Например сам перееду в место установки старлинка. А вам удачи крутить настройки TLS хендшейка, пытаясь пробиться через белые списки.
И будете точно так же сидеть на пороховой бочке и ожидать когда же они поправят обнаружение локации и он перестанет работать.
Даже если окажется, что такие места реально существуют, то это совсем-совсем не универсальный способ, тем более не для всех.
Если мы окажемся в ситуации когда к этому терминалу нужно будет переезжать, то я предположу, что для большинства, которые готовы тратить деньги и выискивать точки на границе где старлинк все еще работет будет проще эту самую границу перейти и забыть обо всем этом как о страшном сне.
В комментариях достаточно написали о том, почему именно это нейрослоп, не вижу смысла повторяться.
К тому же оно не единственное и уж точно не "нормальное". Это решение - решето.
Во первых как вы объясните необходимость иметь возможность строить туннели между двумя физиками (ШПД <-> ШПД) в условиях когда даже бизнесу палки в колеса вставляют?
Во вторых - ну включили вам белый список, удачи подключиться к своему шлюзу со старлинком
"VLESS+Reality без XHTTP. Работает. Пока. Где-то. У некоторых. Иногда. Если сервер не под нагрузкой. И донор выбран правильно. И луна в правильной фазе." - бред, реалити в основном работает, но есть 1 блокировка на ТСПУ которая может мешать: блок множества тлс хендшейков (~6) за короткое время (сибирская блокировка), решается сменой транспорта на GRPC или XHTTP c xmux max_connections:1.
Хочется добавить, что это настолько шизоидная блокировка, что так же как и 16кб ломает большую часть нормального интернета. Но она легко обходится способом, указанным выше. При этом ее то включают, то откатывают.
Трафик же там не с веб мордой самого speedtest.net, а с одним из тысяч тестовых серверов, большинство которых к самой компании ookla отношения не имеют
Авторы детектировали Reality в лабораторных условиях на собственном трафике, с заранее известными параметрами. В реальных условиях с правильно настроенным Reality и нормальным SNI-донором их метод не работает так как заявлено. Работа скорее академическая аля мы попробовали, чем «вот боевой детектор»
Я прочитал уже множество таких работ, часть даже подробно комментировал тут и на NTC форуме. Все они сводятся к тому, что автор берет древнюю версию xray с известной уязвимостью, пишет заведомо ошибочную конфигурацию (к примеру VLESS без VISION/XHTTP) с самыми наивными настройками (без мусора, паддингов, мултиплексирования и тд) и что-то там "детектирует" вероятностью процентов в 60-70. Ну то есть запустив такое получится положить весь интернет из-за ложноположительных срабатываний, но не туннели.
Как-то очень наивно думать, что в Китае с их бюджетами не смогли задетектировать, в Иране не смогли задетектировать, а студент магистратуры скриптом на питоне раз и задетектировал.
РКН публично заявлял о планах использовать ML для детекции VPN это есть в СМИ
А в реальность сфера ML и тем более AI в стране находится мягко говоря не в лучшем состоянии. Мы заметно отстаем тут, к сожалению. Учитывая смешные по меркам этой индустрии бюджеты и отсутствие базы для этого, рассказы про ML в ТСПУ заставляют только усмехнуться.
Это не говоря о том, что исходя из слитой документации ТСПУ, у модуля фильтрации (EcoFilter) не хватает вычислительных ресурсов даже на анализ QUIC, удачи им запустить там ML модель.
Вообще, чем распространять откровенную дезинформацию, лучше бы рассказали о реальных угрозах вроде 16КБ блокировках, триггер блоках отдельных хостеров и прочие ковровые бомбардировки интернета.
В QUIC SNI передаётся в TLS ClientHello, а первый ClientHello идёт в Initial-пакетах QUIC. Эти пакеты формально защищены, но их ключи выводятся из значений, видимых на сети, и спецификация прямо говорит, что Initial не имеют эффективной конфиденциальности. На уровне MitM возможно восстановить ключи и прочитать содержимое, включая SNI.
ТСПУ это поддерживает, но это требует ресурсов, так что по умолчанию QUIC блокируется. Но на ТСПУ можно разблокировать внеся в QUIC List
Ряд российских провайдеров режет UDP трафик на 443 порту или замедляет QUIC в целом.
