در پی قطع گسترده اینترنت، تمدید نشدن گواهیهای SSL به یکی از چالشهای جدی امنیتی وبسایتها تبدیل شده و امنیت کاربران رو با خطر مواجه کرده.
یک کارشناس امنیت شبکه هشدار داده که ادامهدار شدن این وضعیت میتونه زمینه صدور و تحمیل گواهیهای داخلی رو فراهم کنه؛ مسیری که در صورت اجرا، امکان دسترسی نهادهای صادرکننده به دادههای کاربران رو افزایش میده و اصل بیطرفی و امنیت اینترنت رو زیر سؤال میبره. /دیجیاتو
یک کارشناس امنیت شبکه هشدار داده که ادامهدار شدن این وضعیت میتونه زمینه صدور و تحمیل گواهیهای داخلی رو فراهم کنه؛ مسیری که در صورت اجرا، امکان دسترسی نهادهای صادرکننده به دادههای کاربران رو افزایش میده و اصل بیطرفی و امنیت اینترنت رو زیر سؤال میبره. /دیجیاتو
🙏1
بر اساس نمودار رادار #کلودفلر در بازه زمانی ۲۴ ساعت اخیر، ترافیک اینترنت ایران از صبح امروز به تدریج افزایش پیدا کرده و حدود ساعت ۱۲ ظهر به یک جهش محسوس رسیده، جوری که در ساعت ۲۱:۳۰ میزان کل ترافیک به ۶۵ درصد از حداکثر ظرفیت ممکن و ترافیک HTTP به ۶۳.۶ درصد رسید.
این به معنی اینه که دسترسی به #اینترنت بینالملل پس از ۱۹ روز قطع سراسری تا حدودی به کاربران بازگشته، اما هنوز به وضعیت عادی نرسیده و ایران همچنان تحت یک محدودیت شدید اینترنتی قرار داره.
همینطور در نمودار مشخص شده که ۹۷.۶ درصد از ترافیک بازگشتی به HTTP محدوده، یعنی بخش بزرگی از دسترسیها همچنان محدود و تحت کنترل بوده و احتمالا شبکههای امن یا پروتکلهای غیر HTTP هنوز فیلتر یا مسدودن.
این به معنی اینه که دسترسی به #اینترنت بینالملل پس از ۱۹ روز قطع سراسری تا حدودی به کاربران بازگشته، اما هنوز به وضعیت عادی نرسیده و ایران همچنان تحت یک محدودیت شدید اینترنتی قرار داره.
همینطور در نمودار مشخص شده که ۹۷.۶ درصد از ترافیک بازگشتی به HTTP محدوده، یعنی بخش بزرگی از دسترسیها همچنان محدود و تحت کنترل بوده و احتمالا شبکههای امن یا پروتکلهای غیر HTTP هنوز فیلتر یا مسدودن.
❤1
#گزارش
سرکوب سراسری اینترنت در ایران و محدودیتهای یک فایروال تمامعیار!
آنچه در میانه اعتراضات سراسری ایران رخ داد، صرفاً قطع یا فیلترینگ اینترنت نبود، بلکه تلاشی هماهنگ برای اعمال کنترل کامل بر معماری ارتباطی کشور بود؛ مدلی که از نظر فنی شباهت زیادی به دیوار آتش بزرگ یا GFW چین دارد. برای نخستینبار، تقریباً تمام کانالهای ارتباطی بهطور همزمان از کار افتادند. اینترنت بینالملل و داخلی، پیامرسانهای بومی، پیامک، تماس تلفن همراه و حتی تلفن ثابت. این وضعیت برای حدود یک هفته ادامه داشت و پس از آن نیز بازگشت ارتباطات بصورت محدود، زمانبندیشده و گزینشی انجام شد.
