Вот новое университетское исследование, как провайдеры могут эффективнее блокировать OpenVPN в своих сетях. Исследование делали на живом трафике в сети реального провайдера, с которым удалось договориться. То, что OpenVPN несложно блокировать - не новость, но эти исследователи показывают, как делать это еще эффективнее и как обходить стандартные защиты OpenVPN от блокировок.

Система, которую они использовали, не похожа на ТСПУ, а похожа на Великий китайский файрвол, то есть работает в два этапа - сначала пассивно ищет в трафике по фингерпринтам, а потом вторым этапом стучится на подозрительные айпишники проверять, не ответит ли там OpenVPN сервер, или как именно он сбросит соединение. Такие системы (filter + prober) точнее и имеют меньшее количество ложных срабатываний.

Основные результаты:
• Для определения OpenVPN трафика по этой методике нужно около 8 секунд с точностью около 85%.
• XOR-патчи, которыми обычно защищаются от блокировок провайдеры OpenVPN, от этой системы не помогают (34 из 41 реального провайдера получилось определить только пассивным сканированием). Восемь из десяти "обфусцированных" VPN-провайдеров из рейтинга top10vpn.com эта система блокирует.
• tls-crypt и tls-auth от этой системы не помогают, потому что сервера предсказуемо сбрасывают попытки активного сканирования.
• В смысле устойчивости лучше себя показали VPN-провайдеры, у которых OpenVPN только по UDP и у которых весь трафик идет через IDS, из-за чего активное сканирование (probing) не работает.
• А еще некоторые сервера оказалось легко блокировать, потому что у них что-то про VPN написано в сертификате (*.vpn.ipvanish.com), либо в WHOIS и DNS PTR записях.

Что рекомендуют VPN-провайдерам для повышения устойчивости к блокировкам:
• Не совмещать инфраструктуру - разделять обфусцированные и не обфусцированные сервера.
• Мусорить в трафик (рандомизировать паддинги), чтобы пакеты стали не похожи на себя.
• Использовать для обфускации pluggable transports, типа пусть новые способы обхода блокировок разрабатывают специально обученные люди.

Технические подробности на русском на Opennet тыц.
Ссылка на изначальный pdf исследования в PDF тыц.

Идеи проектов и задачи Demhack 8

29-31 марта 2024 онлайн состоится хакатон Demhack. К участию приглашаются программисты, дата-аналитики, дизайнеры и все, кто хочет создавать инструменты для развития свободы интернета и приватности.

Можно заявиться своей командой, участвовать одному или объединиться с другими специалистами. В течение 2 дней участникам будет помогать команда менторов – эксперты различных профилей по темам хакатона.

Общий призовой фонд хакатона – 1200 USDT. За некоторые задачи партнёры предлагают отдельные гарантированные призы в случае их успешного выполнения.

Описание идей для проектов и задач тут. Прийти со своим проектом тоже можно (и нужно). Лучшие идеи будут поддержаны после завершения конкурса.

О победителях предыдущего Demhack 7 можно прочитать в материале: https://habr.com/ru/companies/roskomsvoboda/articles/800609/

Регистрация до 21 марта:
https://8.demhack.org/

Telegram представил новую функцию. Теперь пользователи могут получить бесплатную премиум-подписку в обмен на разрешение использовать их номер телефона для отправки одноразовых SMS-паролей другим пользователям, пытающимся войти в платформу.

В основном все возбудились, что кто-то узнал ваш телефон и будет слать вам спам. Но, кажется, что номер телефона не является чем-то ценным, и спам и так вам шлют, просто перебирая все номера подряд.

Интересно другое: можно ли сделать свой номер таким СМС шлюзом, написать скрипт для аутентификации в телеграме и завладеть аккаунтами, у которых нет двухфакторки? Привязки к гаджету там нет, код смс можно вводить с другого устройства, а не только с того что запросили.

Начиная с 21 марта в России наблюдалась блокировка на ТСПУ протокола TLS 1.2 в сторону Cloudflare.

Зацепило сайты и сервера мобильных приложений за Cloudflare, у которых в настройках самого Cloudflare был выставлен TLS 1.2. Не работали https://app.plex.tv, https://hello.vrchat.com/, стримы в Twitch через OBS, ShareX и так далее.

Блокировка возникала в ответ на предложение сервера при установке соединения установить шифрование ECDHE-RSA-AES128-GCM-SHA256 в сочетании с сертификатом. TLS 1.3 не блокировался - там ответы сервера другие.

Вчера вечером блокировку откатили и работоспособность постепенно восстановилась.

Обсуждение на форуме поддержки Cloudflare тыц.
Обсуждение на ntc.party тыц.

Google проиграл суд, их судили за то, что они собирают данные, когда пользователи пользуются инкогнито режимом в хроме. Это всё часть мирового соглашения по иску 2020 года, которое показало, как много инфы Google вытаскивает из нас, даже когда мы в режиме "Инкогнито".

