Форум » Информационный Фронт » Евреонал против анонимности гоев в интернете » Ответить
Евреонал против анонимности гоев в интернете
гойская община: Способы, которыми иверы могут запретить доступ к средствам анонимности, чтобы после этого сразу же отслеживать и вычислять опасных инакомыслящих гоев Рунет обречённый (ссылки на статью из 2 частей) http://blogerator.ru/page/runet-obrechennyj-cenzura-vpn-anonimnost-i2p-tor-dpi#print http://blogerator.ru/page/runet-obrechennyj-tor-bridge-i2p-regulirovanie-interneta-i-cenzura-2#print (сюда на форум эти тексты скопированы для архива; в текстах есть зачёркнутые слова, так что если здесь непонятно, то читайте там) и сюда же один из отзывов к 2 части: [quote]Евгений 22.09.2013 в 15:53 Есть ещё пара моментов, не упомянутых автором. Во-первых, по идее государству нет особого смысла полностью болкировать упомянутые взможности. Достаточно сделать их использование возможным "только для гиков". Например, найти и заюзать Tor-браузер может любой не-гик. При блокировании публичных нод нужно сделать действия, труднодоступные "Тёте Вале", а включение какого-нибудь "хитрого режима" уже недоступно практически всем "хомячкам". Чуть-чуть надавить - и для работы с Tor потребуются знания, "запредельные" для хоум-юзера. Самый популярный вопрос на "Ответах Мейл Ру" - где скачать такой-то фильм без торрента. Хомячкам недоступен даже торрент - они его использовать не умеют, не говоря уже о каких-то настройках. Второй момент в том, что запретив использование каких-то программ, можно банально отследить наличие этой программы на компьютере. Антивирусами пользуетесь? В два счёта можно договориться с производителями о некоем модуле, "стучащем куда нужно" о присутствии такой программы. Да просто занести сигнатуры в базы антивиря - и больше половины пользователей проблему не решит. Достаточно довести задачу до степени "доступно только для гиков", а гика поставить в ситуацию "можно легко схлопотать не по детски".[/quote] (дополнительно по этой же теме можете глянуть http://habrahabr.ru/post/209312/ "Тройной удар для Рунета: идентификация пользователей, контроль сайтов и электронные платежи")
Ответов - 2
гойская община: Рунет обреченный: замуровали, демоны В последнее время часто возникают разговоры о текущих и будущих повальных блокировках сетевых ресурсов, о грядущей потере связности единой сети Интернет. В противовес намереньям светских властей «держать и не пущать», все чаще приходится сталкиваться с абстрактными инициативами независимо настроенной технической братии, считающей анонимность в Сети своим «священным Граалем», принимая подобные наезды государства за святотатство и кощунство. Все чаще в дискурсе этой части сетян применяются колюще-режущие по отношению к цензуре инструменты типа VPN, Tor, i2p и т.д., которые якобы разнесут в пух и прах ограничительные инициативы государства. Ниже я предлагаю свою, противоположную точку зрения, почему все эти усилия против цензуры тщетны, — нет, технарям не получится обойти эти препоны, если против них начинает играть их родное государство. С чего кончается Родина? Многие молодые технари хотят победить заразу цензуры и блокировок, воспользовавшись сервисом частного виртуального тоннеля (VPN), который позволит лихо обойти все препятствия, чинимые государством на пути любознательного гика. Давайте рассмотрим первый вариант — блокируемый сайт находится в рамках самого Рунета, т.е. хостится на серверах, подключенных к одной их многочисленных региональных сетей России, совокупность которых и принято обозначать емким термином «Рунет». Символическая схема фильтрации Рунета для этого случая будет выглядеть примерно так: Пояснение к схеме — каждая из огромного множества российских сетей на данный момент обязана фильтровать весь входящий и исходящий трафик в точке сопряжения с внешними сетями. Список для фильтрации дважды в день выгружает согласно установленной процедуры уполномоченный на то Роскомнадзор. Таким образом, в какой бы российской сети не находился хостер, на мощностях которого размещен «забаненный сайт», как правило, хотя бы в двух точках сопряжения сетей весь транзитный трафик между ним и абонентом из «внешнего мира» будет прочищен от запрещенной информации. Получается, что если даже у вас VPN физически расположен в самой демократически свободной стране мира — США (гипотетическое утверждение), то забаненный в РФ ресурс будет вам точно так же недоступен, как и непосредственно с территории самой России. Таким образом, мы видим, что VPN «во внешний мир» бессмысленен для сайтов, заблокированных Роскомнадзором и физически находящихся в пределах (сетях) самого Рунета. Какой смысл от того же VPN, когда все транзитные провайдеры во внешний мир отгружают лишь предварительно отфильтрованный вариант российской сетевой действительности? Прежде чем перейти к следующему варианту, внизу привожу совсем немного статистики, чтобы помочь более емко осмыслить это первое утверждение на примере из голых цифр. По состоянию на начало 2013 года большая часть сайтов из домена .ru физически хостилась на территории РФ — именно эта часть Рунета может исчезнуть в любой момент времени из поля вашего зрения, попав по одной из многочисленных причин в реестр