Делиться ключами только с теми, кому вы доверяете (кто услышит ваши рекомендации и не будет самостоятельно менять настройки).
Делиться ключами только вместе с этой или подобной инструкцией, или самостоятельно настраивать доступ.
По мобильным платформам: использовать прокси только на Android, где есть per-app туннелирование. Иметь 2 браузера: один для российских сервисов, другой для зарубежных, причём браузер для российских сервисов должен быть дефолтным в системе на случай неосторожных кликов по ссылкам. Если использовать на iOS, то только если нет российских приложений и там не открываются российские сайты. (UPD: С учётом этого сообщения, изоляция не эффективна)
Как альтернативу per-app туннелированию на Android можно использовать для российских приложений и сайтов второе пространство. (UPD: Аналогично п. 3, не эффективно)
В мобильных клиентах прокси отключать встроенный прокси сервер (порты 1080, 2080 и т.п.) и проверять, что он действительно отключился (из простого - настроить его в качестве SOCKS прокси в Telegram и увидеть, что он не доступен). Если не отключается - установить рандомный порт из диапазона 49152–65535. (UPD: Похоже смысла в этом сейчас мало, см. https://habr.com/ru/articles/1020080/ . Ждём фиксы.)
На ПК не устанавливать российские приложения, либо устанавливать только в виртуальной машине.
На ПК, если используется локальный прокси, открывать российские сайты либо в отдельном профиле Firefox с расширением uBlock Origin и включенным фильтром “Block Outsider Intrusion into LAN”, либо в виртуальной машине.
Не использовать роутинг на уровне роутера, либо использовать его только для доверенных устройств (где не открываются российские сайты / не установлены российские приложения). Недоверенные / гостевые устройства по умолчанию не могут им воспользоваться.
Не использовать GeoIP базы данных.
На прокси сервере заблокировать известные российские домены.
Проверять наличие DNS leak, устранять при наличии.
Не маскироваться под российские сайты (Reality), чтобы предотвратить подключения самого ядра к ним в рамках маскировки. Или хотя бы частично исключить этот риск следующим образом.
В свете всего сказанного: кажется, что коммерческим прокси скоро придёт конец, либо они будут работать по своим “белым спискам” - предоставлять доступ только к конкретным сервисам.
P.S. Появился распознанный текст методички по выявлению средств обхода. Не стоит воспринимать данный документ как исчерпывающий список инструментов цензора, они точно могут дорабатываться.
P.P.S. От части указанных ограничений (предположительно: 3,4,8,9,10) можно избавиться, если реализовать подключение по схеме из этого поста.
Не знаю в какой пункт это добавить - не доверять клиентам, особенно мобильным. Просто считай, что любой клиент может начать слать весь трафик внутрь тоннеля, и нужно настраивать маршрутизацию на входной ноде отталкиваясь от этого. Я уже сталкивался с тем, что престарелые юзеры рандомно тыкаются в интерфейсе смартфона и переключают маршрутизацию на фулл прокси или вообще сбрасывают настройки роутинга в дефолт.
Да гео в целом можно использовать, особенно если гео нормальное как у maxmind, просто нельзя полагаться только на него. Политики вида гео-ру > директ, остальное > proxy, это плохая политика. Но как часть политики, особенно правило в самом верху - вполне пойдет, это отсеет 99% всего зондирования. Остальное решается гранулярными правилами для заблокированного, типо домены меты прибиты к подсетям из ASN меты и так далее.
Поясни для тупых, пожалуйста - как защититься от шпионского модуля в том виде, в котором он был встроен в Скам?
IP адрес клиента проверяется дважды, один раз на российском сервисе, один раз на зарубежном. Если адрес не совпал, значит то, что отдал зарубежный - впн. А теперь представим, что этот модуль встроили в российский сайт, расположенный за рубежом на домене .com, и я туда случайно зашёл.
Только разделением входного и выходного IP на зарубежной ноде. Но это защищает только твой входной адрес а не сам факт того, что у тебя работает тоннель.
Вот поэтому я и не вижу никакого смысла в GeoIP. Проще просто блокнуть всё известное .ру на сервере и аккуратно пользоваться клиентами (2 браузера и т.п.), и всё.
P.S. Кстати входной тоже до поры защищает. Можно же корреляцию посмотреть - спалили твой выходной IP, посмотрели куда кто зашёл в какой момент (куки, отпечаток браузера, авторизация по телефону или почте), вышли на твой российский IP (выход в интернет по паспорту, помним об этом) и посмотрели, на какой IP был запрос с телефона/ПК. Да, до этого ещё очень далеко, но когда у них уже не останется других идей по распилу бюджета - почему нет.
На macOS есть очень гибкий Shadowrocket, вплоть до разделения по приложениям через user-agent, возможно и на iOS/iPadOS прокатит (клиент изначально оттуда и все функции одинаковые) но могу ошибаться.
Ну вот, например, какое-то ПО решит проверить - есть ли у тебя впн. Обратится к какому-то сайту, зарубежному, который показывает ip, с которого к нему подключились. Запишет себе ответ с адресом и отправит куда надо. Ну и так будут наполнять базу. Потом посмотрят, что ASN 9999 слишком много у кого используется и блокнут, соответственно у людей сервера отлетят.
Те же озоны, вб, банки имеют веб версию, нет смысла ставить приложение. Уже легче будет. Ну в макс,если нужен, можно залогиниться через браузер тоже.
Блок by association (за соседство) - это действительно проблема, об этом много соседних топиков. Но я не понял как это относится к той строчке которую ты процитировал, я ведь написал 11 пунктов, как именно этого избежать у себя (как не быть “плохим соседом”).
Возможно, учитывая что в них Chromium. Но вообще надо поискать китайские документации по клиенту, полноценной английской у меня найти не получилось, все разбросано по частям и про юзер-агент нигде толком не расписано.
Помимо юзер-агента еще попадался метод через правило по ключевым словам из BundleIdentifier, с которым подобного быть не должно, если это конечно реально работает (что можно проверить шарком на mac или встроенными логами).
Про блок asn я так написал. Основной посыл в том, что блок ру сайтов не особо нужен. Разве что, чтобы “недалёкий” пользователь, сидящий без маршрутов, случайно не открыл ру сайт через впн. шпионское ПО будет проверять доступ к зарубежным сайтам, явно заблокированным у нас.
Хотя Блок by association тоже решается покупкой серверов у малоизвестных хостеров с оплатой банковской картой или пэйпал
Да, шпионское ПО будет проверять доступ к зарубежным сайтам или IP на зарубежных сайтах, поэтому у такого ПО не должно быть технической возможности достучаться до средства обхода (т.е. доступа к средству обхода на роутере или к локальному прокси на 1080/2080, не говоря уже о прямом доступе в интернет через VPS).
много букоф вместо очевидного вывода - ну и не надо ставить себе всякий скам
в браузере пользоваться
ну или накрайняк старые версии приложук без этого всего искать и запрещать обновления
что делать с престарелыми родителями которые вынуждены пользоваться всяким скамом на телефоне и не готовы, не могут, не будут, не хотят соблюдать цифровую гигиену
