Просмотров: 50023

Рунет обреченный. Часть 2


Это продолжение первой части статьи, где мы обсуждали технические возможности государства, на которые некоторая часть ИТ-публики смотрит явно сквозь розовые очки. Речь шла о том, что методы обхода грядущей цензуры и фильтрации Рунета ограничены. В результате мы выяснили, что «приделывание колес» к своему серверу не спасет поросенка Петра от нависающего над ним дамоклова меча интернет-цензуры.

Сегодня мы продолжим эту актуальную тему и рассмотрим все три режима работы оверлейной сети Tor, которая нынче у многих на слуху и на которую многие возлагают неоправданно большие надежды. Также под катом речь пойдет о Great Firewall of China и его составляющих: Deep Packet Inspection, Connection probe и Support vector machines.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Давайте начнем с наиболее расхожего мифа — о якобы непобедимости TOR и I2P для любых форм ограничения и цензуры сетей.

О Tor’е централизованном замолвите слово

Итак, Tor не является полностью децентрализованным. И это создает вполне реальные проблемы, поскольку если запретить или ограничить доступ к корневым серверам, хранящим список доступных узлов (реестр входных точек, Tor enrty nodes), то система рушится (это т.н. «bootstrapping problem»). Например, заинтересованные могут глянуть текущий список IP всех входных нод в удобоваримом виде здесь или здесь — это входные ворота в мир Tor’a, которые можно забанить.

В общих чертах логика работы системы в штатном режиме такова:

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Хочу подчеркнуть, что подобные потенциальные проблемы блокировки — это вовсе не результат «кривой» реализации I2P или Тора — такие проблемы неизбежны by-design. Tor — это оверлейная сеть, это своего рода «надинтернет». Она не только в этот самый «регулируемый интернет» лезет за стартовыми адресами для своей инициализации, она через него дышит и живет, прокачивая свои данные и осуществляя адресацию. При таком раскладе довольно тяжело (невозможно?) абстрагироваться от нативных свойств IP-адресации, на базе которой и создали некую вывернутую наружу по своим свойствам абстрактную антисистему.

Правда, в отличие от тормозного задыхлика I2P (о котором мы поговорим ниже), в Tor предусмотрен второй эшелон обороны для случаев своего подавления, это так называемый «сетевой мост» («ретрансляторы типа мост», Tor bridge). И если с обычным режимом Tor все ясно — уже во многих странах мира Tor заблокирован, — то его «усиленные режимы работы» стоят отдельного рассмотрения, поскольку именно это решение часто называется некой вершиной среди инструментов пробивания государственного цензурирования и контроля.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Тор в квадрате: сетевые мосты

Итак, в некоторых технических кругах считается, что полностью заблокировать Tor с помощью блэклиста нельзя, потому что он имеет специальный адаптивный механизм для обхода подобных блокировок через приватные bridge-узлы. Но отличие в работе лишь в том, что если обычные Tor relays доступны через публичные списки, то Tor bridge — это точно такой же входной Тор-узел, но выдаваемый приватно, который следует самостоятельно не привлекая к себе внимание узнать и забить в свой Тор-браузер.

Таких узлов достаточно много, но выдают их в лучших конспирологических традициях — по личному запросу с почтовых ящиков в домене @gmail и @yahoo, при этом в теле письма необходимо указать обязательную сигнальную строку-пароль: ’get bridges’ (с недавних пор также есть веб-форма, защищённая от любой тоталитарщины капчей).

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Этот вариант хоть и делает жизнь пользователя неудобной, потому как требует время от времени искать и менять адреса бриджей (они также выявляются и банятся), но, тем не менее, вся эта мелкая возня усложняет жизнь властям — теперь нет единой центральной точки-списка (Tor directory), через которую можно было бы забанить всю Tor-сеть одним махом.

Это нововведение привело к новому витку противостояния. Забегая вперед, констатирую, что эта проблема со стороны властей была успешно решена посредством следующих трех ингредиентов:

  • deep packet inspection для SSL;
  • избирательная блокировка определённых сочетаний IP-адресов/TCP-портов;
  • фильтрация по определенным ключевым словам и сигнатурам, характерным для Тора.

Этого достаточно, чтобы надежно и полностью заблокировать работу Tor’a в том числе и в режиме «сетевых мостов», что успешно продемонстрировал на своем примере Иран. Всего лишь два ИТ-специалиста Ирана полностью нейтрализовали все старания мирового сообщества, при этом сделали они это по-честному — обычный SSL/HTTPS продолжал работать более-менее исправно.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Потом этот же трюк повторили Китай и Эфиопия, полностью зарубив весь свой Тор-трафик, включая приватные мосты.