На самом деле не ряд провайдеров, а буквально все. Это архитектурная особенность ТСПУ. HTTP/3 по умолчанию блокируется и его нужно разрешить явно добавлением в QUIC list
Системная информация андроид о включённом впн не надежна, поскольку впн может быть включён, например, на роутере.
В этой статье написано, что цель этого модуля не выяснить включен ли впн. Цель - выяснить какой именно впн включен. И впн на роутере он тоже обнаружит.
Кроме того улыбнула догадка в статье про "может быть добавлен код выполнения удалённых команд". Очень "обоснованная" догадка.
Вы лжете, в статье этого нет. В статье говорится о возможности легко сделать получение хостов для тестирования с сервера. Ни о каких удаленных командах речи нет и не шло.
Про этот автор - истинный борец за свободу, гитхаб репозиторий с список статей которого содержит лишь способы обойти блокировки. Совсем не подозрительный персонаж. Ведь люди так и начинают заниматься IT. И занимаются только одной ультраспецифичной темой.
Представьте себе, когда подобная деятельность пусть формально и законна, но с большой вероятностью может привести к репрессиям со стороны государства, то не хочется публиковать подобное под своим именем?
В целом ваши комментарии говорят о том, что вы даже статью не читали.
И это называется реверс инжениринг?! Упоминание каких-то классов, которые как-то из APKшки андроидной дезассемблировались в Smali или во что он там дезассемблируется с помощью JADX как вы упомянули, причем без логики?! Причем этих классов, самих, их нет вообще в статье, просто упоминание🤦♂️... Признаю, я не компетентный, тем более за разработку мобильных приложений и веба вообще.
Это очень дешевая и глупая провокация, достойная защитников Max.
Я думаю почти всем здесь кажется очевидным почему тут нет контента этих классов. Если вы делаете вид, что вам нет, то я вам разжую - это сделано намеренно чтобы лишить VK возможности наехать на статью с точки зрения авторских прав. Опубликовать пусть и дизасемблированную версию было бы незаконно, что дало бы им отличный повод потребовать удаления статьи.
Если вы такой компетентный, на ГХ выложили бы всё, чтобы просто ./AnalisysMax.sh /путь_до_APK_макса.apk, или вообще, чтобы он скачал его с RuStore или сайта макса(как он уже в комментах прирепленных и написал), сделали бы такой скрипт, который всё скачает да покажет - что да как. Но нет, автор, вы просто сделали САМИ, а теперь верьте вам, специалисту.
Это тоже к вашей некомпетентности относится. Эти классы со странными именами появляются на этапе сборки APK, так что кто угодно открыв именно ту версию, на которую я указывал с помощью JADX увидит именно то, что я пишу (как раз для этого я и прикладываю ОЧЕНЬ подробные ссылки).
Ещё в добавок его с 4pda качать, да, класс...
Вы же прекрасно понимаете, что это просто референс, на который я указываю и который не подконтролен Max'у. Допустим вы не заметили что я писал, что происследовал штук 10 разных версий из rustore за последние 3 месяца, но в закрепленном комментарии независимый человек подтверждает, что в ГОСТ версии с сайта Max тоже самое.
И конечно же вы как-то игнорируете тот факт, что независимые издания (вроде AppleInsider) проверили это на iOS и подтверждают такое же поведение.
из этого точно нельзя сделать вывод , что там на серверной стороне, узнав, что вы пользуетесь ВПН-ом, с вами интересное и черное что-то там такое сделают, автор сам ведь написал:
Это точно не реверс-инжиниринг. Автор только перехватил трафик и всё. а вот в "заметках" спойлерных просто таблица с классами, где выявление пользователей с VPN происходит
Там не просто классы, там буквально указаны строки кода на который я ссылаюсь
На самом деле - вы просто не понимаете о чем вы говорите. Не понимаете ни в разработке, ни в реверс инжиниринге, вероятно вы даже не способны полностью понять что написано в статье. Но тем не менее решили прийти сюда и написать свой первый комментарий в защиту мессенджера Max. Ну как смогли, по крайней мере.
Яндекс не контролируется и не финансируется государством (#comment_29638668). Они частная компания, для них это крупный бизнес риск - если их начнут отменять как Макс, то они будут терять большие деньги. А VK и так убыточный на миллиарды долларов, их фактически финансирует гос-во.
На самом деле было бы очень круто иметь инфраструктуру зондов по типу ripe atlas, но для тестирования DPI, блокировок и тд. Это было бы очень полезно для тестирования разных профилей блокировок в разных регионах.