Роскомнадзора, — и, как я показал выше, даже могущественная технарская магия в лице VPN/Tor/etc здесь будет бессильна. Проблемы власти: англосаксонский домен Хорошо, давайте рассмотрим ситуацию в отношении другой половины сайтов, которые предусмотрительно разместились за пределами той самой «я другой такой страны не знаю, где так вольно дышит человек». Общая схема работы VPN для пользователя из России в этом случае будет примерно такова: http://i.pixs.ru/storage/6/7/8/blogerator_7308321_10771678.png Как видно из схемы, пресловутые siloviki здесь ничего поделать (пока) не могут. Но как меня учили на физмате, реальная суть физических процессов наблюдаемых в природе — это непрерывная динамика, а не абстрактная статика здесь-и-сейчас. А динамика процессов, бурлящих в siloviki_land сейчас, такова — далее по пунктам. Делаем раз: средства анонимизации вне закона Пару недель назад общественный совет при ФСБ России, конечно, по чисто случайному совпадению, продекларировал, что он: считает необходимым совершенствование правового регулирования деятельности юридических и физических лиц, распространяющих информацию в интернете. В связи с этим советом были сформированы предложения к законодателям о необходимости запретить использование анонимайзеров — программ, маскирующих информационные данные и IP-адрес пользователей». Инициатива силовиков подразумевает запрет программного обеспечения или браузеров со встроенным анонимайзером (таких как браузер Tor). Кроме того, к маскирующим инструментам относятся и прокси в виде веб-сервисов — «автономные сайты, при помощи которых пользователи могут без установления специальных программ переходить с измененным IP-адресом на блокируемый сайт». Как говорят эти же источники, подобные поправки будут скоро внесены в федеральный закон РФ «Об информации, информационных технологиях и о защите информации». Одновременно директор ФСБ РФ Александр Бортников заявил прессе: Необходимо переходить от тактики выявления, фиксирования и блокирования работы сайтов, используемых экстремистами в своей деятельности, к активной информационной работе в киберпространстве». Подготовка чего-то подобного «активного» упоминалась и раньше. Например, опять же, чисто случайно, пару месяцев назад на письмо лидера движения «Охотники за головами» Сергея Жука в ФСБ, в котором он просил блокировать сеть Tor на территории РФ «из-за большого количества детской порнографии», ему дали успокоительный ответ, дословно: В России на законодательном уровне рассматривается вопрос о блокировке интернет-доступа к Tor и другим анонимным серверам». Между тем в США, где VPN, хотя и не запрещен, давно является средством деанонимизации: АНБ сохраняет всю метаинформацию на все зафиксированные сессии граждан с использованием криптографических инструментов. Иначе говоря, хотя и содержимое ваших PGP-писем или VPN-туннелей просмотреть спецслужбам легко не получится (гипотетическое утверждение), но факт того, что именно вы пользуетесь подобными инструментами, будет навсегда зафиксирован в соответствующих базах данных. Отныне ваша сетевая активность будет превентивно отслеживаться уже в профилактических целях. http://i7.pixs.ru/storage/7/3/0/blogerator_6290633_10771730.png Делаем два: углубляем область контроля трафика через DPI Но за этой юридической инициативой возникают чисто технические проблемы — для проведения соответствующих мероприятий по обнаружению и блокировке VPN-подобной активности в большинстве случаев требуется Deep Packet Inspection (DPI). Прежде чем следовать дальше, очень кратко поясню суть DPI для людей «не в теме» — это настоящая шайтан-машина, которая умеет делать с «большим транзитным трафиком» то, что всяким файрволам, маршрутизаторам и СОРМ’ам сейчас не под силу, вот как кратко комментирует эти возможности эксперт от Cisco: В отличие от стандартных механизмов классификации трафика, встроенных в распространенные маршрутизаторы и основанных на данных, содержащихся в заголовках 3–4 уровней OSI модели (IP,TCP/UDP), системы DPI обладают возможностями распознавать в потоке отдельные сетевые приложения (например, YouTube, P2P, Instant Messaging, Browsing и т.д.), а также извлекать, блокировать и анализировать любые инкапсулируемые на таком «пользовательском уровне» данные в режиме on-the-fly. Кроме того, система позволяет ограничивать скорость доступа к интернету отдельным пользователям, блокировать отдельные протоколы, изменять их приоритетность и параметры работы в режиме реального времени«. Таким образом, DPI — это чудовищно производительный «сетевой микроскоп», который позволяет каждый пакет, проходящий через пограничный шлюз, распаковывать и тщательно досматривать на предмет «таможня дает добро». С недавних пор DPI стал чрезвычайно актуален после введения в России понятия «информация, запрещенная к распространению» (партия руководящие товарищи долго ждали наступления XXI века и «информационной эпохи» и вот, наконец, решились на это). Поэтому пограничный досмотр теперь требует особенно тщательного обшаривания естественных ниш и отверстий всех проходящих информационных пакетов на предмет сокрытия там диковинного заморского инакомыслия и запретных для духовных скреп государства знаний. Возвращаясь к нашей истории — вы будете