Google обязали обновить стартовую страницу режима Инкогнито, чтобы теперь там было написано прямым текстом, что Google всё равно собирает данные, несмотря на режим просмотра. К тому же, некоторые "старые данные" пользователей Инкогнито, которым больше девяти месяцев, тоже будут удалены.

Запустили бета-версию DPIdetector для мониторинга блокировок VPN-протоколов в России

Инструмент сейчас анализирует доступность шести VPN-протоколов (OpenVPN, OpenVPN+TLScrypt, WireGuard, Amnezia WireGuard, Shadowsocks, Cloak) в разных регионах России у разных операторов.

Какие блокировки протоколов VPN мы видим сейчас:

- недоступен WireGuard на мобильных устройствах при подключении к зарубежным серверам;
- в некоторых регионах недоступен OpenVPN и OpenVPN+TLScrypt при подключении к зарубежным серверам на домашнем интернете;
- регулярно наблюдаются эксперименты по ограничению доступа к Shadowsocks, но на постоянной основе блокировок нет.


Вы можете принять участие в работе проекта:

1. Сообщить о блокировке через форму обратной связи, указав конкретный протокол, регион и своего провайдера.

2. Запустить ноду на своём компьютере. Для этого необходимо получить токен и поднять ноду. Инструкцию пришлем.
Мы особенно заинтересованы в нодах в тех регионах, которые отмеченных на карте серым цветом.

По всем вопросам пишите в чат @dpidetector и в личку @dpidetector_support

Позавчера РКН «бумажно» заблокировал Amazon, но сегодня у некоторых пользователей уже недоступен сам aws.amazon.com.

Блокируется все по ТСПУ, в реестрах ничего нет.

Если начнут блокировать не только амазоновскую морду, но еще и подсети, рунет могут ждать катаклизмы, как было вначале блокировки Telegram, когда каждый второй сервис лежал, будь то Slack или Сбербанк Онлайн. Но теперь впн же у всех, верно?

UPD. Amazon - это не только магазин, это самый большой «хостинг» в интернете. Половина сервисов и сайтов лежат на нем.

Роскомнадзор заблокировал сайт Amnezia VPN

Сайт появился в реестре сегодня, но решение о блокировке приняли ещё 6 марта (в первую неделю вступления в силу закона о запрете информации про обход блокировок).

Amnezia VPN — это self-hosted VPN, где в несколько кликов и по понятной инструкции можно настроить VPN на своем сервере без глубоких технических знаний.

У Amnezia есть бесплатный VPN на базе собственного протокола AmneziaWG — AmneziaFree @free_vpn_amnezia_bot — он работает для большинства заблокированных сайтов медиа и соцсетей, например, Twitter или Facebook.

Сайт теперь доступен в России только с VPN, но приложения работают исправно на всех устройствах. Скачать

С 18 апреля TikTok заблокирован Кыргызстане. Платформа достаточно популярная и используется юзерами в разных целях.

Но все не так плохо. Команда Amnezia смогла оперативно запустить AmneziaFree. Это совершенно бесплатно и очень просто в использовании. Сама AmneziaFree уже запущена для РФ, к примеру, и позволяет обойти блокировки, предоставляя конфиги на протоколе AmneziaWG.

Запросить конфиг для Кыргызстана можно тут - @amnezia_free_kyrgyzstan_bot

И если у вас есть обратная связь или возникли проблемы с конфигурацией, отправляйте свои сообщения на support@amnezia.org

Сегодня вышла новость, что заблокированы сайты VPN-сервисов.

Многие из этих сервисов заблокированы были и раньше, кто-то через реестр, кто через ТСПУ. Сейчас же все эти сервисы вновь попадают под блокировку, но уже через реестр, а не через ТСПУ. Делается это, видимо, для того, чтобы привести все блокировки VPN-сервисов под закон о запрете информации о VPN.

Кроме того, Рунет несколько дней подвергался "опасности" из-за этого переезда, т.к. сайты некоторых сервисов оказались разблокированными на этот период.

Ну и кстати vpnlove.me так в реестр и не переехал. Ждем.

Очередная волна наброса на Protonmail по причине того, что протон сдал данные каталонского активиста. Спецслужбы Испании запросили через спецслужбы Швейцарии информацию о данных пользователя и получили резервный емайл, через который уже получили от Apple нужную информацию.

О чем эта новость нам напоминает:
1. Протон не анонимен (и никогда им не был, и почти никогда не декларировал это) и общается со спецслужбами в соответствии с швейцарским законом.
2. Нужно помнить о юрисдикции сервиса. Не надо пользоваться для оппозиционной деятельности сервисами вашей же юрисдикции.
3. Протон потенциально может передать все ваши данные, кроме содержания писем (только они шифруются).