Я помню был такой проект, но сейчас не смог его найти, наверное он уже не работает.
Как раз по моим наблюдениям большинство хостеров, даже те, что принимают оплату картами РФ имеют юрлица за границей. С их точки зрения это более, чем логично - законодательство РФ касательно хостеров сейчас исполнять сложно и опасно с точки зрения дальнейших рисков закручивания гаек.
Вот, к примеру, лично я хотел зарегистрировать свою AS и выяснил, что это несет такое дикое количество требований, ограничений и потенциальных трат в РФ (в худшем случае десятки миллионов рублей), что быстро отказался от такой идеи. К слову вне рф регистрация AS никак государства не касается, это простейшая процедура.
В чём именно вы увидели «оправдание властей» и тем более «патриотизм» с каким-то там «душком»? Мой первый комментарий — это сухой технический анализ, в котором нет ни капли политики.
Ваш первый комментарий не технический, а, фактически, юридический анализ. Я не хочу углубляться в эту тему, так как такие сообщения несут свои риски, скажу лишь только то, что по моему мнению (и возможно не только моему) на законность и правовые основная все уже давно положили.
Не нужно смешивать корпорацию и власть.
Нужно понимать, что эта корпорация фактически и есть власть. Она управляется Владимиром Кириенко, сыном первого зама АП Сергея Кириенко, который является представителем высшего эшелона государственной власти. Так же через сложную систему юридических лиц государство имеет 57.3% голосующих акций. Так же публично известно, что VK является убыточной на сотни миллиардов рублей, так что банкет прямо или косвенно оплачивает государство РФ. Так что по итогу государство как управляет, так и финансирует корпорацию, нет ничего удивительного что VK решает задачи не коммерческие, а государственные.
Вы смотрите не на те риски. Ключевая проблема сейчас кроется совершенно в другом. Настоящая угроза приватности — это не тот факт, что приложение узнает о включенном VPN и внешних IP-адресах, через которые идёт трафик. Реальная проблема лежит в плоскости требований законов к ОРИ и мессенджерам, которые де-факто предполагают тотальную слежку за всеми действиями и переписками пользователей, а также на уровне государства реализуют супер-апп, который может лишить вас всего, что вы достигли в этой жизни, и на основе его логов вы можете быть осуждены ни за что.
Если сообществу действительно интересен объективный разбор, а не просто поиск ведьм и навешивание ярлыков с «душком», я готов потратить свое время. Я могу сделать более глубокий реверс-инжиниринг протокола мессенджера и выпустить развернутую статью, которая покажет, в какой именно области лежат настоящие, а не притянутые за уши риски.
Я добавлю еще больше. Мало того, что RIPE зонды ставят у себя гики добровольцы явно понимая что и зачем они делают, так зонд RIPE еще и не позволяет проверять DPI блокировки, так как в нем явно запрещено делать HTTP(S) запросы на случайные ресурсы. Такое измерение возможно сделать только в сторону специальных якорей, единственная роль которых и есть принимать запросы от зондов.
Доступность whatsapp зондом ripe измерить не получится.
Оценки даны именно для пользователей iPhone в среднем в день (в этом контексте всё считалось). Мог, конечно, слегка занизить, но это +- реальные цифры.
Да, тогда это выглядит верно. Исходя из публичных данных очень грубо у меня получилось в районе 10 миллионов, так что в целом числа одного порядка.
Даже до массовых блокировок в 2015 году, по данным государственных социологических опросов таких пользователей насчитывалось не менее 40 миллионов человек. В целом сейчас, по данным из множества источников эта цифра вероятно перевалила за 50 миллионов человек. Представьте себе, в абсолютных числах больше половины дееспособного населения пользуется впн. Так что вы недооценили пользователей впн на порядок.
Как, судя по другим веткам в этой теме, недооценили желание властей это обуздать.
И будете точно так же сидеть на пороховой бочке и ожидать когда же они поправят обнаружение локации и он перестанет работать.
Даже если окажется, что такие места реально существуют, то это совсем-совсем не универсальный способ, тем более не для всех.
Если мы окажемся в ситуации когда к этому терминалу нужно будет переезжать, то я предположу, что для большинства, которые готовы тратить деньги и выискивать точки на границе где старлинк все еще работет будет проще эту самую границу перейти и забыть обо всем этом как о страшном сне.
В комментариях достаточно написали о том, почему именно это нейрослоп, не вижу смысла повторяться.