برخلاف قطعهای پیشین، اینبار راهبرد دولت تغییر محسوسی داشت. شبکههای خانگی که معمولاً زودتر به وضعیت عادی بازمیگشتند، برای مدت طولانیتری محدود شدند و عملاً فقط به خدمات داخلی دسترسی داشتند، در حالی که شبکههای موبایل زودتر بطور نسبی باز شدند و برخی کاربران توانستند با روشهایی خاص به اینترنت جهانی متصل شوند. همزمان، دیتاسنترها بهصورت پیشدستانه قطع شدند تا مسیرهای دور زدن فیلترینگ که در اعتراضات گذشته استفاده شده بود، از ابتدا مسدود شود. در این میان، تنها کانال نسبتاً پایدار ارتباط با خارج از کشور اینترنت ماهوارهای استارلینک بود که آن هم با ایجاد اختلال و تلاش برای شناسایی کاربران مواجه شد.
در سطح فنی، تمرکز اصلی فایروال بر پروتکل TCP قرار داشت. مسدودسازی اتصالها با استفاده از DPI، بررسی SNI، جلوگیری از fragmentation و در نهایت اجرای سیاست لیست سفید انجام شد؛ به این معنا که تنها IPها و سرویسهای مشخص اجازه عبور داشتند. در کنار آن، UDP و ICMP تقریباً بهطور کامل مسدود شدند و DNS بار دیگر به یکی از میدانهای اصلی تقابل تبدیل شد. افزایش ناگهانی درخواستهای TXT در DNS نشان داد که تونلسازی DNS بهطور گسترده بهعنوان راهکار جایگزین مورد استفاده قرار گرفته است.
یکی از مهمترین نتایج این قطع، آشکار شدن ضعف ذاتی سیاست لیست سفید بود. دولت برای حفظ دسترسی به برخی خدمات ضروری مانند Google یا ChatGPT ناچار شد بخشی از زیرساختهای CDN را باز نگه دارد؛ زیرساختهایی که بهدلیل ماهیت توزیعشده و اشتراکیشان، امکان تفکیک دقیق ترافیک مجاز و غیرمجاز را نمیدهند. همین مسئله باعث شد امکان دور زدن محدودیتها همچنان باقی بماند و نشان داد که کنترل کامل اینترنت بدون اختلال در خدمات عادی عملاً ممکن نیست.
تحلیل فایروال اپراتور همراه اول نیز نشان میدهد با وجود پیچیدگی و استفاده از پروفایلسازی کاربران، این سیستم بهشدت وابسته به زمان، منابع و شرایط عملیاتی است. تغییر IP، قطع و وصل اتصال، یا تلاش برای اتصال در بازههایی که فایروال دچار افت عملکرد میشود، همچنان فرصتهایی برای برقراری ارتباط ایجاد میکند. این الگوها شباهت زیادی به رفتار فایروال چین دارند و نشان میدهند هرچه کنترل گستردهتر و پیچیدهتر میشود، نقاط ضعف عملیاتی نیز افزایش مییابد.
در جمعبندی، قطع سراسری اینترنت از نظر وسعت و شدت کمسابقه بود، اما نتیجه نهایی آن تازه نبود. جامعه کاربران بهسرعت خود را تطبیق داد، روشهای جدید ارتباطی شکل گرفت و محدودیتها بهطور کامل کارساز نشدند. این تجربه نشان میدهد شکست چنین قطعهایی نه بهدلیل ناتوانی فناوری، بلکه به این دلیل است که هیچ نظام کنترلی نمیتواند همزمان همه دسترسیهای ناخواسته را مسدود کند و در عین حال خدمات ضروری را بدون آسیب حفظ نماید.
© The Void
سرکوب سراسری اینترنت در ایران و محدودیتهای یک فایروال تمامعیار!
آنچه در میانه اعتراضات سراسری ایران رخ داد، صرفاً قطع یا فیلترینگ اینترنت نبود، بلکه تلاشی هماهنگ برای اعمال کنترل کامل بر معماری ارتباطی کشور بود؛ مدلی که از نظر فنی شباهت زیادی به دیوار آتش بزرگ یا GFW چین دارد. برای نخستینبار، تقریباً تمام کانالهای ارتباطی بهطور همزمان از کار افتادند. اینترنت بینالملل و داخلی، پیامرسانهای بومی، پیامک، تماس تلفن همراه و حتی تلفن ثابت. این وضعیت برای حدود یک هفته ادامه داشت و پس از آن نیز بازگشت ارتباطات بصورت محدود، زمانبندیشده و گزینشی انجام شد.
