Да. Действия, совершаемые с помощью ТСПУ, неотслеживаемые, и многие из них фактически незаконны: например, блокировки заражённых сайтов на Битрикс не анонсировались официально, владельцы сайтов не уведомлялись, потому что на законных основаниях это недопустимо.
Аналогично с внереестровыми блокировками: при обращении в Роскомнадзор сообщают, что сайт не заблокирован. Один из множества примеров.
На моей памяти, когда я ранее активно отслеживал Реестр, сначала начинаются блокировки по какому-то новому поводу или новым ведомством (но либо от имени другого, либо без заполненной строки ведомства), и только потом готовится нормативная база и ведомство официально наделяется правом блокировки.
To make it work in browsers, you must disable support for the QUIC protocol and the Kyber cipher suite. Chrome-based (Yandex, Edge, Opera, Vivaldi): disable in chrome://flags (search by "QUIC", "Kyber"), in Firefox: about:config (network.http.http3.enable false, Kyber is disabled by default).
Да. Для работы GoodbyeDPI необходимо отключить QUIC (он не поддерживается) и Kyber (он раздувает TLS ClientHello, в программе пока нет поддержки пересборки пакетов)
На моём провайдере не замедляют локальный Google Global Cache, который установлен непосредственно у провайдера (хотя трафик до него проходит через ТСПУ), но замедляют общепитерский. Выбор сервера зависит от ПО и от DNS, наверное, или от каких-то признаков.
Клиенты, не поддерживающие QUIC и использующие серверы, подвергающиеся замедлению, едва воспроизводят 720p. Что интересно, QUIC в Firefox не подвергается замедлению, видео играется в полную скорость в любом разрешении на любом сервере. А в Chrome не так.
ByeDPI работает как прокси, но, естественно, также проверяет каждое соединение на списки. В reqrypt нет списков вовсе. GoodbyeDPI может анализировать (и по умолчанию делает) только часть трафика, не говоря о портах.
Для работе в браузерах необходимо отключить поддержку протокола QUIC и шифронабора Kyber. В браузерах на основе Chrome (Yandex, Edge, Opera, Vivaldi) отключать в chrome://flags (искать по "QUIC", "Kyber"), в Firefox: about:config (network.http.http3.enable false, Kyber по умолчанию отключён). Эти настройки не требуются при использовании прокси.
Я изменил в прошивке домен бэкдора на свой собственный, а на сервере настроил проксирование данных на оригинальный домен. Это позволяет мне отслеживать все данные, передающиеся телефоном, при этом телефон продолжает выполнять все команды, отправляемые ему с оригинального сервера.
Когда сервер послал команду на отправку СМС и мой телефон её отправил, я позвонил по этому номеру и поговорил с владельцем.
Да, речь о Digma A172, потихоньку исследую третий месяц.
Бэкдор хороший: когда с сервера приходит команда на отправку СМС (или когда получена входящая СМС при установленном фильтре), визуально нет никакой индикации о каком-либо событии, предусмотрели даже скрытие иконки выхода в интернет ("G" у силы сети).
Данные шифруются RC5 с динамическим ключом, для обмена используется BSON.
На первых этапах функции СМС используются для того, чтобы узнать номер владельца: одному телефону, номер которого уже известен, сервер устанавливает фильтр входящих сообщений, а второму даёт команду на отправку СМС на номер первого. Первый телефон пересылает номер и текст полученного СМС на сервер. В тексте содержится уникальный идентификатор, позволяющий связать номер телефона с другими известными идентификаторами телефона.
Впоследствии вредонос может использоваться для регистрации аккаунтов в мессенджерах и на сервисах, требующих подтверждения по СМС, но происходит это не сразу — активность телефона отслеживается по времени с момента его включена, количеству принятых СМС и другим параметрам, чтобы затруднить обнаружение бэкдора.
Я позвонил по одному из номеров, который сервер сообщил для отправки СМС — женщина на том конце подтвердила, что получила от меня СМС «с какими-то цифрами» и уточнила, что ранее SIM стояла в кнопочном телефоне, а сейчас установлена в смартфон.
Digma только что, после статьи в Коммерсанте, закрыла тикет с формулировкой «Так, закрыли обсуждение». До этого они утверждали, что интернет используется для обновления доступности и цен сервиса подписок Funbox, несмотря на то, что в более свежей прошивке, на телефон с которой зарегистрировали WhatsApp, его нет.
Если вы заходите на avito.ru с мобильного интернета операторов МТС, Мегафон, Билайн, Йота, Теле2, Ростелеком, сервис взаимодействует с мобильным оператором для «проверки благонадёжности», о чём сказано в политике конфиденциальности.
Технически это выглядит так: оператор, при подключении к IP-адресам Avito, вставляет дополнительную TCP-опцию в TCP SYN-пакет, с идентификатором клиента оператора.
