Обновить

Интернет-цензура и обход блокировок: не время расслабляться

Время на прочтение 10 мин
Количество просмотров 128K

Статья опубликована под лицензией Creative Commons BY-NC-SA.

Disclaimer: практически всё, описанное в статье, не является чем-то принципиально новым или инновационным - оно давно известно и придумано, используется в разных странах мира, реализовано в коде и описано в научных и технических публикациях, поэтому никакого ящика Пандоры я не открываю.

Нередко на Хабре в темах, посвященных блокировкам ресурсов, встречаются забавные заявления вида "Я настроил TLS-VPN, теперь будут смотреть что хочу и цензоры мой VPN не заблокируют", "Я использую SSH-туннель, значит все ок, не забанят же они весь SSH целиком", и подобное. Что ж, давайте проанализируем опыт других стран и подумаем, как же оно может быть на самом деле.

Нейрокартинка для отвлечения внимания
Нейрокартинка для отвлечения внимания

0

Итак, допустим мы купили у какого-то сервиса, или, как подкованные пользователи, установили в личном облаке/VPS и настроили VPN-сервер для себя. Допустим, это популярные WireGuard или OpenVPN. Знаете что? WireGuard - это такой прекрасный протокол, который всеми своими пакетами просто кричит "Смотрите все, смотрите, я - VPN". И это, в принципе, не удивительно, потому что авторы на сайте проекта прямым текстом пишут, что обфускация не входила и не будет входить в их цели и планы.

Соответственно, на оборудовании DPI (оно же ТСПУ) при небольшом желании протокол WireGuard выявляется и блокируется на раз-два. IPSec/L2TP - аналогично. С OpenVPN то же самое - это, наверное, вообще самый первый протокол, который китайцы научились выявлять и банить на своем "великом китайском фаерволе" (GFW). We are fucked.

1

Окей, допустим мы сделали выводы, и вместо совсем уж палевных протоколов решили использовать TLS-VPN, такие как SSTP, AnyConnect/OpenConnect или SoftEther - трафик в них ходит внутри TLS, начальная установка соединения производится по HTTP - что должно быть совсем никак неотличимо от обычного подключения к любому обычному сайту. Ну, как сказать...

В случае с MS SSTP цензоры, желая выяснить, а чем же вы таким занимаетесь, просто сделают запрос на ваш сервер с URL /sra_{BA195980-CD49-458b-9E23-C84EE0ADCD75}/ c HTTP-методом SSTP_DUPLEX_POST, как это описано в стандарте протокола, и сервер радостно подтвердит в ответ, что он - да, действительно MS SSTP VPN.

SoftetherVPN в ответ на GET-запрос с путем /vpnsvc/connect.cgi, типом application/octet-stream и пэйлоадом 'VPNCONNECT' выдаст в ответ 200 код и предсказуемый бинарный блоб с рассказом о том, кто он такой.

AnyConnect/OpenConnect при обращении по / или по /auth ответят очень характерной XML'кой. И от всего этого вы не избавитесь никак - это определено в протоколах, и именно через эту логику работают VPN-клиенты. We are fucked.

2

Ясно, мы будем умнее, и поскольку у нас все-таки TLS, давайте поставим перед VPN-сервером reverse-прокси (например, haproxy) и будем разруливать всё по SNI (server name identification): подключения с определенным доменом в запросе будем отправлять на VPN-сервер, а все остальные - на безобидный сайт с котиками. Можно даже попробовать спрятаться за какой-нибудь CDN - не забанят же они весь CDN, правда, и наш трафик из общего трафика ко всей CDN выцепить не смогут, да?

Правда, есть одно "но". В нынешних версиях TLS поле SNI не шифруется, соответственно цензоры легко его подсмотрят и сделают запрос именно с тем именем домена, что надо. На расширение Encrypted Client Hello (ECH), ранее известное как eSNI, можно не рассчитывать: во-первых, оно находится еще в состоянии Draft и неизвестно когда будет принято и повсеместно использоваться, а во-вторых, цензоры могут взять и просто-напросто заблокировать все соединения TLSv1.3 с ECH, как это сделали в Китае. Проблемы индейцев шерифа не волнуют. We are fucked.

3

Шутки в стороны, мы настроены решительно. Например, мы пропатчили OpenConnect-сервер, чтобы он принимал подключения только со специальным словом в URL'е (благо, AnyConnect/OpenConnect-клиенты такое позволяют), а всем остальным отдавал правдоподобную заглушку. Или настроили обязательную аутентификацию по клиентским сертификатам.

Или же мы подключаем тяжелую артиллерию от товарищей-китайцев, которые на обходе блокировок собаку съели. Shadowsocks (Outline) отпадает, ибо его версии до 2022 года уязвимы к replay-атакам и даже active probing'у, но вот V2Ray/XRay с плагином VMess и VLess поверх Websockets или gRPC, либо Trojan-GFW - это то что надо. Они работают поверх TLS, могут делить один и тот же порт с HTTPS-вебсервером, и не зная заветной секретной строчки, которую подслушать снаружи не получится, выявить наличие туннеля и подключиться к нему, казалось бы нельзя, значит все хорошо?

Давайте подумаем. Каждый TLS-клиент при подключении передает серверу определенный набор параметров: поддерживаемые версии TLS, поддерживаемые наборы шифров, поддерживаемые расширения, эллиптические кривые и их форматы. У каждой библиотеки этот набор свой, и его варианты можно анализировать. Это называется ClientHello fingerprinting. Отпечаток (fingerprint) библиотеки OpenSSL отличается от отпечатка библиотеки GnuTLS. Отпечаток TLS-библиотеки языка Go отличается от fingerprint'а браузера Firefox.

И когда с вашего адреса будут зафиксированы частые и долгие подключения к некому сайту клиентом с библиотекой GnuTLS (которая не используется ни в одном популярном браузере, но используется в VPN-клиенте OpenConnect), или с мобильного телефона через мобильного оператора подключается какой-то клиент на Go (на котором написан V2Ray), we are fucked. Такое детектирование, например, производится в Китае и в Туркменистане.

4

Ладно. Допустим, мы пересобрали наш V2Ray-клиент не со стандартной TLS-либой, а с uTLS, которая может маскироваться под популярные браузеры. Или вообще взяли исходники самого популярного браузера, выдрали оттуда весь код сетевого стека и написали свой прокси-клиент на его базе, чтобы быть совсем уже неотличимыми от обычного браузерного TLS. Или решили пойти в сторону маскировки под другие протоколы типа SSH, или взяли OpenVPN с XOR-патчем. Или какой-нибудь KCP/Hysteria с маскировкой под DTLS.

Короче говоря, допустим у нас что-то более редкое и незаметное. Казалось бы, все хорошо? Ну как сказать. Помните "пакет Яровой"? Тот самый, который требует, чтобы интернет-сервисы сохраняли все метаданные сессий, а интернет-провайдеры так вообще записывали дампы трафика своих абонентов? Многие, еще тогда смеялись - мол, ну тупые, что им дадут гигабайты зашифрованных данных, которые они все равно не расшифруют? А вот что.

Пользуетесь вы, допустим, своим туннельчиком, смотрите всякие там запрещенные сайты. А потом - клик! - и случайно заходите через свой туннель на какой-нибудь отечественный сайт или сервис, замеченный в сотрудничестве с государством - условные там VK/Mail.ru/Яндекс или еще что-нибудь. Или на каком-нибудь безобидном сайте попадается виджет, баннер или счетчик от них же. Или кто-нибудь в комментарии вбросит ссылку на какой-нибудь сайт-honeypot, косящий под новостной ресурс, и вы на нее нажмете.

И вот тут произойдет самое интересное. Что внутри TLS, что внутри SSH, что внутри OpenVPN+xor, данные передаются в зашифрованном виде, и их не расшифровать. Но вот "внешняя форма" (размеры пакетов и тайминги между ними) у зашифрованных данных точно такая же, как и у нешифрованных. Цензоры видят, что от абонента к какому-то неизвестному серверу и обратно ходит трафик, а поток со стороны какого-нибудь подконтрольного сервиса видит, что с того же IP-адреса, что у "неизвестного сервера", туда прилетают какие-то запросы и улетают ответы, и - вот интересно - размеры пакетов и временные моменты практически полностью совпадают. Что весьма характерно говорит о том, что у нас тут прокси, возможно VPN, Андрюха, по коням!

И да, если вы поступите мудрее и у вашего сервера будет два IP-адреса, один на вход, а другой на выход, то сопоставить ваш "вход" и "выход" по адресам не получится, но по "форме" переданных данных, хоть и ощутимо сложнее, но при желании по прежнему можно. We are fucked again.

5

Не так уж плохо дело. Мы настроили для своего туннеля rule-based access. А именно, будем ходить по нему только туда, куда надо, и тогда, когда надо - а во всех остальных случаях пусть пакетики бегают сразу по обычному интернет-подключению. Правда, добавлять каждый раз новый ресурс в список - тот еще геморрой, особенно когда вы держите прокси/VPN не только для себя, но и, например, для далеко живущих немолодых родителей, которые, например, хотят читать всяких там иноагентов - но это, на самом деле, мелочи, мы справимся.

Допустим, мы по-прежнему используем SSH-туннель. Правда, проработает он, скорее всего, недолго. Почему? Потому что дело во всех тех же паттернах трафика. И нет, записывать и мучительно сравнивать ничего никуда уже не надо. Паттерны трафика у ssh-as-console, ssh-as-ftp и ssh-as-proxy очень разные и элементарно выявляются довольно просто должным образом натренированной нейросетью. Поэтому китайцы и иранцы уже давно всё подобное "неправильное" использование SSH выявляют и режут скорость подключения до черепашьей, что в терминале работать вы еще сможете, а вот серфить - практически нет.

Ну или, допустим, вы все-таки используете whatever-over-TLS-туннель с учетом всего приведенного в этой статье. Но проблема в том, что все сказанное в предыдущем абзаце, применимо и к нему - а именно, TLS-inside-TLS выявляется сторонним наблюдателем с помощью эвристик и машинного обучения, которое еще можно дополнительно натренировать на наиболее популярных сайтах. We are still fucked.

6

Ладно. Мы добавили в наш тайный туннель random padding - "дописывание" в конец пакета какого-нибудь мусора случайно длины, чтобы сбить с толку наблюдателей. Или специально бьём пакеты на маленькие кусочки (и получаем проблемы с MTU, ой, придется потом старательно пересобирать). Или, наоборот, когда у нас внутри туннеля устанавливается TLS-соединение с каким-нибудь сервером, мы начинаем слать эти пакеты as-is без дополнительного слоя шифрования, таким образом выглядя со стороны на сто процентов как обычный TLS без двойного дна (правда, придется еще потратить несколько итераций на доведение протокола до ума и затыкание очень тонких и очень неочевидных уязвимостей реализации). Казалось бы, happy end, we are not fucked anymore?

А тут начинается все самое интересное. А именно, рано или поздно в вопросах выявления туннелей и блокировок, особенно с развитием технологий их обхода (в конце концов, мы ещё не затронули стеганографию и много других интересных вещей), начинает расти то, что называется collateral damage - ущерб, возникший случайно в ходе атаки намеренной цели. Например, как говорят инсайдеры и подтверждают сводки с полей, то самое упомянутое выше выявление tls-inside-tls даже с random padding'ом китайцы научились выявлять примерно с точностью 40%. Понятно дело, что при такой точности возможны также ложные срабатывания, но когда проблемы индейцев волновали шерифа?

Протоколы, которые снаружи не похожи ни на что (например, shadowsocks obfs4, и т.д.) тоже при большом желании можно выявить по... статистике нулей и единичек в байтах, потому что у зашифрованного трафика это соотношение очень близко к 1:1 - хотя, понятное дело, при этом могут пострадать невиновные. Можно банить адреса, когда висят слишком много или слишком долго подключения к не-являющимися-очень-популярными-сайтам. Подобных вариантов довольно много, и если вы думаете, что цензоров остановят ложноположительные срабатывания и ущерб от блокировок добропорядочных сайтов - то вы заблуждаетесь.

Когда Роскомнадзор пытался заблокировать Telegram, они вносили в бан-лист целые подсети и хостинги, таким образом побанив кучу ни в чем невиновных сайтов и сервисов - и им за это ничего не было. В Иране, в связи с популярностью упомянутого выше похожего-на-браузер-прокси-клиента, цензоры вообще тупо запретили подключения с Chrome TLS fingerprint к популярным облачным сервисам. В Китае массово попадают под раздачу CDN, услугами которых пользуются безобидные и невиновные сайты и сервисы. В Туркменистане так вообще заблокирована почти треть (!) всех существующих в мире IP-адресов и подсетей, потому что стоит цензорам только выявить хотя бы один VPN или прокси, как в бан отправляется целый диапазон адресов около него или даже вся AS.

Вы, наверное, можете спросить, а что же делать юрлицам, которые тоже пользуются VPN для работы, или чьи сервисы могут случайно попасть под раздачу? Этот вопрос легко решается белыми списками: если юрлицу нужен VPN-сервер, или нужно обезопасить от случайной блокировки какие-либо свои сервисы, то стоит обязать их заранее сообщать о нужных адресах и протоколах в соответствующие ведомства, чтобы те добавили их в какой надо список - именно такие запросы Роскомнадзор через ЦБ рассылал в банки, задумывая что-то нехорошее, и механизм таких списков уже существует.

Ну и, естественно, вполне вытекающим продолжением из этого будет "все что не разрешено - то запрещено". Закон о запрете VPN и анонимайзеров в целях обхода блокировок в РФ уже есть. Запрет использования несертифицированных средств шифрования - тоже. Подкрутить и расширить их зоны применения и многократно ужесточить наказания за такие "нарушения" - дело несложное. В Китае вежливые ребята пришли в гости к разработчикам небезизвестных ShadowSocks и GoAgent и сделали им предложения, от которых те никак не смогли отказаться. В Иране есть случаи возбуждения дел в связи с использованием VPN для доступа к запрещенным сайтам. Механизм стукачества в органы на неблагонадежных соседей был отлично отработан еще в прошлом веке в СССР. У государств есть монополия на насилие, не забывайте. We are fucked again?

4294967295

К чему это всё?

Как я уже сказал, большая часть того, что описано в статье, не является выдумками или голой теорией - оно давно известно, используется в некоторых странах мира, реализовано в коде и даже описано в научных публикациях.

Обход блокировок - это постоянная борьба щита и меча, и одновременно игра в кошки-мышки: иногда ты ешь медведя, иногда медведь ест тебя иногда ты догоняющий, иногда догоняемый.

Если у вас сейчас есть прокси или VPN, и он работает - не расслабляйтесь: вы всего-лишь на полшага впереди недоброжелателей. Можно, конечно, спокойно сидеть и думать "Да они там все дураки и криворукие обезьяны и ниасилят ничего сложного и реально работающего", но, как говорится, надейся на лучшее, а готовься к худшему. Всегда есть смысл изучить опыт тех же китайских коллег и присмотреться к более сложновыявляемым и более цензуроустойчивым разработкам. На чем больше шагов вы будете впереди цензоров, тем больше времени у вас будет в запасе чтобы адаптироваться к изменившейся ситуации. Если вы разработчик и разбираетесь в сетевых протоколах и технологиях - можно присоединиться к одному из существующих проектов, помочь с разработкой и подумать над новыми идеями. Люди всего мира скажут вам спасибо.

Интересными и полезными в этом плане будут Net4People, No Thought is a Crime, дискуссии в проекте XTLS (там большая часть на китайском, но автопереводчик на английский справляется неплохо), GFW report. Если кто-то знает ещё хорошие ресурсы и сообщества по этой теме - напишите в комментарии

Ну и не стоит забывать, что рано или поздно, не имея возможности противостоять подобному свободолюбию технически, государство может начать противостоять административно (та самая монополия на насилие), причем так, что с вашей стороны, в свою очередь, технически противостоять может уже не получиться. Но это уже совсем другая история, требующая отдельной статьи, и, скорее всего, на другом ресурсе.

Когда я писал эту публикацию, я хотел вставить в нее картинки из какого-нибудь мрачного киберпанк-фильма, где в результате развития технологиий слежения и цензуры и невозможности противостоять этому, люди целиком и полностью стали подконтрольны государствам и потеряли все права на свободу мысли и приватность личной жизни. Но я надеюсь, до этого не дойдет. Все в наших руках.

Теги:
Хабы:
Всего голосов 329: ↑324 и ↓5 +319
Комментарии 515
+515
Закрыть

Редакторский дайджест

Присылаем лучшие статьи раз в месяц

Комментарии 515

info

Материал мог вызвать противоречивые чувства. Будьте критичны к любой публикуемой информации. Перед написанием комментария вспомните правила сообщества.

Как писать и что делать
  • Не пишите оскорбительные комментарии и не переходите на личности.
  • Воздержитесь от нецензурной лексики и токсичного поведения, даже в завуалированной форме.
  • Чтобы сообщить о комментариях, нарушающих правила сайта, нажмите кнопку «Пожаловаться» или заполните форму обратной связи.
Полезные ссылки: кодекс авторов Хабра, хабраэтикет, полная версия правил сайта.
Что делать, если: минусуют карму, заблокировали аккаунт.
Закрепленные Закреплённые комментарии
Вы указали сайт tlsfingerprint.io, можете эту ссылку вынести под, что-то типо «Проверьте свой отпечаток», чтобы обогащать базу отпечатков. В статье много отсылок, ссылка не выделяется. Спасибо.

Это Вы погорячились дешевый и легкий вариант уже давно существует. Посмотрите browserless docker давно выложены контейнеры с Хромом, которые не плохо работают на совсем дешевых VPN. Их использую немаленькие корпорации для повышения инфобезопасности при работе в интернете. Плюс дополнительная фишка после выхода из контейнера он возвращается к исходному состоянию. Плюс можно оплатить и пользоваться уже установленными контейнерами браузерами в облаке.

Cвежий проект https://github.com/fathyb/carbonyl
Хромиум рендерящий в терминал, ну те паттерн тоже можно угадать, но хоть какой-то баланс между удобством использования браузера, объемом трафика и использованием обычного SSH.
Пока придется собирать патченный хромиум из исходников, скоро обещают бинарники.

как говорится, надейся на лучшее, а готовься к худшему

Вот да. Меня всегда удивлял оголтелый оптимизм представителей сообщества, которые заявляют, мол, "да у них жопа вместо мозгов" и "все это распил" и продолжают недооценивать своего "противника". Ну вот неправильно так думать! Майндсет вида "хочешь мира - готовься к войне" здесь лучше подходит.

Один популярный в телеграм, оппозиционно-айтишный персонаж, в течении нескольких лет говорил буквально:
"Да они же тупые, они же обломаются, а то что не обломаются - разворуют!"
А когда блокировочки (с) начали успешно и заметно работать, спич сменился на:
"Да я же несколько лет говорил что надо бороться, всем было наплевать, вот они кибергулаг и построили!"

А когда блокировочки (с) начали успешно и заметно работать
Ну и как они «успешно и заметно работают»? Мне вот правда интересно. Расскажите

Они стали шейпить трафик по протоколам?
Гасят ShadowSocks, WireGuard, OpenVPN, SSH?
Ограничивают скорость шифрованных каналов из-за границы?
Что из этого перестало работать?

Отвечу сам — ничего не перестало
.
Лично проверял. В данный и конкретный момент проверяю — я вообще не выключаю на смарте WG со своего VPS, потому что нашел сборку, которая еще и рекламу режет через PiHole

Что касается «они же тупые» — одно слово: «localhost»
Кто знает — тот понимает

Потому, все выше перечисленное: «тупые, денег нет, что дадут — разворуют» — все это актуально и спустя десятилетие после начала блокировок. Побомбили Телеграм и обломались, натупили с локалхостом, сертификатами и прочим. Хило-бедно, время от времени угрожающе размахивают банхаммером, а в итоге — заблочат пару айпишников у пары популярных сервисов и через пару дней все по прежнему.

Дело в том, что китайский Золотой щит стоит совершенно ДОХЕРА бабла, они туда олимпиарды денег вкладывают, целый город живых людей занимается этими блокировками. Даже если поделить пропорционально по количеству людей — в России столько денег на это никто не даст. А что дадут — распилят. Забыли, как трехкопеечные китайские свичи с опенврт принудительно подсовывали провайдерам за кучу денег, под видом вундервафли, лучшей отечественной разработки?

Потому, спустя 10 лет, могу сказать — все это как было туфтой, так и осталось.
Теоретически — возможностей дофига. Не надо было, в целой статье, пересказывать технологии работы китайского Золотого щита. Все это и так известно. Но где все это у нас применяется? Я поднимал свои серверы, пользовался бесплатными прогами, пробовал бесплатные периоды у платных прог — все нормально работает. Не было у меня, за все эти 10 лет, какой-то нерешаемой проблемы. Самое «страшное» — пару раз поменял впс-провайдера

И дальше все будет точно также
Потому что — тупые, нет денег (особенно сейчас), а если дадут — то разворуют

Если у вас сейчас есть прокси или VPN, и он работает — не расслабляйтесь: вы всего-лишь на полшага впереди недоброжелателей
На какие полшага?
Как 10 лет назад я поднимаю свой ВПС с банальнейшим ОпенВПН — так и сейчас. Ничего не поменялось, никакого прогресса нет.

Я не заморачиваюсь обфускацией трафика, не заворачиваю его в ССЛ, не подсовываю сайты для коннекшн проуб — ничего вообще. Разве что, время от времени, меняю протоколы, чисто от скуки — что-то новое попробовать. Сейчас на ВГ, какое-то время сидел на ШС, прокидывал даже ССШ, на случай «а вдруг». Не понадобилось, никаких «а вдруг».