Вот так примерно это выглядело для случая Эфиопии:

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Периодически это случается и в Беларуси, разве что в более топорном исполнении — здесь блокируется весь https-трафик во внешний мир (а на покупке DPI драгоценную валюту можно и сэкономить).

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Tor obfsproxy: высшая магия скрытности

В случаях с Эфиопией и Китаем Tor Project не сдался, он ответил довольно навороченным решением — обфусицированной версией моста (obfuscated bridges, obfsproxy), которая подмешивает левые данные/пакеты, и создает что-то вроде «полиморфических» заголовков/пакетов, чтобы напрочь стереть идентичность или любую ассоциацию каждого отдельного пакета с Тор. Еще раз — это не какое-то принципиально новое решение, это просто возможность самостоятельно находить и прописывать у себя non-public Tor’s relays с поддержкой этой новой фичи-враппера, реализованной в виде подключаемого модуля.

Вот как выглядит логика работы Тора в таком «сверхсекретном» режиме:

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Да, это устранило проблему автоматического обнаружения и блокировки точек входа на транзитном шлюзе во внешний мир. Но это не решило вторую проблему: как только адреса таких обфусицированных серверов становятся известны в паблике — их IP-адреса тупо банятся в точке интерконнекта. И снова придется искать девственно новый obfsproxy, чтобы получить выход в мир иной...

Мою претензию к все возрастающей сложности мер противодействия, типа obfsproxy, можно пояснить на примере: если государственную границу ежегодно нелегально пересекают тысячи человек (и некоторые из которых, судя по всему, делают это вполне успешно), то для рядового человека «это удовольствие» практически недоступно — уж слишком много специфических умений и знаний оно требует. Obfsproxy — это реализация принципа security thru obscurity, его сила не в «пуленепробиваемой для цензуры технологии», но исключительно в секретности (или приватности) IP-адреса входящей Tor-ноды.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Постепенно такие узлы подпадают под бан, в таких случаях приходится снова искать новую рабочую ноду... эта технология не блещет совершенством технического решения, скорее это напоминает попытку взять измором одну из сторон-участников процесса противостояния...

Obfsproxy — современный неуловимый Джо

Ради справедливости стоит все-таки признать, что подобные блокировки на уровне государств заточены исключительно на стандартные и массовые решения. Как минимум, пока. Что отчасти объясняет (по принципу «неуловимого Джо») теперешнюю «рабочесть» технологии Obfsproxy — крайняя малочисленность ее пользователей.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

К примеру, я знаю российского журналиста, которому коллеги делали туннель для перегонки его видео из Ирана, для чего хватило GRE based vpn’s SSH и socks/tun over ssh, что работало на ура. Джуниперовский VPN (443 порт) тоже работал в тех краях абсолютно без проблем.

Короче, если за дело брался высококвалифицированный техногик с соответствующей поддержкой из-за рубежа — этот сим-сим тут же отворялся, выпуская дух свободы наружу. Да, хорошо иметь друзей-технарей снаружи сетевой клетки, которые готовы тебе помочь в обходной коммуникации (в сущности, в сборке "на коленке" некоего кастомного решения), но что делать остальному подавляющему большинству простых смертных?

Иногда возникает впечатление, что подобные блокировки — это пережиток азиатчины, — но это далеко не так. В декабре 2011 года подвиги Ирана решил повторить Казахстан — наш сосед по Таможенному Союзу. Его крупнейший транзитный оператор KazTransCom начал фильтровать свой трафик, используя расширенный DPI (по китайскому варианту). При этом он довольно хорошо чистил трафик от всех потенциальных разносчиков запрещенной информации: Tor, Tor в режиме бридж, IPsec, технологии на основе PPTP, а также от некоторых вариантов VPN работающих на базе SSL...

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Для таких случаев ответ проекта Tor остался неизменен — Obfsproxy.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Но прогресс не стоит на месте — в последнее время появляются сложные методики обнаружения Tor и в режиме Obfsproxy. Для этого применяются timing-атаки или вычисляется процент энтропии (естественности) пакета, но... пока это достаточно сложно и дорого для того, чтобы массово реализовать в режиме реального времени сразу для всей страны. Впрочем, имя ключевой технологии, которая убьет Obfsproxy и ему подобных уже известно — это SVM (о ней более подробно ниже).