Регистрация в сервисе не требуется. Не требуется даже браузер как таковой.
Он отображает факт доставки до оператора, но не до абонента.
Отправил в марте порядка 60 однотипных СМС вручную с телефона, дошли едва ли десять. Отправлял с уведомлением о доставке, уведомления пришли для всех сообщений. Ближе к концу рассылки отправил эти же сообщения на свои другие номера телефонов — сообщения на телефон не пришли, уведомление о доставке получено.
Это не шибко тривиально для этой модели — драйвер от производителя поддерживает только i386 и имеет собственную архитектуру, отличную от общепринятой в CUPS (несколько демонов общаются между собой сокетами). На одноплатник его просто так не установить, да и с современными ОС тоже бывают проблемы.
Там вроде как довольно много всяких зарезервированных диапазонов. Некоторые из них уже не рекомендуются к использованию, но на современных ОС работают и обеспечивают связность без проблем при назначении их клиентам, всякие там fec0::/10
Unique local address-диапазоны, а fec0::/10 относится именно к таким, при обращении к GUA-адресам имеют приоритет ниже, чем IPv4. Можете хоть нерабочие адреса выдавать клиентам VPN, чтобы они вообще не пытались использовать IPv6.
Не знаю, как ULA на одном интерфейсе и GUA на другом поведут себя при наличии двух маршрутов по умолчанию, нужно проверять.
UPD: проверил, при такой конфигурации будет использоваться интерфейс провайдера (не VPN), даже если метрика у маршрута по умолчанию через VPN ниже. ULA добавляются только со scope: site.
Да. Действия, совершаемые с помощью ТСПУ, неотслеживаемые, и многие из них фактически незаконны: например, блокировки заражённых сайтов на Битрикс не анонсировались официально, владельцы сайтов не уведомлялись, потому что на законных основаниях это недопустимо.
Аналогично с внереестровыми блокировками: при обращении в Роскомнадзор сообщают, что сайт не заблокирован. Один из множества примеров.
На моей памяти, когда я ранее активно отслеживал Реестр, сначала начинаются блокировки по какому-то новому поводу или новым ведомством (но либо от имени другого, либо без заполненной строки ведомства), и только потом готовится нормативная база и ведомство официально наделяется правом блокировки.
Его нужно отключить. GoodbyeDPI не поддерживает QUIC.
https://github.com/yt-dlp/yt-dlp/issues/10443#issuecomment-2248940967
Проще всего скомпилировать библиотеку шифрования (OpenSSL или аналог) так, чтобы он добавлял большой TLS Padding, выходящий за 3 TCP-сегмента, и только в конце добавлял SNI.
https://ntc.party/t/http-headerstls-padding-as-a-censorship-circumvention-method/168/2
Да.
Для работы GoodbyeDPI необходимо отключить QUIC (он не поддерживается) и Kyber (он раздувает TLS ClientHello, в программе пока нет поддержки пересборки пакетов)
QUIC в Firefox не должен замедляться, не выключайте его. Попробуйте снова с ним.
На моём провайдере не замедляют локальный Google Global Cache, который установлен непосредственно у провайдера (хотя трафик до него проходит через ТСПУ), но замедляют общепитерский. Выбор сервера зависит от ПО и от DNS, наверное, или от каких-то признаков.
Клиенты, не поддерживающие QUIC и использующие серверы, подвергающиеся замедлению, едва воспроизводят 720p.
Что интересно, QUIC в Firefox не подвергается замедлению, видео играется в полную скорость в любом разрешении на любом сервере. А в Chrome не так.
QUIC в Firefox у меня не замедляется, попробуйте с ним.
ByeDPI работает как прокси, но, естественно, также проверяет каждое соединение на списки.
В reqrypt нет списков вовсе.
GoodbyeDPI может анализировать (и по умолчанию делает) только часть трафика, не говоря о портах.
Поиграйтесь с параметрами,
-6попробуйте. Может, конечно, в вашем случае замедляют конкретный IP-адрес GGC (Билайн), но я такого еще не встречал.Обход только для yt-dlp и браузера
ByeDPI (Windows/Linux) — запускает локальный Socks5-прокси
./ciadpi-x86_64 -i 127.0.0.1 -p 10801 -s 1yt-dlp --proxy 'socks5://127.0.0.1:10801' …Обход на уровне системы, для всех приложений
В Windows: GoodbyeDPI
Создайте текстовый файл youtube-domain.txt с текстом
googlevideo.comgoodbyedpi.exe --blacklist youtube-domain.txt -e 1 --native-fragВ Linux: zapret
Создайте текстовый файл youtube-domain.txt с текстом
googlevideo.comsudo ./nfqws --qnum=200 --dpi-desync=split2 --dpi-desync-split-pos=1 --hostlist=youtube-domain.txtsudo iptables -I OUTPUT -o <сетевой_интерфейс> -p tcp --dport 443 -j NFQUEUE --queue-num 200 --queue-bypassВ Android: ByeDPIAndroid
Для работе в браузерах необходимо отключить поддержку протокола QUIC и шифронабора Kyber. В браузерах на основе Chrome (Yandex, Edge, Opera, Vivaldi) отключать в
chrome://flags(искать по "QUIC", "Kyber"), в Firefox:about:config(network.http.http3.enable false, Kyber по умолчанию отключён).Эти настройки не требуются при использовании прокси.