برخلاف قطعهای پیشین، اینبار راهبرد دولت تغییر محسوسی داشت. شبکههای خانگی که معمولاً زودتر به وضعیت عادی بازمیگشتند، برای مدت طولانیتری محدود شدند و عملاً فقط به خدمات داخلی دسترسی داشتند، در حالی که شبکههای موبایل زودتر بطور نسبی باز شدند و برخی کاربران توانستند با روشهایی خاص به اینترنت جهانی متصل شوند. همزمان، دیتاسنترها بهصورت پیشدستانه قطع شدند تا مسیرهای دور زدن فیلترینگ که در اعتراضات گذشته استفاده شده بود، از ابتدا مسدود شود. در این میان، تنها کانال نسبتاً پایدار ارتباط با خارج از کشور اینترنت ماهوارهای استارلینک بود که آن هم با ایجاد اختلال و تلاش برای شناسایی کاربران مواجه شد.
در سطح فنی، تمرکز اصلی فایروال بر پروتکل TCP قرار داشت. مسدودسازی اتصالها با استفاده از DPI، بررسی SNI، جلوگیری از fragmentation و در نهایت اجرای سیاست لیست سفید انجام شد؛ به این معنا که تنها IPها و سرویسهای مشخص اجازه عبور داشتند. در کنار آن، UDP و ICMP تقریباً بهطور کامل مسدود شدند و DNS بار دیگر به یکی از میدانهای اصلی تقابل تبدیل شد. افزایش ناگهانی درخواستهای TXT در DNS نشان داد که تونلسازی DNS بهطور گسترده بهعنوان راهکار جایگزین مورد استفاده قرار گرفته است.
یکی از مهمترین نتایج این قطع، آشکار شدن ضعف ذاتی سیاست لیست سفید بود. دولت برای حفظ دسترسی به برخی خدمات ضروری مانند Google یا ChatGPT ناچار شد بخشی از زیرساختهای CDN را باز نگه دارد؛ زیرساختهایی که بهدلیل ماهیت توزیعشده و اشتراکیشان، امکان تفکیک دقیق ترافیک مجاز و غیرمجاز را نمیدهند. همین مسئله باعث شد امکان دور زدن محدودیتها همچنان باقی بماند و نشان داد که کنترل کامل اینترنت بدون اختلال در خدمات عادی عملاً ممکن نیست.
تحلیل فایروال اپراتور همراه اول نیز نشان میدهد با وجود پیچیدگی و استفاده از پروفایلسازی کاربران، این سیستم بهشدت وابسته به زمان، منابع و شرایط عملیاتی است. تغییر IP، قطع و وصل اتصال، یا تلاش برای اتصال در بازههایی که فایروال دچار افت عملکرد میشود، همچنان فرصتهایی برای برقراری ارتباط ایجاد میکند. این الگوها شباهت زیادی به رفتار فایروال چین دارند و نشان میدهند هرچه کنترل گستردهتر و پیچیدهتر میشود، نقاط ضعف عملیاتی نیز افزایش مییابد.
در جمعبندی، قطع سراسری اینترنت از نظر وسعت و شدت کمسابقه بود، اما نتیجه نهایی آن تازه نبود. جامعه کاربران بهسرعت خود را تطبیق داد، روشهای جدید ارتباطی شکل گرفت و محدودیتها بهطور کامل کارساز نشدند. این تجربه نشان میدهد شکست چنین قطعهایی نه بهدلیل ناتوانی فناوری، بلکه به این دلیل است که هیچ نظام کنترلی نمیتواند همزمان همه دسترسیهای ناخواسته را مسدود کند و در عین حال خدمات ضروری را بدون آسیب حفظ نماید.
© The Void
❤1
به نظر میرسد سیاست جدید #فیلترینگ مبتنی بر اتصال مقطعی و نوبتی کاربران هر منطقه یا اپراتور است. در این روش، کاربران یک منطقه یا اپراتور برای چند ساعت به #اینترنت وصل میشوند، سپس دسترسی آنها قطع شده و نوبت کاربران منطقه یا اپراتور دیگری میشود. به این ترتیب نمیتوان گفت اینترنت به طور کامل قطع است و نه میتوان ادعا کرد که اتصال کامل و پایدار وجود دارد. حتی بر اساس گزارشهای رادار کلودفلر یا نتبلاکس، قطع اینترنت به طور ۱۰۰ درصدی نیست.