смеяться, но, как это водится, чисто случайно Ростелеком в последние месяцы развил просто бешеную активность по созданию своего собственного DPI. На данный момент вроде бы они уже определились, что будет внедрена именно китайская система фильтрации интернет-трафика на базе оборудования Huawei, «которая уже хорошо зарекомендовала себя у наших китайских товарищей». Делаем три: монополизируем интерконнект во внешний мир Да, дорогая это вещь — DPI (стоимость от 10 миллионов долларов и выше), только очень крупные провайдеры могут позволить себе это. Да и опять же, как контролировать такое количество сетей... никаких людей-роботов-DPI не напасешься, все штрафуешь их, штрафуешь... сопротивляются почему-то операторы цензуре, несознательные они какие-то, гады. На сегодняшний день нужно признать — множество мелких региональных операторов пока и вовсе в гробу видели игнорируют Роскомнадзор и его реестры. Как в классике: «суровость российских законов компенсируется необязательностью их исполнения». http://i6.pixs.ru/storage/7/5/9/blogerator_2955220_10771759.png Но решение есть — в российской прессе это уже обозвали как «белорусский вариант». Речь идет о централизации операторов, которые получат эксклюзивное право на работу с иностранным интернет-трафиком. И вот опять же, чисто случайно, так совпало, что правительством РФ уже в ближайшее время планируется разделить всех операторов связи на две группы: на федеральных операторов связи (ФОС) и на обычных операторов связи (ОС). При этом ФОСы получал эксклюзивное право на работу с иностранным интернет-трафиком, а вот обычным операторам — теперь нужно подключаться к федеральным ФОСам в качестве даунлинка. Суть новой реформы: чтобы получить статус «федеральный», провайдер должен иметь трансграничные переходы на западе и на востоке России, собственные каналы связи, доходящие до всех регионов РФ, а также точки присоединения во всех городах с населением свыше 100 тысяч человек. По мнению независимых экспертов, условия получения статуса ФОСа подогнано под... государственного монополиста Ростелекома — чисто случайно того самого, который сейчас развернул просто лихорадочное по своей спешке внедрение DPI. Если не последует укрупнений и слияний, на данный момент в РФ нет ни одного другого телекома, который удовлетворял бы сразу всем заявленным условиям для получения статуса ФОС, кроме упомянутого РСТ. В общем виде схема этой реформы будет выглядеть примерно так: Ради справедливости для российской аудитории стоит пояснить: это дело уже поздновато называть «белорусским вариантом», потому как с недавних пор здешний государственный монополист Белтелеком лишился статуса единственного шлюза во внешний мир — как ранее и обещали власти РБ, право интерконнекта получило новосозданное СООО «Белорусские облачные технологии» (их учредитель — «Национальный центр обмена трафиком»). Возвращаясь к России: меня несколько позабавило заявление-реакция на эти планы со стороны весьма авторитетной Российской Ассоциации электронных коммуникаций (РАЭК), которая перепутала причину со следствием и на полном серьезе заявила: Сокращение трансграничных переходов сетей передачи интернет-трафика с территории России облегчит иностранным спецслужбам контроль за ним (трафиком)«. Прямо как в том анекдоте: облегчить контроль не иностранным спецслужбам, а в первую очередь — российским, и, конечно, это вовсе не досадный баг, а драгоценная фича. А с остальным все верно — централизация, национализация и плановая экономика в любой форме существенно облегчают жизнь всем служивым, и не только в области телекома. http://i7.pixs.ru/storage/7/9/4/blogerator_2366385_10771794.png Всем выйти из сумрака! В качестве готового государственного рецепта по блокированию вольницы, льющейся из англосаксонского домена, еще раз суммируем последовательность из вышеописанных шагов: * вводим законодательный запрет на VPN и аналоги; * в качестве обеспечения технических мер по его исполнению монополизируем интерконнект с внешним миром, чтобы в его узкое горлышко стекался весь трафик, идущий за рубеж (и обратно) со всей страны; * после чего ставим туда вместо пробки такую ядреную китайскую машинку с DPI, которая сможет фильтровать базары протоколы и сервисы на пользовательском уровне. Конечно, текущее демонстративное осуществление буквально всех звеньев этой единой цепи правительством РФ — это не более как очередная случайность. И тем более это не касается технарей, они ведь очень сильно верят в сетевую анонимность: они знают Tor, VPN, торренты и другие очень страшные слова. http://i7.pixs.ru/storage/8/1/3/blogerator_1445330_10771813.png Что интересно, обратите внимание на разность подходов: если в упомянутой Беларуси просто законодательно запретили резидентам хостить сайты за пределами своей Родины (и что почти никто не выполняет), то в России-таки решили сделать «все по-взрослому» — развернуть полноценную систему «принуждения к миру» на базе DPI и целого ряда околоюридических подпорок. И чем все это закончится, ребяты? Года через 2–3 российские пользователи всяких там VPN’ов и Tor’ов начнут автоматически получать штрафы. Подобно тому как сейчас достаточно превысить скорость на определенных участках дороги — и всё: получите-распишитесь. А