Помните «пакет Яровой»?
Помним
А еще помним, что во всем мире нет столько хардов, чтобы хранить весь отечественный трафик

Хотите сказать ТСПУ:
1) не установлен у всех провайдеров
2) не управляется централизованно
3) не работает
?

А всё остальное дело опыта. Не суть важно сколько разворуют, если у государства есть мотивация - бабла будет влито столько, что бы успешно решить задачу тем что не разворовывается.

Я перечислил все способы, какие пробовал за 10 лет. Никогда, ни один из них, не давал каких-то серьезных сбоев. Я читал инет, слушал других людей, из разных городов, задавал вопросы, сам ездил по разным городам, в пределах 2к по трассе от Мск.

За 10 лет я никаких признаков прогресса не заметил
Выводы делайте сами

Бабло, в нужном количестве влито не будет. Никогда

Может быть просто никто всерьез ничего не блокирует и не собирался? В конце концов, любые ограничения для законопослушных людей. Им сказали, что нельзя, они и не пользуются.

Законы здесь принимаются не для того, чтобы их соблюдение защищало людей от мошенников и других неприятностей

А для того, чтобы не было «не нарушивших»

вы это всё делали, потому что власти ещё всерьёз не начинали. но есть пример близкого Туркменистана, там начали и любой вам скажет, что может интернет там и работает и блокировки всё равно обходятся, но скорость при этом ооочень низкая.

Да, мы тут уже почти год слышим «Они просто еще всерьез не начинали».

А Туркменистан — маленькая страна, с населением как половина Мск, да и трафик туда, почти весь, из России идет, уже отфильтрованный.

да и трафик туда, почти весь, из России идет, уже отфильтрованный.

ну т.е. вы своими словами подтвердили мою правоту, что России вполне по силам правильно настроить фаервол, в соответствии с самыми высокими стандартами блокировки :)

У вас какая-то альтернативная реальность искажает написанное другими людьми?

Я сказал — что Туркменистан маленькая страна, в которую трафик и так идет частично фильтрованный Россией. Какое-то когнитивное искажение заменило фразу на «Россия маленькая страна в которую идет частично фильтрованный трафик»?

И я не сказал, что на это не хватит сил, я сказал — что на это не хватит денег. Хотя, это не сравнится с заявлением «за три дня» и потом год не могут это сделать

не первый раз с вами тут сталкиваюсь и вы меня удивляете снова и снова :))

да и трафик туда, почти весь, из России идет, уже отфильтрованный.

Я сказал — что Туркменистан маленькая страна, в которую трафик и так идет частично фильтрованный Россией.

если по-вашему это 2 равноценных высказывания, то вам надо править механизмы коммуникации.

на это не хватит денег.

я конечно не знаю сколько там сейчас по газу и нефти, раньше говорят было по миллиарду в сутки, похоже даже прибыли, но деньги на это найдутся, не сомневайтесь. Туркменистан же нашёл, а там народ в золоте не купается, хоть газа тоже много. В крайнем случаи будут резче обрезать и терроризировать всех, кто пытается обходить. Например посмотрят, что с вашего домашнего адреса есть попытка достучаться туда, куда не надо, приедет к вам спецназ, дверь вынесет, технику изымут. 10 таких случаев на хабре наберётся и сильно продвинутые сами перестанут дёргаться. В Беларуси например так задерживают всех, кто оставляет плохие комментарии в интернете. Закон примут, если что, не волнуйтесь.

Кстати есть ещё момент, текст сегодня люди читают не охотно (и на него не так эмоционально откликаются), а если подрезать ютуб, рекламу на нём и донаты, то политики по сути и не останется в инфо пространстве. даже если вы как продвинутый соберёте на балконе старлинк из кастрюли и утюга, то вполне вероятно, что окажетесь единственным активным зрителем умирающего ютуб канала.

1
Туркменистан — маленькая страна
2
Туркменистан маленькая страна


1
трафик туда, почти весь, из России идет, уже отфильтрованный
2
трафик и так идет частично фильтрованный Россией


Да — это равноценные высказывания, абсолютно. Если вам кажется — что не равноценные, то с альтернативной логикой я спорить не буду, смысла нет

"почти весь отфильтрованный" и "частично фильтрованный" это абслютно не равнозначные высказывания. похожи лишь отчасти, равнозначными их не назвать.

статья о том что надо быть готовым, там же так и написано, а не о том делается или не делается. очень многие забыли каким интернет был лет 10 иои 15 назад. на моей памяти, для меня, блокировки начались с рутрекера, сего дня мы всерьëз думаем о вероятной блокировки ютуба. и то что его не заблокировали, тут видимо есть не совсем очевидная причина. эта причина точно "не потому что не могут". меня всегда удивляли такие оптимисты которые не сравнивают ситуацию сейчас и с 10-летней давностью.

Почти — значит «не полностью». Частично — значит «не полностью»

Я не просто сравниваю, я анализирую — как ситуация менялась
Так вот — изменения едва заметные. А для заметных изменений, для внедрения всего перечисленного — надо очень много денег и не украсть их всех, отделавшись китайским нонеймом с новой прошивкой — а отдать архитекторам и кодерам. Причем — очень грамотным.

Но с деньгами и грамотными программистами сейчас очень туго, а воры остались

Вот и все

Я бы на примеры Беларуси не надеялся, во первых там спецназу уже прилетало картечи в пузо. Будет очень популярен кайтинг (спровоцировать парней, но при этом не находится физически в месте действия). Если понятнее - honeypot. Парни садятся по коням с фразой "возможно VPN", прилетают на квартиру кулибина - но вместо техники которую им так хотелось изъять, находят двухсотлитровую бочку аммонита. И радиоприёмник, подключенный к детонатору.

Во-вторых, неровен час что весь "спецназ" перебьют, не такой уж он специальный на поверку оказался, как хвастается.

Они стали шейпить трафик по протоколам?

Гасят ShadowSocks, WireGuard, OpenVPN, SSH?

тут вопрос скорее, а надо ли им это делать? Большая часть ресурсов блочится по принципу "кому-то сверху что-то не понравилось". И туда через все эти протоколы ходят три с половиной анонимуса.
Вторая проблема - доставка поддержки пробинга в этих их "устройства на палках", чтобы проверять, что оно по этим протоколам не ходит куда запретили. Но тут сесурити через роспил.

Даже не стоит вопроса «надо или нет»". Потому что, по уму — конечно им все это надо. Иначе зачем они нужны?

А вот будет ли все это детектироваться и шейпиться? Пока я ни о чем подобном не слышал

Слышал, что в Питере были проблемы с доступами через те OpenVPN и Wireguard. Доподлинно всей истории не помню, но возможность блокировок как минимум есть. Нога конечно тоже будет с дыркой, но тут вопрос именно необходимости делать что-то такое. Если сайты блочить можно за цп/мятжи/фейки, то целесообразности жечь электричество на такое уже заметно меньше, с учётом дырявой ноги, конечно же.

Истории всякие есть, что-то отвалилось, роскомпозору вставили — «привалилось» обратно. Всегда так было, они вечно что-то ломают

несколько раз за год отваливался ipsec. В пределах россии*.
Один раз успел задебажить. UDP 500 долетали только в одну сторону.
*одна из сторон в некоторых базах числился как французский IP.

Ростовская область. На время учений о суверенном интернете (к слову и пару раз после) OpenVPN не подавал признаки жизни при подключении через Мегафон / YOTA. При этом через проводной интернет все работало.

И туда через все эти протоколы ходят три с половиной анонимуса.

Что-то незаметно, что рутрекер сорниками зарос.

Если примут "Белые списки" на территории всей страны, я думаю вам будет сложно (невозможно) обходить это. А про проблемы индейцев ТС уже написал.

Когда дойдет до белых списков — цензура в инете будет далеко не самой приоритетной проблемой

Другое дело в том, что они поломают белыми списками половину рунета. Причем, не развлеательного, типа ютуба, а служебного: логистика магазинов и складов, банкинг, авиаперевозки, ржд — все это делается не за 5 минут по указанию «А ну перечислите нам сайты, которые не блокировать!»

Сделать все по уму и правильно — они тупо не смогут, ибо локалхост

А ну перечислите нам сайты, которые не блокировать!

К сожалению не всегда. Когда в одном из регионов тестировали ТСПУ много у кого поотваливались корпоративные OpenVPN поднятые для связи с филиалами.

Так я о том и говорю, что будет сломано очень многое, как бы они не старались
Поломают, потом в течение нескольких месяцев будут чинить, не впервые такое. Вон PlayStation Network не работал несколько месяцев после блокировок телеграма. Миллионы игроков поныли, да сами стали искать решения.
Еще раз. Я говорил не про условные ютубы, а про структуры критичные для государства и бизнеса
Если касса отвалится в пятёрочке, мне кажется, государство скажет «сами дураки, настроили своих VPN-ов, сами и решайте проблему, например вот VPN от РосТелекома, недорого».
А если перепутаются самолеты в аэропорту?

Мне кажется, первым делом — вылетит какой-то критичный сервис у сберкассы. Просто потому что
первым делом — вылетит какой-то критичный сервис у сберкассы
Это вообще не проблема. Скажут: приходите завтра.
А если перепутаются самолеты в аэропорту?
Не представляю даже теоретически такой сценарий. Не вылететь — могут. Перепутаться — нет.
Еще раз, я не про всякие проблемы, касающиеся частных граждан
Это всё решается постепенным вводом ограничений. Ну, подумаешь, в Воронеже все Камазы отвалились от «Платона». Не по всей стране же, да и починили быстро, за 2 дня. Зато «Платона» внесут в белые списки…
Сберкасса будет ломаться сразу вся ))
Но и поднять её «сразу всю» можно будет за полчаса, добавлением одного правила в белый список.

Иронично, но x5 почти везде использует vpn от Ростелекома

Там скорее всего другой принцип устройства VPN - не подключение к VPN-серверу поверх обычного интернета, а выделение им отдельных VLAN'ов в ростелекомовских сетях и маршрутизация между ними. Поэтому все описанное в статье работу им никак не сломает.

Они не моргнув глазом поломали нефтегаз. Думаешь, они испугаются поломать половину рунета? Крупные банки и торговые сети внесут в белые списки, а на мелкие фирмочки им плевать.

Ну, значит — ждем белых списков
В конце концов — ни «я интересуюсь политикой», ни «я сам себе ВПН» — против этого ничем не поможет.
Они стали шейпить трафик по протоколам?
Да, например, режут весь HTTP/3 (QUIC) трафик на зарубежные направления.
Неожиданно
А какой город и провайдер? Может они в него просто не умеют и боятся? Как это можно помацать? Достаточно просто зайти на сайт гугли из последнего хрома?
Провайдер ДОМ.РУ, оба прогона успешны на 100% (3000/3000).
А на cloudflare-quic.com?

У меня (дом.ру, Тверь) стабильно скатывается в HTTP/2. Только через zapret удавалось пробивать DPI и тогда я видел заветный HTTP/3.

Провайдер ДОМ.РУ, оба прогона успешны на 100% (3000/3000).

Не все провайдеры еще с ТСПУ, а где есть (дом.ру), часто бывает балансировка нагрузки, где не все пути оборудованы ТСПУ.
По моему они просто ниасиливают — что это и зачем. Новый, экспериментальный протокол, в стандартах еще нет, провайдеры просто не знают, что с ним делать. Это, скорее, некомпетентность, а не запрет
Вроде там обычные UDP-пакеты. Если ничего специально не осиливать, они будут проходить, как любые другие UDP

Может они просто торренты режут?

А зачем с ним что-то делать? Протоколов тысячи, и провайдеры не должны знать, что делать с каждым из них. Бегает - не трогай. К тому же в качестве транспорта там самый обычный и всем привычный UDP.

Так что причина проще - из QUIC by design гораздо сложнее вытащить SNI и узнать, на какой именно сайт внутри CDN лезет юзер. Поэтому, как и в случае с ECH, просто режут нафиг и все, не разбираясь.

Несколько дней назад записал трафик QUIC, чтобы вообще ознакомиться с ним, что это такое и из каких пакетов состоит.

Результат - это "почти" обычный HTTPS/TLS внутри UDP.
Хост из TLS соединения в Wireshark-gtk читается хорошо.

Так что вопрос идентификации QUIC в железе провайдера - вопрос времени выпуска новой прошивки и обновления этого оборудования этой новой прошивкой.

Для тех, кто пишет эту прошивку - скорее это обычная работа, не более.

Не совсем обычный. Там всё-таки SNI в первом пакете хитренько спрятан. Да, выцепить его при большом желании можно, но ещё в прошлом году из используемых в России DPI-систем это не мог делать почти никто.

Значит кто то или зря получает зарплату или не могут найти специалистов кто бы это сделал. Там всё по RFC, прочитал - написал код.
Странно конечно, что DPI оборудование до сих пор не знает QUIC.

Это почти тоже самое, что сказать - наш браузер не поддерживает TLS.

Да можно и не анализировать. Запретить 443 порт и все.

Мне таки хотелось бы получить ответ на свой вопрос выше:
«Ну и как они «успешно и заметно работают»? Мне вот правда интересно. Расскажите»
А на cloudflare-quic.com?
Пишет «When loading this page from Cloudflare's edge network, your browser used HTTP/2»
Действительно, блокируют
curl.exe --http3 https://cloudflare-quic.com/
curl: (55) ngtcp2_conn_handle_expiry returned error: ERR_HANDSHAKE_TIMEOUT


Непонятно, почему quic.nginx.org показывает положительный результат.

Тренируются. Нужны же тестовые сайты для проверки работы блокировок.

Я прогнал раз 5, прежде чем 0% получилось.

хз какой провайдер, с рабочего компа 2 раза прошло.

Провайдер Мегафон (подземка мск), сделал 10 прогонов, успешны на 100% (3000/3000).

Может в самом тесте от nginx какой-то рейтлимит?

У меня как через провайдера с ТСПУ (МГТС), так и через VPN полтора прогона идёт QUIC и дальше пропадает пока не открою новое окно браузера в порнорежиме. Плюс AdGuard его режет в 100% случаев.

Вот тест от Cloudflare всегда проходит через VPN и не проходит через ТСПУ.

полтора прогона идёт QUIC и дальше пропадает

Браузер получает отлуп от ТСПУ и запоминает это. Банальная оптимизация: если оно не работает, то запоминаем, что тут какие-то проблемы, даунгрейдимся до HTTP/2 и какое-то время используем его, чтобы не замедлять сёрфинг постоянными попытками заюзають нерабочий HTTP/3 с последующим даунгрейдом.

пока не открою новое окно браузера в порнорежиме

В приватном режиме кэши (и всё прочее) отдельные, и сбрасываются после закрытия окна.

Плюс всё это умножается на различия имплементации QUIC в браузерах и на различия в том, как браузеры реагируют на ошибки.

Через VPN тест от nginx ведёт себя аналогично, то есть дело не в ТСПУ. Либо он научился портить QUIC внутри wg-туннеля, что маловероятно.

Хм.. Странный тест, как минимум он сильно браузерозависим - у меня в FF практически все прогоны успешны, включая и повторные (проверял коннект через своего провайдера, через ProtonVPN, через личный VPN - везде одинаково), а в Chrome с 2-3 раза полностью переключается на HTTP.

Wireguard вполне себе успешно блокируют. Во время выборов был момент, долго не работал. Я не мог понять в чём дело, оказалось заблокирован сам протокол. Думаю они большую часть описанного в статье умеют, просто пока не внедряют.

Я последний год на WG — «ни одного разрыва»
Понятно, что личный опыт в статистике не много весит, но все это эпизодически и не везде

Если они 10 лет все это «давно умели — но не применяли», я сорее соглашусь с тем — что ничего они не умеют

Просто вспомним — локалхост

WireGuard резался в ноль Йотой и МФ (СЗ).

Йота вапще поганая контора. Одно время они взяли моду — шейпить весь шифрованный трафик, типа «А мы вас знаем! Вы торренты через ВПН качаете на нашем безлимите!». После такого закидона от йоты ушли разом все, кто админил через ssh или просто работал удаленно через vpn — одним днем.

Они испугались и перестали резать трафик, но было уже поздно

Когда-то совсем давно можно было выпросить реальный IP для работы VPN, потом прямо на Хабре хвастались своим DPI для шейпинга торрентов, а дальше окончательно себя дискредитировали попав в новости по другому поводу.

Сейчас пытался решить проблему голосовых/видео мессенджеров в ОАЭ, Дубай и полный облом - если их оператор "видит" голос/видео, то банит, если прикрыть VPN то скорость падает в сотни раз и даже голос булькает. Даже speedtest показывает без VPN 150 мегабит и с VPN 1-2 мегабита, "рваными кусками".

Как в этом случае победить ?

Попробуйте посмотреть в сторону Hysteria - оно как раз сделано для попыток стабильно работы через очень нестабильные и ограниченные каналы. Нужно не забыть в конфиге поставить опцию obfs и задать реальную (ту, что вы наблюдаете через VPN со всеми ограничениями) скорость канала в конфиге.

Пробовали SSTP/SoftEther?

уже 3 недели openVPN гасят операторы, так, что работают люди.

Ваш комментарий плохо состарился. Несколько раз в месяц мне стабильно режут и OpenVPN, и Outline на свои сервера.

Я когда-то по работе разговаривал с людьми, ответственными за СОРМ и блокировки. Таких буратин надо ещё поискать. Пришлось помогать им настраивать их же серверы. Поэтому, да, они действительно ничего не смогут, кроме как ушатать интернет всем без разбора.

Ну и бонусом идут санкции, когда требуемое для умных блокировок оборудование и техподдержку не купить даже за деньги, а приличная часть специалистов, способных это оборудование настроить разбежалась кто куда.

Вопрос: а зачем вы вообще помогали этим "буратинам"? Сам же себе яму роете!
Такие лица должны быть нерукопожатыми. Любые их попытки создать подобные системы должны саботироваться всеми возможными способами!
Не помогайте никому из власть имущих ограничивать вашу свободу, и тогда не случится никакого цифрового гулага.

У провайдеров не осталось выбора - либо настраивашь цензорбокс, либо отзывают лицензию.

Провайдеры не трогают ТСПУ даже когда заведомо известно о неисправности и клиенты сидят без интернета.

Такие лица должны быть нерукопожатыми. Любые их попытки создать подобные системы должны саботироваться всеми возможными способами!

Вы считаетет что не нужно блокировать ресурсы с цп или какой-то терреристической тематикой?
На мой взгляд механизм блокировок необходим
Другой вопрос что его иногда странно применяют
Все же понимают что создатели механизма и те кто его используют - это разные люди
А то по этой логике можно объявить нерукопожатными икею, потому что они делают кухонные ножи, которыми наверняка кого-то когда-то убивали по пьяни (или не по пьяни)

upd: хотя щас перечитал, мы ж тут про впн, а я про блокировки в общем. Поэтому кажется мой коммент не к месту

Нет, не нужно.

Вы считаетет что не нужно блокировать ресурсы с цп или какой-то терреристической тематикой

Угу, нужно физически добираться до его владельцев, совершать с ними законные действия, добывать админ учетки и удалять сайт, а не блокировать и делать вид, что его нет.

Так-то я согласен, но как поступать, если владелец сайта находится вне юрисдикции, особенно если в той юрисдикции, где он ведет деятельность, она законна?

А как это делает FBI? И после чего вешает свою плашку на домене.

Вы про случай, когда Элбакян разделегировали домен? Так она просто переехала на другой. Как открывается sci-hub в США сейчас не знаю.

Нет, не про этот "случай", а про все другие, где они свою плашку вешают.

Пример приведите, пожалуйста, в идеале с предысторией.

Насколько я понял, разбирательство было между минюстом США и вроде бы американской компанией Tiltware LLC о нарушении законов США. Заблокированы (конфискованы) были сайты com в рамках следствия и судебного разбирательства. Одинаково понимаем?

Да полно вам делать вид, что непонимаете о чём речь, первые же ссылки в гугле, международность/плашки, сначала ловят — потом закрывают сайт, всё как положено:
https://www.businessinsider.com/fbi-silk-road-seized-arrests-2014-11
https://krebsonsecurity.com/2018/12/feds-charge-three-in-mass-seizure-of-attack-for-hire-services/

Я задал простой вопрос: что делать, если интернет-ресурс страны В вещает (но не оказывает платных услуг) в стране А, при этом вещание содержит запрещенную информацию?


Если физический товар, то все просто: применяются законы страны, где живет или находится получатель. Т.е. или покупка тормозится, или товар задерживают при доставке, или сажают покупателя. А с интернетом, тв и радио как?


Все ваши ссылки только подтверждают мои слова: или судились с гражданином США, или требовали его выдачи, при этом выдающая сторона усматривала в обвинении состав преступления. В тех случаях, когда не было коммерческой деятельности в США, просто по суду запрещали всем компаниям, зарегистрированным в США, взаимодействовать с иностранной компанией-нарушителем. Вот из дела ACS про SciHub:


On 6 November 2017, the ACS was granted a default judgment, and a permanent injunction was granted against all parties in active concert or participation with Sci-Hub that has notice of the injunction, "including any Internet search engines, web hosting and Internet service providers, domain name registrars, and domain name registries," to cease facilitating access to the service.[9][40] On 23 November 2017, four Sci-Hub domains had been rendered inactive by the court order[41] and its CloudFlare account was terminated.

