В Рунете всё больше блокировок, в том числе VPN. Что делать для обхода в таких условиях и как развиваться VPN-сервисам?
Любые массовые сервисы, в том числе VPN, уязвимы к блокировке именно из-за своей массовости.
Ожидалось, что применение ТСПУ должно сделать блокировки более точечными. Почему этого не произошло?
Как бы выразиться помягче? Я очень сомневаюсь в компетентности работников, занимающихся блокировками. Либо подозреваю саботаж с их стороны.
Если говорить в целом о данной ситуации, то сейчас в стадии утверждения IETF находится стандарт eSNI, дополнительно шифрующий предварительное общение клиентов и серверов между собой в момент обмена ключами. После его запуска и повсеместного включения в браузерах и утилитах DPI-«железо» станет намного менее полезным для блокировок.
Однако, если в оптимистичном, но маловероятном сценарии поймут бесполезность блокировок, то в более вероятном, но пессимистичном сценарии это выльется в массовые блокировки по IP.
Относительно блокировок также хочется заметить следующее: ещё одной «дыркой» в приватности до сих пор является DNS. Этот протокол тоже разрабатывался во времена, когда никто не боялся слежки и ничего не шифровалось. Поэтому вся информация передаётся открытым текстом. Поэтому как провайдеры, так и ТСПУ (впрочем, в некоторых случаях, даже соседи рядом) могут перехватывать DNS-запросы и отвечать на них вместо того сервера с которого ты запрашивал. И отвечать что угодно. В том числе отдавать не те IP-адреса: именно так и отдаются провайдерские страницы-заглушки.
Против этого тоже уже давно есть техники — DNSSEC, DNS-over-TLS и DNS-over-HTTPS. Но они, увы, мало где внедрены, плюс за последние две уже тоже взялся Роскомнадзор.
Возвращаясь к блокировке «случайных» ресурсов ТСПУ. В техническом задании на «железо», которое ставят в качестве ТСПУ, вообще не шло речи о его фукциональности. Поэтому сейчас, выполняя требования «вышестоящего начальства», делают как умеют из того, что есть, и получается как получается. То есть техническая возможность анализировать трафик по отпечаткам существует, и, если бы ей пользовались, можно было бы в два счёта могли блокировать что угодно (и даже намного легче заблокировать Telegram), но заказанное железо заточено на другое и имеет далеко не те мощности, чтобы с этим справляться. Впрочем, ходят слухи, что ведутся работы по исправлению обоих пунктов.
И, скорее всего, именно поэтому мы можем наблюдать тупые ковровые блокировки торрентов и WG по номеру порта.
roskomsvoboda.org
Любые массовые сервисы, в том числе VPN, уязвимы к блокировке именно из-за своей массовости.
Ожидалось, что применение ТСПУ должно сделать блокировки более точечными. Почему этого не произошло?
Как бы выразиться помягче? Я очень сомневаюсь в компетентности работников, занимающихся блокировками. Либо подозреваю саботаж с их стороны.
Если говорить в целом о данной ситуации, то сейчас в стадии утверждения IETF находится стандарт eSNI, дополнительно шифрующий предварительное общение клиентов и серверов между собой в момент обмена ключами. После его запуска и повсеместного включения в браузерах и утилитах DPI-«железо» станет намного менее полезным для блокировок.
Однако, если в оптимистичном, но маловероятном сценарии поймут бесполезность блокировок, то в более вероятном, но пессимистичном сценарии это выльется в массовые блокировки по IP.
Относительно блокировок также хочется заметить следующее: ещё одной «дыркой» в приватности до сих пор является DNS. Этот протокол тоже разрабатывался во времена, когда никто не боялся слежки и ничего не шифровалось. Поэтому вся информация передаётся открытым текстом. Поэтому как провайдеры, так и ТСПУ (впрочем, в некоторых случаях, даже соседи рядом) могут перехватывать DNS-запросы и отвечать на них вместо того сервера с которого ты запрашивал. И отвечать что угодно. В том числе отдавать не те IP-адреса: именно так и отдаются провайдерские страницы-заглушки.
Против этого тоже уже давно есть техники — DNSSEC, DNS-over-TLS и DNS-over-HTTPS. Но они, увы, мало где внедрены, плюс за последние две уже тоже взялся Роскомнадзор.
Возвращаясь к блокировке «случайных» ресурсов ТСПУ. В техническом задании на «железо», которое ставят в качестве ТСПУ, вообще не шло речи о его фукциональности. Поэтому сейчас, выполняя требования «вышестоящего начальства», делают как умеют из того, что есть, и получается как получается. То есть техническая возможность анализировать трафик по отпечаткам существует, и, если бы ей пользовались, можно было бы в два счёта могли блокировать что угодно (и даже намного легче заблокировать Telegram), но заказанное железо заточено на другое и имеет далеко не те мощности, чтобы с этим справляться. Впрочем, ходят слухи, что ведутся работы по исправлению обоих пунктов.
И, скорее всего, именно поэтому мы можем наблюдать тупые ковровые блокировки торрентов и WG по номеру порта.
Роскомсвобода
Ведём деятельность в области защиты цифровых прав и расширения цифровых возможностей.