I2P — последнее прибежище негодяя техногика

Очень кратко остановимся и на I2P — несмотря на множество романтического бла-бла-бла в околотехнической среде — это не полностью децентрализованное p2p-решение. Так, при первом запуске I2P список всех активных узлов сети также тупо выкачивается в виде тарбола с «этих ваших интернетов» (служебный файл-список i2pseeds.su3 размером порядка 100K). Эта процедура стартовой инициализации называется здесь как reseed . В последнее время разработчики прячут эти специальные инит-сервера напрямик вшивая их в код клиента (только это большой-большой секрет, только между нами!).

Таким образом, внимание: в любой момент времени публично доступен актуальный список адресов всех «стартовых серверов» (reseed list) этой пиринговой сети. Ну, и что стоит их банально забанить нахрен? Здесь даже дорогие DPI не нужны...

Именно таким образом в Иране и Китае динамически блочатся все адреса с которых бутстрапится I2P, посему эта «децентрализованная» сеть уже давно недоступна с их территории.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Более ясно написали в ченжлоге прошлогоднего релиза I2P:


«Routers in certain countries will now automatically enable hidden mode for increased protection... For the list of countries see the thread on zzz.i2p. The only country on the list that has more than one or two I2P users is China.»

Поэтому давайте оставим в покое «неуязвимую» I2P вместе с теми самыми непобедимыми как Чак Норис «more than one or two I2P users in China».

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Фильтрация по-взрослому: китайский опыт

Самое время перейти к рассмотрению передового китайского решения, элементы которого использует как Казахстан, так и Эфиопия. И как мы читали ранее — вероятно, именно это оборудование для «восстановления попранной законности» и собирается применить Ростелеком.

Описание текущего положения дел на китайском сетевом фронте начну сразу с фактов: на данный момент Great Firewall of China (GFoC) достаточно надежно блокирует весь национальный трафик из/в систем TOR, I2P и частично VPN. Технически это достигается сочетанием трех технологий-столпов:

Симбиоз данных методов фильтрации позволяет автоматически распознавать тип шифрованного трафика с высокой степенью точности. Так как о DPI я уже упоминал выше (более подробно смотрите о нем в первой части статьи), то здесь дам лишь краткое пояснение относительно малоизвестных у нас технологий — это connection probe (иногда ее же называют reverse probe) и специфического приложения теории SVM.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Тактика connection probe заключается в том, что любое подозрительное (по самым общим критериям) исходящее соединение во внешний мир замораживается в точке интерконнекта, после чего по указанному целевому адресу уже от имени правительственного сервиса инициируется опережающее соединение к destination IP:Port (к которому изначально и пыталось обратиться удерживаемое соединение).

Далее проводится попытка самостоятельного тестового подключения-сканирования. Если ответ сервера-назначения подпадает под паттерн запрещенных сервисов — удерживаемое соединение клиента принудительно рвется.

Таким образом, чтобы преодолевать connection probe, теоретически нужно обфусицировать поведение не только клиента, но и сервера/протокола, его обслуживающего. Учитывая, что весь трафик в поисках крамольных сигнатур параллельно молотит все тот же DPI, то все, что преодолеет подобную комплексную защиту, — уже будет очень слабо напоминать оригинальный протокол или первоначальный сервис.

Подобные защитные схемы вынуждают создавать для их преодоления узкоспециализированные кастомные сервисы «под заказ», которые, будучи обнародованы и выложены в паблик, — сразу же попадают в стоп-лист GFoC.

Здесь работа специалистов китайского НИИ Сетевой Цензуры и Пропаганды аналогична подходу антивирусных компаний, и в данном конкретном случае DPI — это поиск по сигнатурной базе, а connection probe — своего рода «запуск соединения под отладчиком», который выявляет и блокирует «нестандартные клиенты», позволяя нагло вклиниваться третьему лицу непосредственно в интимный процесс их хэндшейка (tcp session handshake).

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Третий столп — уже упомянутый Метод опорных векторов (SVM, support vector machine) — это известный алгоритм машинного обучения, который очень эффективен, когда возникает необходимость автоматически классифицировать разнородные данные. Иначе говоря, машина опорных векторов — это самообучающаяся на базе статистических методов программа, которую можно представить как двухслойную нейросеть (RBF-сеть). Желающие более полно познакомиться с математической стороной теории могут вот здесь (рус.) глянуть тематическую брошюрку от сотрудника Яндекса, а также прочитать дополнительное введение в теорию SVM (англ.) и пример ее простейшей реализации на С.

