, которые действительно работают, к примеру sstp он открыт. Что может быть проще, чем прикинуться обычным https трафиком. Есть свободные реализации типа softether (не самый удачный пример, но есть и другие, которые заворачивают трафик в https). Есть и vpn over DNS и поверх icmp в совсем крайних случаях, но всегда пишут про бесполезные сервисы, которые легко заблокировать или по которым легко вас легко вычислить (или упоминаются сервисы, которые собирают всю инфу о вас для рекламы, которую передают потом всем подряд).
                                                                0
                                                                Хорошо, что вы напомнили про VPN over DNS/ICMP. Сам пользуюсь порой для этого (iodine, icmptunnel). Но требует сложной настройки. А вот то, что softether умеет это делать, я не знал. Я изучу и обновлю статью. Спасибо!
                                                                  +1

                                                                  Пакетный трафик (IP пакеты), завернутый почти во что угодно, легко детектится на уровне DPI по сигнатурам размера и времени. Если представить начало сессии — DNS запрос/ответ, TLS Client Hello/Server Hello, пакеты с фиксированным максимальным MTU — определяются продвинутыми DPI на раз в шифрованном туннеле. Поэтому VPN заточенные на antiblocking (HSS) имеют некоторое количество специальных мер направленных на удаление из трафика этих паттернов. По этой же причине такие технологии, включая Service Discovery самого VPN — закрыты.
                                                                  А в остальном — как с любыми услугами — если у вас есть время, навыки и желание, то поднимаете свой сервис (опять же, вас может спокойно мониторить тот хостинг где вы это поднимете). Остальным проще пользоваться поставщиками услуг на их выбор, про собирание инфы у нормальных компаний есть legal disclaimer, и если что это не пустой звук у серьезных провайдеров.

                                                                    0
                                                                    Я же про это и говорю, если трафик завернуть в https — это будет https трафик, но если просто openvpn повесить на 443 порт — он легко детектится, sstp не отличается от обычного https трафика (вы даже можете работать через обычные https прокси, что важно в корпоративном сегменте), даже если зайти через браузер там будет стандартная заглушка, конечно, я не исключаю, что можно вычислить при этом по сигнатурам, но это куда сложнее и выглядит как обычный https. Возмите любые отели — sstp (и другие кто заворачивает в sstp) работает всегда и везде, их и нужно «рекламировать», а не тех, кто работает на 443 порту.
                                                                      +1

                                                                      Нет, если пакетный траффик (готовые IP пакеты полученные с TUN-интерфейса) завернуть в HTTPS, выглядеть как HTTPS оно будет только для полностью незнакомого с областью наблюдателя. И если DPI не сможет определить в таком траффике туннелирование пакетов — оно не имеет права называться DPI. Хороший DPI увидит в таком туннеле и DNS запрос-ответ и TLS внутри TLS.


                                                                      Так как шифрованный трафик уже давно держит первенство в общем объеме трафике, разработана куча методик для того чтобы по side channel information определять что-же именно внутри такого туннеля пересылается. Например, одна из хороших публикаций на эту тему https://www.enisa.europa.eu/publications/encrypted-traffic-analysis


                                                                      Именно поэтому очень нетривиально сделать VPN туннель, в котором не будет видно туннелирование других протоколов.