در دنیای برنامهنویسی و مهندسی نرمافزار، این مدل اتصال مقطعی و نوبتی شبیه مساله معروف "شام فلاسفه" است، که ۵ فیلسوف دور میز نشستهاند و بین هر دو نفر یک چنگال قرار دارد. هر فیلسوف برای غذا خوردن به دو چنگال نیاز دارد. اگر همه همزمان چنگال سمت راست را بردارند، هیچکس نمیتواند چنگال دوم را بردارد و همه گیر میکنند. راهحل ساده این است که هر فیلسوف قبل از تلاش دوباره برای برداشتن چنگالها کمی به طور تصادفی صبر کند تا از گیر کردن سیستم جلوگیری شود.
در دنیای برنامهنویسی و مهندسی نرمافزار، این مدل اتصال مقطعی و نوبتی شبیه مساله معروف "شام فلاسفه" است، که ۵ فیلسوف دور میز نشستهاند و بین هر دو نفر یک چنگال قرار دارد. هر فیلسوف برای غذا خوردن به دو چنگال نیاز دارد. اگر همه همزمان چنگال سمت راست را بردارند، هیچکس نمیتواند چنگال دوم را بردارد و همه گیر میکنند. راهحل ساده این است که هر فیلسوف قبل از تلاش دوباره برای برداشتن چنگالها کمی به طور تصادفی صبر کند تا از گیر کردن سیستم جلوگیری شود.
👍5
میدونستین اگه یکی الان بیاد ترافیک وب رو ذخیره کنه و 10 سال بعد با کامپیوتر کوانتومی رمزش رو بشکنه میتونه ترافیکو ببینه؟
یعنی یکی میتونه اطلاعات مهم بانک ها و حتی اسناد مهم دولتی رو مثل آب خوردن بعدا دسترسی داشته باشه، که بعید میدونم آمریکا همچین حرکتی نزده باشه. البته امروزه راه های پیشگیری براش وجود داره مثل TLS ورژن 1.3 که قابلیت مقاوم سازی بالایی دربرابر حملات پساکوانتومی داره.
البته ما تو ایران فعلا درگیر روشن خاموش کردن اینترنتیم این چیزا یکم خنده داره مطرح بشه.
یعنی یکی میتونه اطلاعات مهم بانک ها و حتی اسناد مهم دولتی رو مثل آب خوردن بعدا دسترسی داشته باشه، که بعید میدونم آمریکا همچین حرکتی نزده باشه. البته امروزه راه های پیشگیری براش وجود داره مثل TLS ورژن 1.3 که قابلیت مقاوم سازی بالایی دربرابر حملات پساکوانتومی داره.
البته ما تو ایران فعلا درگیر روشن خاموش کردن اینترنتیم این چیزا یکم خنده داره مطرح بشه.
👍2👎2❤1
آنچه دیده میشود نگرانکننده است. بازگشت اتصال بصورت تدریجی و از طریق وایتلیست کردن درحال انجام است. چیزی که سالها از آن میترسیدیم دیگر صرفاً یک نظریه نیست.
این سناریوی نهایی است و حالا به سیاست تبدیل شده. ابتدا پیامرسانهای داخلی، سپس آموزش و اخبار، بعد بخشهایی از نظام بانکی، و اکنون هم تنها تعداد محدودی از شبکههای بزرگ دیتاسنتر و میزبانی از اینترنت واقعی قابل دسترس هستند.
این بازگشت #اینترنت نیست؛ این شکلگیری مدل اینترانت است.
© admirito
این سناریوی نهایی است و حالا به سیاست تبدیل شده. ابتدا پیامرسانهای داخلی، سپس آموزش و اخبار، بعد بخشهایی از نظام بانکی، و اکنون هم تنها تعداد محدودی از شبکههای بزرگ دیتاسنتر و میزبانی از اینترنت واقعی قابل دسترس هستند.
این بازگشت #اینترنت نیست؛ این شکلگیری مدل اینترانت است.