Продолжая нашу антивирусную аналогию, SVM — это своего рода эвристический движок, позволяющий с высокой степенью вероятности идентифицировать в обилии разнообразных полиморфических штаммов оригинальный вирус, чтобы принять в отношении него адекватные меры. Таким образом, с помощью SVM признаки различных протоколов и их характерные паттерны вычленяются даже в специально обфусицированном потоке данных, и чаще всего это реализуется в виде продвинутой AI-надстройки над «сверхглубокой молотилкой пакетов» — DPI (два в одном). Именно на ее развитие возлагаются надежды по обнаружению технологий типа Obfsproxy (первые успехи уже имеются).

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Переходя к частностям, именно с помощью connection probe Китай регистрирует, например, SSH (вот пример такой технологии). Типы SSL-трафика данный комплекс технологий также более-менее успешно разделяет (вот дополнительное описание, видео mp4, 600Mb) этого процесса по отношению к Tor).

Об особенностях борьбы с VPN мы поговорим более подробно в следующих статьях этого цикла, но раз уж мы коснулись Китая здесь, то сообщаю: на данный момент власти Китая согласовывают законодательный проект, который предполагает разрешение VPN для лицензируемого использования.

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Иначе говоря, у юридических лиц для служебных нужд будут свои лицензированные тоннели (это будет свой собственный китайский софт), которые не будут блокироваться на трансграничном шлюзе, а физическим лицам все принудительно «порежут».

А детектирование VPN сведется к обнаружению и проверки валидности вшитой лицензии «лицензированного» тоннеля, а также к тупому «дропанью» всего остального зоопарка VPN.

Следствие всего сказанного -> немного статистики

Логично будет завершить данный теоретический экскурс статистикой количества активных пользователей Tor из ряда отобранных мною стран (ниже выборка: daily active Tor users both direct and bridge, per month by country):

статистика использования Тора Tor, количество пользователей Tor, регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Как видно, количество пользователей Tor Onion из многомиллиардного Китая даже меньше количества пользователей оной сети из Беларуси, хотя масштаб двух этих стран просто несопоставим. С одной стороны, можно подивиться изворотливости этой «отборной китайской тысячи», но с другой — кто будет спорить, глядя на эти результаты, что блокировка в масштабах всей китайской страны работает очень даже неплохо?

Если учитывать население Китая и количество прорвавшихся через его сетевую границу, то, соблюдая пропорции, при подобной блокировке в России наружу выползет около 100–150 человек максимум...

Короче, говоря о нашем будущем, важно запомнить главное:

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

Принципиально-очевидные выводы, которые можно не читать

Закрывая тему, давайте кратко подытожим и осмыслим всё сказанное ранее в двух частях.

  • Техногики ошибаются, сильно недооценивая государство им противостоящее. Как правило, они видят в качестве оппонентов неких низкоквалифицированных «студентов ПТУ-шников», которые пытаются на коленке «изобретать велосипеды» (вероятно, рядовые чиновники и производят такое отчасти лоховатое впечатление). И хотя в отношении некоторых небольших государств это верно, ведущие мировые державы могут позволить себе нанимать чрезвычайно квалифицированных сотрудников, предлагая им пиковые зарплаты на рынке. Даже глобальным именитым фирмам потенциально сложно конкурировать в этих вопросах с «федералами» по степени своей привлекательности, если они действительно захотят сделать кому-то оффер. Поэтому мой совет: не стоит недооценивать этих людей, если перед ними будет поставлена задача «быстро сделать вам проблему».
  • Техногики допускают довольно обидный промах, полагая, что если они с помощью сильной криптографии обеспечат анонимность содержимого своего трафика, то, якобы, это само по себе гарантирует их безопасность. Как я уже объяснял в первой части — нужно быть проще. Например, если тот же VPN будет юридически запрещён, то вовсе не нужно как-то расшифровывать этот защищённый трафик чтобы уличить кого-то в распространении «запрещённой информации» (sic!) — сам факт использования VPN/Tor будет незаконным со всеми вытекающими отсюда уголовными последствиями. А детектирование использования этих сервисов конкретным абонентом ISP — по нынешним временам дело и вовсе плёвое.
  • Да, любые «общественно-мотивированные» и благовидные причины блокировки будут использоваться в том числе для ограничения свободы слова. Проще пояснить это на примере: сначала Великобритания запретила онлайн-порнографию, а буквально через месяц начала массовую блокировку зарубежных VPN-сервисов под предлогом «их использования подростками для незаконного доступа к порнографии». Власти Австралии также собираются последовать примеру Туманного Альбиона в самое ближайшее время.
  • Повторю главный тезис, озвученный ещё в первой части: нет, техногикам не поможет их техно-крипто-пиринг магия, если государство проявит политическую волю и действительно захочет положить конец интернет-вольнице. К сожалению, инициатива и право «последнего слова» в этом вопросе принадлежит вовсе не интернет-населению Рунета (ба, сколько напускного удивления: петиция об отмене 187—ФЗ недавно набравшая 100 тыс. голосов — полностью проигнорирована властями, — кто бы мог подумать, да?), а регуляторам территорий (клан «siloviki», см. Теорию Операторов), на которой они физически восседают.
  • Решение этой и других проблем лежит не в ещё большей инкапсуляции и децентрализации в рамках сети (создание нового Super-Mega-Obfsproxy), не в ещё более глубоком погружении в виртуальность, но за пределами самого интернета. Логичная попытка государств устранить нынешний диссонанс, — когда в риале рот раскрыть без последствий невозможно («больше трёх не собираться»), а в сети местной «мерзкий госдеповский аноним» своей мыслью крамольной и античиновничьей тысячные аудитории поливает, — уже начата и, безусловно, вполне осуществима. Не нужно бороться с тупиковыми сетевыми следствиями, когда есть «риалные» причины происходящего, господа техногики.

