Опять, это касается любой схемой. Схем без дыров не существует.
Очень легко - все сервисы, которые в той или иной форме сотрудничают с цензором.
Здесь идея не в том, что схем без дыр не существует, а в оптимизации минимизации поверхности атак.
И зачем тогда Happ держал у себя бэкдор? Много кто его использовал и доверял ему. Опять же, клинетские устройства – все дырявые, знать вы всех кто с кем сотрудничает – обычно не можете. Есть скрытые сотрудничества за хорошую финансовую плату.
И вот цензоры будут бить как раз в неожиданные для вас места.
Там точно также как и везде создается HTTP прокси без пароля на локалхосте (можно выбрать любой порт), либо только tun интерфейс. В целом это не то чтобы важно, потому что в ios все равно нет никакой per-app маршрутизации, и всё так или иначе роутится туда. API там по умолчанию выключено, поэтому такой дыры как в happ там нет.
И эту же оптимизацию можно делать разными способами. В том числе и с помощью нормальных клиентов и split tunneling.
Happ изначально был сомнительным клиентом, или вас не смущали наличие у него .su домена и не удаление его с российского App Store?
Да, только при отсутствии “skill issue”, как говорится. Моя же схема нацелена на “не доверять своим скиллам вообще”.
Я про любое ПО, Вы конечно умнее, чем большинство людей, знаете чему можно доверять, а что – обходить стороной.
Моя задумка в другом. Сделать наиболее элегантную и архитектурно правильную схему с наименьшей поверхностью атак по умолчанию. То что не нужно будет расширять, следить за актуальностью, и каждый раз проверять “а не шпиона ли я устанавливаю, ниточки которого тянутся к РКН?”
И она не требует экспертности в безопасности ОС на всех устройствах, использующие туннели.
Вы всё равно ходите по тонкому льду, допустим что вы делаете это профессионально – но это advanced уровень.
Опять же, минимизировать поверхность атак можно десятками разных способов. Но ничего лучше на конечных устройствах, чем полная изоляция сети + userspace всё равно не будет.
У меня просто другая парадигма. У вас – другая. Работает – и ладно, но не для новичков.
Точно и нельзя сказать, что именно у вашей схемы наименьшая поверхность для атак, поскольку мы не знаем, что творят РКН и Минцифры. А то, что ваша схема - это одна из схем, быть может, с меньшей поверхностью атак, чем у остальных, я могу предположить. Но субъективности лучше избегать.
А по этому поводу - резидентские прокси гораздо дороже и недоступнее, чем обыкновенный VPS (причём он обязателен, иначе палится exit IP как VPN/прокси). Лучше уж роуминговую симку купить, тогда никакие VPN вообще не нужны будут. Так что непонятно что в итоге выйдет дороже в долгосрочной перспективе - 2-е устройство или ваша схема. Не говоря уже о других методах, которые используют задержку при отправке и приёме пакетов, чтобы спалить наличие VPN/прокси.
Не факт. Сейчас в моменте - да. Но и до этого доберутся. Это ж какая дырища.
Да, но поинт в том, что и так, и по-другому доберутся. Разницы особой не вижу между схемой с резидентским прокси и роуминговой симкой.
Простенький OpenWRT роутер с LTE модулем и Ethernet портом, втыкается в розетку, а в него обычная ру-симка. Подразумеваю, что всякие вредные сервисы, блокирующие доступ с WARP – будут в БС.
Автор этих методов сам говорит, что это не сработает, если ASN ОПСОСов.
Во-первых, роутер с OpenWRT далеко не масштабируемая схема. Сам роутер доп. средства будет требовать, а за эти деньги можно взять 2-й телефон, который куда безопаснее в плане палевности…
Во-вторых, речь идёт об иностранном резидентском прокси. Сами говорили, что всё неопознанное направляется в зарубеж. Значит, соответственно, условный MAX может стучить до какого-то сервиса, выдающего IP (IP-чекер) и получит либо IP-адрес exit-узла Tor, либо IP-адрес Cloudflare, либо IP-адрес вашего сервера. Все они либо не являются резидентскими, либо “грязные” (и уже для WARP я и другие отдельно отметили, что он вовсе не хорош для российских сервисов), что и спалит использование VPN/прокси.
Это сработает при роуминге/использовании резидентского прокси, там задержка достаточно большая.
Смартфон постоянно на зарядке держать – быстро убьете аккумулятор. Я всё же именно uptime оптимизирую и доступность с VPS хаба маршрутизации.
Мне, мягко говоря, наплевать на то куда стучится шпион. Я не собираюсь скрывать сам факт использования собственной сетевой инфраструктуры. Я что, обязан жить под колпаком у кровососов?
VPN / прокси – туннели – не запрещены, я не обязан вообще сам факт этого скрывать. Пусть делают что хотят, пусть попробуют найти вход в туннель сначала, если для этого нужны будут две точки наблюдения минимум (одной из них – каким-то образом узнать адрес ТСПУ).