                                                                        0
                                                                        Вот опыт Беларусов: www.youtube.com/watch?v=UONLll19TWk. DPI нагрузили на столько в топовый момент, что он не справлялся с HTTPS — не работало почти все :)
                                                                        При этом, shadosocks + obfs-simple (http obfuscation) работал: t.me/antiblocking/50.
                                                                  +1
                                                                  К сожалению, приведенные способы не помогают обойти свободолюбивые демократические блокировки аккаунтов пользователей GitHub, Slack и прочих, засвеченных в связи с Крымом, Сирией, Кубой, Ираном и Северной Кореей.
                                                                    +1
                                                                    Это другое.
                                                                      0
                                                                      Я не знаком с ситуацией в Украине. VPN, на сколько я понимаю, не блокируется у вас. Если не блокируется, то вы можете выбрать другую локацию, например, Канаду или Германию. В таком случае поможет?
                                                                        0
                                                                        Там по аккаунтам прилетает. За, с каких IP раньше владелец этого аккаунта работал/какая страна/регион прописана в профиле.
                                                                        Но… вспоминаем что был такой период когда у Apple некоторые вещи (iTunes Match тот же) требовали U.S. Account а с RU — не работали. — так на каждом первом эплосайте лежали описания и как аккаунт регнуть и как решить проблему что нужна американская карта и как пополнять такой аккаунт.
                                                                      +1
                                                                      Спасибо за материал. Сейчас актуально как никогда!
                                                                        +1
                                                                        Зачем оправдываться дисклеймером и гипотетичностью? Ведь это действительно происходит.
                                                                          0
                                                                          Минск, состояние на 11 августа.

                                                                          Компьютер (кабельная сеть, провайдер А1)
                                                                          VPN — psiphon3 (1 минуту работает, 30 минут пытается связаться) — печально.
                                                                          vpngate-client — то что надо!

                                                                          Смартфон на андройде (провайдер А1)
                                                                          VPN — psiphon — фактически уже не работает. Никак.
                                                                          В Телеге спасают прокси (но только не те, где порт 443) — но работают крайне нестабильно и быстрo «прокисают» — постоянно надо искать новые.
                                                                          При подключении сотовой связи и прокси не спасают в телеге. Только при Wifi — но крайне нестабильно, крайне.

                                                                          TunnelBear — работал до 9 августа. Но с 10 перестал работать вовсе.

                                                                          Orbot — работал до 9 августа. Но с 10 перестал работать вовсе.

                                                                          1.1.1.1 — работал до 9 августа. Но с 10 перестал работать вовсе.

                                                                          Operа — приложение работало до 9 августа. Но с 10 перестало работать вовсе.

                                                                          Короче — на смартфоне всё печально сейчас в Минске.
                                                                            +1
                                                                            VPN, которые вы перечеслили, кроме Orbot (Tor), исплоьзуют OpenVPN и Wiregurad, которые «фингерпринтятся» DPI. Tor obfs4 бридж блокируют, и в сети видел анализ как: блокируют протоколы, которые не могут зафингепринтить…

                                                                            Psiphon продождает у некоторый людей работать.
                                                                            У некоторых все еще работает Tachyon VPN.
                                                                            Shadowsock не работает на серверах от DigitalOcean в Лондоне, Амстердаме и Франкфурте. Трэйсеры показывают, что фильтруется по IP на core1.belpak.by. Т.е. блокируют в пиковые моменты целые пулы иностранных IP адресов.
                                                                            Телеграм работает с перебоями. Ходят только текстовые сообщения.

                                                                            Информация из канала t.me/antiblocking
                                                                              0
                                                                              В Беларуси дали вчера с утра интернет. Почему? — никто не знает.

                                                                              Есть время поставить с десяток VPN на смартфон или компьютер.

                                                                              Победа будет за нами!
                                                                            +1
                                                                            Минск, 10-11 августа.
                                                                            Стабильно обходит блок Hotspotshield(в настройках выбрать протокол «Hydra»).
                                                                            Работает как free так и premium(бывают проблемы с определенными серверами) версии.
                                                                              0

                                                                              Спасибо, мы очень стараемся :D

                                                                              +1
                                                                              Tachyon VPN — децентрализованное решение, p2p сеть, уже 1 мл пользователей набрала всего за месяц работы. Правда пока нет версии для Windows
                                                                                0
                                                                                Опыт Беларусов показывает (https://t.me/antiblocking/39), что действительно рабочее решение. Но не поддерживаются многие ОС.

                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                              Самое читаемое