    Попытки же культивирования бессмысленной по своей сути, на каждом очередном витке, «гонки вооружений», для лобового столкновения с интересами государства — не только контрпродуктивны, но и обречены на поражение. Они также противоположны тому единственному пути во вне, который я лично назвал бы как «Вектор Навального» — то есть девиртуализация и выход из сети в риал, для активного участия в политике и общественной жизни нашей многострадальной и отчасти уже фантомной Родины.

К сожалению, есть вероятность, что поезд этот уже давно ушёл...

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

... и, в результате «этого развития», совершенно согласен с опасениями главы Google Russia ...

регулирование интернета, цензура, рунет, VPN, анонимность, I2P, tor onion, блокирование интернета, пиринговые сети, запретная информация, DPI, сетевой мониторинг, SVM, Connection probe, запретная информация, пиринговые сети, блокирование интернета

~

Окончание этой серии — почему не стоит огорчаться, или почему Роскомнадзор не сможет осуществить всего вышесказанного (немного умеренного позитива).

dev.by, 2013

twitter.com facebook.com vkontakte.ru odnoklassniki.ru mail.ru ya.ru pikabu.ru blogger.com liveinternet.ru livejournal.ru google.com bobrdobr.ru yandex.ru del.icio.us

Подписка на обновления блога → через RSS, на e-mail, через Twitter

комментариев

Следите за комментариями по RSS
  1. Володимир

    Техногикам всёравно чё там придумают власти, потому что единственный реальный способ прекратить обмен информацией — это отключить интернет полностю. Других реальных средств нет. При обмене информацией между двумя источниками всегда есть некоторая энтропия. Под эту энтропию всегда можно замаскировать информацию.

    Например в фотографиях сделанных в темноте есть много случайного шума. Этот шум можно сделать не совсем случайным. Отличить случайный шум от не совсем случайного шума ну очень тяжело. При желании, включить 100Кbit нелегального трафика в 100Gbit легального можно всегда (например через случайные задержки между обычными пакетами TCP). Так же снимать/внедрять информацию и на промежуточном оборудовании без изменения проходящих данных не очень тяжело.

    Ґики много чего умеют. :-)

  2. Евгений

    Есть ещё пара моментов, не упомянутых автором.

    Во-первых, по идее государству нет особого смысла полностью болкировать упомянутые взможности. Достаточно сделать их использование возможным "только для гиков". Например, найти и заюзать Tor-браузер может любой не-гик. При блокировании публичных нод нужно сделать действия, труднодоступные "Тёте Вале", а включение какого-нибудь "хитрого режима" уже недоступно практически всем "хомячкам". Чуть-чуть надавить - и для работы с Tor потребуются знания, "запредельные" для хоум-юзера. Самый популярный вопрос на "Ответах Мейл Ру" - где скачать такой-то фильм без торрента. Хомячкам недоступен даже торрент - они его использовать не умеют, не говоря уже о каких-то настройках.

    Второй момент в том, что запретив использование каких-то программ, можно банально отследить наличие этой программы на компьютере. Антивирусами пользуетесь? В два счёта можно договориться с производителями о некоем модуле, "стучащем куда нужно" о присутствии такой программы. Да просто занести сигнатуры в базы антивиря - и больше половины пользователей проблему не решит.