В суд, как вы понимаете, представители SciHub не явились и платить ничего не намерены. И ничего им, пока не пересекут границу США, не будет. Кого тут "поймали"? Судили? Да, хорошо, что не внесудебка.

Так вам на него ответили в указанных статьях: сначала расследуют, потом арестовывают (при необходимости в других странах при содействии местных исполнительных/судебных властей), и уж только после этого вешают свою плашку.


Последовательность проста и логична когда цель правосудие, но в РФ цель — цензура, а не правосудие, потому властям расследовать и судить никого не надо, достаточно надеть шоры на ширнармассы и делать вид что вместе с заблокированными сайтами исчезли их владельцы.


Да, вижу, вам охота именно дело со скайхаб обсудить, только оно тут ни причём, там нет террористов/цп/наркоты, так что не надо его опять подсовывать в разговор и разводить "аналогии".

сначала расследуют, потом арестовывают (при необходимости в других странах при содействии местных исполнительных/судебных властей), и уж только после этого вешают свою плашку.

С таким подходом я согласен. Просто ближе к началу треда вы сделали очень сильное высказывание "блокировки не нужны". Ну вот они, блокировки, пусть и по суду. При этом людей не всегда "блокируют", потому как вне юрисдикции.


Сцихабом я пользуюсь, а оружие и наркоту не покупаю. Не, можем обсудить ещё цп в Австралии, я про нее хоть что-то слышал, там почти такой же бред, как у нас. Или засаммонить Дедфуда, чтобы он нам рассказал про непопулярные новости в США :)

При этом людей не всегда "блокируют", потому как вне юрисдикции.

сначала расследуют, потом арестовывают <...> и уж только после этого вешают свою плашку.

Что из этого верно?

Расследуют, судят, вешают плашку, [по возможности] арестовывают.

Мрачновато конечно...(

Ну это я так, немного нагнетаю. В случае с РФ мне всё-таки кажется более вероятным вариант "исполнители - криворукие обезьяны, и ничего путного у них не выйдет". Хотя, как уже не раз сказано, расслабляться все равно не стоит.

А вот за тем, что происходит в Китае, Иране и Туркменистане с блокировками, наблюдать очень интересно. К счастью, есть возможность делать это на расстоянии.

В случае с РФ мне всё-таки кажется более вероятным вариант «исполнители — криворукие обезьяны, и ничего путного у них не выйдет»
Мне так казалось (включая ещё «да попутно и большую часть денег распилят») до того момента, как ТСПУ научились блокировать трафик по паттернам.

После этого перестало быть смешно.

Весной очень много было разговоров про чебурнет, а год спустя вот даже Ютуб работает, а в телеграмме вообще можно найти все что угодно, чего там говорить про VPN.

Наверное, там есть какие-то фундаментальные ограничения, ведь ситуация такая, что можно все что угодно забанить и ничего за это не будет. Но видимо не все так просто.

Ограничения - коррупция и низкая квалификация исполнителей :)

А вот их китайские, иранские и туркменские коллеги гораздо более успешны в своих грязных делах.

А вот их китайские, иранские и туркменские коллеги гораздо более успешны в своих грязных делах.

И тем не менее, даже они не заблокировали все. Потому что все эти решения имеют свою цену – их производство стоит денег, а сами они они жрут электричество. И чем глубже мы хотим анализировать трафик, тем дороже это стоит.

не заблокировали все

Если не считать что у интерентов имени Туркмен-баши просто половина сетей в бане, как это было при блокировках телеграма, только в больших масштабах, то да, можно сказать что не всё заблокировали.

Если не считать что у интерентов имени Туркмен-баши просто половина сетей в бане

Ну бан подсетями это простой дешевый и максимально эффективный тип блокировок. Эффективнее только просто физически отключиться от глобальных линков, как в КНДР. В некоторых странах так вообще периодически просто обрубают всю сеть, впрочем, если дойдет до такого, то отсутствие интернета будет уже не самой большой проблемой. Но в статье все-таки говорится о более продвинутых, прицельных и соответственно затратных способах блокировок.

Хочется верить, что подобный сценарий, физическое отключение от интернета, можно будет обойти, используя спутниковый интернет, но похоже, никто не будет связываться с физиками

НЛО прилетело и опубликовало эту надпись здесь

Если у Ирана и Туркменистана получается, почему у РФ не получится? Ресурсов у РФ для этого дела всяко больше.

Фундаментальным ограничением тут выступает знание принципа Парето. Нет нужды наглухо перекрывать информацию, достаточно отрезать от неё подавляющее большинство аудитории.

Нет, это не Парето.
Есть люди, им поставлена задача, заблокировать, они будут работать и блокировать. С каждым днем блокируя всё больше и лучше, у них нет границы, вот тут останавливаемся и прекращаем.
Граница у них простая — бюджет и квалификация сотрудников. Если с первым еще более-менее, хоть и не в тот карман. То второе — локалхост

Локалхост был несколько лет назад. После ухода Жарова ведомство стало работать гораздо эффективнее.

В чем это выражается? Как я лично должен был это заметить? Мои способы обхода ничем не отличаются от тех, которые я начал использовать 10 лет назад

Недавно были громкие визги, что успешно заблочили какой-то массовый сервис, галочку поставили, премии получили. Сервис через пару дней со всем разобрался и работает как ни в чем не бывало

И так 10 лет

TOR на мобильных операторах с настройками из коробки не работает.

Это есть, соглашусь
Хоть и не очень тянет на значимое достижение, за десять то лет — но получилось
Весной очень много было разговоров про чебурнет, а год спустя вот даже Ютуб работает, а в телеграмме вообще можно найти все что угодно, чего там говорить про VPN.

Зато в в так называемой ДНР, которая якобы теперь часть РФ — заблокирован google, почти все укр ресурсы и даже Хабр без vpn не открывается.
Реакция людей на блокировку Гугла была — ну есть Яндекс, а какая разница?! Опытные пользователи накатили бесплатные vpn, так как купить платные у нас нет возможности. Карты местного банка не принимают к оплате в РФ, а Сбер и ко у нас нет.

Так что блокировка ютуба, гугла или еще чего там это просто дело времени, на жителях ДНР технологию обкатали, мнение известно, так что заблокируют только в путь.

upd Ютуб примерно месяц весной или летом блочили, резали скорость очень сильно. Сейчас без vpn иконки каналов не прогружаются и иногда верстка уезжает.

VPN вы купить можете, просто российский.

Вы, вероятно, полагаете, что российский VPN блокирует трафик так же как российские интернет-провайдеры, в связи с чем толка от него нет. Но на деле у тех VPN, что имеют большое количество серверов, на 80% внутрироссийских из них нет никаких блокировок, а на зарубежных нет вообще (да, российские VPN-провайдеры и сейчас прекрасно предоставляют серверы по всему миру).

Если же вас беспокоит гипотетическая слежка "товарища майора", то тогда вариантов у вас действительно не много.

VPN вы купить можете, просто российский.

Ваш собеседник вроде вроде вполне четко скзал, "Карты местного банка не принимают к оплате в РФ".

Вы, вероятно, полагаете, что российский VPN блокирует трафик так же как российские интернет-провайдеры, в связи с чем толка от него нет

Айайай! Закон нарушают же, причем даже не скрываются! Куда смотрит РКН? :)

На картах свет клином не сошелся, почти все они принимают СБП и QIWI.

Вы кажется не совсем поняли. Разговор идёт о банках на довольно специфичной территории. С СБП они, скорее всего, не работают, да и QIWI вы оттуда тоже не пополните.

А почему бы в этом случае не жаловаться в ЦБ на банки которые предоставляют оплату на сайта на нарушение законодательства РФ не принимая карты выпущенные на территории РФ?
Ну а что — территория официально считается частью России — пусть ЦБ РФ займется решением вопросов по защите прав новых граждан России. Ну или пусть признают официально что ДНР это "не совсем" Россия.
И с остальным тоже.

Я-то всё понял и предлагаю решение. Из банков ДНР мне известен только "Центральный Республиканский Банк", у которого есть онлайн-банкинг и мобильное приложение под Android и отдельный сервис переводов между банком и СБП (правда с процентами), но тем не менее можно, а значит можно пополнять QIWI. А чтобы получить QIWI нужен только российский номер и, если нужна идентификация, паспортные данные.

Еще прямо в заголовке сайта этого банка есть баннер Промсвязьбанка (ПСБ), у которого вообще с работой в РФ нет никаких проблем. Подозреваю, что между банками есть какая-то связь и можно стать клиентом непосредственно самого ПСБ.

Выглядит так, что варианты вполне есть.

VPN или VPS?
VPN вы купить можете, просто российский.

Я даже номер одноразовый для chatGPT купить не могу! С нашими картами только в булочную пускают и то местную. Кстати, если у кого есть желание помочь мне с регистраций chatGPT буду очень рад.
Вы, вероятно, полагаете, что российский VPN блокирует трафик так же как российские интернет-провайдеры, в связи с чем толка от него нет.

Не знаю как там российские vpn, я тут о том, что у нас Хабр с Гуглом без vpn не работают по воле местных чиновников, в нарушение законов РФ. У нас ту русское поле экспериментов в прямом смысле слова.
Товарищ с погонами меня вообще не беспокоит, если что пусть Хабр со мной читает.

купи крипту и поменяй на валюту на казахскую карту и будет у тебя всё

QIWI или ЮМани зарегистрируйте и платите. СБП ваш банк же по идее поддерживает? Напрямую СБП тоже платить много где можно и пополнять без процентов другие счета или электронные кошельки.

Макеевка, donapex, promtelecom
google, хабр работает без vpn
flutter, dart перенастроил на .cn зеркала
vpn proton и многие другие блокируются (намучился в итоге свой)
больше бесит iptv, gitlab, sourceforge (блок на скачку), my.zerotier.com (процедура авторизации), google developers и другие, часто требуется включать, выключать vpn.


ну и двоякое
зарубежные ресурсы: вы заблокированы т.к. вы из Россия или в списке Сомали, Иран, Северная Корея
российские ресурсы: вы заблокированы т.к. вы из Украина.

Горловка, блокирует Inmart, Dominion, Terra-line каждый по разному. На одном провайдере может совсем не работать, на другом может днем работать, вечером нет.
ну и двоякое
зарубежные ресурсы: вы заблокированы т.к. вы из Россия или в списке Сомали, Иран, Северная Корея
российские ресурсы: вы заблокированы т.к. вы из Украина.

Тут аналогичная ситуация, кроме протона, он подымается нормально. Еще reCAPTCHA без vpn не але.

У меня вполне себе в РФ без VPN иконки каналов на ютубе частенько не прогружаются и изредка верстка уезжает. Я думал это просто баг, а оно вот как оказалось (

Ютуб - одна из крупнейших платформ для российской пропаганды, как и телеграм. Многие "потребители" этого контента, внезапно, телевизор не смотрят и "потребляют" его через интернет. Так что пока хозяева этих ресурсов не введут запрет на росс. пропагандистский контент (который действительно будет соблюдаться), блокировать их не будут - это принесет больше "вреда" чем "пользы".

А с другой стороны, после закрытия ютюба, куда пойдут потребители этой пропаганды? Видосики в телеграме — другой формат. Остаются vk, ok, Yandex.Zen.

Дзен больше не Яндекс, теперь это ВК

Ютуб есть на всех смарт-телевизорах, а эти сервисы - нет.

По содержанию - очень замечательная и правильная статья. Спасибо.

Но вот за постоянный рефрен "We are f#cked" (как и в большинстве случаев когда вместо аналитики "С одной стороны, с другой стороны, в тоже время необходимо учесть..." прилетает "Всё пропало!") - почему-то хочется поставить минус :(

почему-то хочется поставить минус

Возможно, вам просто нужно отдохнуть. :)

Музыкальная пауза

Ай спасибо, помогли!

на самом деле не очень (:

Был в Китае год назад, сталкивался с их фаерволом. Никаких убер-мега-нейро-шейпинг-актив-пробинг и т.д. замечено не было.

Максимум, что на моих глазах произошло - DPI нешифрованных соединений. Обнаружил это, когда пробовал подключаться к заблокированным в Китае ресурсам через обычный HTTP-прокси, который поднял на своём сервере в РФ.
Происходило это так: мой клиент успешно устанавливает TCP-соединение с прокси-сервером (squid/openwrt). Затем отправляет прокси-серверу запрос конкретного сайта (например google.com или facebook.com). И соединение тут же рвётся. Если TCP до прокси шло внутри какого-нить шифрованного канала (например - HTTPS или SSH) - всё работало нормально. Посему я прекрасно пользовался VPN через SSTP до своего сервера SoftEther.

Кроме того, прекрасно работали различные (даже бесплатные) VPN из Google Play .

Всё это проверялось на совершенно разных провайдерах (в т.ч. сотовых) в разных городах.

Откуда берутся все эти страшилки про active probing, разпознавание паттернов нейросетками и т.д. - для меня загадка.

Откуда берутся все эти страшилки про active probing, разпознавание паттернов нейросетками и т.д. - для меня загадка.

Это не страшилки. Исследованиями этого занимаются инженеры со всего мира, и есть очень много самых разных свидетельств с полей из Китая. То что вы все описанное не словили, опять же, уже не раз разобрано: ресурсы GFW тоже не безлимитны, и агрессивность блокировок во-первых зависит от региона (где-то по самое небалуй, а где-то почти лафа) и от обстановки (например, активизируются когда проводятся всякие там съезды партии или происходит какая-нибудь нездоровая фигня).

Агрессивность блокировок во-первых зависит от региона 

География моих изысканий: Шеньжень, Донггуань, Хайнань, Гуанчжоу

например, активизируются когда

Пробыл 5 месяцев там. Неужели недостаточно, чтобы хоть разок наткнуться на серьёзную блокировку?

Исследованиями этого занимаются инженеры

Я инженер и я исследовал

Поздравляю. Не могу сказать, почему у вас такой опыт, а у других другой. Может быть очень сильно повезло вам, может быть очень сильно не повезло другим, может совпадение ещё каких-то факторов (гостиницы/офисы/квартиры, оформлена ли landline/симка на местного или на экспата, и ещё куча возможных различий).

Может быть потому, что вокруг GFW очень много мифов, сказок и просто откровенного вранья, а на самом деле всё гораздо прозаичней?

Маловероятно.

Прямо сейчас мои коллеги в Донггуане - у них всё прекрасно работает.

Опять повезло?

Да этот GFW - прямо какая-то беспроигрышная лотерея :)

Говорят, ляоваям просто не блокируют так, как это делают местным.

Я за пару месяцев ещё в 2016 наблюдал снижение скорости ssh-туннеля, который в первые 15 минут в первый день работал на скорости до мегабита, а в последние дни сразу после подключения падал до 30-60 кбит

В 2017 ssh-тунель до Москвы работал отлично из нескольких городов.

Тоже в районе 2017 года видел блокировку подключений к OpenVPN-серверу в Китае, когда через несколько секунд подключение рвётся и порт блокируется на полчаса.

Такое было на стыках российских операторов (RETN) с Чайнателекомом и не было на стыке с ним же со стороны США (Telia, Cable & Wireless). Там либо трафика слишком много, либо политика фильтрации отличается.

Я правильно понимаю, что Туркменистан – то ли площадка для тестирования, то ли младший брат китайцев? Ну не верю я, что там достаточно компетентных людей для этого.

Все может быть. Возможно разрабатывают/настраивают не сами, а заказывают где-нибудь на стороне. В мире достаточно в том числе и хайтек-компаний, который считают что деньги не пахнут.

Израильские компании тому пример.

Продают разным государствам и режимам, в т.ч. буквально людоедским (в Африке), самое разнообразное ПО. Например, Pegasus:

Did Israel use spyware as a bargaining chip with Ghana in its lobbying for AU accreditation status?

Journalists and activists in Côte d’Ivoire, Rwanda, Morocco, and Togo, along with Kenya, Equatorial Guinea, Egypt, Cameroon, Uganda and Ethiopia

Note1: AU - African Union.

NSO продолжает отрицать, что сотрудничала с этими странами; а доказательства у журналистов только косвенные.

НЛО прилетело и опубликовало эту надпись здесь

Во-первых, без наземных станций оно не работает. Учитывая высоту полета спутников, расстояние от абонента до наземных станций ограничено, и поэтому работать оно будет нормально только в приграничных районах и около.

Во-вторых, тут работает все то, что описано в последнем абзаце главы 6. Такой терминал на коленке не соберёшь, его нужно купить, ввезти через таможню (или сначала ввезти, а потом купить) и использовать так, чтобы об этом никто не узнал. Чем больше будет таких хитрозадых - тем суровее будут законы и наказания. Можно пофантазировать о детектировании подобных железок полетами дронов над населенными пунктами, чтобы засечь луч сигнала, но по факту ничуть не хуже сработают старые добрые доносы от наблюдательных соседей.

НЛО прилетело и опубликовало эту надпись здесь

Если бабушка в пригроничной зоне живёт, то совсем хорошо, тунель с оптикой прокопать через границу в какую нибудь Латвию и тогда без старлинка не заметят

А строительство туннеля заметит бабушкин сосед калдырь Михалыч и сообщит куда надо, или его случайно раскопает местный молодой археолог-любитель Петя. И тогда есть уже шанс не то что лишиться кабеля, а поехать к следователю, а потом и в Сибирь лес валить. Играть с государством в азартные игры может быть весело, но и кончается иногда плохо.

Да, и еще надо заметить, что ресурсы государства в этих играх никак не ограничены, а вот второго игрока могут иссякнуть весьма быстро.

Шутка конца 80-х:

Объявление. Bозьму в аренду один метр государственной границы.

через оптический канал, тогда не засекут радиоизлучение

Лазерный луч, даже инфракрасный, это палево, пожалуй даже хуже вай-фая. Тем более, что жители приграничных населённых пунктов отличаются особой бдительностью.

Тогда уж лучше вступить в клуб радиолюбителей и работать на средних или коротких волнах, подальше от гос. границы.

НЛО прилетело и опубликовало эту надпись здесь

Насчёт длинных и средних волн не скажу, а через голосовой канал УКВ-радиостанций Motorola GM340 мы в свое время с помощью то ли GSMK, то ли PFSK модема вполне успешно гоняли данные со скоростью 19.2 kbps на растояния в пару десятков километров (если высоко подвесить и поддать мощности в антенну, то и до 50). Правда, у нас пакеты были по 250 байт и некоторые терялись, да.

Осветите вопрос подробнее, пожалуйста. А то в пределах, как вы сказали, голосового канала, на GMSK хорошо если 9k6 поднимется - то есть как, поднимется, конечно, но нужна довольно тщательная настройка девиации. Скорее всего я что-то упускаю, было бы предельно интересно восполнить пробел.

Странная мощность - 50W в антенне. Не для спора, просто интересно, как был обустроен антенно-фидерный тракт. Голая станция отдает около 25W, минус потери в фидере должны составить что-то в районе 7dB, чтобы на вход среднестатистического усилителя подать негласный стандарт в 5W. Это, в зависимости от диапазона и марки кабеля, пару десятков метров длины этого самого кабеля. Дальше, допустим, усиливаем до 100W и еще кусок кабеля, на котором теряем 3dB. Правильно я фантазирую? Или совсем неправильно? Очень же любопытно.

Вот тут есть рассказ о том, как и для чего оно было.

Мощность у этих Моторолок максимальная была как раз 25W, а "до 50" - это расстояние в километрах, максимальное которое мы тестировали.

Глянул записи - модемы были на чипе FX909, модуляция GMSK. 19200 бод у них заявлено прямо в даташите, и с хорошими Мотороловскими радиостанциями оно действительно так и работало. Конкуренты игрались с какими-то из Кенвудов и больше 9600 так и не выжали, в итоге тоже перешли на Моторолы.

Спасибо, изучаю дальше по ссылке.

Даже если вы ввезёте терминал на территории РФ он не заработает, т.к. сами спутники старлинка откажутся коннектиться.

Потому что сам старлинк не хочет. А если захочет? В рамках каконибудь гранта по защите демократии?

Ахаха.

Кстати, насчет приграничных районов. Возможно ли там работать симки соседнего государства, через его мобильную сеть?

Возможно, но нужен подходящий рельеф и подбираться очень близко к границе.

Так-то есть усилители 3G-сигнала с направленной антенной, 30км легко возьмёт.

Возможно.Но провайдеры стараться максимально ограничить луч базы чтобы через границу много не прелитало,что бы не платить штрафы .У ещё у нас земли до хрена-до фига мест где пограничная зона 15 км,что до тебя дойдет по мощности сигнала.Вдобавок не забывайте про незаметные зелёненькие машины уазики-они вмиг засекут что с таким имэем связался аппарат с вражеской территории.И при желании можно заглушить попытку связи-придеться постоянно имей менять.Но опять же ещё не забываем про бэкдоры в телефонах-что мы знаем-а точно доказано что могут определить место телефона -+150 м,включить тихий звонок,скопировать телефонную книжку ,заставить телефон отключиться.В спецхакере ещё в демократические времена приводили расследование шведской-норвежкой хакерской группы.

> что мы знаем-а точно доказано что могут определить место телефона -+150 м,включить тихий звонок,скопировать телефонную книжку ,заставить телефон отключиться

Можно подробнее? Желательно со ссылками.