в некоторых, особо интересных случаях, быть может, приключится даже вариант «пройдемте, товарищ». Не буду долго расписывать этот вариант, ограничусь лишь словами о том, что «советский суд самый гуманный суд в мире». Делаем четыре: фиксация клиента в неподвижном положении Ну, а чтобы ерунды всякой аналогичной вместо VPN/Tor’а не писали — это ж новые сигнатуры в этот DPI вносить надо, анализировать, чего это они там понаписали такого, от дел государственных, опять же, почем зря отвлекаться, — есть уже у государства российского закончик один такой остро заточенный. Буквально намедни довелось мне побеседовать с «известным в узких кругах» Павлом Домкиным — московским адвокатом, который специализируется именно на киберпреступлениях и правонарушениях в области ИТ. И речь наша шла в том числе про тот самый закон, о котором я упомянул выше: «Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических средств)» (Постановление Правительства РФ от 16 апреля 2012 года № 313). Это интервью бралось для крупного российского издания, поэтому не могу пока цитировать до его публикации, но главную суть любезно перескажу. Применяется ли этот закон к области интернета и телекоммуникаций? Да, безусловно. Запрещает ли он де-факто использование специальных криптографических средств типа протокола https или использование интернет-сервисов, применяющих в своей работе криптографические элементы и стойкое шифрование? От прямого ответа адвокат тактично уклонился, но при этом весьма настоятельно рекомендовал российским интернет-компаниям отправить запрос в ФСБ РФ, разъясняющий легитимность использования ими любой криптографии в своих сервисах на территории РФ. http://i6.pixs.ru/storage/8/3/2/blogerator_9517119_10771832.png И хотя правоприменительной практики в рамках этого относительно свежего закона (пока) нет, но, опять же, финка у фраера уже блестит под пальтишком, ручка ножа приятно руку греет... Общие выводы: наше ближайшее политкорректное будущее Bitcoin, i2p, Tor — эй, о чем это ты, товарищ? Прямо сейчас заканчивается очередной исторический цикл, аналогичный хрущевской оттепели, — и лет эдак через 5 зарегулируют все эти полезные для инакомыслия вещи так, что при одной только установке VPN-клиента сразу завоют бешеные сирены в Комитете Сетевой Безопасности, а дверь твоей квартиры с этим компом вырежут болгаркой («хочешь, не хочешь, а по почкам схлопочешь»). И всё, что нужно для подобного сценария, — это политическая воля, и если команда сверху будет дана (уже дана?), то совокупная мощь государственной машины просто раздавит разрозненное сообщество сетевых вольнодумцев, оставив его как минимум без коннекта, а как максимум — пригласят «искупить свой долг» (как это в песне поется: «Все мы в неоплатном долгу перед Родиной...»). В чем-то такой поворот дел даже полезен — меня часто обвиняют в либертанстве и очернительстве памяти безвременно усопшего СССР, впереди всю эту ностальгирующую публику ждет очень полезный, чисто «эсэсэровский» опыт затыкания ртов оппонентам. Это когда эту самую зявку будут затыкать не превосходящими аргументами и опытом, а гулагами кулаками по-деревенски прямолинейных, но зато очень сильных ребят, у которых квартира «на социальном кредите», да и вообще: «ничего личного, мы просто делаем свою работу». http://i7.pixs.ru/storage/8/4/8/blogerator_5460050_10771848.jpg Показатель сегодняшних настроений вверху — недавняя история со скандальным твитом председателя комитета Госдумы РФ по труду, социальной политике Андрея Исаева, где он назвал всех несогласных с ним рядовых интернетчиков «мелкими тварями». http://i6.pixs.ru/storage/8/6/3/blogerator_4127006_10771863.png Забавно, что этот хамоватый выпад довольно тучного депутата, чрезвычайно гибкий «креативный интернет» смог отрефлексировать асимметрично и по-своему, в очередной раз «бортанув» очередного чиновника и его высшее начальство... http://i7.pixs.ru/storage/8/7/3/blogerator_7456789_10771873.jpg ... и пришлось даже поспешно внести ясность... http://i6.pixs.ru/storage/8/8/7/blogerator_4848150_10771887.png ... Я как типичная, согласно классификации депутата, мелкая тварь, этот месседж приняла и впитала. И хотя я пока, по совету депутата, расслабилась и, как видите, продолжаю потихоньку корябать свои буковки «в эти ваши интернеты», насчет своих реальных перспектив никаких иллюзий не испытываю, потому как по уже старой советской привычке привык читать месседж промеж строк. Но вот эту самую молодежь, лелеющую романтический чегеварский образ СССР, бьюсь о заклад, уже в ближайшем времени ждут очень интересные ощущения от высказывания-своего-мнения в «сетях общего назначения типа Интернет». И хотя я пишу много на эту тему и предупреждаю других мелких тварей быть поосторожней уже сейчас, спорадическое чтение форумов показывает, что сила веры в VPN/Tor еще весьма сильна и убедительна для большей части техногиков. В качестве анонса: во второй части статьи мы сосредоточимся больше на технических аспектах и рассмотрим на примере Ирана, который достаточно эффективно блокирует Tor и VPN для своих граждан, как спецслужбы ловят злоумышленников-кардеров, скрывающихся за анонимными VPN и прокси, отдельно обсудим некоторые проблемы протокола https. Открыто обсуждая все эти детали, я бы хотел развеять максимализм молодых людей о безусловной надежности и неуязвимости подобных сервисов. Как говорил один популярный советский киногерой: «От себя-то убежать можно, а вот от милиции, брат, не убежишь».