К тому же оно не единственное и уж точно не "нормальное". Это решение - решето.
Во первых как вы объясните необходимость иметь возможность строить туннели между двумя физиками (ШПД <-> ШПД) в условиях когда даже бизнесу палки в колеса вставляют?
Во вторых - ну включили вам белый список, удачи подключиться к своему шлюзу со старлинком
Не существует ни одного подтвержденного факта блокировки современных маскировочных протоколов, к примеру VLESS+Reality.
Все, что сейчас делается, это ковровые бомбардировки TLS. Это 16кб блокировка, триггер блоки, черные списки хостеров с белым списком SNI и так далее.
Кроме того, что NaiveProxy сам по себе весьма спорный, он не способен решить ни одну из этих проблем.
Хочется добавить, что это настолько шизоидная блокировка, что так же как и 16кб ломает большую часть нормального интернета. Но она легко обходится способом, указанным выше. При этом ее то включают, то откатывают.
Трафик же там не с веб мордой самого speedtest.net, а с одним из тысяч тестовых серверов, большинство которых к самой компании ookla отношения не имеют
Я прочитал уже множество таких работ, часть даже подробно комментировал тут и на NTC форуме. Все они сводятся к тому, что автор берет древнюю версию xray с известной уязвимостью, пишет заведомо ошибочную конфигурацию (к примеру VLESS без VISION/XHTTP) с самыми наивными настройками (без мусора, паддингов, мултиплексирования и тд) и что-то там "детектирует" вероятностью процентов в 60-70. Ну то есть запустив такое получится положить весь интернет из-за ложноположительных срабатываний, но не туннели.
Как-то очень наивно думать, что в Китае с их бюджетами не смогли задетектировать, в Иране не смогли задетектировать, а студент магистратуры скриптом на питоне раз и задетектировал.
По планам мы уже начинаем освоение Венеры, ну сразу после Луны
А в реальность сфера ML и тем более AI в стране находится мягко говоря не в лучшем состоянии. Мы заметно отстаем тут, к сожалению. Учитывая смешные по меркам этой индустрии бюджеты и отсутствие базы для этого, рассказы про ML в ТСПУ заставляют только усмехнуться.
Это не говоря о том, что исходя из слитой документации ТСПУ, у модуля фильтрации (EcoFilter) не хватает вычислительных ресурсов даже на анализ QUIC, удачи им запустить там ML модель.
Вообще, чем распространять откровенную дезинформацию, лучше бы рассказали о реальных угрозах вроде 16КБ блокировках, триггер блоках отдельных хостеров и прочие ковровые бомбардировки интернета.
В QUIC SNI передаётся в TLS ClientHello, а первый ClientHello идёт в Initial-пакетах QUIC. Эти пакеты формально защищены, но их ключи выводятся из значений, видимых на сети, и спецификация прямо говорит, что Initial не имеют эффективной конфиденциальности. На уровне MitM возможно восстановить ключи и прочитать содержимое, включая SNI.
ТСПУ это поддерживает, но это требует ресурсов, так что по умолчанию QUIC блокируется. Но на ТСПУ можно разблокировать внеся в QUIC List
На самом деле не ряд провайдеров, а буквально все. Это архитектурная особенность ТСПУ. HTTP/3 по умолчанию блокируется и его нужно разрешить явно добавлением в QUIC list
Так что протокол совершенно бесполезен в РФ.
В этой статье написано, что цель этого модуля не выяснить включен ли впн. Цель - выяснить какой именно впн включен. И впн на роутере он тоже обнаружит.
Вы лжете, в статье этого нет. В статье говорится о возможности легко сделать получение хостов для тестирования с сервера. Ни о каких удаленных командах речи нет и не шло.
Представьте себе, когда подобная деятельность пусть формально и законна, но с большой вероятностью может привести к репрессиям со стороны государства, то не хочется публиковать подобное под своим именем?
В целом ваши комментарии говорят о том, что вы даже статью не читали.
Это очень дешевая и глупая провокация, достойная защитников Max.
Я думаю почти всем здесь кажется очевидным почему тут нет контента этих классов. Если вы делаете вид, что вам нет, то я вам разжую - это сделано намеренно чтобы лишить VK возможности наехать на статью с точки зрения авторских прав. Опубликовать пусть и дизасемблированную версию было бы незаконно, что дало бы им отличный повод потребовать удаления статьи.
