НОВОСТИ Свободу байтам

[NewsBot]

Вы видите меня хозяином Франции, но я бы не взялся править ею и три месяца при свободной прессе.
—

You must be registered for see links

Чисто гипотетически, представьте себе ситуацию, что власть захватили вражеские агенты, мы в оккупации, нас помещают в информационный пузырь. Конечно гипотетически, на самом деле, такое с нами произойти не может. А то, что сейчас блокируют (как устроена блокировка в

You must be registered for see links

и

You must be registered for see links

), это же конечно "для нашего блага".


Цель этой статьи: найти и проанализировать открытые или, как минимум, закрытые но бесплатные и удобные инструменты, которые позволяют получить доступ к информации в случае частичной или полной блокировки доступа к сети Интернет.


Кому лень читать, буду краток:

You must be registered for see links

и

You must be registered for see links

— это то, что должно стоять у каждого борца за свободу информации .

Disclaimer: "вдохновлением" для этой статьи послужил беспредел, который происходит в родных краях.​

Матчасть



Рассмотрим, как как нам могут перекрыть доступ? У нас есть вымышленный Интернет ресурс example.com с IP адресом 123.123.123.123. Что с ним могут сделать?

• 
  Блокировка по статическому IP адресу (
  You must be registered for see links
  ). Сомнительный по эффективности способ. В облачных хостингах можно мгновенно получить новый IP адрес. А затем поменять
  You must be registered for see links
  . Да и часто используется
  You must be registered for see links
  (CDN), которые хостят ресурсы не на одном IP, и на этом IP по-другому доменному имени хостятся другие веб ресурсы. Заблокируешь эти IP  -  половина сервисов интернета станут недоступны.
  You must be registered for see links
  , блокировались пулы CDN IP-адресов, которые использовались клиентским приложением — многие ресурсы стали недоступны. Многие бизнесы пострадали. И это не единcтвенный случай.
  
  
• 
  Изменении DNS записи (
  You must be registered for see links
  ). Обходится проще всего: нужно изменить DNS сервер в настройках своего роутера или ОС.
  Но провайдеры могут пойти дальше. DNS протокол придуман давно, и не предусматривал шифрование или обязательную авторизацию ответа. Таким образом, провайдеры могут
  You must be registered for see links
  пакеты на любой DNS сервер (Google DNS 8.8.8.8 или Cloudlfare DNS 1.1.1.1) и отвечать за них другими IP-шниками, которые ведут на страницу блокировки (вместо нашего 123.123.123.123). С такими атаками призван бороться
  You must be registered for see links
  . Но этот подход встретил
  You must be registered for see links
  : она заключается в том, что DNSSEC все равно не решает проблему полностью. Далее, на
  You must be registered for see links
  приходит
  You must be registered for see links
  или
  You must be registered for see links
  . В новых релизах от Apple:
  You must be registered for see links
  он уже включен по умолчанию. В
  You must be registered for see links
  так же добавили поддержку. На Linux в systemd-resolved
  You must be registered for see links
  . Более того, Firefox
  You must be registered for see links
  DNS over HTTPS по умолчанию для новых релизов. В Chromium есть
  You must be registered for see links
  включить поддержку.
  
  
• 
  Глубокий анализ пакетов (
  You must be registered for see links
  , DPI) - здесь уже интереснее. Например,
  You must be registered for see links
  , или
  You must be registered for see links
  . Данные инструменты могут не только обращать внимание на доменное имя, IP адрес,
  You must be registered for see links
  протокол и порт, но и на другие нюансы протокола. Например на используемый
  You must be registered for see links
  для
  You must be registered for see links
  . Или на размер первого, второго, третьего пакета в
  You must be registered for see links
  . Вот такие инструменты могут достать
  You must be registered for see links
  поле из
  You must be registered for see links
  сообщения, в котором содержится доменное имя (в нашем случае "example.com"). И если DPI увидит неугодный ресурс - отбросит пакет.
  Инженеры-борцы за свободу и приватность в сети Интернет пошли дальше:
  You must be registered for see links
  (ESNI). В связке с DNS over HTTPS/TLS позволяет скрыть от DPI доменное имя ресурса, к которому вы получаете доступ. Поддерживает ли ваш браузер необходимый функционал? Проверить можно
  You must be registered for see links
  .
  You must be registered for see links
  .
  You must be registered for see links
  еще нет. Но ESNI заработает только, если создатели ресурса позаботились об этом, а это все еще экспериментальная функциональность. Поэтому, поддерживается не всеми. Хотечется добавить, что не все DPI хороши как Великая Китайская Огненная Стена: при блокировке сайта
  You must be registered for see links
  , использовали
  You must be registered for see links
  с
  You must be registered for see links
  , чтобы разделить SNI на несколько TCP cегментов.
  You must be registered for see links
  , который использовался некоторыми провайдерами, не умел собирать фрагментированные TCP сегменты  —  блокировка не сработала.
  