    Достаточно довести задачу до степени "доступно только для гиков", а гика поставить в ситуацию "можно легко схлопотать не по детски".

  3. Я бы добавил два мема:

    1. Вот это поворот.

    2. Сначала вы создаете Интернет. Потом его запрещаете. Не надо так.

  4. Как я понял, из вышеописанного, технология JonDonym/AN.ON теперь тоже груда бесполезного кода. Жаль, почти три года ей пользовался...

    Ну а что делать то, куда прибиться? Хоть на бытовом то уровне есть возможность чутка прикрыться? Или всё так кисло, что горько... Будет про это что или остановимся на трагической ноте?

  5. Наше имя Легион

    Паранойкой попахивает.

    Что мешает мне снять за полтишок пер манс тазик где-нибудь на забугорщине и построить собственный туннель на нестандартных портах, нестандартных протоколах и т.п.? :)

    Что мешает использовать стеганографию?

    Что мешает поиздеваться над тазиками, крутящими DPI, уложив их с помощью небольного, но эффективного флэшмоба (что-то а-ля DDOS)? :)))

    ...

    Смысл: закрыть Сеть, можно лишь

  6. Наше имя Легион

    Смысл: закрыть Сеть, можно лишь уничтожив ее физически.

  7. Бабайко

    И вновь актуально будет Радио Свобода, голос Америки, а медиа контент будут получать методом фишинга спутникового трафика (конечно, от сбивания всех "тарелок" работниками ЖЕКа это не спасет)

  8. Намеренно лживая статья, имеющая целью политическую агитацию. Полагается, что обходить блокировки плохо, а поддерживать Навального хорошо. Все остальное - набор слов вокруг да около.

  9. Вот вы вафли смешные гуманитарные. СВМ-ка у них всех зарубит. Ха-ха-ха

  10. Ну че, что касаецца того, што при желании дееспособное государство способно зарубить (вар - зарегистрировать и отследить) выходы в забугоршшину - все правда. Для всех, кто не гиканутый - может.

    Но 1)дееспособное государство - у нас такого щас нет. 2)закрывать имеет смысл на время "государственных проблем". Т.е. в переводе на россиянский язык - это когда деньги за газ с нефтью перестанут итти. Так тогда и просто-то интернет будет работать через пень-колоду. А уж мудреные DPI - ваще работать перестанут.

    И да - ишшо имею сказать: дорогие товарищи гики - ежеле вы работаете на наше родное государство - уж не обессудьте - вы - козлы.

  11. А что мешает в таком случае подключаться с интернету через забугорные спутники, минуя нахрен весь рунет в принципе?

  12. Мимо крокодил

    Вместо этой портянки фатализма можно было просто написать «последние времена наступают, покайтесь!»

    Так вот, дулю автору. Технические средства для анонимности и цензуроустойчивости, а так же их постоянное развитие это как раз полезно. Всегда. По одной простой причине — чтобы никто, не вложив хороших денег и человеко-часов, не мог ничего поделать даже если у него вдруг появится желание и возможность его навязать.

    Законы о свободе связи это хорошо, полезно, но иногда (часто!) их нет и спасает именно вот то самое, от чего в статье всех отговаривают, Супер-Мега-Гитлер-Ultra-YOBA-Obfsproxy с транзитом на почтовых голубях. Как раз Tor с I2P это прекрасные примеры той самой заранее подстеленной много лет назад соломки, которые не дали цензорам захлопнуть дверцу совсем еще позавчера, и заставляющие их бодаться еще сегодня. Это при том, что ими, до введения цензуры, никто кроме 3.5 шифрпанков, полутора диссидентов и радостной группы педомишек и любителей веществ не пользовался, инструменты первоначально были не шибко легки в настройке, и в результате чего к введению блокировок, как обычно, никто не был готов.

    Другое дело, что одна только сама по себе «гонка вооружений», действительно, неперспективна. Так что, да, нужно не только передавать приветы от obfsproxy, но и невозбранно интересоваться какого, собственно, лешего приходится пользоваться таким крайним средством, а так же серьезно настаивать на том, что так дело не годится.

    tl;dr, краткий пересказ сути комментария выше: В России ввели обязательное анальное изнасилование по субботам. Автор утверждает что изобретать методы уклонения от изнасилований бесперспективно, ибо грядут последние дни и каждую жопу поставят на учет. Понятно, что проблема в парламенте, но иметь арсенал способов пропустить субботние мероприятия (и речь не о переносе на пятницу) пока вопрос не решен на остальных уровнях нужно. Всегда.