Спецхакер или хакер за 99-2000 год,точнее не скажу,времена первого сорма.Была статья насчёт телефон слушает тебя- общее положение по сорму и краткое ссылка на иследования хакерской группы.В общем есть спецсимволы которые с телефона не отправишь в виде СМС,это комбинация и есть бэкдор.Все исследованные группой на тот момент телефоны выполняли эти команды .На диске были ещё тексты на английском (сокращённые),но сами команды не приводились.Я так себе отнёсся к этой статье,ну понятно что если телефон сообщит телеметрию с 3 вышек то методом треугольника определят положение с такой точностью.А потом спустя 5 лет обратил внимание на рекламу МТС и услуги бесплатного восстановление контактов с симки.А откуда у МТС содержимое моей симки?Тогда только только пошла "E" и wap в качестве мобильного интернета и 1 мгб стоил дорого.И не было андроида...т.е инфа пошла и скрывать эту инфу стало бессмысленно,вот и разрешили эту услугу.Статьи в инете нету,хакер не выкладывал ищите PDF или оригинал.Кстати произошла охренеллая утечка насчёт Сорма2 от Нокии (работник ,он неправильно расшарил диски и в сеть утекло 1,5 гиг документов),ищите сами,ссылок не привожу чтоб не налипнуть на статью.

(У меня отрицательная репутация,ушел отсюда на Пикабу,там народ менее токсичный,последнюю букву q убери у меня там такой ник)

В КНДР так пользуются китайским мобильным интернетом в приграничных регионах.

Зачем фантазировать, технологии поиска терминалов давно есть http://www.ard-satcom.ru/default.aspx?page=64

Это VSAT. У Старлинков используется ФАР, и там очень узконаправленный луч.

В Британии даже телевизоры (с эфирной антенной) ловят, хотя они вообще-то ничего излучать не должны. А тут могут быть боковые лепестки, всё ещё проще.

А можно пойти с другой стороны. На терминал светит антенна, и у нее даже при узком луче пятно в километры - и частота довольно редкая. Если на район светит спутник - значит, там работает терминал.

хотя они вообще-то ничего излучать не должны.

Ну как сказать. Не должны, а излучают :)

Можно ли запеленговать сигнал радиоприемника? История и современность вопроса

Всё ещё проще, оператор сам выключает работу терминалов на запрещённой территории. Иначе на спутники будет направлена помеха. И если помеха будет похожа на сигнал, то кроме простого глушения, будет попытка обработать сигнал, что посадит аккумуляторы. Днём не проблема, а ночью это ограничит легальных пользователей из других стран, до них спутник прилетит разряженным.

Реальность ещё банальнее: Маск до конца надеется, что сможет продавать услуги на территории России, и ссориться с государством ему не с руки.

Даже если считать что второе поколение спутников (то что с лазерными линками межспутниковыми без нужды в наземных станциях с терминалом) уже в работе и без учета что скорость… все же спутниковая а не то как бы смотрим:


  • эпилог статьи (да и отследить терминал на местности — можно, а для упрощения — можно в блокировку доступа с не-ру адресов для госуслуг и прочих банков внести исключения, разрешив доступ со старлинка, но при этом — сливать куда следует данные тех кто так зашел, после чего бригада по поиску терминала выезжает на место — как минимум адрес регистрации они уже знают)
  • новости (насколько актуальные — вопрос отдельный… но даже если ЭТИ новости — фейк, не значит что нельзя так сделать) проскивавшие про то что вна Украине в том числе тестируются и способы противодействия старлинку без пуска противоспутниковых ракет а допустим лазеров которые перегревают спутник("свет теплиц")… после чего вроде бы были какие то договоренности...
  • как ввозить то?

как ввозить то?

контрабандой. К примеру, пробовали когда-нибудь корабль обыскать?)

А продавать как? Ну совсем серый рынок?

В старлинке цензура тоже есть. Например за торренты прилетает бан.

От самого Старлинка по DPI или как реакция на абюзы правообладателей?

Как по мне, не по делу. Всякий VPN существует лишь беспричинной милостью той стороны, в просторечии противника. Будет милость - найдётся и способ чтобы работало. Не будет милости - он пришёл, значит. Или настал?

Самое сложно блокируемое и подглядываемое - удалённый доступ по SSH и только там работает браузер, а того лучше - Python. Но всё равно - нужна милость, и всё равно, как и сейчас с VPN попроще - использование эквивалентно выходу в одиночный пикет с плакатом «я ненавижу».

А обсуждаемые самопальные приёмы - это corner case.

Ну странно, что не упомянут такой несложный в реализации но при этом такой с виду беспалевный вариант, как сидеть в интернете через удалённый рабочий стол.

ЗЫ. Хотя наверное не стоило писать, да?

Вариант неплохой. Да, не самый дешёвый и массовый (нужна удаленная машина, которая нормально будет тянуть гуй и жирный браузер, копеечной виртуалкой не обойтись), не самый комфортный (тормозит-с, и видео с хорошим качеством не посмотришь, с телефона играться неудобно), но в целом рабочий. Правда, когда как в Туркменистане перебанили половину интернета и почти всех облачных провайдеров, до вашего RDP/VNC надо ещё как-то достучаться будет умудриться.

Правда, тут в итоге все приходит к тому же самому. Когда таких "удаленщиков" мало, цензорам на них наплевать. Когда все остальные возможности поотстреливают и явление станет массовым - тогда займутся и ими. Это, опять же, к вопросу, что лучше быть не на шаг, а на много шагов вперёди. Я не удивлюсь, если паттерны трафика у RDP/VNC/etc. при кликаньи по окошкам для конфигурирования чего-либо и при активном веб-серфинге в браузере тоже весьма различны. А даже если не получится достоверно детектировать способ использования, то все может придти к очередному "физлицам RDP запрещен, если сильно надо - получайте справку в Роскомнадзоре в кабинете номер 203 с утра по пятницам, с собой иметь характеристику от участкового и анализ кала".

Это Вы погорячились дешевый и легкий вариант уже давно существует. Посмотрите browserless docker давно выложены контейнеры с Хромом, которые не плохо работают на совсем дешевых VPN. Их использую немаленькие корпорации для повышения инфобезопасности при работе в интернете. Плюс дополнительная фишка после выхода из контейнера он возвращается к исходному состоянию. Плюс можно оплатить и пользоваться уже установленными контейнерами браузерами в облаке.

Неплохо, интересный вариант, спасибо что подсказали.

Да, ещё до того, как докер стал популярным, я иногда запускал Firefox через "ssh -X ..." - идея же на поверхности лежит... да и до финансовой изоляции РФ, вполне популярным было через "публикацию приложений" на каком-нибудь хецнере выкладывать edge...

Идея-то может и на поверхности, но 1) ssh -X тормозит даже в локалке при подключении к соседней комнате, а уж про удаленный сервер в другой стране и подумать страшно как оно будет работать 2) недорогия виртуалки обычно имеют в лучше случае 1 гиг памяти, а чаще даже 512 мегабайт. На таком количестве ОЗУ что Хром, что Фаерфокс с современными сайтами работать будут, мягко говоря, как говно, разве только если открывать строго не более двух вкладок за раз.

А какой смысл, если есть ssh -D и ssh -w? Либо будут резать ssh, либо нет.

В статье про это написано. Паттерны трафика у разных применениях SSH при наблюдении со стороны очень разные, и при должном желании вполне себе выявляются. Так что резать могут не весь ssh целиком, а в зависимости от того как вы его используете.

А характеристику от участкового зачем?

Анализ кала вопросов не вызывает?
Покупается виртуалка с виндой в облаке Azure, заходим по RDP, открываем браузер и серфим в своё удовольствие. Что на это ответят цензоры?

См. комментарий выше.

Баном доступа к Azure.
Сложно, потому что за последние несколько лет евангелисты микрософт погастролировали по предприятиям РФ и посадили многих на PowerBI, Application Insights, облачный Sharepoint, облачные файлохранилища и т.д. и т.п., это всё глубоко интегрировано в рабочие процессы. Например, примитивный бизнес-процесс, как согласование отпуска с подбором замещающего сотрудника и визой руководителя, легко там скриптуется…
И как за это все компании из РФ сейчас платят, если MS деятельность прекратили?
Спросил у своих: прямых контрактов с MS не было никогда, все эти впариватели облаков — официальные реселлеры, оплата через них шла и сейчас идёт. Ресселером может кто угодно стать, learn.microsoft.com/ru-ru/partner-center/indirect-provider-tasks-in-partner-center

Ну, при больших объемах и желании можно было и напрямую в MS платить. Сейчас оплата идет через ресейлеров, но, только, по существующим контрактам. Новые не заключаются. Стать ресейлером нельзя, партнерскую программу продлить нельзя и т.п. и т.д.

Не переживайте, вам подробно объяснят, что дело тут в национальной безопасности и можно потерпеть ради такого. А Майкрософт - вообще вражья фирма, неча их слушать

Так в чём проблема разрешить только для юриков?

Ради 1.5 анонимуса, которые купили azure с турецкой банковской карты, городить огромную нагрузку на провайдеров?

Выше правильно сказали, что проблемы индейцев шерифа не волнует. Когда телеграм скакал по адресам и РКН веерно банил миллионами айпишники никто что-то не пикнул. Развалился сайт сбера, перекрестка, яндекс штормило, но никто не остановился и не сдался.


В худшем случае сделают действительно просто интернет по белым спискам, по сертификатом выдаваемым госуслугами по вашему паспорту, без которого вас в интернет не выпустят.

Если эти люди за год не съехали с Azure, они дурачки. Мы тоже такими были, пока Microsoft не удалил наш com домен, оформленный на заграничную контору через заграничного же интегратора, с полной потерей всех данных, которые там лежали (понятно, локальные бекапы были, так что основную массу спасли).

Главное данных в Azure не хранить.

В комментария сейчас будет много кринж-идей (там выше уже кто-то предлагает туннель с оптикой прокопать через границу), так что вброшу ещё одну (просьба не воспринимать серьёзно).

Достаём с полки запылившийся модем (не 4g, не adsl, а тот самый на V.92) и дозваниваемся до пула в другой стране :)

Уж что-то, а несущую модема в голосовом телефонном канале при желании детектировать можно вообще на раз-два :)

слишком дорого

Почему дорого? Учитывая, что все современные АТС - цифровые, то это делается чисто софтово. Более того, скорее всего такие фичи уже есть и запилены, например, в некоторых городах на излёте эпохи диалапа злые телефонные компании ещё в 2000-х годах выявляли пользователей модемов (которые звонили даже не не модемные пулы провайдеров, а друг другу - помните Fidonet?) и присылали им письма счастья чтобы попробовать срубить денег. Можно почитать, например, вот эту прекрасную статью, я аж вспомнил юность и прослезился.

промахнулся веткой. Звонить за границу очень дорого, разве что через VoIP

Во времена развития айпи-телефонии многие вендоры наткнулись на тривиальный факт, что модем и факс нормально ходят только по несжатым кодекам типа G.711, и нужно уметь различать голос и факс, чтобы понимать что сжимать а что не сжимать. А то если жать все - бизнес-клиенты обидятся на непроходящие факсы, а не жать ничего - на дальнем трафике разоришься. Потом еще T.38 появился... в общем, умение поймать модемный тон в канале у современных АТС даже и пилить не нужно, нужно сдуть пыль со старой доки и найти формат обращения к соответствующему сисколлу :)

v92 устойчиво работал фактически только в пределах одной АТС, когда серверная часть оборудования была расположена на "последней миле", так что опасаюсь, что после прохождения международных голосовых каналов от v92 останутся только ошметки. ;)

Комплекс из двух 4g модемов и RPi + аккумулятор и солнечная батарея, заныканный где-нибудь в приграничном районе и играющий роль гейта наружу - выглядит более реальным.

Имеется ввиду одна симка местная, вторая заграничная?

Сейчас вся телефонная связь идёт через ip-телефонию. Если пограничный оцифрователь не умеет определять модем, то модемное соединение не установится. А если умеет, то он же может сообщить куда следует. Согласитесь, частное лицо использующее v.92 модем в 2023-м году выглядит крайне подозрительно.

а если я захочу порубать в старые игрушки через модемное соединение, допустим, с кем-нибудь на Аляске допустим

Тогда вас проверят, убедятся, что вы не делаете ничего предосудительного, и будете играть спокойно дальше. "Подозрительно" не значит "противозаконно". Пока.

НЛО прилетело и опубликовало эту надпись здесь

Это неплохая идея, но учитывая повсеместный HTTPS, это потребует реализации man-in-the-middle и установки себе на устройство-клиент кастомного CA (цепочки сертификатов). Тут на сто процентов надо доверять используемому серверу/хостеру, потому что с простым прокси худшее, что случится в случае компрометации - кто-то узнает, куда и когда вы ходили, а в случае с MitM, попавшим в плохие руки, абсолютно весь ваш трафик со всеми паролям и приватными данными окажется в открытом виде как на ладони.

А насчёт компрессии - идея прикрутить алгоритм zstd для этого самого у авторов XRay/VLess уже есть, обещают запилить в какой-нибудь из следующих версий протокола (правда, компрессить они хотят сам TLS-трафик без промежуточной расшифровки).

А всё потому, что эту проблему надо решать не в технической плоскости.
Как-то законодательство развитых стран дошло до того, что человек имеет право на неприкосновенность частной жизни и тайну переписки. Следующий логичный шаг — добавить право пользоваться интернетом и выбирать любой способ шифрования.

То есть вы предлагаете убедить противника не быть противником? Ну, во-первых, не факт, что это возможно. А во-вторых, даже если получится, то в результате мы всё равно окажемся в положении зависимым от его милости. В один день он может быть раздобреет и впишет в конституцию всё, что вы хотите, а в другой день вычеркнет - это вне нашего контроля. Технические средства хороши тем, что они являются для нас прямым источником власти - это как оружие, но только на информационном фронте. В странах, о которых вы говорите, у граждан есть больше власти, чем у нас, поэтому, чтобы приблизиться к тем странам по уровню защиты своих прав, нам нужно отвоёвывать себе власть у государства. По кусочку. Средства обхода цензуры как раз одним из таких кусочков и являются.

убедить противника не быть противником
Скорее сменить противника. Выбрать другого, и это не противник будет, а исполнитель, исполнитель госуслуг.
Понятное дело, что выбрать качественного в любой стране непросто.

Где же этот светоч демократии, в котором не банится неугодный контент?

Силенд, Вануату и иже с ними...

Наверное нигде. Сама постановка задачи не имеет решения:
С одной стороны мы хотим свободу слова, шифрование и смотреть любые сайты.
С другой стороны мы не хотим, чтобы попадалось на глаза всякое цп, экстремизм (что это такое, каждый понимал по-своему), наркота и т.п.
С другой стороны мы не хотим, чтобы попадалось на глаза всякое цп, экстремизм (что это такое, каждый понимал по-своему), наркота и т.п.

Честно говоря вообще пофиг, оно даже если бы не было запретов было бы только на специфичных сайтах. Ну и за производство — да, надо искать и банить по тюрьмам. А банить что то в интернете чтобы изображать деятельность при отсутствии выхлопа — такое себе.
Честно говоря вообще пофиг
Это Вам, как конкретному индивидууму. Говоря «мы», я имел в виду вообще общество, которое состоит из разных индивидуумов и соответственно формирует разные (взаимоисключающие) запросы к тому институту, который оно выбрало себе для управления собой.

По-хорошему, разные запросы можно удовлетворять в виде опциональных пунктов в договорах с провайдером. Если есть такие два вида запросов, можно обязать провайдеров предоставлять и то, и другое. Кажется, в каком-то виде даже сейчас есть дополнительные услуги по фильтрации трафика.

А как провайдер может понять, показывать цп или нет? Или Вы имеете в виду на этапе заключения договора ставить галочки «мне показывать цп», но «не показывать наркоту»? Не понял.

Да, именно, пусть пользователь заранее решает, что он хочет, и договаривается об этом с провайдером.

Проблема еще в том, что некоторые пользователи почему-то считают, что раз они не смотрят А, то и все остальные не должны смотреть А.
А еще должен быть некий орган, который будет маркировать сайты для провайдера. Тут тоже вопрос, кто будет определять что и как маркировать. Или это должно быть в компетенции провайдера? Оно ему надо?

Не думаю, что есть простые ответы. Кажется, что если у представителей общества массово встречается запрос "не хочу видеть X", то более логично всем договориться и классификацию контента возложить на какой-нибудь один общественный институт, а провайдерам работать с централизованным сервисом, нежели каждому провайдеру делать одно и то же. А вот с запросом "не хочу, чтобы остальные видели X", наверное, ничего не поделать, если не принять либертарианскую точку зрения, что каждый для себя решает сам и не следует защищать человека от самого себя.

Мы это те кому не хочется чтобы им этот попадалось?(или как минимум люди имеющие админдоступ на это железо)
Тогда задача давно и успешно решена как минимум для браузеров. Антивирусы с веб-фильтрацией + в (мягкой форме и там где нельзя поставить антивирус такой) — Adblock'еры (если надо — с кастомными списками). C мобильными приложениями которые при этом не умеют в расширения — да — ситуация сложнее и максимум можно по доменам резать и то при этом некоторые танцы с бубном. (рут я вообще исключаю из рассмотрения — это не для всех решение).


Или все же речь про то что есть желающие для кого то еще порулить фильтрами? (и без разницы — для защиты Микки Мауса, для защиты (от) Навального или для защиты (от) Саши Грей, важно что хотят порулить).

Мы это те кому не хочется чтобы им этот попадалось?(или как минимум люди имеющие админдоступ на это железо)
Вы могли бы прочитать следующий мой камент и не задавать вопрос. Но раз уж так вышло, процитирую:
Говоря «мы», я имел в виду вообще общество, которое состоит из разных индивидуумов и соответственно формирует разные (взаимоисключающие) запросы к тому институту, который оно выбрало себе для управления собой.


Тогда задача давно и успешно решена
Задача, о которой я говорю, не имеет решения в технической плоскости. Вопрос не в том, как резать/фильтровать. Вопрос в том, кто определяет, и что резать.
Тут вопрос как всегда в балансе. Россия тут точно не вариант ни разу для выбора.

А потом из всяких неразвитых стран всякие сноудены сбегают. А полиция запрашивает "а кто там гуглил интересное" — https://www.eff.org/deeplinks/2022/05/geofence-warrants-and-reverse-keyword-warrants-are-so-invasive-even-big-tech-wants


Или там — прямо просто запрашивают логи и получают — https://arstechnica.com/tech-policy/2022/08/teens-jailing-shows-exactly-how-facebook-will-help-anti-abortion-states/


Да, хоть какой то контроль есть — все же по ордерам, и публичное обсуждение тоже есть. Но все же.

Как-то законодательство развитых стран дошло до того, что человек имеет право на неприкосновенность частной жизни и тайну переписки. 

И битвы на тему распространяется ли это право на корпоративную почту/мессенджер не стихают до сих пор.

 Следующий логичный шаг — добавить право пользоваться интернетом и выбирать любой способ шифрования.

Это будет работать ровно до чего-то вроде 9/11, когда массовый пользователь потребует от государства защитить его от угрозы и готов будет пожертвовать своей privacy ради безопасности.

Ну и последний момент, большая машина цензоров, может не блокировать, а банально шейпить трафик. В этом случае доказать что вам кто-то что-то блокирует будет довольно проблематично, но при этом и пользоваться "заблокированным" ресурсом вы толком не сможете.

Один из трендов — P2P сети. Нет я не про торрент, я про Mastodoon и прочие PeerTube.


Другое дело что всплывают статьи вроде https://www.secjuice.com/mastodon-child-porn-pedophiles/ (если кратко — некоторые товарищи заявляют что лоликон-контент на некоторых инстансах — есть, потому что те кто его постят считают что это допустимо по законам их страны, разработчики вместо решения проблемы как сделать чтобы не было — решают более узкую проблему — как сделать чтобы не было на тех инстансах которым оно даром не надо и при этом не поломать все остальное) и поди пойми — толи это проблема с точки зрения тех кто это пишет толи это попытки испортить репутацию. Или там новости что публичные списки инстансов все же немного цензуряться по политическим причинам и не всем это нравится.

Я как то думал развернуть PeerTube но в итоге так и не понял, что там с конфиденциальностью. Что будет если завтра какой-то размещённый там ролик признают незаконным и запрещенным к распространению? Постучит ли в дверь к хозяину сервера спецназ с автоматами?

Как я понимаю — в цивилизованных странах — напишут владельцу сервера с требованием решить вопрос (и он может это сделать без вопросов, и во многих случаях — сделает).
Если сервер в другой стране — ну так же как в других похожих случаях.
Есть особенности — ну например то что этот же контент могут зеркалировать другие сервера (в том числе — автоматически) + контент может быть физически на каком то S3-хранилище + при просмотре другие пользователи шарят контент с теми кто в этот момент смотрит.


Если же автору ролика это не нравится — никто не мешает ему свой сервер поднять.


Еще потенциально уязвимое место — возможна ситуация (trending или там поиск так работает) когда контент отображается под url сервера но реально он совсем не тут (особенность работы федерации, в этом случае контент стримится с исходного сервера и это прям видно в dev tools Chrome).


Ну и если на сервере активно постят ролики что путин — краб… уж наверно автор роликов думал ГДЕ этот сервер расположен и чей именно спецназ может ворваться.
И (например) Cloudflare сервер тоже никто не мешает прикрыть.

А как бы они могли решить проблему? Это социальный вопрос, в чистом P2P/федерации он технически нерешаблен.

Как я понимаю — решение скорее социальное.