  
  
  
  
• 
  Ну и самое банальное. Если регистратором доменного имени выступает регистратор, на который могут "надавить" враги, то доменно имя у вас могут "отжать". Я про такие случаи "не читал, но осуждаю".
  

Итого

• У вас не возникнет проблем, если:
  • на вашей ОС включен DNS over HTTPS (или over TLS, при условии использования внешнего независимого DNS сервера, например от
    You must be registered for see links
    );
  • и "example.com" использует CDN с поддержкой TLSv1.3 / ESNI;
  • и провайдер не заблокировал независимый DNS по IP адресу;
  • и провайдер не заблокировал пул IP адресов CDN, как это было в во время блокировки Telegram в РФ;
• Если что-то из вышеперечисленного не поддерживается на клиентской или серверной стороне, то скорее всего доступ прикроют использую DPI ПО — читаем дальше.

You must be registered for see links

и

You must be registered for see links

Все виды блокировок можно обойти с помощью

You must be registered for see links

. Но могут заблокировать сам VPN. Для таких случаев придумали Tor (о нем речь пойдет ниже).
Решения расположены в порядке простоты их использования.

You must be registered for see links

Закрытый бесплатный VPN от

You must be registered for see links

на основе протокола

You must be registered for see links

. Рекламы нет, поэтому поместил в этот список.

• Протокол блокируется Великим Китайским Фаерволом.
• Не поддерживается Linux.
  You must be registered for see links
  .
• Лимиты по объему передаваемых данных.
• Удобство использования.
• Нет рекламы в бесплатной версии.
• Wireguard поддерживает
  You must be registered for see links
  . Это позволяет прозрачно и незаметно для пользователя сменять сети (Wi-Fi, LTE, 3G).

You must be registered for see links

Открытое VPN приложение на базе протокола OpenVPN. Предоставляет бесплатно свои сервера. Доступно для Android, Linux, Windows, macOS. Ссылки на приложения доступны на официальном сайте.

• Протокол блокируется Великим Китайским Фаерволом.
• Не поддерживается iOS.
• Удобство использования.
• You must be registered for see links
  .
• Нету лимитов по объемам передаваемых данных.
• Есть лимиты по скорости. Для просмотра видео с "example.com" хватит.

You must be registered for see links

Это удобное расширение для браузера для настройки прокси-серверов. Расположение (страну) прокси-сервера можно выбрать в настройках.

• Дополнение работает только в браузерах на Desktop-системах. Но есть приложения под мобильные платформы, но уже с рекламой.
• Доступно в
  You must be registered for see links
  и
  You must be registered for see links
  .

You must be registered for see links

Cписок бесплатных OpenVPN серверов, которые хостятся в основном США и Японии.
Будет работать с любым OpenVPN клиентом на любой операционной системе.

• Протокол блокируется Великим Китайским Фаерволом.
• OpenVPN клиенты есть для всех популярных операционных систем.
• Тяжело в использовании неопытными пользователями, необходимо скачивать конфигурацию самостоятельно. Нужно скачать конфигурационный файл с сайта и выбрать его в приложении: ,

Итого



Попробуйте описанные выше продукты. Скорее всего они вам помогут. Если вам не хватает пропускной способности, а денег много тратить не хочется, можно

You must be registered for see links

свой VPN сервер в сети. Это сложнее, но дешевле (от 3 евро в месяц), если VPN вы собираетесь пользоваться много.

Tor и Ко



Вражеские агенты узнали о том, что люди могут получить доступ к информации. VPN начали блокировать DPI инструментами.

Хьюстон, у нас проблема!​

Не отчаивайтесь, мы не первые. Многие страны уже прошли этот этап. Великий Китайский Фаервол уже давно

You must be registered for see links

. А в

You must be registered for see links

и

You must be registered for see links

есть соответствующие постановления. И инструменты обхода соответствующие разработаны. И интересно, что несколько проектов, которые будут рассмотрены, разработаны правительством США.