© admirito
ناموسن وزیر ارتباطات انتظار داره دونه دونه مشکلات رو کمپین راه بندازیم بهش توییت کنیم؟ سید اون IPV6 رو وصل کن ما دفعه پش بعد جنگ دهنمون سرویس شد تا بهتون مشکل رو برسونیم. یه آیدی پیام رسان بیکاربرد ایرانی به من بده من خودم به صورت نماینده مردم هرروز بهت مشکلات رو گزارش میکنم دهنمون سرویس میشه اینطوری بخوایم باهاتون ارتباط برقرار کنیم.
من مطمعنم اگه سامانه های نظارتی مثل کلادفلر و نت بلاکس نبودن شما حتی قطعی اینترنت هم انکار میکردید و میگفتین اونایی که میگن اینترنت قطعه لیست کد ملی هاشونو بدن.
من مطمعنم اگه سامانه های نظارتی مثل کلادفلر و نت بلاکس نبودن شما حتی قطعی اینترنت هم انکار میکردید و میگفتین اونایی که میگن اینترنت قطعه لیست کد ملی هاشونو بدن.
فیلترینگ امشب اینجوریه اکثر وی پی ان ها یه دقیقه بعد اتصال قطع میشن، مشکل از شما نیست، سراسریه
اگر کاربر حرفهای هستین با روش Paqet میتونین از سد شدیدترین حالت فیلترینگ گذر کنین.
کارش اینه که کلاً سیستمعامل رو میپیچونه و به جای اینکه مثل برنامههای معمولی اجازه بده ویندوز یا لینوکس بستههای اینترنت رو جابهجا کنن، خودش مستقیماً میره سراغ کارت شبکه و بستهها رو به صورت Raw برمیداره. با این روش، چون از لایههای استاندارد رد نمیشه، فایروالها اصلاً نمیفهمن چی رد و بدل شده و ترافیک رو تو یه پوشش امن و رمزنگاریشده رد میکنن تا کسی نتونه مچتون رو بگیره.
این ابزار از قابلیتی که اسمشو میتونیم "خام" بذاریم استفاده میکنه که بتونه پروتکلها رو نقض کنه و اتصالی رو برقرار کنه که سیستم فیلترینگ فعلاً انتظارش رو نداره. با این روش دست توسعهدهنده بازتره و میشه خیلی روشهایی رو برای گول زدن سیستم فیلترینگ پیاده کرد.
تنها مشکلش اینه که فقط روی سیستمهایی که اجازه root یا ادمین میدن قابل اجراست.
👉 github.com/hanselime/paqet
© mahsanet, markpash
کارش اینه که کلاً سیستمعامل رو میپیچونه و به جای اینکه مثل برنامههای معمولی اجازه بده ویندوز یا لینوکس بستههای اینترنت رو جابهجا کنن، خودش مستقیماً میره سراغ کارت شبکه و بستهها رو به صورت Raw برمیداره. با این روش، چون از لایههای استاندارد رد نمیشه، فایروالها اصلاً نمیفهمن چی رد و بدل شده و ترافیک رو تو یه پوشش امن و رمزنگاریشده رد میکنن تا کسی نتونه مچتون رو بگیره.
این ابزار از قابلیتی که اسمشو میتونیم "خام" بذاریم استفاده میکنه که بتونه پروتکلها رو نقض کنه و اتصالی رو برقرار کنه که سیستم فیلترینگ فعلاً انتظارش رو نداره. با این روش دست توسعهدهنده بازتره و میشه خیلی روشهایی رو برای گول زدن سیستم فیلترینگ پیاده کرد.
تنها مشکلش اینه که فقط روی سیستمهایی که اجازه root یا ادمین میدن قابل اجراست.
👉 github.com/hanselime/paqet
© mahsanet, markpash
رو فیبر شاتل شاهد یکی از وحشتناک ترین سیستم های فیلترینگ هستم
هر IP از CF که حتی قبلا استفاده نشده، فقط چند ساعت کار میکنه و یهو دراپ میشه و میره تو بلک لیست به مدت نامعلوم
اکثر چیزا هم روش بسته اس
فاجعه اس
هر IP از CF که حتی قبلا استفاده نشده، فقط چند ساعت کار میکنه و یهو دراپ میشه و میره تو بلک لیست به مدت نامعلوم
اکثر چیزا هم روش بسته اس
فاجعه اس
🔥1
هر روز یه نوع پروتکل نابود میکنن ، اینترنت که قرار بود وصل بکنن واقعاً اینه ؟
یا پر از اختلال یا پر از فیلترینگ . . .