гойская община: Это продолжение первой части статьи, где мы обсуждали технические возможности государства, на которые некоторая часть ИТ-публики смотрит явно сквозь розовые очки. Речь шла о том, что методы обхода грядущей цензуры и фильтрации Рунета ограничены. В результате мы выяснили, что «приделывание колес» к своему серверу не спасет поросенка Петра от нависающего над ним дамоклова меча интернет-цензуры. Сегодня мы продолжим эту актуальную тему и рассмотрим все три режима работы оверлейной сети Tor, которая нынче у многих на слуху и на которую многие возлагают неоправданно большие надежды. Также под катом речь пойдет о Great Firewall of China и его составляющих: Deep Packet Inspection, Connection probe и Support vector machines. http://i6.pixs.ru/storage/9/5/1/blogerator_1185254_10771951.jpg Давайте начнем с наиболее расхожего мифа — о якобы непобедимости TOR и I2P для любых форм ограничения и цензуры сетей. О Tor’е централизованном замолвите слово Итак, Tor не является полностью децентрализованным. И это создает вполне реальные проблемы, поскольку если запретить или ограничить доступ к корневым серверам, хранящим список доступных узлов (реестр входных точек, Tor enrty nodes), то система рушится (это т.н. «bootstrapping problem»). Например, заинтересованные могут глянуть текущий список IP всех входных нод в удобоваримом виде здесь или здесь — это входные ворота в мир Tor’a, которые можно забанить. В общих чертах логика работы системы в штатном режиме такова: Хочу подчеркнуть, что подобные потенциальные проблемы блокировки — это вовсе не результат «кривой» реализации I2P или Тора — такие проблемы неизбежны by-design. Tor — это оверлейная сеть, это своего рода «надинтернет». Она не только в этот самый «регулируемый интернет» лезет за стартовыми адресами для своей инициализации, она через него дышит и живет, прокачивая свои данные и осуществляя адресацию. При таком раскладе довольно тяжело (невозможно?) абстрагироваться от нативных свойств IP-адресации, на базе которой и создали некую вывернутую наружу по своим свойствам абстрактную антисистему. Правда, в отличие от тормозного задыхлика I2P (о котором мы поговорим ниже), в Tor предусмотрен второй эшелон обороны для случаев своего подавления, это так называемый «сетевой мост» («ретрансляторы типа мост», Tor bridge). И если с обычным режимом Tor все ясно — уже во многих странах мира Tor заблокирован, — то его «усиленные режимы работы» стоят отдельного рассмотрения, поскольку именно это решение часто называется некой вершиной среди инструментов пробивания государственного цензурирования и контроля. Тор в квадрате: сетевые мосты Итак, в некоторых технических кругах считается, что полностью заблокировать Tor с помощью блэклиста нельзя, потому что он имеет специальный адаптивный механизм для обхода подобных блокировок через приватные bridge-узлы. Но отличие в работе лишь в том, что если обычные Tor relays доступны через публичные списки, то Tor bridge — это точно такой же входной Тор-узел, но выдаваемый приватно, который следует самостоятельно не привлекая к себе внимание узнать и забить в свой Тор-браузер. Таких узлов достаточно много, но выдают их в лучших конспирологических традициях — по личному запросу с почтовых ящиков в домене @gmail и @yahoo, при этом в теле письма необходимо указать обязательную сигнальную строку-пароль: ’get bridges’ (с недавних пор также есть веб-форма, защищённая от любой тоталитарщины капчей). http://i7.pixs.ru/storage/0/0/2/blogerator_5151977_10772002.png Этот вариант хоть и делает жизнь пользователя неудобной, потому как требует время от времени искать и менять адреса бриджей (они также выявляются и банятся), но, тем не менее, вся эта мелкая возня усложняет жизнь властям — теперь нет единой центральной точки-списка (Tor directory), через которую можно было бы забанить всю Tor-сеть одним махом. Это нововведение привело к новому витку противостояния. Забегая вперед, констатирую, что эта проблема со стороны властей была успешно решена посредством следующих трех ингредиентов: * deep packet inspection для SSL; * избирательная блокировка определённых сочетаний IP-адресов/TCP-портов; * фильтрация по определенным ключевым словам и сигнатурам, характерным для Тора. Этого достаточно, чтобы надежно и полностью заблокировать работу Tor’a в том числе и в режиме «сетевых мостов», что успешно продемонстрировал на своем примере Иран. Всего лишь два ИТ-специалиста Ирана полностью нейтрализовали все старания мирового сообщества, при этом сделали они это по-честному — обычный SSL/HTTPS продолжал работать более-менее исправно. Потом этот же трюк повторили Китай и Эфиопия, полностью зарубив весь свой Тор-трафик, включая приватные мосты. Вот так примерно это выглядело для случая Эфиопии: Периодически это случается и в Беларуси, разве что в более топорном исполнении — здесь блокируется весь https-трафик во внешний мир (а на покупке DPI драгоценную валюту можно и сэкономить). http://i6.pixs.ru/storage/0/4/3/blogerator_9773208_10772043.png