You must be registered for see links

Если вас интересует не только возможность получать доступ к Интернет ресурсам, но и еще делать это анонимно, то вам нужен Tor. В обещания VPN провайдеров о том, что они не хранят логи доступа или не начнут дампить пакеты по требованию вражеских агентов, я не верю. Хотя анонимность Tor тоже под вопросом,

You must be registered for see links

.
Наверняка вы уже слышали о этой сети. И о ее архитектуре, где каждый пакет шифруется несколько раз, а затем расшифровывается на промежуточных сетевых узлах. Это похоже на разворачивании луковицы, поэтому и называется onion (лук)-network. В

You must be registered for see links

Tor официально заблокирован с 2016 года, но из-за архитектуры, он продолжает работать через

You must be registered for see links

. Конечно враг может пойти дальше и усложнить процесс использования даже Bridges. Но все каналы перекрыть не получится.

А еще через сеть Tor доступен

You must be registered for see links

. А это что-то

You must be registered for see links

. Но организовано неудобно.

• You must be registered for see links
  позволяет обходить даже Великий Китайский Фаервол.
• You must be registered for see links
  .
• Поддерживается всеми популярными операционными системами, в том числе мобильными.
• Проект развивается давно, поэтому приложения удобные и не вызывают трудностей при использовании.
• Работает медленнее VPN из-за луковичной архитектуры сети.
• Работает в виде прозрачного прокси или браузера на всех ОС.

You must be registered for see links

Разработан в университете города

You must be registered for see links

. Для туннелирования используется

You must be registered for see links

. Но было найдено

You must be registered for see links

о использовании L2TP/IPsec для VPN на Windows. До начала моего исследования я не слышал про этот сервис. А зря, он использовался

You must be registered for see links

во время протестов конца 2017 начала 2018 года.

• You must be registered for see links
  Великий Китайский Фаервол.
• You must be registered for see links
  .
• Поддерживается только на
  You must be registered for see links
  ,
  You must be registered for see links
  ,
  You must be registered for see links
  .
• Не сохраняет анонимность.

You must be registered for see links

Проект проспонсирован правительство США и может использовать других участников сети для проксирования (если разрешено). Если узлов, разрешающих проксирование, нет, то ПО использует резервные (fallback) прокси сервера, предоставленные самим проектом.

• Позволяет обходить Великий Китайский Фаервол в Pro версии. Но в бесплатной версии можно получить список
  You must be registered for see links
  и заблокировать.
• Поддерживается всеми популярными операционными системами, в том числе мобильными.
• You must be registered for see links
  .
• Не сохраняет анонимность. Прямо так в
  You must be registered for see links
  , что могут продавать ваши логи.
• Если же вы, например, в Китае, то бесплатная версия может не сработать. Нужно покупать подписку. По подписке доступны другие сервера, которые сложнее достать цензору.

You must be registered for see links

От Китайских разработчиков с любовью. Кто, как не инженеры из страны с Великим Фаерволом, может с этим еще бороться эффективнее? В первозданном виде Shadowsocks

You must be registered for see links

через

You must be registered for see links

. Но можно подключить другие транспорты, например,

You must be registered for see links

, который используется сетью Tor. В таком случае нам кран не перекроют.

• You must be registered for see links
  позволяет обходить даже Великий Китайский Фаервол.
• You must be registered for see links
  .
• UX для опытных пользоавтелей.
• Публичных бесплатных серверов я не видел. Но можно очень просто развернуть свой сервер на
  You must be registered for see links
  .
• Поддерживается на всех популярных операционных системах, в том числе на мобильных.

You must be registered for see links

Проприетарное VPN приложение которое использует закрытый протокол

You must be registered for see links

. Согласно блогу компании, умеет

You must be registered for see links

Китайский Фаервол. Приложение платное. В бесплатной версии навязчивая реклама. Но если ничего больше не работает, стоит попробовать.

• Обходит Китайский Фаервол.
• Есть клиенты под все популярные ОС.
• Реклама в бесплатной версии.
• Закрытый протокол.
• Не сохраняет анонимность.

Итого



Выбор редакции —

You must be registered for see links

. Tor поможет в большинстве случаев. UI\UX приложения

You must be registered for see links

не вызвал у меня вопрос, все понятно. Скорее всего и у вас не будут проблем. Считаю, что это приложение должно быть утсановлено у всех борцов за свободу информации, рано или поздно вам оно пригодится.

You must be registered for see links

Отлично, разобрались с Tor. А что если вражески-настроенные агенты пошли дальше. Они отключили GSM сеть. Или вообще отключили Интертнет. Перезагрузка ПК и роутера не помогает .

Шеф, все пропало!​

В таком случае подойдут mesh-сети. В нашем случае нас интересуют mesh-сети, которые строятся с помощью

You must be registered for see links

и

You must be registered for see links

. Используя эти технологии, можно построить mesh-сети между мобильными устройствами: все узлы сети соединяются с соседними узлами в радиусе доступности радиосигнала и помогают передавать пакеты до адресата. Такой вид взаимопомощи, хватит быть эгоистом!