Иначе можно было бы просто действительно в DIRECT к geosite:category-ru пускать – но это опасно.
Сработает для любых мобильных сетей, интернет сейчас и ping jitter всратый везде. Да любая там ваша характеристика, RTT/TTL или прочая фигня – тоже.
TL;DR: Не бойтесь обнаружения факта туннелирования – бойтесь обнаружения туннеля.
Зачем?
Современные телефоны способны работать на passthrough либо когда полностью заряжен, либо когда достигнут определенный порог (часто 80%), тем самым не нагружая излишне аккумулятор.
Им в итоге ничего не нужно будет сделать, кроме как сравнить выходной IP со своей базой, тем более учитывая то, что планируют белый список создать. А ваш выходной IP на вряд ли туда войдёт.
Сами предоставили решение как долгосрочное, а не то, что только сейчас работает. В итоге получается, что с усовершенствованием методов обнаружения использования средств обхода блокировок оно утерет свою актуальность.
Если выходной IP - резидентский российский, то незачем проверять. На них уже есть соответствующие блокировки. А если нероссийский, но резидентский, то “требуются доп. проверки”, как в самой методичке описано. Как они реализованы будут - только время покажет.
Не совсем. Если у тебя выходной IP по чекерам - резидентский российский, но при этом вдруг доступен инстаграм или дискорд, это ли не повод для доп. проверок?
Не подумал об этом, но это тоже вариант.
Вроде бы относится к вашей “непробиваемой” схеме:
То есть я правильно понимаю, что даже без “запароленой” SOCKS прослойки в любой TUN интерфейс можно отправить запрос, обойдя вашу аутентификацию?
А значит любая программа может воспользоваться вашим туннелем для определения выходного IP который = входному?
Опять нашли дыру, о которой вы, почему-то не знали?)
Вот поэтому я и говорю, ваши устройства дырявые все. Используйте схему и не нужно пытаться быть умнее цензоров)
В зависимости от политик сервиса можно менять маршрутизацию для второго хопа. Схема это подразумевает. Часть → Tor; Часть → DIRECT (доверенное); Остальное → WARP; скоро видимо ещё и резидентский прокси появится – ASN ОПСОСа уж войдет в белый список.
Далеко не факт. В методичке об их включении в белом списке не говорилось, упомянулись корпоративные случаи. Ещё уже говорил про дополнительные проверки.
Лично меня не касалось не потому, что дыра существовала, а потому что я уже давно переходил на 2-й телефон, а это единственный способ, который я каким-то образом рекомендовал. Также в том же посте есть и решение этой проблемы, если вы читали внимательно.
Edit: Ещё, я никогда не говорил, что схема непробиваемая, уязвимости везде есть, я уже это многократно говорил. Повторить эту мысль как-то неловко уже становится.
Согласен, Вы не говорили, а я утрировал.
Просто не понял это:
Теперь я понимаю, Вы имели ввиду, что схема была до поры, как сказать, до времени.
Поэтому я и говорю, что доверять дырявым устройствам – нельзя.
Это так со всеми схемами, в том числе и с вашей. И опять, ранняя схема всё ещё рабочая, только с нюансами.
Если маршрутизация сделана на уровне geosite:private/geoip:private, то доступ не ломается, даже если включить блок на связь вне VPN. Проверил на университетском интернете с помощью DNS, который локальный, клиент - Exclave.
Не претендую на оригинальность мысли, но нужно еще учитывать то, что у частников нет коммерческой заинтересованности строго следовать методичке. Самые простые пунктны они конечно же реализуют, но с энтузиазмом браться за полный набор - сомнительно. На первых порах это будет скорей всего работа “для галочки”. Некоторые особо рьяные возможно продвинутся чуть дальше. Может даже выборочно кому-то прилетит и об этом снимут сюжет для новостей. Но в целом возникает вопрос за чей счет этот банкет. Сомневаюсь, что государство начнет это дело активно финансировать по понятным причинам, а за свой счет бизнес не станет делать сверх необходимого минимума. В Минцифры это тоже понимают, равно как и то, что не смогут банить те же маркетплейсы/ВК/яндекс/etc за первый же косяк или недостаточно активное содействие (накрыть крупный бизнес? ну серьезно?). Так что вероятнее всего будет типичная картина из череды “последних предупреждений” и прочей бюрократии.
По методичке тоже всё понятно. Расчитывать на сохранение её в “секрете” как-то наивно даже. Если бы я работал сами знаете где, то непременно бы устроил “типа утечку” для наведения шороха в стане людей по нашу строну реальности и насаждения всепропальщеского настроения.
Так что не стоит сразу примерять к себе самый пессимистичный сценарий. Но и расслаблятсья, ясное дело, поводов нет.