Это тоже к вашей некомпетентности относится. Эти классы со странными именами появляются на этапе сборки APK, так что кто угодно открыв именно ту версию, на которую я указывал с помощью JADX увидит именно то, что я пишу (как раз для этого я и прикладываю ОЧЕНЬ подробные ссылки).
Вы же прекрасно понимаете, что это просто референс, на который я указываю и который не подконтролен Max'у. Допустим вы не заметили что я писал, что происследовал штук 10 разных версий из rustore за последние 3 месяца, но в закрепленном комментарии независимый человек подтверждает, что в ГОСТ версии с сайта Max тоже самое.
И конечно же вы как-то игнорируете тот факт, что независимые издания (вроде AppleInsider) проверили это на iOS и подтверждают такое же поведение.
Опять эта проклятая неопределенность ©
Там не просто классы, там буквально указаны строки кода на который я ссылаюсь
На самом деле - вы просто не понимаете о чем вы говорите. Не понимаете ни в разработке, ни в реверс инжиниринге, вероятно вы даже не способны полностью понять что написано в статье. Но тем не менее решили прийти сюда и написать свой первый комментарий в защиту мессенджера Max. Ну как смогли, по крайней мере.
Яндекс не контролируется и не финансируется государством (#comment_29638668). Они частная компания, для них это крупный бизнес риск - если их начнут отменять как Макс, то они будут терять большие деньги. А VK и так убыточный на миллиарды долларов, их фактически финансирует гос-во.
Так если не дернут, то все так и будут сидеть
Знали бы вы в каком я шоке...
Чтобы запустить веб версию вам нужен телефон. Я не могу с уверенностью говорить что за модули в веб версии.
На самом деле было бы очень круто иметь инфраструктуру зондов по типу ripe atlas, но для тестирования DPI, блокировок и тд. Это было бы очень полезно для тестирования разных профилей блокировок в разных регионах.
Я помню был такой проект, но сейчас не смог его найти, наверное он уже не работает.
Как раз по моим наблюдениям большинство хостеров, даже те, что принимают оплату картами РФ имеют юрлица за границей. С их точки зрения это более, чем логично - законодательство РФ касательно хостеров сейчас исполнять сложно и опасно с точки зрения дальнейших рисков закручивания гаек.
Вот, к примеру, лично я хотел зарегистрировать свою AS и выяснил, что это несет такое дикое количество требований, ограничений и потенциальных трат в РФ (в худшем случае десятки миллионов рублей), что быстро отказался от такой идеи. К слову вне рф регистрация AS никак государства не касается, это простейшая процедура.
Ваш первый комментарий не технический, а, фактически, юридический анализ. Я не хочу углубляться в эту тему, так как такие сообщения несут свои риски, скажу лишь только то, что по моему мнению (и возможно не только моему) на законность и правовые основная все уже давно положили.
Нужно понимать, что эта корпорация фактически и есть власть. Она управляется Владимиром Кириенко, сыном первого зама АП Сергея Кириенко, который является представителем высшего эшелона государственной власти. Так же через сложную систему юридических лиц государство имеет 57.3% голосующих акций. Так же публично известно, что VK является убыточной на сотни миллиардов рублей, так что банкет прямо или косвенно оплачивает государство РФ. Так что по итогу государство как управляет, так и финансирует корпорацию, нет ничего удивительного что VK решает задачи не коммерческие, а государственные.
Лично мне было бы очень интересно!
Я добавлю еще больше. Мало того, что RIPE зонды ставят у себя гики добровольцы явно понимая что и зачем они делают, так зонд RIPE еще и не позволяет проверять DPI блокировки, так как в нем явно запрещено делать HTTP(S) запросы на случайные ресурсы. Такое измерение возможно сделать только в сторону специальных якорей, единственная роль которых и есть принимать запросы от зондов.
Доступность whatsapp зондом ripe измерить не получится.
Да, тогда это выглядит верно. Исходя из публичных данных очень грубо у меня получилось в районе 10 миллионов, так что в целом числа одного порядка.
Даже до массовых блокировок в 2015 году, по данным государственных социологических опросов таких пользователей насчитывалось не менее 40 миллионов человек. В целом сейчас, по данным из множества источников эта цифра вероятно перевалила за 50 миллионов человек. Представьте себе, в абсолютных числах больше половины дееспособного населения пользуется впн. Так что вы недооценили пользователей впн на порядок.
Как, судя по другим веткам в этой теме, недооценили желание властей это обуздать.