یا پر از اختلال یا پر از فیلترینگ . . .
⭕️ چرا نباید از ICMP Tunneling برای دور زدن محدودیتها استفاده کرد؟
ببینید بچهها، روش Ping Tunnel (یا همون ICMP Tunneling) شاید تو نگاه اول جالب به نظر برسه، اما به چند دلیل فنی برای استفاده طولانیمدت اصلاً گزینه پایداری نیست و بیشتر به درد شرایط اضطراری میخوره.
🔹سرعت لاکپشتی و قطعی زیاد
پروتکل ICMP (همون پینگ خودمان) اصلاً برای انتقال حجم زیاد داده ساخته نشده. وقتی شما دیتای اینترنت رو داخل بستههای پینگ کپسوله میکنید، چون این پروتکل سیستم «تأیید دریافت» یا کنترل خطا (مثل TCP) نداره، با کوچکترین نوسانی بستهها گم میشن و اتصالتون هی قطع و وصل میشه. علاوه بر این، پهنای باندش اونقدر محدوده که برای وبگردی معمولی هم کلافهتون میکنه.
🔸تابلو بودن ترافیک برای فیلترینگ
سیستمهای امنیتی و فیلترینگ به راحتی متوجه این کلک میشن. در حالت عادی، پینگ برای تست اتصال به کار میره و حجمش خیلی کمه؛ وقتی یهو حجم زیادی ترافیک ICMP از سمت شما رد و بدل بشه، فایروالها سریعاً میفهمن که دارید از این راه محدودیتها رو دور میزنید و آیپی سرورتون رو بلاک میکنن.
🔹امنیت پایین
بستههای پینگ در حالت عادی هیچ رمزنگاری خاصی ندارن و اگه ابزارتون خیلی حرفهای نباشه، اطلاعاتتون به صورت شفاف قابل رصده.
ببینید بچهها، روش Ping Tunnel (یا همون ICMP Tunneling) شاید تو نگاه اول جالب به نظر برسه، اما به چند دلیل فنی برای استفاده طولانیمدت اصلاً گزینه پایداری نیست و بیشتر به درد شرایط اضطراری میخوره.
🔹سرعت لاکپشتی و قطعی زیاد
پروتکل ICMP (همون پینگ خودمان) اصلاً برای انتقال حجم زیاد داده ساخته نشده. وقتی شما دیتای اینترنت رو داخل بستههای پینگ کپسوله میکنید، چون این پروتکل سیستم «تأیید دریافت» یا کنترل خطا (مثل TCP) نداره، با کوچکترین نوسانی بستهها گم میشن و اتصالتون هی قطع و وصل میشه. علاوه بر این، پهنای باندش اونقدر محدوده که برای وبگردی معمولی هم کلافهتون میکنه.
🔸تابلو بودن ترافیک برای فیلترینگ
سیستمهای امنیتی و فیلترینگ به راحتی متوجه این کلک میشن. در حالت عادی، پینگ برای تست اتصال به کار میره و حجمش خیلی کمه؛ وقتی یهو حجم زیادی ترافیک ICMP از سمت شما رد و بدل بشه، فایروالها سریعاً میفهمن که دارید از این راه محدودیتها رو دور میزنید و آیپی سرورتون رو بلاک میکنن.
🔹امنیت پایین
بستههای پینگ در حالت عادی هیچ رمزنگاری خاصی ندارن و اگه ابزارتون خیلی حرفهای نباشه، اطلاعاتتون به صورت شفاف قابل رصده.
اینترنت مثل بخاری هیزمی شده هیزم و چوب توش نریزی خاموش میشه باید چند ساعت یکبار کانفیگ و پروکسیها رو بروز کنی و سریع جایگزین کنی یه ساعت غفلت کنی همه از کار میفته و میمونی پشت دیوار فیلترینگ
❤2🕊1🤣1