  13. заГЛЮЧённый сижу в интюрьмете

    > 2. Сначала вы создаете Интернет. Потом его запрещаете.

    Вы не поняли, запрещают не Интернет, а Свободу!

    ("~Когда поймёшь, будет поздно, и закончится Игра_")

    http://expert.ru/2013/08/21/v-rossii-budet-svoya-umnaya-pyil/

    http://habrahabr.ru/post/192852/

    http://protivkart.org/news/730-oon-ugrozhaet-internetu.html

    http://flibusta.net/b/92331

    http://rupolitika.ru/not/optogan-prohorova-snaruzhi-russkiy-vnutri-kitayskiy/

    http://russkiy-malchik.livejournal.com/334938.html oпepaция пo yничтoжeнию paн

    странньiник

  14. >Иногда возникает впечатление, что подобные блокировки — это пережиток азиатчины, — но это далеко не так.

    >В декабре 2011 года подвиги Ирана решил повторить Казахстан — наш сосед по Таможенному Союзу.

    Все правильно, азиатский царек.

  15. Комментарий в ответ на комментарий: хомячки в своё время были очень напуганы тем фактом, что торренты потенциально могут быть отслежены, и что по этому следу к ним допой придут добрые дяди в фуражках. Поэтому грамотная их половина не использует торренты из чувства самосохранения.

    Комментарий в ответ на всякие там ТОРы. Вот не устаю удивляться, как можно не доверять родному государству, и пользоваться продуктом, который разработала разведка ВМФ США! Вы хоть отдаёте себе отчёт, что руты ТОРа таким образом могут быть полностью подконтрольны "дяде Сэму" (несмотря на заявления разработчиков)?

  16. to Spender

    >который разработала разведка ВМФ США

    У тебя агенты ЦРУ под кроватью не водятся, ватняша?

  17. Народ, что уже сейчас нужно начать изучать, чтобы оказаться среди тех 150 человек, которые пробьются сквозь занавес? Желательно с ссылками.

  18. > Народ, что уже сейчас нужно начать изучать, чтобы оказаться среди тех 150 человек, которые пробьются сквозь занавес? Желательно с ссылками.

    В статье все довольно поверхностно и неграмотно описано. Например, на самом деле даже если запилят DPI (на границе), тот же I2P будет спокойно работать внутри этой страны. Ищи описания методов блокировки, обхода и т. д. На Хабре много статей. Главное -- понять, что будет работать, а что нет.

  19. Где можно прочитать на английском про 'connection probe'?

    Поисковики возвращают русскоязычные сайты, большинство из которых содержит репосты этой статьи.

    Спасибо.

  20. Наум Сергеевич

    > Автор утверждает что изобретать методы уклонения от изнасилований бесперспективно, ибо грядут последние дни и каждую жопу поставят на учет. Понятно, что проблема в парламенте, но иметь арсенал способов пропустить субботние мероприятия (и речь не о переносе на пятницу) пока вопрос не решен на остальных уровнях нужно. Всегда.

    Автор утверждает, что эти способы - не панацея, и в долгосрочной перспективе неэффективны. Государство победит с вероятностью 146%, не нужны даже никакие высокие технологии, практически одними административными методами. Разрешительная (вместо запретительной) практика работы с интернетом и закон, запрещающий все подряд с суровым наказанием за нарушение. Примеры - КНДР, Эфиопия. 15 лет за скайп и гугл ток, добрый вечер. Даже золотой щит не нужен, кому больно надо рисковать. Полтора гика на ВПНах с полиморфными протоколами и под постоянной угрозой 15 лет добывать стране уран за то, что его трафик не смогли идентифицировать - не угроза, даже рассказать об этом побоятся. Того, что планктонины в теплых офисах не будут в твиттерах договариваться о шествиях с розами и тюльпанами, государству будет достаточно.

    Все автор правильно сказал - если в реале свои права не отстоять, то существующий феодальный строй очень быстро откатится к рабовладельческому, и технотрики не помогут отсидеться в норе.

  21. >Попытки же культивирования бессмысленной по своей сути, на каждом очередном витке, «гонки вооружений», для лобового столкновения с интересами государства — не только контрпродуктивны, но и обречены на поражение.

    Не согласен с выводом: на каждую хитрую жопу всегда найдется хуй с винтом. И работает это в обоих направлениях, как для гос-ва, так и для анона.