Все это и так описано в п5 "Data disclosure" Privacy Policy сервиса.

Халява плз!

Наши хорошие знакомые из сервиса VPNPay, который занимается продажей ключей доступа к некоторым VPN-сервисам, хотят запустить продажу прокси-протоколов (VLESS, Vmess, Shadowsocks и другие) и раздают 200 кодов для тестирования на месяц бесплатно.

Все что вам нужно сделать - это перейти в этот бот (https://t.me/proxy_all_bot), прочесть инструкцию и запросить ключи.

Весь фидбек пишите на почту команды VPNPay - help@vpnpay.io

Ну что, свершилось!

Представляем вам наш новый ютюб канал и новый ютюб-сериал TechTalk 2Weekly!

Сегодня вышло первое видео, которое и дальше будет выходить по средам раз в 2 недели :)

https://www.youtube.com/watch?v=e3nFTD31kyo&ab_channel=TechTalk

Подписывайтесь на канал, шер/лайк и все такое!

К вопросу о блокировкe Shadowsocks в России.

По данным нашего DPIdetector.org получается так:
- на мобильных операторах SS начал плохо работать 16 мая. До этого были только тестовые блокировки, которые были почти незаметны.
- на десктопах все работает
- На Мегафоне ситуация чуть получше, чем на Теле2, Билайне и МТС

Как многие уже заметили, фото канала было изменено на новую айдентику.

Не пугайтесь, канал остается прежний, просто постараемся сделать его более регулярным и интересным.

Как связаны глобальная архитектура интернета и политика?

Публикуем наше интервью с Мэллори Нодел о том, почему для свободного и устойчивого интернета важна глобальная торговля, а также зачем правительства разных стран пытаются получить доступ к зашифрованным протоколам и чем мы все рискуем, если это у них получится.

Мэллори – технический директор Центра демократии и технологий, некоммерческой организации, которая борется за продвижение гражданских прав и свобод в цифровую эпоху.

Кроме того она член Совета по архитектуре Интернета и сопредседатель исследовательской группы по рассмотрению протокола прав человека.

➡️Смотреть в оригинале (с русскими субтитрами): https://youtu.be/OIzlk48nSWY

➡️ Текстовая расшифровка: https://roskomsvoboda.org/ru/post/svyaz-global-ineta-s-politikoy/

Когда неделю назад вышел IOS 17.5, у пользователей iPhone в галереях неожиданно появились давно удаленные фотографии. Apple сообщила, что случилась "порча базы данных", быстро выпустила обновление до 17.5.1 и фото снова исчезли.

Теперь исследователи разобрали этот патч и посмотрели, как проблема была устроена "под капотом" и как Apple ее решила. Сюрприз-сюрприз, фото не удалялись с файловой системы, а только помечались как удаленные. В смысле когда фото удаляются, они же сначала попадают в корзину, а потом когда они должны удаляться совсем, тогда это место на файловой системе должно помечаться как свободное. Так вот, этот последний шаг был сломан. А обновление IOS 17.5 запустило процесс поиска фото по файловой системе для обновления библиотеки работы с фото, нашло все старое плохо удаленное и пользователям показало. Проблема произошла локально на устройствах, а те, кто на форумах жаловался, что у них фото появились на новом устройстве, те врут или ошибаются.

В общем, надежное удаление файлов с NAND-накопителей - большая проблема, и то, что вы чего-то не видите в интерфейсе, не значит, что на смартфоне его нет. Надежно удалить данные с современных смартфонов можно сбросом до заводских настроек.

Привет. Мы делаем на нашем канале Tech Talk в YouTube новость о закрытии ICQ, хотим в неё включить короткие истории о том, как аська повлияла на жизнь юзеров, реакции на её закрытие. Например, «оооо неееееет!!! я в ICQ c мужем познакомилась. Ушла эпоха».

Напишите в комментариях свои истории, лучшие из них анонимно включим в новый выпуск 2Weekly.

Второе видео 2Weekly уже на YouTube-канале

Вместе с Вовой Ломовым вспоминаем главные новости последних недель – слежку от Windows, Google AI, блокировку контента от Youtube и штрафах за майнинг:

https://youtu.be/50HkWprFqak

От вас – лайк, коммент и шер, от нас – большой респект вам за поддержку.

Порно в Твиттере!

В X появится порно, потому что Илон Маск может себе позволить.

Соцсеть разрешила пользователям публиковать контент для взрослых, но для защиты детей его нельзя будет размещать на аватарках и в заставках профиля.

Получается, что теперь в твитах можно не только рассказывать про секс, но и показывать, если все было обоюдно. С опцией Premium, где пользователи еще и могут зарабатывать на своих роликах, Х, судя по всему, стремится захватить с собой и аудиторию Onlyfans.

Интернет без цензуры возвращается?