Tor obfsproxy: высшая магия скрытности В случаях с Эфиопией и Китаем Tor Project не сдался, он ответил довольно навороченным решением — обфусицированной версией моста (obfuscated bridges, obfsproxy), которая подмешивает левые данные/пакеты, и создает что-то вроде «полиморфических» заголовков/пакетов, чтобы напрочь стереть идентичность или любую ассоциацию каждого отдельного пакета с Тор. Еще раз — это не какое-то принципиально новое решение, это просто возможность самостоятельно находить и прописывать у себя non-public Tor’s relays с поддержкой этой новой фичи-враппера, реализованной в виде подключаемого модуля. Вот как выглядит логика работы Тора в таком «сверхсекретном» режиме: Да, это устранило проблему автоматического обнаружения и блокировки точек входа на транзитном шлюзе во внешний мир. Но это не решило вторую проблему: как только адреса таких обфусицированных серверов становятся известны в паблике — их IP-адреса тупо банятся в точке интерконнекта. И снова придется искать девственно новый obfsproxy, чтобы получить выход в мир иной... Мою претензию к все возрастающей сложности мер противодействия, типа obfsproxy, можно пояснить на примере: если государственную границу ежегодно нелегально пересекают тысячи человек (и некоторые из которых, судя по всему, делают это вполне успешно), то для рядового человека «это удовольствие» практически недоступно — уж слишком много специфических умений и знаний оно требует. Obfsproxy — это реализация принципа security thru obscurity, его сила не в «пуленепробиваемой для цензуры технологии», но исключительно в секретности (или приватности) IP-адреса входящей Tor-ноды. http://i7.pixs.ru/storage/0/7/4/blogerator_8135743_10772074.png Постепенно такие узлы подпадают под бан, в таких случаях приходится снова искать новую рабочую ноду... эта технология не блещет совершенством технического решения, скорее это напоминает попытку взять измором одну из сторон-участников процесса противостояния... Obfsproxy — современный неуловимый Джо Ради справедливости стоит все-таки признать, что подобные блокировки на уровне государств заточены исключительно на стандартные и массовые решения. Как минимум, пока. Что отчасти объясняет (по принципу «неуловимого Джо») теперешнюю «рабочесть» технологии Obfsproxy — крайняя малочисленность ее пользователей. К примеру, я знаю российского журналиста, которому коллеги делали туннель для перегонки его видео из Ирана, для чего хватило GRE based vpn’s SSH и socks/tun over ssh, что работало на ура. Джуниперовский VPN (443 порт) тоже работал в тех краях абсолютно без проблем. Короче, если за дело брался высококвалифицированный техногик с соответствующей поддержкой из-за рубежа — этот сим-сим тут же отворялся, выпуская дух свободы наружу. Да, хорошо иметь друзей-технарей снаружи сетевой клетки, которые готовы тебе помочь в обходной коммуникации, но что делать остальному подавляющему большинству простых смертных? Иногда возникает впечатление, что подобные блокировки — это пережиток азиатчины, — но это далеко не так. В декабре 2011 года подвиги Ирана решил повторить Казахстан — наш сосед по Таможенному Союзу. Его крупнейший транзитный оператор KazTransCom начал фильтровать свой трафик, используя расширенный DPI (по китайскому варианту). При этом он довольно хорошо чистил трафик от всех потенциальных разносчиков запрещенной информации: Tor, Tor в режиме бридж, IPsec, технологии на основе PPTP, а также от некоторых вариантов VPN работающих на базе SSL... Для таких случаев ответ проекта Tor остался неизменен — Obfsproxy. http://i6.pixs.ru/storage/1/1/9/blogerator_2278851_10772119.png Но прогресс не стоит на месте — в последнее время появляются сложные методики обнаружения Tor и в режиме Obfsproxy. Для этого применяются timing-атаки или вычисляется процент энтропии (естественности) пакета, но... пока это достаточно сложно и дорого для того, чтобы массово реализовать в режиме реального времени сразу для всей страны. Впрочем, имя ключевой технологии, которая убьет Obfsproxy и ему подобных уже известно — это SVM (о ней более подробно ниже). I2P — последнее прибежище негодяя техногика Очень кратко остановимся и на I2P — несмотря на множество бла-бла-бла в околотехнической среде — это не полностью децентрализованное решение. Так, при первом запуске I2P список всех активных узлов сети также тупо выкачивается в виде тарбола с «этих ваших интернетов». Таким образом, внимание: в любой момент времени доступен актуальный список адресов всех «стартовых серверов» этой пиринговой сети. Ну, и что стоит их банально забанить? Здесь даже дорогие DPI не нужны... Именно таким образом в Иране и Китае динамически блочатся все адреса с которых бутстрапится I2P, посему эта «децентрализованная» сеть уже давно недоступна с их территории. Более ясно написали в ченжлоге прошлогоднего релиза I2P: «Routers in certain countries will now automatically enable hidden mode for increased protection... For the list of countries see the thread on zzz.i2p. The only country on the list that has more than one or two I2P users is China.» Поэтому давайте оставим в покое «неуязвимую» I2P вместе с теми самыми непобедимыми как Чак Норис «more than one or two I2P users