  • Разработчики Peertube — просто предоставляют инструмент.
  • Если кто-то размещает что-то запрещенное И интересное многим то в худшем случае — пострадает один конкретный узел (и при этом вполне может быть что копии всплывут быстро — кнопочка "скачать" по умолчанию доступна, хотя и отключабельно).
  • Если размещает что-то условный Дождь — у них весьма вероятно будет свой сервер в такой юрисдикции где фиг достанешь их. Да, можно заблокировать. А можно поднять новый. При этом контент будет искатся и через другие сервера федерации.

А вот требование сделать так чтобы ролики условного Царьграда в поиске по федерации были вышие условного Дождя — а от кого требовать? от разработчиков(ну допустим они это сделают, и документируют — opensource ж, и в changelog опишут)? от админов конкретного экземпляра? так они не смогут (ну и в худшем случае пострадают админы это экземпляра и видимо будет еще один скандал) если сами не программисты да и проще будет в такой ситуации дропнуть федерацию с сервером условного Дождя или условоного Царьграда и запрос формально выполнен :).

Если размещает что-то условный Дождь — у них весьма вероятно будет свой сервер в такой юрисдикции где фиг достанешь их

Мы же говорим о блокировках других юрисдикций. Просто поднять сайт СМИ на своём сервере можно и без федерации. Смысл в том, чтобы контент можно было распространять внутри периметра.

И при этом:


  • если мой сервер подписан на сервер дождя(и они заапрувили подписку — чего бы им НЕ заапрувить?) все кто ищут у меня — найдут и контент Дождя (ну с учетом того что в случае конкретно моего сервера — контент должен быть помечен что он на русском/английском, а вот например на украинском — не найдут через мой сервер. Мое решение). При этом и оповещения всякие будут. Как я понимаю, согласие нужно потому что есть люди которым немного странно что ИХ контент отображается на сторонних серверах а не тех куда грузили (и есть например tilvids.com который по этой причине не любит федерацию. Их спросили — https://www.reddit.com/r/tilvids/comments/1019hom/why_no_other_instance_follows_tilvids/ — они ответили)
  • кстати есть вариант с RSS-лентами, вот тут уже согласия не надо.
  • если они в глобальном списке инстансов есть — по ним будет глобальный поиск работать (от авторов PeerTube)(там прямо сказано за что можно из списка вылететь, и политические причины есть. Также сказано что не хотите — настраивайте СВОЙ глобальный поиск — вот софт. В случае Дождя — ну например ФБК мог бы сделать глобальный поиск и список инстансов и добавлять туда всех дружественных).
  • им надо только контент делать а ПО — готовое, и средства решения хабраэффекта какие-никакие — есть.

Кажется, это ответ не на тот вопрос, который был задан, и не в контексте. Напомню:

разработчики вместо решения проблемы как сделать чтобы не было — решают более узкую проблему — как сделать чтобы не было на тех инстансах которым оно даром не надо и при этом не поломать все остальное

Вы ж, собственно, описываете ту самую более узкую. А вопрос - как могла бы быть решена более широкая.

А никак. И за это — критикуют.
Как я понимаю ситуацию — более широкую считают не решаемой технически в рамках заданных условий и при этом — реальные попытки решить могут быть вредны для сети в целом потому что успешное решение — это добавление работающей цензуры (и не факт что потом не начнется например как в России… помним ведь что Роскомндзор обещали только ради защиты детей и ничего больше)

Значит, надо менять условия. Ну например, вместо федерации - сделать сеть, в смысле как у IRC network, например (или Fidonet) - то есть общие правила для всех участников сети, с ответственностью.

  • кому из существующих участников и потенциальных участников это надо?
  • кто должен написать новую спеку и правки для софта?
  • вы помните кто является участником FidoNet? А почему в поинтлистах вполне себе были например кошки и это никаких правил не нарушало? А в курсе что как минимум у некоторых городов в России вообще была процедура получения ноды по уставу а была — реальная и они слегка противоречили друг другу? А некоторые пункты устава — тупо игнорировались много где в России(ZMH например)

А почему в поинтлистах вполне себе были например кошки и это никаких правил не нарушало?

On the Fido no one knows you are a cat.

кому из существующих участников и потенциальных участников это надо?
кто должен написать новую спеку и правки для софта?

Странные вопросы для опенсорса. Кто хочет, те и делают, кто хочет, тот и присоединяется к проекту.

вы помните кто является участником FidoNet? А почему в поинтлистах вполне себе были например кошки и это никаких правил не нарушало?

Вот именно потому, что помню - могу ответить :) Поинт не являлся [полноценным] участником FidoNet, поэтому кошки в поинтлисте никаких правил не нарушали. Поинтами вообще могли быть и роботы, и алиасы сисопа.

А в курсе что как минимум у некоторых городов в России вообще была процедура получения ноды по уставу а была — реальная и они слегка противоречили друг другу? А некоторые пункты устава — тупо игнорировались много где в России(ZMH например)

Про ZMH помню, про процедуры по уставу не интересовался - только какая разница, если работало и комплейнов не было?

Теперь самый главный встречный вопрос: а эти вопросы - они вообще к чему? Они что-то должны показать? Они вообще как-то противоречат комментарию выше? Что, может быть в Фидо не было ответственности за нарушения правил в эхах, не было экскоммуникаций, был спам?.. Поинт-то какой?.. (pun intended)

К тому что похоже что "сетку со всеобщей ответственностью за нарушение внешних правил" на базе текущих федеративных с ActivityPub пилить никому не хочется, точнее те это хотят — ничего не делают кроме хотения.
И как результат — я например на одном конкретном узле Peertube вижу в поиске по тем узлам с которыми федерация, контент ну например по Украине который как я понимаю — в других местах весьма вероятно забанят. За "фейки" например. Правда часть — за про-Российские "фейки" а часть — за анти-Российские -:).
И… это не проблема совсем на мой взгляд

Во-первых, кто сказал "внешних" ? Правила должны быть самой этой сети, и должна она быть достаточно крупной; при этом "на базе текущих федеративных с ActivityPub" опять же не катит, нужна новая система (поскольку это не федерация). Во-вторых, это известная проблема, когда пилят чо попроще, а не то что надо, вернее сказать, "ищут под фонарем". И соответственно, в-третьих, для развития отрасли (и вообще глобально) в целом - это таки да, проблема, потому что пока разрозненные кучки гиков так и страдают херней, переизобретая очередной велосипед с инкрементом xkcd://14standards, большие корпорации так и прогибают под себя рынок и в результате всё общество. Даже Jabber проэтосамовали уже начисто.

И опять же вопрос — кому это надо?
Из тех кто способен писать код. Или хотя бы написать внятное ТЗ что не так со всеми существующими решениями.
Либо из тех кто готов это оплачивать.

Из способных энтузиастов? Любому, кто заинтересуется таким концептом. Вот с теми, кто оплачивать ресурсы для первых, сложнее. Однако же, та же Матрица как-то получила финансирование.

Как-то законодательство развитых стран дошло до того, что человек имеет право на неприкосновенность частной жизни и тайну переписки

Законодательство дошло а реальная жизнь нет, особенно после Patriotic Act и все подобное в ЕС и других странах.

возможным решением будет глобальный переход на какие-то децентрализованные сети, когда нет смысла блокировать какой-то один источник/сайт/сервис/etc

я не про крипту, а больше про что-то типа fediverse, хотя это конечно не настоящая децентрализация, но уже хоть что-то

Здесь эффективным будет запугивание пользователей таких сетей.
«С вашего IP-адреса поступили противозаконные призывы, поэтому на основании УК NNN мы конфисковываем у вас всю электронику в доме как вещдок до окончания расследования, а сами вы задержаны до выяснения личности настоящих террористов».

Уже было такое. Чувака за ноду TOR помариновали в СИЗО (довольно долго), но в итоге дело развалилось и его отпустили.

Если будут регулярно изымать электронику, год мариновать в СИЗО, а потом отпускать, это нельзя назвать хорошим исходом и торжеством правосудия.

глобальный переход на какие-то децентрализованные сети

Децентрализованные физически сети. В крупном городе, можно построить что-то на беспроводных рутерах. В будущем может появится что-то новое, типа нейтринного приёмопередатчика.

О да, я тоже мечтал о таких гипотетических устройствах связи, которые могли бы быть связаны в пару, и передавали данные строго между собой, и никто физически не смог бы перехватить или установить факт передачи.

Это вы про квантовую запутанность?

Если бы только через это можно было передавать информацию…

Отличный разбор тематики!

Немного в сторону, если позволите:

Что скажете насчет DNSCrypt и GoodByeDPI - я так понимаю тут дело только в доступе к контенту? От слежки это не спасает?

DNSCrypt защищает только от совсем уж детсадовских блокировок, когда вам отдают левый адрес в ответ на DNS-запрос или подменяют ответ целиком. GoodbyeDPI использует баги некоторых кустарных механизмов блокировок провайдеров, но против современных ТСПУ он малоэффективен.

Мне DoH и DoT в сочитании с некоторым упорством позволяет таки пробить блокировки.

Значит у вашего провайдера ещё не появились ТСПУ (DPI), это ненадолго.

«Теперь» — надолго
Все деньги идут на другое

Разве провайдеры не обязаны вот это вот все за свой счет - за те деньги, которые пока что нельзя (пока еще нет формально узаконенного механизма) бесхитростно изъять и непосредственно направить на это самое другое?

Строгость законов — смягчается… (С)

Оборудование СОРМ тоже должно было быть в обязаловку и за деньги провайдеров. Но часто его «договаривались» купить и поставить — когда прям все, жосткая проверка и не избежать

Там вон выше предложили закупать железки и софт у китайцев, благо у них опыта в таких делах больше всех в мире. И расплачиваться можно сразу нефтью, ибо из-за санкций ее внезапно стало столько, что девать некуда.

Да чего уж там, расплачиваться сразу — ансамблями песни и пляски. Китайцам очень нравятся русски девушки
«мыши кололись, плакали, но все равно жрали кактус»
может все-таки релокейт, м? а то что-то эта гонка напоминает сюжет фильма Пи и закончится какой-нибудь карательной психиатрией, шарашкой или вообще окопом в Бахмуте

Действительно, это же так просто, как мы сами не догадались.

Прекрасный совет!

Но как быть тем, у кого есть обстоятельства непреодолимой силы, препятствующие покиданию страны тем или иным способом?

Релокейт не для всех прямо сейчас доступен. А для части людей недоступен в принципе. Потому тема вполне важная, хотя бы для тех кто еще какое то время вынужден будет с цензурой жить.
Тем, кому еще какое-то время придется жить с цензурой, стоит понять, что им придется жить с цензурой. И все более жесткой цензурой. Дело привычное, вон википедия подсказывает, что ему уже порядка тысячи лет.
Вопрос в уровне этой цензуры. В нулевых в интернете было достаточно свободно.
Да, в начале нулевых ее просто не было. И в девяностых, лет пятнадцать прожили без нее.

Я к тому, что обход цензуры — дело весьма вероятностное. Иногда получится, иногда уже не очень. Лучше отдавать себе отчет в том, что рубильник по-любому не у вас, и возвращение в режим «Эрика берет четыре копии» вполне вероятно.

Я не сильно глубоко в теме (хотя OpenVPN вполне могу с нуля "руками" настроить), но вот мне интересно, если TLS-VPN идентифицируется путем отправки того или иного HTTP-запроса к серверу, то нельзя ли сам подобный запрос как-то аутентифицировать по клиентскому сертификату, который есть только у меня? Боты РКН будут получать просто 401/403 и все - и пускай тогда гадают что там на самом деле.

может все-таки релокейт, м?

Увы, не всем подходит.

V2Ray?

Ну это вроде как вообще не VPN, а какая-то китайсткая тема. Если уж использовать платный VPS, то хотелось бы что-то более стандартное и полноценное.

Да, это не VPN, а прокси. Но из всех существующих технологий, он пока один из самых цензуроустойчивых при правильном применении.

Ну это вроде как вообще не VPN

Что мешает пустить VPN внутри Shadowsocks + V2Ray?

но вот мне интересно, если TLS-VPN идентифицируется путем отправки того или иного HTTP-запроса к серверу, то нельзя ли сам подобный запрос как-то аутентифицировать по клиентскому сертификату, который есть только у меня?

Да, я этот вариант упомянул в статье. Правда, сам факт наличия клиентского сертификата, если я правильно помню, стороннему наблюдателю тоже виден, что уже привлекает внимание, и он решает только одну проблему (active probing) из множества описанных. Короче говоря - с этим лучше, чем без этого, это один шаг вперёд, но дальше надо придумывать что-то ещё :)

Ну виден и виден. Может у меня там просто веб-сайт который настроен на "сертификатную" аутентификацию. Я, кстати, сильно сомневаюсь, что он виден потому что челленж по 401 должен, по идее, идти уже по шифрованному TLS соединению.

Даже если оно ходит уже внутри зашифрованного соединения, то размеры пакетов при хендшейке оно все равно раздует и это будет видно. А "чем грозит" - желанием присмотреться к юзеру поближе. Например, проанализировать те же самые fingerprint'ы и все остальное, описанное в статье.

Что если просто забивать канал посторонним траффиком?

Можно и вовсе прозрачно отдавать редирект на какой-нибудь сайт, так делает Cloak, например.

В openVPN есть опция tls-auth, которая добавляет hmac на основе пароля в конец каждого пакета. Сервер отбрасывает все пакеты без валидного hmac в конце

Сдается, что то что надо. Не проверял, но все равно поставлю плюс.

НЛО прилетело и опубликовало эту надпись здесь

Т.е. распределённый между несколькими серверами канал связи с разделением по времени и по пакетам :) чем больше серверов и хаотичнее алгоритм переключения тем лучше. Тспу с ума сойдёт... Только скорость будет страдать :(

НЛО прилетело и опубликовало эту надпись здесь

Можно даже попробовать спрятаться за какой-нибудь CDN - не забанят же они весь CDN,

Когда таким образом подумает много человек, то забанят. А потом будут крики почему cdn забанили, они наверное криворукие!

Статья очень интересная и качественная, спасибо. Прям с удовольствием прочитал, но уверен, что блокировки VPN за бугор не будет, так как у госорганов слишком много представительств в других странах, а там свои тонкости и есть те, которые перемещаются, поэтому на разбан адресов по телефону никто не пойдёт. Будут более индивидуальные попытки блокировок, но не запрет VPN протокола за рубеж. Например, у того же МВД есть представительства в Австрии, Израиле, Индонезии, Финляндии, Турции, Тайланде, Франции, Швейцарии, ЮАР, Молдавии, Латвии. Слишком трудно такой белый список вести, особенно если учесть разницу часовых поясов с некоторыми из стран, в которых есть представительства госорганов.

Можно стандартизировать протокол VPN и разрешать только соединения, пописанные определённым сертификатом. Сертификаты выдавать строго под контролем, на небольшие периоды времени.

Например, у того же МВД есть представительства в Австрии, Израиле, Индонезии, Финляндии, Турции, Тайланде, Франции, Швейцарии, ЮАР, Молдавии, Латвии. Слишком трудно такой белый список вести

А его и не надо вести. В данном случае все работает а обратную сторону: VPN-сервер (не для обхода блокировок, а для доступа в защищенную внутреннюю сеть) ставится где-нибудь в России, и все "представительства" подключаются к нему снаружи. Таким образом фильтрация на них не распространяется, а если распространяется, то достаточно внести в белый список только один конец (сервер в России) и проблема решена.

но совокупить хотелки всех ведомств к одной точке входа не получится, тогда нужно каждому ведомству свою точку входа.

Тогда и обычные граждане тоже смогут поднять дома VPN и настроить автоподключение из забугорной vps

Смогут до тех пор, пока не будут введены белые списки для VPN-протоколов. А когда будут введены - их домашний IP или их "внутренний" VPS в этих списках, в отличие от МВДшного, не окажутся, вот и сказочки конец.

В соревновании щита и меча должно быть тяжело бить по тысячам бегающих щитов. Tor, I2P, IoT, если сильно масштабировать, можно израсходовать оперативную память цензора.

А зачем ?

Перкрыть поступление информации на 100% нереально все равно. Достаточно, чтобы это не было массовым. Ну вот как неким VPN сервисом начинают пользоваться слишком многие - его блокируют. А отдельные фрики чего-то там прочитают - да и пофиг.

Если же начнется бурление - ну введут уголовку за такие обходные маневры. Собственно прецеденты с привлечением за исходящую ноду тора уже были.

Давайте просто признаем, что государство фундаментально устарело как концепция. И нужно просто избавиться от него, погрузить всё в анархию.

Допустим, имеется сеть. Допустим, там есть правильные челики, у них птичьки растут, цветочьки поют. Всё чинно благородно. Допустим приходит новый челик и делает сайт с ЦП. Это замечает кто-то правильный с птичками. Пишет жалобу. Нарушителя отключают. Казалось бы, всё збсь. Но. Проходят миллиарды лет, космические корабли бороздят вселенную. И опять приходит новый маргинал и вывешивает уже своё, новое ЦП с собакой и гигантским пауком. И может его фамилия будет даже не Панин.

Что я хочу сказать? Что пользователи - люди. А среди людей бывают маргиналы, любящие ЦП и т. п. и поэтому всех их перебанить невозможно. Новое нежелательное содержимое будет появляться вновь и вновь.

Следовательно - модерация бесполезна. Мы просто загребаем пригоршнями воду из лужи и выливаем в кастрюлю, но кастрюля ржавая и течёт. Плюс еще будет дождь (лол, эвфемизм получился на tvrain, ну да ладно). Следовательно, зачем платить модераторам? Они ж работу не делают ёмана. (рассуждаем логически с позиции толстого наетого директора: за вычистку вирусов админу патлатому уплочено? уплочено. вирусы появились? появились. вывод: патлатый деньги пробухал, вирусы не чистил.)

Правда, некоторое время государству будет больно. Поконяхи с мухтаром там будут натыкаться с банку с рубленными гвоздями и взрывчаткой... и всякое такое. Мухтара порвёт, с десятиминутным наматыванием кишков в DOKA2.

Рано или поздно сеть станет абсолютно немодерируемой. Правило "это интернет детка" должно действовать. И слюнявые школьники с селфхармом должны быть натренированы родителями. А не аноном. Уберите ваших впечатлительных детей от моего небезопасного интернета на██й.

Рано или поздно сеть станет абсолютно немодерируемой.

Сайты мошенников тоже не банить?

Интернет давно перестал быть площадкой для трепа и котиков. К сожалению сейчас это место, где люди могут потерять свои деньги, причем все. А следовательно люди начинают требовать защитить себя от подобных угроз, со всеми вытекающими.

Так что мой прогноз строго противоположный - количество правил и регулировок в сети будет только увеличиваться, а вместо абсолютно не модерируемой сети мы к сожалению получим "интернет по паспорту".

Сайты мошенников тоже не банить?

Как бы, по идее, "банить" надо самих мошенников, а не сайты. Но, да, это требует от соответствующих органов заметно больших усилий.

Как бы, по идее, "банить" надо самих мошенников, а не сайты. Но, да, это требует от соответствующих органов заметно больших усилий.

Не совсем так. Банить мошенников занимает определенное время - нужно собрать материалы, доказательную базу, провести расследование и т.д. Это все время. И это правильно. Но проблема в том, что мошенники зачастую именно этим и пользуются. Пока на них собирается доказательная база, через очередной ресурс выводится сколько успеют, ресурс выбрасывается на помойку.

Поэтому реально эффективный метод - банить по подозрению. Есть жалоба на мошенничество или подозрение в оном? Ресурс блокируется, привязанные к нему счета замораживаются, владельцу уходит запрос с требованием предоставить определенную информацию. И если это false alarm, то в разумное время все разблокируется и работает как раньше. А вот мошенники, позволить себе такую роскошь, как потеря времени не могут - время работает против них.

Поэтому тут у нас два параллельных процесса:

  1. Вычислению и сбор доказательной базы на мошенников

  2. Быстрое предотвращение хищений, путем ограничения доступа к подозрительным ресурсам, пока идет процесс один.

Почему бы не разделить сети на защищенные и обычные?

Потому что сетями управляет государство, а его цель — контроль над гражданами, а не их безопасность.

Куда девать системы для оплаты заказов?

Тут скорее вопрос, куда вынести форумы купи-продай, типа «Авито».
Там раздолье для мошенников, но с другой стороны сверх-строгая верификация участников как-то странно будет выглядеть. Хочешь продать старый велосипед — авторизуйся по паспорту?

С одной стороны дико, а с другой:

1) велосипед хоть и старый, но может быть краденый

2) если его предмет продают через интернет, то есть шанс, что предмет будет несколько отличаться от заявленного.

3) если это условный айфон, есть шанс, что покупатель повертит его в руках, и откажется - мол, коцанный - успев поменяв айфон продавца на заранее заготовленную реплику.

Тут, увы, слишком много переменных, где может пойти что-то не так, и концы в воду.

как вариант отсечь сделки до nn- суммы.

Хочешь продать старый велосипед — авторизуйся по паспорту?

Нет, в принципе, если хочешь зайти в сети - авторизуйся по паспорту. Трафик на заглушку провайдера с требованием ввода разового кода полученного на госуслугах, как вариант. Мобильный интернет и так де-факто по паспорту у нас.

Тут, увы, слишком много переменных, где может пойти что-то не так, и концы в воду.

Если уже говорить о разделении сети на А и Б, то все операции с финансами логично принудительно размещать только в защищенном сегменте.

Но в целом, проблем и тонкостей действительно настолько много, а выгоды для инициатора данного регулирования нет совсем, следовательно, никто ничего делить по сортам не станет. Рубанут сразу и все.