В ближайшее время не планирую.
Я изменил в прошивке домен бэкдора на свой собственный, а на сервере настроил проксирование данных на оригинальный домен. Это позволяет мне отслеживать все данные, передающиеся телефоном, при этом телефон продолжает выполнять все команды, отправляемые ему с оригинального сервера.
Когда сервер послал команду на отправку СМС и мой телефон её отправил, я позвонил по этому номеру и поговорил с владельцем.
Новая версия прошивки — как раз та, на которую регистрировали WhatsApp. Она без Funbox.
DIGMA BALLS
Да, речь о Digma A172, потихоньку исследую третий месяц.
Бэкдор хороший: когда с сервера приходит команда на отправку СМС (или когда получена входящая СМС при установленном фильтре), визуально нет никакой индикации о каком-либо событии, предусмотрели даже скрытие иконки выхода в интернет ("G" у силы сети).
Данные шифруются RC5 с динамическим ключом, для обмена используется BSON.
На первых этапах функции СМС используются для того, чтобы узнать номер владельца: одному телефону, номер которого уже известен, сервер устанавливает фильтр входящих сообщений, а второму даёт команду на отправку СМС на номер первого. Первый телефон пересылает номер и текст полученного СМС на сервер. В тексте содержится уникальный идентификатор, позволяющий связать номер телефона с другими известными идентификаторами телефона.
Впоследствии вредонос может использоваться для регистрации аккаунтов в мессенджерах и на сервисах, требующих подтверждения по СМС, но происходит это не сразу — активность телефона отслеживается по времени с момента его включена, количеству принятых СМС и другим параметрам, чтобы затруднить обнаружение бэкдора.
Я позвонил по одному из номеров, который сервер сообщил для отправки СМС — женщина на том конце подтвердила, что получила от меня СМС «с какими-то цифрами» и уточнила, что ранее SIM стояла в кнопочном телефоне, а сейчас установлена в смартфон.
Digma только что, после статьи в Коммерсанте, закрыла тикет с формулировкой «Так, закрыли обсуждение». До этого они утверждали, что интернет используется для обновления доступности и цен сервиса подписок Funbox, несмотря на то, что в более свежей прошивке, на телефон с которой зарегистрировали WhatsApp, его нет.
Если вы заходите на avito.ru с мобильного интернета операторов МТС, Мегафон, Билайн, Йота, Теле2, Ростелеком, сервис взаимодействует с мобильным оператором для «проверки благонадёжности», о чём сказано в политике конфиденциальности.
Технически это выглядит так: оператор, при подключении к IP-адресам Avito, вставляет дополнительную TCP-опцию в TCP SYN-пакет, с идентификатором клиента оператора.
Регистрация в сервисе не требуется. Не требуется даже браузер как таковой.
Он отображает факт доставки до оператора, но не до абонента.
Отправил в марте порядка 60 однотипных СМС вручную с телефона, дошли едва ли десять. Отправлял с уведомлением о доставке, уведомления пришли для всех сообщений. Ближе к концу рассылки отправил эти же сообщения на свои другие номера телефонов — сообщения на телефон не пришли, уведомление о доставке получено.
Это не шибко тривиально для этой модели — драйвер от производителя поддерживает только i386 и имеет собственную архитектуру, отличную от общепринятой в CUPS (несколько демонов общаются между собой сокетами). На одноплатник его просто так не установить, да и с современными ОС тоже бывают проблемы.
Какое отношение имеет эта информация к деятельности компании RUVDS?
Есть ли обратные переходники задёшево? Периодически нужно подключить обычные USB-клавиатуру и мышь в компьютеры с PS/2.
Unique local address-диапазоны, а fec0::/10 относится именно к таким, при обращении к GUA-адресам имеют приоритет ниже, чем IPv4. Можете хоть нерабочие адреса выдавать клиентам VPN, чтобы они вообще не пытались использовать IPv6.
https://blogs.infoblox.com/ipv6-coe/ula-is-broken-in-dual-stack-networks/
https://blog.ipspace.net/2022/05/ipv6-ula-made-useless.html
Не знаю, как ULA на одном интерфейсе и GUA на другом поведут себя при наличии двух маршрутов по умолчанию, нужно проверять.
UPD: проверил, при такой конфигурации будет использоваться интерфейс провайдера (не VPN), даже если метрика у маршрута по умолчанию через VPN ниже. ULA добавляются только со scope: site.