Mesh-сети явление не новое. Глоток популярности они получили во время протестов в Ираке и

You must be registered for see links

в 2014 году благодаря приложения

You must be registered for see links

(уже не поддерживается). В 2015 году использовался активистами во время протестов в Эквадоре и во время протестов

You must be registered for see links

в

You must be registered for see links

. А в 2016 году использовался студентами во время

You must be registered for see links

, когда в университете отключили Wi-Fi сеть.


FireChat был построен на закрытой библиотеке

You must be registered for see links

от OpenGarden.

You must be registered for see links

ее не одобрили: "Какой это Freedom, если код закрыт"?! Для передачи текстовых сообщений и изображений используются беспроводные сети Bluetooth и Wi-Fi, устройства с установленным клиентом могут обнаруживать друг друга в радиусе до 60 метров. Каждое устройство с клиентом фактически становится ретранслятором для других устройств с этой программой, организуя распределенную mesh-сеть.

Хотелось бы напомнить, что вас могут отследить, если вы подключены к GSM сети. Переведя же телефон в режим полета и присоединившись к Bluetooth mesh-сети, вы лишаете вражеских агентов возможности отследить вас.​

Так как FireChat закрыт, а приложение уже недоступно, предлагаю посмотреть на доступные альтернативы.

You must be registered for see links

Разработчики приложения позиционируют его как способ для общения во время путешествий и различного рода общественных мероприятий, когда GSM сеть может оказаться перегруженной. Приложение может работать в 3 режимах:

• Person-to-Person: общение возможно только между двумя участниками. Используется Bluetooth, в таком режиме радиус действия сильно ограничен.
• Mesh-сеть: сообщения шифруются и передаются через других участников сети (узлы). Тот режим, который нас интересует.
• 
  Широковещательный (Broadcast): отправляет широковещательное сообщение всем участникам сети кругом. Все увидят ваше сообщение, даже если их нету в вашем контакт-листе.
  
  
  Я протестировал приложением между двумя Android смартфонами, работали все режимы с выключенным Wi-Fi. Также, сообщения синхронизируются через сеть Интернет.
  

• Поддерживаются
  You must be registered for see links
  и
  You must be registered for see links
  .
• Закрытый код.
• Добавлять можно только те контакты, которые рядом, что неудобно.

You must be registered for see links

Этот проект с открытым кодом разработан для активистов, журналистов и других, кто нуждается в безопасном и надежном виде коммуникации. В отличии от традиционных мессенджеров, Briar полагается не только на центральный сервер, а синхронизирует сообщения между пользовательскими устройствами. Если сеть Интернет недоступна, Briar может синхронизировать сообщения через Bluetooth или Wi-Fi. Если сеть Интернет доступна, сообщения синхронизируются через Tor сеть, защищая пользователей от наблюдения. Больше деталей в

You must be registered for see links

документации.

Я протестировал приложение между двумя Android смартфонами. Работали все режимы с выключенным Wi-Fi, добавление контакта через QR код и микроблогинг. Сообщения синхронизируются через сеть Интернет.

• Не поддерживает iOS. Только Android. Со временем доработают.
• You must be registered for see links
  .
• Можно вести свой микроблог, полезная вещь, если нужно оповестить большую аудиторию о чем-то важном.
• Можно добавлять контакты по ссылке, которая представляет собой публичный ключ.

Итого



Используя мессенджеры на основе mesh-сетей можно наладить связь при массовых скоплениях людей без сети Интернет. Основная проблема — побудить всю "толпу" установить приложение. Мой выбор пал на Bridgefy, потому что поддерживается iOS и Android. Хотя UI\UX и функциональность понравились больше у Briar: возможность добавлять контакты через считывание QR кодов, индикаторы доступных каналов связи,

You must be registered for see links

.


Хочу отметить, что мои коллеги предупредили, что сотни WiFi 2.4 GHz на небольшой площади из-за

You must be registered for see links

могут "нашуметь" на столько, что на данной частоте будет невозможно поддерживать связь. Но я с этим не сталкивался, пока что.

Заключение



Буду краток:

You must be registered for see links

и

You must be registered for see links

спасут вас с большой вероятностью.


Хотелось бы отметить, что вражеские агенты могут пойти дальше. Если начнут

You must be registered for see links

не только GSM, а 2.4ГГц или 5ГГц, на котором работает Wi-Fi и Bluetooth, то здесь уже ничего не поделаешь. Или поделаешь? Поделитесь идеями!

Прошу прощения за возможные ошибки и описки. Посоветуйте плагин для VS Code, который может исправлять синтаксис и пунктуацию в Markdown ​