Большой Русский Фаерволл от Роскомнадзора - новые плюшки и контрмеры?

Discussion in 'Анонимность' started by wtorrent, 5 Jun 2013.

  1. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    Уважаемые античатовцы!

    Наверняка все в курсе горячки, которая сейчас происходит вокруг проект закона о борьбе с пиратством в интернете

    Если кто не в курсе то вот из последнего: http://www.vedomosti.ru/tech/news/12690811/kak_zakryt_pirata#ixzz2VHyPFVjw

    Так вот на встрече кинематографистов с президентом 24 мая кинематографисты предложили включать сайты, на которых обнаружен ворованный контент, в печально известный "черный список", оператором реестра которого на данный момент является Роскомнадзор.

    Сами механизмы блокировки и текущие проблемы стали основной темой и на региональной конференции ENOG 5 / RIPE NCC которая проходила в гостинице Corinthia в Санкт-Петербурге 27-28 мая 2013 года. (Видео с конференции (доклад представителя Роскомнадзора о механизмах блокирования) )

    В связи с неэффективностью блокировок по IP ОСНОВНОЕ новшество это метод точечного блокирования, который Роскомнадзор теперь рекомендует к применению всем операторам связи, своебразный Большой Российский Фаерволл, идею которого наши доблестные блюстители морали почерпнули у новозеландских коллег (ссылка на оригинальную технологию ) выбрав не DPI как предполагалось, а такую штуку как:

    Итак помимо старенького метода блокировки по IP они хотят выполнять { блокирование с предварительным выделением по IP адресам и дальнейшей фильтрацией по URL (IP+URL)}

    [​IMG]

    Модель «прозрачного» прокси-блокирования с помощью URL:
    1 - Трафик для сайта x, отделяется от остального трафика и пересылается через
    блокирующий прокси-сервер
    2 - Обычный путь следования интернет-трафика
    3 - Прозрачный прокси-сервер поставщика услуг Интернет, осуществляющий
    проверку URL на принадлежность к заблокированным значениям
    4 - Совпадение отсутствует, трафик пропускается
    5 - URL совпал, трафик блокируется

    Т.е. другими словами: весь траффик/запросы от пользователя будет проходить через некий аппаратно-программный комплекс, который будет анализировать IP-адреса тех ресурсов, которые хочет посетить пользователь и если IP-адрес совпадет с таким же в черном списке, то попадает на анализ в некий proxy-сервер и если идет запрос на запрещенный URL, то он его не пропускает, а весь остальной траффик с/на данный IP свободно проходит.

    При этом, Роскомнадзор допускает комбинированную схему, когда в список запрещенных ресурсов попадает не только URL, а сам домен, тогда «возможно, дополнительно, проводить блокировку на уровне DNS, обязав DNS-оператора производить замену записей в соответствующей доменной зоне записью, указывающей либо на недоступность данного ресурса, либо перенаправляющей запросы на специальный ресурс, уведомляющий о факте блокировки»

    Источник и подробное описание ситуации: http://rublacklist.net/5412/#more-5412

    Ссылка на официальные документы Роскомнадзора: Материалы к выступлению заместителя руководителя Роскомнадзора Максима Ксензова на Расширенном заседании Коллегии Роскомнадзора 14 мая 2013 года в части, касающейся анализа существующих методов управления доступом к интернет-ресурсам и рекомендации по их применению

    Помимо того что интересно Ваше мнение на эту тему, волнует и КОНКРЕТНЫЙ ВОПРОС:

    Новозеландское комьюнити пишет о том что эта система имеет слабые места в частности цитирую:

    "Groups such as Tech Liberty and internetNZ say the website filter is at best a crude device and not very effective. They point out the filter can't intercept encrypted web traffic, or file-sharing, email, chat, and instant messaging - the main ways in which child pornography is traded. Website filtering can also easily be evaded by anyone with a reasonable degree of technical skill."

    1) Не вполне понятно о чем идет речь, возможно ли что использование сайтом протоколов с шифрованием (SPYDY, https) может сделать блокировку проблематичной (простите за некомпетентность в этом вопросе заранее).

    ВОПРОС: Какие контр-меры может предпринять вебмастер чтобы избежать блокировки по такой схеме (учитывая что VPN/Tor/i2p и все остальное обычными пользователями применяться не будет)

    3) Лично у меня есть одна идея, а именно использование вместо сайта AIR приложения, которое регулярно обновляется и резолвит новый список мастер серверов по зашифрованному каналу - у нее есть масса минусов, единственный ли это выход и выход ил вообще?
     
    #1 wtorrent, 5 Jun 2013
    Last edited: 5 Jun 2013
  2. scanislav

    scanislav Elder - Старейшина

    Joined:
    25 Jun 2010
    Messages:
    87
    Likes Received:
    22
    Reputations:
    31
    Если я правильно понимаю, как оно работает, то гугль-или бинг-транслейтом можно обойти. IP и домен ведь будут принадлежать серверу-переводчику, а не запрещеному сайту . Для кучи добавить редиректов на пути, чтоб URL все время менялся.