Нет, в принципе, если хочешь зайти в сети — авторизуйся по паспорту
У провайдера и так все авторизованы. Но существуют прокси-сервера и всякие скрытые сети. Если под «зайти в сети» имеется ввиду vk или avito, там уже по сим-карте.

Сделать две версии, одну в открытой сети, другую в авторизованной, и пусть пользователи сами выбирают между удобством и защищённостью, каждый по своим предпочтениям.

Оплаты, разумеется, в защищенные. Посмотрите на оффлайновый аналог - банкноты защищены, объявления на улице - нет.

А оплату смайликов во вконтакте? Или книжек на Author.Today? Или подписки на яндекс плюс?
Оплату стараются же интегрировать в сайт.
К защищенной части у нас как доступ вообще? это тот же физический канал? тот же браузер? незащищенная страница может иметь iframe c защищенной? а редирект из незащищенной на защищенную как?
Вообще в чем главные отличия защищенной — в том что обязательная надежная идентификация пользователя? А насколько надежная? Проверенный аккаунт госуслуг? Любой аккаунт госуслуг? ЕБС?


Кстати если любая оплата — в защищенную — например (потому что они не одни такие) киви куда? С их кучей уровней аккаунтов и возможностью на низшем уровне — иметь просто по номеру телефона аккаунт а на чуть более высоком — по паспортным данным (не фото даже)

Анархия - это не про отсутствие управления. Это про управление в условиях отсутствия архонтов имеющих лицензию решать за других. Коммюнити правильных челиков вполне могут поставить для себя фильтр, чтобы не видеть взаимодействия собак с арахнидами. И даже пропагандировать подобный фильтр. НО не навязывать.

Нет средств, гарантирующих отсутствия принуждения в таких сообществах.
Экономическое принуждение скорее всего будет: если сообщества настолько сильны, их члены сильно вложились, и выход будет так же затратен, как переезд в другую страну.
То есть, в пределе получаем те же государства.

С одной стороны — логичное решение: дать возможность пользователю настраивать что ему не надо. Как на клиентском железе (продвинутый аналог антивируса с вебфильтром которые просто лезет везде в процессы) так и на уровне сервисов (продвинутый аналог семейных режимов поиска). И списки от разных групп.
С другой стороны — это уже существует и используется корпорациями но сложно в настройке И дорого (вот Astaro Security Gateway был для пользователей домашних и где он).


С третьей — есть люди которые считают что они имеют право другим настраивать фильтрацию и при этом даже если по закону у них такое право есть — мнение тех кому так ставят фильтрацию может быть иным. (К тому что родители для детей фильтры ставят обычно нормально относятся и есть рынок, к тому что этот же софт стоит по библиотекам — уже нет, к тому что госструктуры хотят фильтры для всех — обычно мало кому нравится). А еще ведь есть и авторы фильтруемого контента которым это не нравится. (Потому что это может быть как Дождь так и РенТВ так и например спам и откровенное мошенничество)

Давайте просто признаем, что государство фундаментально устарело как концепция. И нужно просто избавиться от него, погрузить всё в анархию

Давайте, нет.

Что я хочу сказать? Что пользователи - люди. А среди людей бывают маргиналы, любящие ЦП и т. п. и поэтому всех их перебанить невозможно. Новое нежелательное содержимое будет появляться вновь и вновь.

...

Следовательно - модерация бесполезна ...

Что я хочу сказать? Что люди, это люди. Среди людей бывают насильники и убийцы. Всех их пересажать не возможно. Новые убийцы и насильники будут появляться вновь и вновь. Следовательно — милиция, суды и уголовное право бесполезны.

Не подменяй понятия. Очень удобно что-то там рассказывать про "все равны", в условиях когда некоторые равнее.

Давайте просто признаем, что государство фундаментально устарело как концепция. И нужно просто избавиться от него, погрузить всё в анархию.

Глупость, причем вредная, чреватая миллионами жизней.

Следовательно - модерация бесполезна

Точно, мыть посуду тоже не надо, как и подтираться.

Рано или поздно сеть станет абсолютно немодерируемой. Правило "это интернет детка" должно действовать.

Кому должно? С чего станет? Влажные фантазии не доросших до взрослой жизни.

Владеет спайсом тот, кто может уничтожить спайс.

Посмотрим как РКН запоёт если народ тупо перестанет пользоваться сетью. Там дотации от государства не помогут, придётся мигом на авито выдумывать способы как поднять рентабельность своей организации.

Посмотрим как РКН запоёт если народ тупо перестанет пользоваться сетью.
Посмотрим, как нож мясника запоет, если народ тупо перестанет есть мясо.
Вот как выглядит Ваш камент.
РКН — исполнитель, не более. Нож может быть острым или тупым, для мяса или для масла, но ему фиолетово, что он режет и как. Его могут выбросить за ненадобностью, заменить вилкой, но он не запоет.
Ну и народ уже не перестанет есть пользоваться сетью. Ну разве что ядерный постапокалипсис наступит.

Когда то, когда этот тренд только начинался я писал статью Пожар и гики.
Это не про техническую часть, это про то, что социальные проблемы не имеют технических решений. Нужен социум. Коммюнити. Нужны эксперты, отбирающие решения. Техники, их распространяющие. Технические писатели пишущие тексты для пользователей. Масса школоты запускающих шифрование и создающих информационный шум, просто для того, чтобы трудно было выделить немногих занимающихся делом. Нужны ресурсы для привлечения пользователей (да, пиратские). И их лицензирование. Чтобы люди туда заходящие за горшочком мёда не попали в ловушку.

Господа, у нас было 10 лет, за которые мы НИЧЕГО не сделали. Мы собирали донаты кому угодно, только не на свою свободу и безопасность.

Обидно... Но такова жизнь.

Технически все конечно верно, но все-таки важно понимать, что вариантом 0 воспользуется (может воспользоваться) условно 1% населения. Вариантом 1 - 0.1%, 2 - 0.01%. Так вот государству нафиг не упали эти 0.0...01%. Ну будут они ходить на свои "запрещенные" сайты. Никакой угрозы в таком количестве они не представляют. Стратегически/экономически бороться с ними дороже, чем просто забить.

С обходом блокировок - как в том анекдоте, что не нужно бежать быстрее медведя, а нужно бежать быстрее того, кто бежит рядом.

Тут достаточно посмотреть, как оно все развивалось в Китае - когда почикают простые варианты, население с них рано или поздно переползает на более сложные, пусть не сами, а с помощью советов из интернета и от опытных товарищей, и рано или поздно цензоры примутся и за них. Так что всегда стоит быть не на один, а на несколько шагов вперёди - съев того, кто бежит рядом, медведь все равно может остаться голодным :)

В Китае без проблем можно использовать обычные публичные VPN-сервисы, включая бесплатные. В этом легко убедиться, если зайти в Ютуб/Инстаграм и посмотреть видосики и фоточки от иностранных студентов/экспатов, обучающихся или работающих в Китае. Они сами говорят, что используют обычные VPN для доступа к западным соцетям, а вовсе на какие-то изощренные средства.

И для китайских властей это не проблема; кому по каким-либо причинам нужен доступ к заблокированным ресурсам, могут легко получить его, большинство же китайцев просто не нуждаются в этом. Потому что у китайцев все свое - свой китайский ютуб, фейсбук, гугл, инстаграм и даже китайский тик-ток. В западных соцсетях мало контента на китайском, а иностранными языками китайцы владеют плохо. Однажды мне попалось видео, снятое иностранцами, которые общались с местными. Китайцы спросили, в какую соцсеть пойдет это видео, им ответили что в Ютуб. На что 20-летние китайцы, чрезвычайно удивившись спросили "а что такое Ютуб?"

когда почикают простые варианты, население с них рано или поздно переползает на более сложные

Не хочу выглядеть снобом, но по моему мнению, 97 - 98% населения не осилят ничего сложнее, чем случай когда нужно просто скачать и запусить какую-то программку и нажать на кнопку, как в случаях с публичными VPN, Tor-браузером илиили расширением в браузере.

В целом вы как бы правы, и наверное самые упертые потребители смогут это сделать. Но на практике во время визитов в Китай Ютуб лично я переставал смотреть очень быстро, потому что его работа непредсказуема. Он может работать день-два, а потом перестать. Может просесть до 144p. Может начать работать в VPN, а может не начать. Да, если есть цель посмотреть конкретное видео сторонними средствами - можно это сделать, но тут мы снова утыкаемся в то что "легко и непринужденно воспользоваться youtube-dl c докачкой" могут не все, да и нет в этом особого смысла, если говорить чисто про развлекательный контент. А в итоге перестаёшь туда вообще ходить, за любым контентом, что и требовалось. Instagram - примерно то же самое, оставляешь телефон с приложением, и может он загрузит твои фотки и подтянет ленту во время ужина, а может и нет.
Это мой личный опыт по использованию сервисов в Шеньчжене пятилетней давности, возможно всё уже изменилось.

используют обычные VPN для доступа к западным соцетям

Это в обычное время. Когда бывают съезды компартии, тогда на Великом Китайском Файрволле нажимают кнопку и все эти VPN блокируются. Когда съезд закончится, кнопку нажимают еще раз, и VPN опять работает.

Насколько я понимаю, китайский интернет практически родился под цензурой, контент там практически весь свой и вопрос - что лучше "Яндекс" или Гугл, "Однокласники или Фейсбук, "Рутуб" или Ютуб, просто не стоит... и соответственно параллели с Китаем довольно натянутые.

Почему вы не рассматриваете вариант объединения ростелекома с чайнателеком? Рос армия показала себя в таком свете, что узкоглазые человечки могут зайти в кремль хоть завтра.

Китайская армия вообще себя никак не показала ещё, так что мы не знаем.

Ну допустим. А толку-то? Местные исполнители всё равно ничего не смогут.

так их отправят на лесоповал, а трафик завернут на китайский фаервол.

Это очень масштабная работа, даже если предположить, что китайцы всё возьмут на себя. Только зачем оно им, даже в этом сценарии?..

А какой интерес у чайнателекома? И зачем китайцам заходить в кремль? Там и так всё в их интересах делают: свою страну ослабляют, ресурсы с дисконтом продают, рынок от "западных" компаний освобождают, "западу" тоже небольшую военно-финансовую нагрузку дают...

а какой интерес в Украине? Маленькая победоносная война?

Тут достаточно посмотреть, как оно все развивалось в Китае

Нет смысла вспоминать — «как оно в Китае».

Тут тупо никто не даст роскомпозору столько бабла, чтобы оно заработало «как в Китае». Никогда в жизни. И денег на квалифицированных специалистов у них нет

Так можно заплатить китайцам и развернуть "коробочное" решение с собственными настройками и обновлением, а не разрабатывать с нуля.

Ейб-гу, правда так сложно прочитать дальше первой строчки?

Тут тупо никто не даст роскомпозору столько бабла

Бабла, что дадут на разработку не хватит, а на "коробку" — на мой взгляд вполне.

Только купят они не дорогу и оригинальную разработку китайских спецов, а оем нонейм роутер с али, роскомпозорные студенты накатят туда openwrt и зальют список айпишников — как уже было

Выглядит как полноценный бизнес-план с распилом и откатом - т.е. как нечто намного более чем просто очень вероятное.

Это не выглядит как бизнес план — это и есть бизнес план. Уже осуществленный.

TpLink'овский роутер с кастомной OpenWrt прошивкой у них был не для осуществления блокировок, а для проверки того, что эти блокировки осуществляются как надо. Для такой задачи - это вполне недорогое и рабочее решение.

Ну да, только они продавали его провайдерам, добровольно-принудительно, за олимпиард рублей, ибо «отечественная супер-разработка»
В госучреждениях странные отношения с коробками: могут дать денег на коробку, но не дать на инфраструктуру или обучение/сопровождение/эксплуатацию/развитие. Чтобы потом купить новую коробку, побольше. Сколько раз с медоборудованием проходил…

Ну то есть бабла не просто нет на коробку, его есть на две коробки. ЧТД


(в госах вообще много удивительного, но оно ползет к лучшему. Наблюдал в одном гос гараже:


  1. Машина сломалась, денег на ремонт нет, на бензин есть, но перебрасывать нельзя. На следующий год в бюджет заложили ремонт, но срезали бензин с формулировкой "в прошлом году денег давали, вы не потратили. Значит в следующем дадим столько, сколько потратили в прошлом"
  2. Через время разрешили перебрасывать деньги между всеми расходниками, то есть на бензоденьги можно купить запчасти. Но не услуги по ремонту. Так что опять сломанная машина стоит в гараже.)

Господа, давайте взглянем на проблему со стороны товарища майора. Вот выявил некий детектор ваши хождения #кудатонетуда и что? Наркотики вы продаете? Или оружие? Или денюжку Бен-Ладону шлете? Не-а... Максимум почитываете новостные ленты потенциального противника и тихонько морально разлагаетесь. А таких миллиарда 3 наберется. И какой прок вас всех крепить?

Позакрывать и не пущать, оно, конечно, можно, но тогда все упомянутые выше категории реальных какашек уползут на что-то более технологичное или вообще начнут почтовых голубей слать и детектить их тогда будет принципиально сложнее (там-то с бюджетами все хорошо-хорошо).

Вывод: пока вы не залезли в какое-то реальное гуано, имеется ненулевой (ниже статистической погрешности) шанс что кто-то сделает на вас показатель. Для галочки. Но тут можно и просто на улице кошелек "найти". Или вас машина собьет (вероятность в разы выше). В остальном, вы с вашими ВПН-чиками в полном шоколаде.

"Если у вас паранойя, это не значит что за вами не следят. "

П.С. насчет криворукости и малобюджетности есть мнение что там тоже работают люди которые тоже используют соответствующие ресурсы по назначению. В этом может быть (ИМХО) причина длительных и безуспешных блокировок рутрекера, например....

Опять же, никто не ведёт речь про "посадить всех", все проще. Есть проблема: граждане не хотят слушать Соловьева, а вместо этого слушают всяких там иноагентов, используя средства обхода блокировок. Не нужно сажать всех, достаточно из этой массы выбрать несколько рандомных людей и возбудить дела на них, громко и показательно, как это сделали в Иране. Ну и потом ещё по паре человек раз в годик, чтоб не расслаблялись. И после этого желание заниматься подобным у многих граждан резко поубавится - не каждый хочет проверять на практике свою неуловимость и удачливость, когда в перспективе маячит небо в клеточку и швабра.

Вы переоцениваете действие Соловьева и Ко на нормальный мозг, тренированный СССР-овскими "союз нерушимый" и "Я врач псЫхотераПэвт" 90-х в совокупности с "Куплю жене сапоги" )))

Все паттерны промывания мозгов весьма очевидны и вычленяются из "адекватных" новостей на ура (написать что ли антивирус для мозга на досуге?). Было бы из чего вычленять (с этим сейчас трудно, да).

Касаемо возбуждать дела на кого-то из массы... Тут как раз вопрос про "Галочку" и теорию вероятности. Опять же, не забываем о том что у исполнителя на местах всегда есть пара-тройка "ходячих по мозолям" закрыть которых по формальным признакам сам бог велел. И до обывателя очередь к Колыме дойдет, примерно как очередь на получение квартиры в СССР. Теоретически возможно, но практически надо сильно постараться...

Принцип "был бы человек, статья найдется" к сожалению, относится ко всем государственным образованиям вне зависимости от формы правления или языка общения...

Вы переоцениваете действие Соловьева и Ко на нормальный мозг, тренированный СССР-овскими "союз нерушимый" и "Я врач псЫхотераПэвт" 90-х в совокупности с "Куплю жене сапоги" )))

Вы похоже как раз недооцениваете :))))
Люди хотят обманываться, поэтому любая такая тупая на первый взгляд пропаганда, так хорошо и работает. Она как раз такая тупая чтобы работать как можно для большего количества населения. Для оставшихся процентов всегда будут свои, "типа умные" и "не такие" пропагандисты.

Есть проблема: граждане не хотят слушать Соловьева, а вместо этого слушают всяких там иноагентов, используя средства обхода блокировок.

Если не хотят слушать Соловьёва просто не ходят на его канал, нет? Речь про насильное прослушивание Соловьёва вроде, пока, не идёт. Иноагенты тоже, на сколько я слышал, вполне доступны. Только с дебильной плашкой "Я — ИНОАГЕНТ". Во всяком случае, я такие плашки вижу в некоторых каналах в телеге, что как бы намекает, что в России они доступны.

Не надо душнить, а. Вы как будто не в России живёте. Довольно много "иноагентских" сайтов именно что забанены Роскомнадзором по разным формальным причинам.

Я действительно не живу (и более того, никогда не жил) в России.

Довольно много "иноагентских" сайтов именно что забанены Роскомнадзором по разным формальным причинам.

Если 10% банят а 90% остаются, то логично предположить, что забаненые перешли некую черту, которую переходить не стоило и дело не в иноагентстве самом по себе.

И какой прок вас всех крепить?

Отвечает Рэй Брэдбери:
Тревожное ожидание. Улица в перспективе. Вот сейчас какой-нибудь бедняга выйдет на прогулку. Какой-нибудь чудак, оригинал. Не думайте, что полиция не знает привычек таких чудаков, которые любят гулять на рассвете, просто так, без всяких причин, или потому, что страдают бессонницей. Полиция следит за ними месяцы, годы. Никогда не знаешь, когда и как это может пригодиться. А сегодня, оказывается, это очень кстати. Сегодня это просто спасает положение.

Я не думаю, что Роскомнадзор будет заморачиваться с хитрыми эвристиками.
Будут банить "в ручном режиме", а когда припрёт - обрубят кабель (физически, логически или законодательно), и вся недолга.
Так что особенно выкручивать не потребуется - поначалу и так будет работать, а потом - никак не будет работать. Если уж готовиться, то к этом сценарию.

Мне кажется все придёт просто к белым спискам, хотите чтобы ваш ресурс был доступен - пожалуйста заявление в компетентные органы, срок рассмотрения 30 дней.

НЛО прилетело и опубликовало эту надпись здесь

не проще.
Для этого нужно: организация, обеспечить членов организации транклюкаторами, убедиться, что члены организации остановятся на цензорах, а не начнут превращать в кактусы обычных граждан.

А то помнится царя сбросили, а закончилось всё И.В.С.

Так ведь и хорошо закончилось - мы обязаны этому всеми нынешними (а не появились бы через век) технологиями.

Спасибо за доступное объяснение блокировок и способов обхода
Интересно, а на каком этапе здесь находится Tor?

Успешно блокируется. Без шаманства с бубном с коробки может не работать.

С ним все сложно. Простой Tor режется быстро и легко, потому что адреса всех guard nodes (к которым подключаются клиенты) опубликованы в общей базе в открытом доступе.

Есть более хитрый вариант доступа к Tor через так называемые мосты (bridges), подключение к которым обфусцировано. Они пока много где работают, но тут первая проблема в том, что они выглядят как "непонятные протоколы", и рано или поздно может случится "тут какой-то явно зашифрованный веб-трафик бегает, давайте его порежем на всякий случай", а во-вторых, адреса бриджей откуда-то надо брать - там, где их берут обычные пользователи (веб-сайт Tor, емайл-бот, Телеграм), там же их могут взять цензоры и забанить нафиг. У меня так РКН прихлопнул два бриджа, причем не только порты, но целиком их айтишники. Поэтому бриджи должны быть персональные и секретные.

Ещё есть такая штука как Snowflake, когда подключения к Tor идут через промежуточные прокси поверх WebRTC. Там слабым звеном является во-первых центральный брокер (он работает до тех пор, пока возможен domain fronting), а во-вторых, даже такие подключения цензоры иногда умудряются выявлять и блокировать разными способами.

Красноярск. Теле2 и Ростелеком. Тор работает только через snowflake.
Вы указали сайт tlsfingerprint.io, можете эту ссылку вынести под, что-то типо «Проверьте свой отпечаток», чтобы обогащать базу отпечатков. В статье много отсылок, ссылка не выделяется. Спасибо.

Закрепил ваш комментарий сверху, чтобы сразу было видно.

Спасибо

Они собирают отпечатки из кампуса университета. "Проверить свой отпечаток" что-то я там не вижу.

Почему все пишут про попытки технического обхода блокировок - когда успешные, когда не очень, вместо административной отмены блокировок в принципе? Это не политический комментарий в смысле призыва к чему-то или против чего-то, а просто вопрос без скрытого подтекста. Ведь проще отменить блокировки, чем с бороться с ними и одновременно оплачивать их усиление из собственных налогов.

Наверное, потому, что блокировки устанавливаются не голосованием на хабре, где притом половина комментаторов "а я умненький технарь, для себя сделаю вот это и вон то и мне нипочём". Поэтому ваше "проще" звучит прямо как "не проще ли отменить преступников, чем с ними бороться"? В каком смысле проще, если не секрет - в теоретическом?

За введение и дальнейшее усиление блокировок ответственны четко известные люди, занимающие четко известные должности. Эти должности либо выборные непосредственно (депутаты, президенты и т.д.), либо на эти должности назначают те, кого выбрали, т.е. выборные опосредовано. Преступники же неизвестны до тех пор, пока совершенное ими преступление не будет раскрыто, а вина - доказана. А если преступление не совершено, то нет (пока что) и преступников. Мне кажется, что вы непредумышленно, не злонамеренно использовали демагогический прием с подменой понятий и ложной аналогией, сами на него и попавшись. Могу ошибаться, простите.