  22. Как специалист по криптографии почти с 30 летним трудовым стажем, к сожалению, вынужден полностью согласиться с выводами статьи. Система уровня государства обладает несравненно большими ресурсами, чем какой-то человек, или небольшая группа лиц, которые решили поиграть в анонимность.

    И если государство решит покончить с анонимностью, шифрованием, и другими подобными вещами, то оно в любом случае сможет это сделать. Даже чисто административными способами - достаточно просто устроить пару десятков, а если не хватит то сотню показательных процессов над гиками которые возомнили себя неуловимыми крипто-анархистами.

    Обязательно с реальными сроками, и страшными приговорами вроде педофилии, наркоторговли, шпионажа или измены родине. И обязательно с муссированием всего этого дела по всем новостям на ТВ. Все остальные более менее адекватные люди после этого побоятся не то чтобы какой-то там ТОР запускать, а просто порнуху в онлайне смотреть.

    Единственная причина, по которой у нас пока ещё такое не происходит - неизвестно, какой имиджевый урон подобные действия нанесут государству. Особенно, если всё это будет у нас реализовываться, как и большинство последних реформ, по-топорному.

    Поэтому гайки будут закручивать потихоньку, постепенно подготавливая общественное мнение, так как общее одобрение или как минимум непротивление со стороны общества необходимо. А дальше никаких особых технологий описанных в статье и не потребуется, большинство пользователей интернета вообще не почувствует никаких неудобств, даже от самой тупой фильтрации на основе белых списков IP адресов, пока у них не отключают вконтактик и одноклассники.

  23. friGate для chrome решает все проблемы.

    также есть ослиные сети вроде dc++

  24. Сторонник КОБ

    Говоря о китайских миллиардах, нужно иметь в виду, что у них совсем другая ситуация с образованием и совсем другое отношение мобильных абонентов к десктопам. Ну, скажем, у меня в Яндекс.Метрике на самом посещаемом сайте только 14,14% с мобильных. И если некий студент вместо ноута берёт планшет, то он впух с этим планшетом, ни LabView, ни MathCad, ничего на нём не будет работать.

    В Китае мобильные устройства, наоборот, превалируют. У WeChat вообще нет нормальной версии для Windows или Linux. Много ли в Китае будет желающих садить батарею тором или айтупи, если, конечно, они вообще способны на таких платформах работать? Ну и отношение к государству совсем другое. Может быть, работа с Интернетом у КНР пока не заладилась, зато физическая безопасность на высоком уровне, для народа реально много делается.

    Оптимистичным для КНР я считаю такой сценарий развития событий, когда китайцы настолько повысят уровень образования, что не КНР будет блокировать FaceBook, а FaceBook — КНР, как Сирию, чтобы отсрочить поражение США в информационной войне.

  25. Евгений_55

    Все тупые потуги государства приведут только к одному. Штатовцы наладят для Россиян и Китайцев производство спутникового интернета и ещё на этом заработают. Они уже это по моему собирались сделать для бедных, притесняемых пользователей интернета России и Китая, ну и Иран включат, в чём проблема? И получится то, что должно получиться. Многие интернет пользователи уйдут из Российского сегмента в Западный с радостью. Тоесть таким образом Россия будет терять своих потенциальных патриотов! Если так, что ж флаг властям в руки, быстрее страна развалится. Тупость власть придержащих меня поражала с детства.

  26. У нас в городе до сих пор сохранились кое где местные локальные сети, которые до массового распостранения интернета были популярнее сегодняшних ТОРов. Конечно, это не интернет, НО в то время и интернета то толком ни у кого не было, а пиратский софт и игры ходили по рукам только так в виде дисков или всяких DC хабов в локалке. Кто думает, что пиратство победят, задайте себе простой вопрос: сколько лет борятся с наркотиками? Исчезли наркоманы? Проблема пиратства, как и проблема с наркоманом - это проблема больного на голову общества, где деньги и власть имеют решающее значение. Да и потом, производство КОПИИ программы ни чего не стоит, тогда зачем люди должны за неё платить?

Оставьте комментарий!

Не регистрировать/аноним

Используйте нормальные имена. Ваш комментарий будет опубликован после проверки.

Зарегистрировать/комментатор

Для регистрации укажите свой действующий email и пароль. Связка email-пароль позволяет вам комментировать и редактировать данные в вашем персональном аккаунте, такие как адрес сайта, ник и т.п. (Письмо с активацией придет в ящик, указанный при регистрации)

(обязательно)


⇑ Наверх
⇓ Вниз