in China». http://i6.pixs.ru/storage/1/7/5/blogerator_1618475_10772175.png Фильтрация по-взрослому: китайский опыт Самое время перейти к рассмотрению передового китайского решения, элементы которого использует как Казахстан, так и Эфиопия. И как мы читали ранее — вероятно, именно это оборудование для «восстановления попранной законности» и собирается применить Ростелеком. Описание текущего положения дел на китайском сетевом фронте начну сразу с фактов: на данный момент Great Firewall of China (GFoC) достаточно надежно блокирует весь национальный трафик из/в систем TOR, I2P и частично VPN. Технически это достигается сочетанием трех технологий-столпов: * Deep Packet Inspection (DPI); * Connection probe; * SVM (support vector machines). Симбиоз данных методов фильтрации позволяет автоматически распознавать тип шифрованного трафика с высокой степенью точности. Так как о DPI я уже упоминал выше (более подробно смотрите о нем в первой части статьи), то здесь дам лишь краткое пояснение относительно малоизвестных у нас технологий — это connection probe (иногда ее же называют reverse probe) и специфического приложения теории SVM. Тактика connection probe заключается в том, что любое подозрительное (по самым общим критериям) исходящее соединение во внешний мир замораживается в точке интерконнекта, после чего по указанному целевому адресу уже от имени правительственного сервиса инициируется опережающее соединение к destination IP:Port (к которому изначально и пыталось обратиться удерживаемое соединение). Далее проводится попытка самостоятельного тестового подключения-сканирования. Если ответ сервера-назначения подпадает под паттерн запрещенных сервисов — удерживаемое соединение клиента принудительно рвется. [и в тайное электронное досье на гоя навечно добавляется пометка о мыслепреступлении, тяжесть которого зависит от некошерности запрошенного сайта, и в дальнейшем эти данные обязательно будут использованы против гоя] Таким образом, чтобы преодолевать connection probe, теоретически нужно обфусицировать поведение не только клиента, но и сервера/протокола, его обслуживающего. Учитывая, что весь трафик в поисках крамольных сигнатур параллельно молотит все тот же DPI, то все, что преодолеет подобную комплексную защиту, — уже будет очень слабо напоминать оригинальный протокол или первоначальный сервис. Подобные защитные схемы вынуждают создавать для их преодоления узкоспециализированные кастомные сервисы «под заказ», которые, будучи обнародованы и выложены в паблик, — сразу же попадают в стоп-лист GFoC. Здесь работа специалистов китайского НИИ Сетевой Цензуры и Пропаганды аналогична подходу антивирусных компаний, и в данном конкретном случае DPI — это поиск по сигнатурной базе, а connection probe — своего рода «запуск соединения под отладчиком», который выявляет и блокирует «нестандартные клиенты», позволяя нагло вклиниваться третьему лицу непосредственно в интимный процесс их хэндшейка (tcp session handshake). Третий столп — уже упомянутый Метод опорных векторов (SVM, support vector machine) — это известный алгоритм машинного обучения, который очень эффективен, когда возникает необходимость автоматически классифицировать разнородные данные. Иначе говоря, машина опорных векторов — это самообучающаяся на базе статистических методов программа, которую можно представить как двухслойную нейросеть (RBF-сеть). Желающие более полно познакомиться с математической стороной теории могут вот здесь (рус.) глянуть тематическую брошюрку от сотрудника Яндекса, а также прочитать дополнительное введение в теорию SVM (англ.) и пример ее простейшей реализации на С. Продолжая нашу антивирусную аналогию, SVM — это своего рода эвристический движок, позволяющий с высокой степенью вероятности идентифицировать в обилии разнообразных полиморфических штаммов оригинальный вирус, чтобы принять в отношении него адекватные меры. Таким образом, с помощью SVM признаки различных протоколов и их характерные паттерны вычленяются даже в специально обфусицированном потоке данных, и чаще всего это реализуется в виде продвинутой AI-надстройки над «сверхглубокой молотилкой пакетов» — DPI (два в одном). Именно на ее развитие возлагаются надежды по обнаружению технологий типа Obfsproxy (первые успехи уже имеются). http://i6.pixs.ru/storage/3/2/6/blogerator_1104645_10772326.png Переходя к частностям, именно с помощью connection probe Китай регистрирует, например, SSH (вот пример такой технологии). Типы SSL-трафика данный комплекс технологий также более-менее успешно разделяет (вот дополнительное описание, видео mp4, 600Mb) этого процесса по отношению к Tor). Об особенностях борьбы с VPN мы поговорим более подробно в следующих статьях этого цикла, но раз уж мы коснулись Китая здесь, то сообщаю: на данный момент власти Китая согласовывают законодательный проект, который предполагает разрешение VPN для лицензируемого использования. Иначе говоря, у юридических лиц для служебных нужд будут свои лицензированные тоннели (это будет свой собственный китайский софт), которые не будут блокироваться на трансграничном шлюзе, а физическим лицам все принудительно «порежут». А детектирование VPN сведется к обнаружению и проверки валидности вшитой лицензии «лицензированного» тоннеля, а также к тупому «дропанью» всего остального зоопарка VPN. Следствие всего сказанного -> немного статистики Логично будет завершить данный теоретический экскурс статистикой количества активных пользователей Tor из ряда отобранных мною стран (ниже выборка: daily active Tor users both direct and bridge, per month by country): http://i7.pixs.ru/storage/3/4/7/blogerator_7752731_10772347.png Как видно, количество пользователей Tor Onion из многомиллиардного Китая даже меньше количества пользователей оной сети из Беларуси, хотя масштаб двух этих стран просто несопоставим. С одной стороны, можно подивиться изворотливости этой «отборной китайской тысячи», но с другой — кто будет спорить, глядя на эти результаты, что блокировка в масштабах всей китайской страны работает очень даже неплохо? Если учитывать население Китая и количество прорвавшихся через его сетевую границу, то, соблюдая пропорции, при подобной блокировке в России наружу выползет около 100–150 человек максимум... Короче, говоря о нашем будущем, важно запомнить главное: Принципиально-очевидные выводы, которые можно не читать Закрывая тему, давайте кратко подытожим и осмыслим всё сказанное ранее в двух частях. * Техногики ошибаются, сильно недооценивая государство им противостоящее. Как правило, они видят в качестве оппонентов неких низкоквалифицированных «студентов ПТУ-шников», которые пытаются на коленке «изобретать велосипеды» (вероятно, рядовые чиновники и производят такое отчасти лоховатое впечатление). И хотя в отношении некоторых небольших государств это верно, ведущие мировые державы могут позволить себе нанимать чрезвычайно квалифицированных сотрудников, предлагая им пиковые зарплаты на рынке. Даже глобальным именитым фирмам потенциально сложно конкурировать в этих вопросах с «федералами» по степени своей привлекательности, если они действительно захотят сделать кому-то оффер. Поэтому мой совет: не стоит недооценивать этих людей, если перед ними будет поставлена задача «быстро сделать вам проблему». * Техногики допускают довольно обидный промах, полагая, что если они с помощью сильной криптографии обеспечат анонимность содержимого своего трафика, то, якобы, это само по себе гарантирует их безопасность. Как я уже объяснял в первой части — нужно быть проще. Например, если тот же VPN будет юридически запрещён, то вовсе не нужно как-то расшифровывать этот защищённый трафик чтобы уличить кого-то в распространении «запрещённой информации» (sic!) — сам факт использования VPN/Tor будет незаконным со всеми вытекающими отсюда уголовными последствиями. А детектирование использования этих сервисов конкретным абонентом ISP — по нынешним временам дело и вовсе плёвое. * Да, любые «общественно-мотивированные» и благовидные причины блокировки будут использоваться в том числе для ограничения свободы слова. Проще пояснить это на примере: сначала Великобритания запретила онлайн-порнографию, а буквально через месяц начала массовую блокировку зарубежных VPN-сервисов под предлогом «их использования подростками для незаконного доступа к порнографии». Власти Австралии также собираются последовать примеру Туманного Альбиона в самое ближайшее время. * Повторю главный тезис, озвученный ещё в первой части: нет, техногикам не поможет их техно-крипто-пиринг магия, если государство проявит политическую волю и действительно захочет положить конец интернет-вольнице. К сожалению, инициатива и право «последнего слова» в этом вопросе принадлежит вовсе не интернет-населению Рунета (ба, сколько напускного удивления: петиция об отмене 187—ФЗ недавно набравшая 100 тыс. голосов — полностью проигнорирована властями, — кто бы мог подумать, да?), а регуляторам территорий (клан «siloviki», см. Теорию Операторов), на которой они физически восседают. * Решение этой и других проблем лежит не в ещё большей инкапсуляции и децентрализации в рамках сети (создание нового Super-Mega-Obfsproxy), не в ещё более глубоком погружении в виртуальность, но за пределами самого интернета. Логичная попытка государств устранить нынешний диссонанс, — когда в риале рот раскрыть без последствий невозможно («больше трёх не собираться»), а в сети местной «мерзкий госдеповский аноним» своей мыслью крамольной и античиновничьей тысячные аудитории поливает, — уже начата и, безусловно, вполне осуществима. Не нужно бороться с тупиковыми сетевыми следствиями, когда есть «риалные» причины происходящего, господа техногики. Попытки же культивирования бессмысленной по своей сути, на каждом очередном витке, «гонки вооружений», для лобового столкновения с интересами государства — не только контрпродуктивны, но и обречены на поражение. Они также противоположны тому единственному пути во вне, который я лично назвал бы как «Вектор Навального» — то есть девиртуализация и выход из сети в риал, для активного участия в политике и общественной жизни нашей многострадальной и отчасти уже фантомной Родины. К сожалению, есть вероятность, что поезд этот уже давно ушёл... http://i7.pixs.ru/storage/4/1/2/blogerator_1771142_10772412.png ... и, в результате «этого развития», совершенно согласен с опасениями главы Google Russia ... http://i7.pixs.ru/storage/4/2/2/blogerator_2787218_10772422.png
полная версия страницы