Очень много слов, и очень мало по сути: какие "более простые действия" мне предпринять, чтобы блокировки отменили? Переизбрать президента и правительство?

Очень много слов, и очень мало по сути

Простите, я не имею ни права, ни желания, переставлять за вас ноги - ваш путь вы должны пройти сами. Это в общем. А в частности не просите меня уходить так далеко от комментирования статьи, что это нарушит и писанные, и неписанные правила Хабра. Мой изначальный комментарий был по сути статьи - обход блокировок, покуда возможен, суть тупик, тогда как решение носит не технический, но чисто административный характер. Используйте это решение вместо увлекательной, но гарантировано проигрышной игры в "ах, вы так, тогда мы вот так".

Переизбрать президента и правительство?

Это один из наиболее очевидных способов. Вы, кстати, его пробовали? Известны неединичные случаи, когда при формальной демократии и формально существующем выборном праве власть фактически захватывается и удерживается единоличным правителем, опирающимся на коррумпированных сподвижников. Тогда люди выходят на улицы и выгоняют зарвавшегося диктатора. Дальше вероятна либерализация и отмена блокировок вместо дальнейшего усиления блокировок и введения сначала административной, а потом и уголовной ответственности за их обход. Это, кстати, вполне реалистичный сценарий - сажать тех, кого удастся (или кого скажут) поймать для устрашения всех остальных.

А.. Ну да. Ведь проще организовать недовольных людей для свержения правителя и коррумпированных прихвостней, чем технически обойти блокировки, которые соорудили полтора каллеки за оплату 300$ в месяц.

В стране, где большАя часть верит в "непогрешимость" "солнцеликого".

Тогда люди выходят на улицы и выгоняют зарвавшегося диктатора.

Буквально пару дней назад попался прекрасный комментарий на эту тему:

...В современной истории нет случаев, когда тоталитарный или жёсткий авторитарный режим менялся только из-за протестов граждан. Во всех случаях, когда подобное случалось, обязательным условием был переход на сторону оппозиции полиции, либо военных, либо ещё каких-либо обладающих реальной властью сил - людей на улицах (даже с коктейлями молотова) недостаточно. В России ни первое, ни второе, ни третье в настоящее время невозможно. Лет 10 назад ещё возможно было, теперь время упущено. А что происходит с гражданскими протестами там, где описанное выше условие не выполняется, можно прекрасно увидеть на примере Беларуси и Ирана: власть просто топит протест в крови не считаясь ни с чем, и в итоге ничего не меняется.

Есть такое дело, что после войн образуется множество людей с оружием на рукой. Ну вот после Первой Мировой, например.

люди выходят на улицы и выгоняют зарвавшегося диктатора

Поделитесь своим опытом свержения диктаторов в России

Тогда люди выходят на улицы и выгоняют зарвавшегося диктатора.
Беларусь просто утопили в крови и пересажали всех, кто «шаг в сторону»

Здесь крови пока еще не очень много, но количество политзаключенных уже рекордное. Хотите выйти? Чтобы избивать потом омоновцем своими почками, а потом падать в обезьяннике на шокер в стиле «и так 30 раз подряд»? А потом запытать самого себя до смерти уже в тюрьме?

Увы, диктатуры живут десятилетиями, карательные механизмы подавления протестов — давно отлажены. Потому говногвардии не видно на войне — она нужна здесь, чтобы разгонять дубинками всех, кто хоть пустой листок покажет. А кто не просто листок покажет — того в штрафбат

Я вас по традиции по сути и по форме плюсую, хотя с вашим каментом согласен лишь более чем отчасти и имею немало что возразить. Но, буду честен, у меня имеется фобия - не знаю, как она называется по-научному, когда человек боится, что его каменты на Хабре похитит НЛО. Этот подспудный, неконтролируемый страх заставляет меня молчать.

Это называется «Fear of alien abduction» :)

О, спасибо, вам еще один - как обычно безоговорчно заслуженный плюс!

Добавил в букмарки, буду давать ссылку тем, кто боится здешнего НЛО ))
Вы, очевидно, не из России или Белоруссии раз плохо понимаете что такое узурпация власти и полицейское государство.

Так это же надо встать с дивана, создать крупную сильную организацию, вести какой-никакой диалог с чиновниками/депутатами/силовиками. Агитацию в массах проводить, проводить опять же. Для нашего брата неподъёмная ноша.

вести какой-никакой диалог с чиновниками/депутатами/силовиками.

Напомнило какой-то старый мемчик (картинку найти не могу, увы), где человек задвигает что-то про свои права, а его собеседник (бугай в два раз выше ростом) в ответ просто не задумываясь бьёт ему в голову.

Сначала надо создать организацию, а потом вести диалог.

В современном постсовке. Организацию. Где все те созданные организации?

Одни, помнится, в России создали организацию, которая даже пользовалась широкой поддержкой граждан, пытались добиться диалога, активно проводили агитацию, а в итоге их лидера сначала чуть не убили, а потом посадили вместе с рядом других активистов, организацию признали экстремистской и запретили, и остальные товарищи вынуждены были эвакуироваться кто куда чтобы их тоже не засадили.

Так план "создать крупную и сильную организацию, вести диалог, проводить агитацию" - отличный, надёжный как швейцарские часы.

Синие ведерки?

Как ФБР, только последняя буква не Р.

У них даже посты на Хабре были, но потом выпилили.

Слишком сложный намек ((

Видите ли, у меня тоже есть "Fear of alien abduction", а организацию эту с Хабра похитело НЛО. И тех, кто её часто поминает, тоже. Есть такая тенденция :)

Значит, для меня, это так и останется тайной ((

Первое слово в названии организации "фонд", руководил ей человек, известный как "этот господин", "упомянутый гражданин", "различный активист", "политический проходимец", "человек которого суд неоднократно признавал преступником" и "блогер Лёша".

Это НБП, что ли? Широкой поддержкой они не пользовались. Подвальный тем более.

Ну уж точно не НБП, этих фриков в приличном обществе даже вспоминать как-то не удобно. Но окей, давайте даже согласимся, что поддержка была "небольшая". Большой поддержи у вас самого начала по щелчку пальцев быть не может, она может только расти от "небольшой" к "большой". И пример выше - прекрасная демонстрация, что даже объединения с "небольшой" поддержкой в авторитарном режиме просто задушат на корню от греха подальше, и до "большой" поддержки дело даже не дойдет.

В приличном обществе вспоминать неудобно как раз Анального, который не просто постоянно врал, начиная с выборов мэра, но и не смог построить организацию, которая смогла бы существовать сама, без лидера - как только его закрыли, всё очень быстро развалилось. А те ребята что-то могли, не даром их запретили быстро - значит представляли реальную угрозу.

Что же касается поддержки, которая смогла бы стать большой - для этого нужны соответствующие исторические условия, о чем говорили те же большевики, численность которых на начало 1917 составляла около 24 тыс. человек - капля в море (население РИ было больше РФ сейчас). Если это отвечает чаяниям масс - пробьются, как в 1917; если же нет, как у коррупшенфюрера - она попросту не сможет расти до большой сама, не на чем.

Так это же надо встать с дивана

Задача практически непосильная, можно дальше и не продолжать, но для единичных исключиений, пожалуй, стóит.

Агитацию в массах проводить, проводить опять же.

Агитация обхода блокировок - это агитация заметания мусора под ковер. Казалось бы, благое дело - и в известной степени так и есть. Но в реальности это ловушка. В реальности борцам с блокировками позволяют (пока что) спустить пар и повоображать себя умными, тогда как на самом деле их просто уводят от root-проблемы к маловажным частностям. Просто замыливание глаз тем, кто иначе был бы в состоянии, в отличие от среднестатистического электората, увидеть суть. Как видим по комментариям совсем неглупых людей, замыливание успешное.

Я не хочу сказать, что не следует бороться с блокировками - следует. Я лишь хочу сказать, что не следует попадаться в ловушку, когда сиюминутная победа над блокировками означает растрату всех ресурсов на ложнцю цель и стратегическое поражение в целом.

Агитация обхода блокировок - это агитация заметания мусора под ковер

Я имею ввиду агитацию против блокировок вообще. Потому что, не удастся отказаться или серьёзно ограничить блокировки пока граждане в массе поддерживают их.

Возможно потому что ВСЕ блокировки отменить сложно.
Есть ДП (с кучей трактовок) к блокировкам которого относятся резко положительно многие.
Есть копирайтные блокировки которые из-за законов об АП а к самоей идее послать АП нафиг в принципе — многие относятся резко отрицательно.

Мне кажется, уже на третьем пункте можно прийти к заключению о том, что цели ради которых ты начинаешь заморачиваться всем этим техническим стаффом чаще всего таковы, что надо брать в руки оружие и цензурировать "цензоров", а не заниматься так называемой "адаптацией", тем более, что в рамках упомянутой в конце статьи "монополии на насилие" у террористической власти хоть Китая, хоть Туркменистана (*список стран с диктатурой и узурпированной властью) вся "адаптация" заканчивается фигой в кармане. Террористическая власть просто отнимет у вас девайсы вместе с "интернетом".
Чего я пока не могу понять, и что разочаровывало меня все эти годы на хабре: почему люди так упорно отводят глаза в сторону от логического заключения очевидных вещей.

> надо брать в руки оружие и цензурировать «цензоров»

Очень опасно и сложно, лучше живому и здоровому городить «домик» из проксей, чем помереть в неравной схватке с людоедами во имя всеобщего блага, логика примерно такая, а в остальном все всё понимают.

Вот когда совсем припрет, что то вроде продовольственного кризиса, когда станет все равно будешь завтра жить или нет, тогда можно будет увидеть что то интересное, но такой ситуации узурпаторы стараются не допускать.

Для политических действий нужно объединение, а РФ - страна атомизированных одиночек. Результат отрицания любых форм коллективизма после СССР. Поэтому городить в одиночку прокси - реально единственная стратегия, других просто нет (кроме как смириться).

Такое впечатление, что все забыли, как «успешно» свергли Лукашенко

Ну собственно для любого свержения нужна организация и ресурсы.
Как тут правильно заметили, при сильной сколь угодно диктаторской власти создать такую организацию внутри не реально. Значит это будет организация, финансируемая извне, с находящейся за рубежом значительной частью актива. Такие свержения/восстания, и то, чаще с вмешательством зарубежных активистов (например Ливия, Сирия) еще возможны.
Без иностранных ресурсов и интересантов возможны только дворцовые перевороты, когда в качестве ресурсной организации используется существующая армия или полиция.

В соседней Украине вполне успешно избавились от своего "легитимного", или как он там назывался.

Я бы не назвал это словом «успешно»…

Флегматично: зависит от того, что считать критерием успеха.

Я бы не назвал это словом «успешно»…

Люди на Украине перестали бояться.

Таки — там не было авторитарной диктатуры с карательными внутренними армиями

у-у-у-у-у… не хочу расстраивать, но они были и по факту многие остались на своих местах. и отморозки были точно такие же. дуболомы нужны любой власти. Да многое поменялось, но явно не все. Многие из дуболомов не только не лишились своих званий а пошли на повышение.
Надо понимать, что большая часть ментовских верхов очень хитрожопые и всегда стараются усидеть при любой власти. И если бы сопротивление граждан на Майдане не было настолько жестким, то дуболомы продолжили бы жестить ибо знали что ничего им не будет. Вообще-то они и жестили, но получив местами хороших таких люлей стали поаккуратнее. Надо понимать что они уж очень сцыкливые, могут только толпой на безоружного, а когда есть хоть шанс ответа сразу сливаются. Т.е. не было бы активного сопротивления на Майдане то "легитимный" гарантированно бы был при власти и ничего бы не поменялось.


Я помню протесты в Белоруси — там же чуть ли главный девиз был — у нас МИРНЫЕ протесты. Мы не такие как в Украине, мы цивилизованные. Только вот, к сожалению, цивилизованные и мирные методы против моральных уродов и дуболомов не работают. Для них это джекпот в плане выявления недовольный и для повышения скила сафари на гражданских.

Ну в Иране протесты трудно назвать мирными. Нифига не вышло, все равно задавили, неслабой кровью.

Зато у курдов в Ираке и Сирии скорее вышло чем нет.

Организованное вооружённое противостояние намного действеннее, чем мирный протест; но и намного дороже обходится всем участникам.

Весь вопрос, чей ты прокси. Курдов вроде слегка США поддерживают. Иначе бы их Турки с Ассадом на пару раскатали.

А талибы, захватившие власть в своей стране в 2021 - чьи прокси?

Кладбище империй особая тема. Прям реально особая, не знаю что о них и думать.

Сколько бы людей не вышло на протесты, но против, например, автоматического оружия, они бессильны. А у нас его полиция носит пусть и не регулярно, но вполне штатно. Не говоря уже про всякую Россгвардию, которая его как раз носит штатно. В Россгвардию у нас, кстати, распределяют не только контрактников, но и призывников, так что численность у неё должна быть не маленькая.

После что Первой, что Второй Мировой войн образовывалось большое количество людей с оружием на руках, приходилось принимать специальные меры. Когда это были лишь просто уголовники, решалось прекрасно. В 1917 оказалось несколько иначе.

Только я не понимаю, какое это отношение имеет к текущей ситуации. Танков на руках всё равно не окажется. А у государства есть и танки, и противотанковые вертолёты и даже красная кнопка «окончательного решения»

Если речь о вещах типа революции, то танки не помогли государству ни в 1917, ни в 1991.

В 1917 было немецкое финансирование, а в 1991 не революция была, а скорее «дворцовый переворот».

Да, ага, опять эти сказки. Что про немецкое, что про 91 - и танки на улицы выходили, и Манежную потом перестраивали именно затем, чтобы не могли больше многосоттысячные митинги (Навальному столько и не снилось) подходить столь близко к месту обитания власти.

То есть Ленина немцы не поддерживали?
Да и кроме немцев, свержение монархии поддержал, как минимум, флот в лице крейсера Авроры. А сейчас властям лояльны не только силовики, но и «глубинное государство», то есть сам народ, его нижняя прослойка.
А о том, что в 91 была не революция говорит хотя бы то, что власть осталась у «номенклатуры». Просто самую верхушку поменяли. И эта «номенклатура» во власти до сих пор и сидит. Обновилась немного, разбогатела ещё по больше, но сути не поменяла.

То есть Ленина немцы не поддерживали?

Ну камон, "миф о немецком золоте" очень легко гуглится.

Да и кроме немцев, свержение монархии поддержал, как минимум, флот в лице крейсера Авроры. А сейчас властям лояльны не только силовики, но и «глубинное государство», то есть сам народ, его нижняя прослойка.

Вот так и знал, не только сказки, но и каша в голове. Для начала, в 1917 были ДВЕ революции - Февральская и Октябрьская. Свержение монархии - это февраль, и там никакого крейсера "Аврора" и в помине еще не было. Его делали те, кого бы сейчас назвали как раз либералами. Более того, численность партии большевиков в начале 1917 составляла около 24 тыс. человек - это капля в море населения тогдашней РИ, превышавшего нынешнюю РФ. Да, Временное Правительство действовало настолько плохо, что, среди прочих, агитация удавалась большевикам, и к осени на их стороне оказалась часть армии и флот. Не очень большая - им помогло то, что тогдашнюю Росгвардию почти целиком отправили на фронт из столицы - дела там обстояли ужасно.

А о том, что в 91 была не революция говорит хотя бы то, что власть осталась у «номенклатуры». Просто самую верхушку поменяли. И эта «номенклатура» во власти до сих пор и сидит. Обновилась немного, разбогатела ещё по больше, но сути не поменяла.

Тут, пожалуй, вместо слова "сказки" надо что-нибудь другое... лубочное представление о мире, наверное. Он гораздо сложнее, чем в подобных пересказах рисуется. Так вот, революция - это смена общественно-экономической формации. То, что с точки зрения прогресса (то есть в данном случае регресса) её следует именовать с приставкой "контр-", с точки зрения свергаемого режима и устройства - дело десятое, их свергли. Далее, "номенклатура" - это крайне упрощенное название чиновничества/бюрократии в устах либерально-демократических мечтателей, оторванных от жизни. Самым коротким исправлением этой фразы было - что часть номенклатуры получила власть. А большая её часть получила шиш. И во власть выдвинулось большое количество людей, которые номенклатурой вообще не были (собственно, это они, нарождающиеся в 80-х предприниматели, и устроили передел собственности в сговоре с той небольшой частью номенклатуры, что до сих пор правит). А еще в некоторую часть старой номенклатуры - и вовсе так (например из танков в октябре 93) постреляли немношк))

Вот так и знал, не только сказки, но и каша в голове. Для начала, в 1917 были ДВЕ революции — Февральская и Октябрьская.

Если почитать историю Авроры, то можно узнать, что она участвовала в обеих революциях.
Тут, пожалуй, вместо слова «сказки» надо что-нибудь другое… лубочное представление о мире, наверное. Он гораздо сложнее, чем в подобных пересказах рисуется.

То есть сейчас Вы видете возможность новой революции?

Вот сейчас (= в этом году) - не вижу. Но вижу много исторических параллелей с Российской Империей начала XX века, так что тенденции идут именно туда.

товских верхов очень хитрожопые и всегда стараются усидеть при любой власти. И если бы сопротивление граждан на Майдане не было настолько жестким, то дуболомы продолжили бы жестить ибо знали что ничего им не будет. Вообще-то они и жестили, но получив местами хороших таких люлей стали поаккуратнее.
Если я правильно помню историю Майдана, то и мутный «Беркут» из автоматов толпу не поливал, и войска отказались «подавлять мятеж». Вот это очень важный вопрос при начале «сопротивления граждан» — готовы проправительственные силы на новое Кровавое воскресение и Тяньаньмэнь, или нет.

Или Новочеркасск 1962 (похоже на официальный сайт города, открылся только с Россйиского IP)

От своего - успешно. Сейчас им проблему создаёт "чужой" (относительно них).

Но его не боятся.

в Украине не было авторитарного режима, а вот в Беларуси - был.

Кстати — да
ОЧЕНЬ существенная разница!

в Украине не было авторитарного режима

Если придираться к нюансам, то наверное вы правы - на Украине до полноценного авторитарного режима просто не хватило терпения народа. А ведь успех был так близок.

а вот в Беларуси - был

То есть сейчас уже нет, да?

Встречный вопрос: а здесь — нет?

Встречный вопрос: а здесь — нет?

То, что для одного "здесь", для другого - вполне себе "там".

Конкретно здесь и сейчас, в этой самой России — авторитарная диктатура. И это не антисоветская пропаганда от врагов народа, достаточно просто открыть страничку в вики на эту тему и… И не найти отличий

достаточно просто открыть страничку в вики

Заблокировать, срочно!

Интнресно, что будет, если не сделать пометку о том, что этот камент шутливо-саркастичный, тем более что шутка не кажется прямо такой уж смешной, а до оригинальности ей и вовсе слегка бесконечно далеко?

Если совсем уж придираться, то он у них таки появился и есть. Прямо сейчас.

Он не так долго правил, чтобы создать систему, когда это невозможно.

Минусующие не замечают фактических запретов у них на оппозицию, закрытия телеканалов и прочие атрибуты куда круче нынешней РФ ? "Вы не понимаете, это другое" ?

Кстати, говоря о цензуре. Похоже модератор проснулся и закрыл статью "В России неплохо жить, даже если ты не разраб. Я вообще не думаю о релокейте" Успел сохранить :3

Да вообще, снесли мой самый заплюсованный за все время коммент. Обидно :)

"государство может начать противостоять административно (то самое монополие на насилие), причем так, что с вашей стороны, в свою очередь, технически противостоять может уже не получиться. " Ну что ж, welcome to 1917 v.2.0 ?

Собственный Socks5 прокси туннель (да, и прекратите уже называть прокси VPN'ом) с любым кастомным шифрованием пишется за полдня например на C#. Даже такой лентяй как я написал. Наверняка есть и готовые опенсорс решения для слишком занятых. Чат с друзьями реализуется через jabber сервер. Установка и настройка так же полдня от силы. Итого один день на полное решение всей проблемы приватности и интернет цензуры.

Вы статью не читали, да? Никто не путает VPN и прокси, я в статье разделяю эти понятия. И вся статья о том, что написанный за пол дня "socks с кастомным шифрованием" в долгосрочной перспективе, когда за это возьмутся, вам не поможет, не надо переоценивать себя и недооценивать врага. Это у вас не "полное решение проблемы", а только начало этого решения.

Shadowsocks и VMess - те же самые "socks с кастомным шифрованием", но в итоге цензоры всё-таки нашли способы к ним подобраться: replay-атаки, fingerprint'ы, сопоставление паттернов трафика (то же сравнение дампов или тот же tls-inside-whatever), и все остальные приколы, описанные в статье - там реально огромное количество неочевидных нюансов, без учёта которых ваш "кастомный протокол" рано или поздно где-то да проколется. Каких-то специфических вещей вы избежите, так как ваш протокол будет Неуловимым Джо (если им будете пользоваться только вы), а все остальное против вас сработает также как и против остальных.

И даже если у вас все сделано очень хорошо, от варианта когда цензоры задолбались и начали тупо резать все, что не смогли опознать, он вас все равно не спасет.

Спасибо за статью, возник наивный вопрос, а можно ли сделать протокол который при анализе будет выглядеть как запрос на условный яндекс, но вместо реального яндекса будет подключаться на наш VPS а потом куда надо? Довести по возможности до побайтового совпадения, так чтобы вообще в теории нельзя было сказать что там что то другое может быть? Или это невозможно?

Ну вот смотрите, к Яндексу у нас в наше время все подключаются по HTTPS. Допустим, мы подключаемся на наш VPS, но хотим чтобы казалось, что мы подключаемся к Яндексу, и поэтому мы в поле SNI (которое видно стороннему наблюдателю) поставим www.yandex.ru. Тупой механизм блокировок подумает "А, ну это Яндекс, все нормально", а вот умный механизм блокировок подумает "А там точно Яндекс?", и сделает запрос на IP вашего сервера от себя с SNI=yandex.ru. И тут проблема в том, что ответить как настоящий Яндекс вы уже не сможете, потому что у вас нет приватного TLS-сертификата Яндекса. Всё, unhappy end.

Но похожие механизмы маскировки под известные сервисы существуют. Например, domain fronting. Суть его в том, что существуют большие CDN и облачные хостеры, которыми пользуются тысячи сайтов. И у некоторых таких CDN фронтенд-серверы вели себя очень интересно - они отдавали контент с wildcard-сертификатом, при этом их мало интересовало, что именно вы передаёте в SNI, а вместо этого они смотрели HTTP-заголовок Host (он передается уже в зашифрованном виде и его не посмотришь). Например, вы можете сделать запрос к любому гугловскому фронтенда, передавая в SNI www.google.com или вообще без SNI, а внутри запросить maps.google.com, и получите Google Maps. И оттуда же были доступны сервисы, которые хостились на appspot.com :) - и тогда и со стороны, и при active probing все выглядело весьма прилично, да и популярные CDN цензоры банить боялись. Доступные возможности отличаются в зависимости от CDN/облака (где-то так удается раздавать только статический контент, где-то можно запустить какую-нибудь serverless-лямбду, а где-то полноценный сервис), но проблема в том, что крупнейшие хостеры типа Google и Amazon по каким-то причинам эту лафу прикрыли, в Azure, говорят, ещё работает, но тоже планируют прикрыть. Ну и как выяснилось, цензоры CDN банить не то что прям боятся - например, во время борьбы РКН то ли с Телеграмом, то ли с Навальным, они прихлопнули некоторые гугловские домены, и у людей перестали грузиться превьюшки на Ютубе.

И ещё один вариант маскировки под известный сервис. Мы подключаемся к нашему серверу как будто к www.yandex.ru, но при подключении наш сервер ожидает определенный TLS token. Если он есть и он правильный - мы открываем ларчик и работаем как прокси, если нет - переадресовввакм подключение "как есть" (даже без расшифровки) на настоящий Яндекс. Таким образом, насколько я слышал, довольно успешно обходили блокировки в Туркменистане, но проблема в итоге классическая - когда явление становится массовое, цензоры научатся высматривать токены и стрелять такие подключения.

Спасибо за столь развернутый ответ, в последнем случае разве цензоры смогут как то узнать о необходимости существования токена? Даже если явление станет массовым. Мы можем сделать помимо токена привязку к чему то еще, нашему IP + каким то другим характеристикам наших устройств, если цензор попытается делать много запросов, что то вроде фаззинга — блокировать самим подобные соединения за спам.

в последнем случае разве цензоры смогут как то узнать о необходимости существования токена?

Я глубоко эту механику с токенами не изучал и могу ошибаться, но судя по тому, что в этом случае есть возможность форвардить подключение на левый сайт as-is, в нынешней версии TLS они передаются в хендшейке ещё до начала шифрования потока. Соответственно, можно выявить ихтналичие и киллять такие подключения.

привязку к чему то еще, нашему IP

С IP идея тоже старая :) Есть такой класс программ, как knocker'ы, в том числе и https-knocker'ы: по умолчанию сервер маскируется под какой-нибудь левый сайт, но если вы сделаете подключение/запрос на какой-нибудь секретный URL (возможно даже на другом сервере), то на целевом сервере применится специальное правило фаервола, и, например, в ближайшие 5 секунд подключения именно с вашего IP будут обрабатываться по-другому (например, передаваться на прокси-сервер вместо веб-сервер). Правда, тут проблема в том, что сейчас у многих провайдеров повсеместный NAT и куча клиентов сидит с одного и того же IP. Достаточно поставить probe'лку за тем же NAT'ом и научить ее реагировать довольно быстро в течении тех же 5 секунд, как сервер ошибочно примет подключение от нее за "своих" - IP клиента ведь тот же самый.

Вот интересно было бы узнать, что это за механика с токенами, то есть как реализовано, соответственно можно было бы придумывать методы обхода выявления.

Прочитал RFC 8472 (оно уже не драфт). То есть Вы хотите сказать, что цензоры уже научились блокировать это, потому что оно присутствует в ClientHello ? Тогда есть другая идея: зашифровать knocking token внутри nonce/padding - тогда при несовпадении дальше пройдет самый обычный TLS-коннект на веб-сервер с котиками. А так оно будет выглядеть точно так же - ну рандом и рандом.

Поясните всё же, правильно ли поняты слова, что цензоры уже научились блокировать токены, или только у туркменов, или там (и где-то еще?) еще работает, или как?

Я не знаю достоверно. Тут на Хабре в комментариях к одному из постов был товарищ, который как раз рассказывал про этот механизм и про Туркменистан, но я сейчас не могу найти тот пост с теми комментариями. Но если я правильно помню, он рассказывал про это в прошедшем времени.

А для чего нужен Интернет без VPN?
Сам не сможешь подключиться к зарубежному серверу, твои коллеги не смогут работать удаленно во время заграничных командировок.
Не проще ли сразу физические оптические линки на госгранице отключить и превратить всё в Интранет?

Заблокировать абстрактный инстаграм у 90% аудитории не стоит почти ничего - просто раздаёшь указание провайдерам направлять траффик в блекхолл.
Следующие 5% уже сложнее - нужно блокировать общедоступные vpn/прокси и сервисы их продающие.
Следующие 2% это пользователи селф-хостед vpn решений которые блокируются либо блоком ip диапазонов популярных хостеров, либо DPI и блокировкой протоколов.
Следующие пол процента это криптошизикиэнтузиасты c шадоусоксами и прочей обфускацией траффика. И на этих можно найти управу, вплоть до аппаратно-ускоренной детекции c помощью ML.

А теперь вопрос. Если практика использования ресурса отмирает сама собой уже после первого шага потому что "раньше всё работало а сейчас чето нажимать надо, да и Вася с Машей больше тут не сидят", зачем тратить НЕВМЕНЯЕМОЕ количество ресурсов чтобы заблокировать ресурс строго у всех и каждого?

Так что перед тем как придаваться печали о том что технически отслеживается и блокируется, нужно задаться вопросом о том какую задачу решают блокировки.

> Если практика использования ресурса отмирает сама собой уже после первого шага потому что «раньше всё работало а сейчас чето нажимать надо, да и Вася с Машей больше тут не сидят», зачем тратить НЕВМЕНЯЕМОЕ количество ресурсов чтобы заблокировать ресурс строго у всех и каждого?

Этот вопрос пожалуйста переадресуйте властям Китая и Туркменистана. То что там пока еще что то работает — результат постоянной гонки страждущих свободного интернета.

То есть логически вам возразить нечего и вы апеллируете к китайскому опыту, утверждая что он обязательно будет применён?

Не надо подменять, речь не про "...обязательно будет применен", а про "...может быть применен".

Ваша ошибка в том, что Вы почему-то рассматриваете этот вопрос, исходя из установки, что лица, принимающие решения - разумные и рациональные люди. Хотя даже событиями прошлого года (а на самом и гораздо ранее) они прекрасно продемонстрировали, что это вообще не так, там до разумности и рациональности очень далеко.

Именно поэтому "надейся на лучшее, готовься к худшему".

событиями прошлого года (а на самом и гораздо ранее) они прекрасно продемонстрировали, что это вообще не так, там до разумности и рациональности очень далеко

Нет, там всё вполне разумно и рационально, если знать соответствующие вводные. А если эту логику продолжать до предела, то с определенных позиций и распилы с откатами весьма разумны и рациональны. Поэтому, например, к самому худшему готовить необязательно - китайского варианта можно не ждать, скажем.

На Кубе до некоторых пор Интернета, можно считать, что не было.

И ничего. Из других латиноамериканских стран прилетали люди с хардами, флешками, забитыми контентом, и этот контент расползался за неделю-другую по всему Острову.

Так что наличие некоторых точек обмена приведёт к тому, что свежие видосики, как Голливуда, так и оппозиции тоже будут попадать внутрь. Толку-то от них? Даже если вся страна их посмотрит.

Из других латиноамериканских стран прилетали люди с хардами, флешками, забитыми контентом, и этот контент расползался за неделю-другую по всему Острову.

Напомнило времена моему молодости, когда в нашем мухосранске интернет был либо только по диалапу, либо ADSL с адски дорогой помегабайтной оплатой. И друзья приезжали из Москвы с болванками и хардами привозя фильмы, музыку и свежий софт... :)

Если практика использования ресурса отмирает сама собой уже после первого шага потому что "раньше всё работало а сейчас чето нажимать надо, да и Вася с Машей больше тут не сидят", зачем тратить НЕВМЕНЯЕМОЕ количество ресурсов чтобы заблокировать ресурс строго у всех и каждого?

Спросите у китайцев и иранцев. Они уже дошли до того шага, где, как вы сказали, остались только "полпроцента с криптошизиками" и пока что, кажется, не собираются останавливаться. Возможно потому что Вася с Машей ниасилили нажать/настроить и больше там не сидят, но вот Петя осилил, посмотрел запрещенку, и на кухне расскажет Васе с Машей о том, что увидел.

но вот Петя осилил, посмотрел запрещенку, и на кухне расскажет Васе с Машей о том, что увидел

Это и есть причина по которой нет смысла заниматься блокировками дальше первого-второго шага, потому что даже один человек может запустить распостранение информации. Добиться стопроцентной блокировки возможно только обрубив магистрали и запретив въезд-выезд из страны. И как бы местная аудитория не рассказывала что "так всё и будет, живём почти в кибергулаге" - до этого ещё как до луны и даже дальше.

И да, аргумент - "китайцы делают а значит и мы будем" это не аргумент.

даже один человек может запустить распостранение информации
Вот только протоколы передачи информации «человек — человек» обычно не подразумевают контроля четности. Поэтому при передаче уже через третьи-четвертые руки информация иногда прекращает напоминать исходную. А еще, играя за плохих парней, в этот процесс передачи можно много чего подмешать.

Вот-вот, отравленный торрент, когда все раздают всем предумышленно искаженную кем-то информацию, бездоказательно (просто привычно) считающуюся достоверной.

Вот только протоколы передачи информации «человек — человек» обычно не подразумевают контроля четности.

Я конечно извиняюсь, но назовите хоть один протокол подразумевающий контроль честности передаваемой информаии.

Контрольную сумму то считают

Не честности, а чётности. Передачу массива байт от системы к системе можно устроить так, что на целевую систему придут именно те байты, которые были отправлены. Передачу информации от человека к человеку - нет: даже в разговоре двух людей уже есть минимум три источника ошибок (формулировка говорящим, различия в семантике языка, восприятие слушающим).

Технически — там не контроль четности, а контрольная сумма. Это не одно и то же

Ну да, контроль четности - это как бы на уровне отдельных байтов, а контрольная сумма - как бы на уровне выше, от пакетов до целых файлов или что там у нас будет в качестве логической единицы измерения целостного автономного куска информации или его самостоятельного фрагмента. Но как для оборота речи, пожалуй, эта неточность могла бы быть простительна.

Вот мне тоже показалось, что вы в слове четности лишнюю «с» приписали.
Хотя ваш вопрос тоже хороший, да )
Не как до Луны, а если темп сохранится, то лет 10 всего…

У меня facebook, в теории, работает. А на практике я туда больше не хожу. В моей ленте какая-то унылая жизнь осталась, но смысла в ней уже нет.

Перестал им пользоваться еще почти лет 5 назад (ну не считая изредка присылаемых ссылок на конкретные посты). Адовый UX же абсолютно.

Дело не только в UX, но и в том, что блокировки, даже если 10% смогут их обойти, разрушают комьюнити на заблокированых платформах, ведь 90% обойти не смогут.

Я немножко о другом. Собственно, и заблокировали-то его от того, что он не пользовался относительной популярностью (WhatsApp с ютубом же не рискнули). А не очень популярен он из-за неудобств. То есть еще до блокировок-то.

Инстаграмм и Твитер тоже заблокировали до кучи. А в моих кругах они довольно популярны (Инстаграмм был популярен, а Твитер и сейчас).

А смотреть надо не на свои кругу, а на общую статистику по РФ, например. У этих - меньше половины населения, например, а WhatsApp с ютубом - больше половины. Вот и не рискнули.

Будем надеяться, что и не рискнут. А то и там комьюнити распадётся (русские блогеры перестанут выкладывать видео ибо некому) и останется только мануалы на английском смотреть…

Вот не пойму чисто технически неужели не дешевле просто физически отключить кабели из-за границы? Ведь все VPN сервера там которые нужны для обхода блокировок, да и большей частью весь запрещенный контент за рубежом.
А для тех кому по работе надо или гос структурам, сделать специальный шлюз с подачей заявки и заведомо введенными фильтрами и черными списками

Чтобы каждая компания, каждый энтузиаст индивидуально подавал заявку на доступ к гитхабу и стековерфлоу?

Ведь оставлять их в публичном доступе нельзя. Там и так-то частенько публикуют репы с прокламациями и т.п. А уж если это останется единственным источником...

Вот допилят gitflic, тогда можно будет, наверное :)

Перейдём на fossil, делов-то.

Просто отключить физически кабели за границу (их не так много точек входа) на порядки дешевле и по реализации и по ресурсемкости, чем сидеть ловить "на каждом углу". Причем ладно бы ловить кучу, ведь за границу прям настырно (не по случайности) лезут реально единицы процентов. А за сложную инфраструктуру средств блокировки реально приходится расплачиваться всем в составе платы за услуги или налогами. Сразу решается вопрос со всеми "удаленно-из-за границы" работающими. Они все легализуются потому что придется подавать заявку на подключение.

Интересно есть цифры во сколько обходятся внедрение и поддержание работы всех средство блокировки?

Значит, ждём :/

"Скоро брат, скоро..." (с)

Для тех кому по работе сделают внутренние зеркала с модерацией и будут парсить всё туда. А шлюзы только для парсеров оставят.

Просто даже чисто экономическая сторона проблемы очень существенная. На зарубежные сайты стремятся попасть единицы, ну и некоторые случайно (просто сразу же неизвестно простому пользователю зарубежный или нет), а аппаратуры чтобы их не пускать туда нужно на многие миллионы долларов, и платят за это все кто и не думает о зарубежных сайтах, потому что всё это в тарифах и из налогов. Просто нелогично большинству платить огромные суммы чтобы не блокировать единицы.

Это чтобы пускать нужна аппаратура, чтобы не пускать аппаратура не нужна.

Просто нелогично...

С пробуждением!

Однако же закупается, разрабатывается и содержится оборудование именно чтобы не пускать и блокировать. Чтобы пускать единицы в условиях общей закрытости нужно минимум оборудования, а чтобы блокировать единицы на фоне общей открытости - нужно куча оборудования. Вывод логический - просто закрыть полностью, а давать доступ по заявкам тем кому нужно. Ну и по справедливости и оплата - платить за доступ будут те кому нужно, а не как сейчас за сложную блокировку платят все

Закон о запрете VPN и анонимайзеров в целях обхода блокировок в РФ уже есть. Запрет использования несертифицированных средств шифрования - тоже

а начиналось всё на сколько помню с речей о защите детей и борьбой с детским порно.

самый популярный новостной сайт в Беларуси, который теперь работает из-за границы, пошёл путём регистрации новых доменов в ответ на каждую блокировку. ссылки на статьи распространяются через телеграм канал. за подписку на канал грозит уголовка, за пересылку ссылки на статью гарантированы 15-30 суток в пыточных условиях (приходит к вам милиция как к неблагонадёжному, который засветился 2 года назад на марше, подключает ноутбук и потрошит в автоматическом режиме ваш телеграм).

в принципе доменные имена могут и неделю работать, наверно подустали банить, хотя другие сервисы могут забанить и за часы. Ну и ещё зарисовочка по ситуации для граждан соседней страны, которую это всё ждёт: забанены наверно все новостные и аналитические сайты в принципе, кроме onliner.by который сочетает в себе и подобие яндекс маркета (наверно только по этому). Подумаешь сайт о хипстерах, моде и городских мероприятиях - в БАН, говорите у вас сайт про банковскую систему и финансы? - вы что-то не хорошее пишете о ситуации в стране, вам тоже бан. Едва не заблокировали dev.by но видимо руководство парка высоких технологий отмазало, хотя владельца спецназ всё равно помял (маски шоу главное, чтобы тикток работал, они его смотрят). Так что совсем не обязательно что будут банить только идеологически не правильные сайты, если система испугается, то банить будут всех подряд кто работает просто независимо и имеет влияние на аудиторию в десятки тысяч людей. А напринимать законов об уголовной ответственности за подписки, за написание инструкций о методах обхода блокировки и т.д. можно запросто и по команде МВД начнёт всё это исполнять, ведь это простая работа, которая обеспечит погоны звёздами.

но вы забыли тот пункт где поголовно всё население будет желать функционерам смерти от рака. а то и нерадивая медсестричка в больничке будет им при заборе крови раковые клетки трансплантировать. доказать ой как сложно будет.

население уже желает, за что тоже бито оказывается. Министр иностранных дел (и правая рука) недавно умер - власть кидает людей на сутки (минимум), всех кто плохо в комментариях о нём написал или слишком сильно обрадовался. Там судя по всему даже за лайк ловить пытались. Человек 150 точно сидит по УК за оскорбление президента в интернете, чтобы его оскорбить достаточно даже в личной переписки плохо отозваться. А больничку верхушка себе построила, больше проблем у обычного населения, ведь много толковых людей поувольняли, благодаря "цифровому концлагерю" (и кстати делают это до сих пор, потому что всех сразу не "обработаешь") начиная от ЖД, заканчивая больницами. В общем идёт дрессировка населения как когда-то при Сталине, а прошлые годы были видимо чем-то вроде НЕПа, ждём когда «сталинисты» начнут мочить «троцкистов», но это года через 2-3 минимум.

Вот есть такой впн: У дяди Вани. И он ваще не блокируется.

Что наводит на определенные подозрения...

о его скажем так прозрачности...

Там внутри, судя по сайту, Shadowsocks.
И если это Shadowsocks-2022 (с AEAD), то в плане устойчивости к блокировкам это уже гораздо лучше, чем популярные протоколы у многих других VPN-провайдеров.
Но вопрос с прозрачностью по-прежнему открытый, да. Там российское ИП со всеми вытекающими.

Есть такой мануал: https://habr.com/ru/post/687512/. Можно в браузере настроить SwitchyOmega в режиме autoswitch, то есть использовать такой прокси для доступа только к заданным доменам.

Я так понимаю, что в контексте пункта 5) здесь будет доступ rule-based, но даже если сработает какой-то яндексовский скрипт на запрещенном сайте, то этот скрипт будет загружен уже по прямому соединению, минуя прокси. С SSH более-менее понятно, распознаются сигнатуры туннеля, плюс нетипично, что по нему гоняются огромные объемы трафика. А можно ли будет детектировать такой вот dumbproxy?

Это весьма неплохой вариант. Плюсы: обычный TLS снаружи; устойчивость к active probing (но нужно обязательно настроить опцию 'hidden_domain', иначе ой); TLS fingerprint как у настоящего браузера, т.к. клиентом является настоящий браузер.

Единственное в чем может быть проблема - нет никакого паддинга. Такой TLS-inside-TLS выявить возможно, но весьма нетривиально, и я сильно сомневаюсь что отечественные цензоры в ближайшие годы такое осилят.

Cвежий проект https://github.com/fathyb/carbonyl
Хромиум рендерящий в терминал, ну те паттерн тоже можно угадать, но хоть какой-то баланс между удобством использования браузера, объемом трафика и использованием обычного SSH.
Пока придется собирать патченный хромиум из исходников, скоро обещают бинарники.

Есть же Lynx / eLynx и аналоги.

Как ни странно, пятый пункт решается обычным Антизапретом, настроенным на проксировние через v2rayA/shadowsocks-windows или любой другой прокси клиент

Спасибо за статью! Хотел только добавить, что на мой взгляд нельзя такие вещи и процессы, как анонимность (пользователя или личности) рассматривать исключительно в техническом ключе. Всегда нужно добавлять и общественные процессы и влияния, т.е. нужно всегда помнить про законодательство и совершенно легальные методы воздействия на эти законодательные процессы. Например такие партии в РФ как "Пиратская партия" и "Либертарианская партия" всегда делали акцент на право анонимности в виртуальном пространстве. Понятно, что в РФ на 2023 год говорить о возможности влиять на законодательные процессы, это простое сотрясание воздуха, но в Европе и США, есть примеры "анонимного" законодательства .

https://habr.com/ru/company/digitalrightscenter/blog/329050/

На мой взгляд, это очень большая ошибка многих участников Хабра (да и не только их) пытаться отгораживать себя от всего, что связано с "политикой".

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Публикации

Читают сейчас

Истории

Идём на «Импульс Т1» по дороге из жёлтого кирпича
Как стать супергероем
Рейтинг IT-брендов работодателей 2023
Активность найма в 3 квартале 2023
Топ-7 годных статей из блогов компаний
Сколько тратят в IT: сеньор бэкендер
Перевернуть календарь и добавить событие

Работа