    Надо, разумеется, где-то публиковать понятную пользователям ссылку. Наверное, можно через сервис типа bit.ly или Твиттера попытаться:

    https://bit.ly/RosKomNadzor (указывает на этот тред)
     
  3. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    На этом этапе возникает основная проблема, как Вы представляете возможность работы массового сервиса такого как рутрекер в таких условиях, лично я очень смутно, посещаемость упадет в разы, возникнут колоссальные проблемы с размещение рекламы - это приведет к вымиранию массового сегмента

    VPN спасет конечного пользователя, но не ресурс с посещаемостью 100к/сут, который подпадет под такую блокировку, потому что 99% его пользоваталей не знают что такое VPN, а следовательно он просто закроется и VPN будет мало толку ведь заходить под ним будет некуда. Массовые же методы анонимизации вообще хотят приравнять к преступлению, http://izvestia.ru/news/551271

    Я ставлю вопрос именно о контр-мерах, которые могут предпринять веб мастера в этой ситуации превентивно ???
     
    #3 wtorrent, 5 Jun 2013
    Last edited by a moderator: 5 Jun 2013
  4. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,427
    Reputations:
    377
    про защиту сайта от блокировок была на хабре интересная статья: http://habrahabr.ru/sandbox/51757/
     
    _________________________
  5. OxoTnik

    OxoTnik На мышей

    Joined:
    10 Jun 2011
    Messages:
    943
    Likes Received:
    525
    Reputations:
    173
    ну обойти блок по ip адресу нетрудно, понятно что нужно делать.

    Я правильно понял что будет блокироваться не весь домен, а лишь конечный адрес сайта (sait.ru/about.html)
    Если да, то генерировать для каждого пользователя, свою карту сайта, как вариант.
    или все это под SSL чтобы "СТОП слова/адреса" не ловили.

    Ну и ещё какую нибудь фантастику можем придумать для ближайшего будущего.
     
  6. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    Было бы неплохо заблокировать на своём ресурсе - работников из роскомнадзора, что бы при заходе их - им не доступен был сайт.

    PS. Похожий метод применяю для блокировки жалующихся правообладателей
     
    2 people like this.
  7. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    Спасибо, пожалуй самый исчерпывающий ответ на данный момент и конкретные предложения. Хотелось бы поинтересоваться Вашим личным мнением на тему - какой из предложенных автором метовов / комбинация методов Вам видится наиболее перспективным.

    Также хотелось бы задать вопрос тем, кто имеет отношение к провайдерам или имеет опыт работы с проксирующим, DPI оборудованием ведущих вендоров - в статье автор задает некоторые вопросы, а именно он не уверен в слудующих гипотезах:

    1) Обход блокировки по URL:

    Не уверен в его работоспособности, и точно уверен, что поможет ненадолго. Используем SPDY (http://habrahabr.ru/post/145918/). Если я не ошибаюсь, DPI на данный момент не умеют его разбирать. Соответственно, блокировать по URL у провайдеров не получится (ещё раз уточню, что я могу ошибаться, жду опровержение в комментариях)

    2. Использование https. В данном случае лучше использовать не само-подписанный сертификат, чтобы пользователь видел, что его провайдер подслушивает его. Недостаток способа в увеличении нагрузки на сервер, поскольку трафик шифруется.
    Крупные провайдеры используют готовые решения, и не будут городить «линукс-анализаторы https с подменой сертификатов». А мелкие не двинутся, пока крупные не сделают свой шаг. Поэтому, до появления готовых железок с разбором https провайдеры смогут блокировать только по ip.
    Если существующие железки это позволяют, сообщите, пожалуйста, в комментариях.

    На хабре он в песочнице, так что милости прошу комментировать.

    UPDATE: Немного посерчил, о том как устроена Новозеланская система фильтрации - вот детальное описание возможностей, судя по все https становится проблемой для разбора, о SPYDY ничего не сказано - http://techliberty.org.nz/issues/internet-filtering/filtering-technical-faq/

    Кстати по поводу того что блокировку по ip легко обойти сменив адрес, есть противоположная информация:

    What happens if the website switches to a new internet address?

    The system periodically refreshes the mappings between website and internet address (i.e. does a new DNS lookup). Netclean recommend doing this daily.
     
    #7 wtorrent, 6 Jun 2013
    Last edited: 6 Jun 2013
  8. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    Уважаемый Грабитель, Ваша позиция понятна, но тема создана для обсуждения технических аспектов проблемы теми, у кого она от Вашей отличается. Я готов с Вами поспорить на тему "разорения" г-на Михалкова и других подобных товарищей, поверьте мне с хлебом и даже маслом у них все ок, а что касается авторов, которые не находятся в большой семье, то если честно я был бы только за если бы они получали большую часть денег от своей продукции, но нужно организовать вменяемые механизмы распростраения этого продукта и распространитель, если делает работу качественно вправе претендовать на процент с согласия автора. Также введение подобной фильтрации в условиях российских реалий чревато злоупотреблениями в рамках нечестной конкрурентной борьбы, а также подводит фундамент для введения механизмов цензуры ведь сделать то резко - значит вызывать негодование

    ОГРОМНАЯ ПРОСЬБА: Давайте на этом закончим обсуждение морально-этических аспектов вопроса и сконцентрируемся на технической части и реальных решениях. Особенно волнует, что поможет решить вопрос с блокировкой ip в случае алгоритма изложенного в UPDATE ( когда идет ежедневный DNS lookup и рефреш базы)
     
    #8 wtorrent, 6 Jun 2013
    Last edited: 6 Jun 2013
  9. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,296
    Reputations:
    327
    да бред, переедут трекеры в тор и всего делов
     
  10. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    Вы сами верите в это? Сейчас спросите на улице 100 человек и дай бог 1 Вам скажет что знает что такое Tor, а зарабатывают трекеры так же как и другие площадки за счет посещаемости по рекламной модели, так что то о чем Вы говорите в ближайшей перспективе несбыточно. Давайте лучше вернемся к обсуждению реальных практических решений.
     
  11. Грабитель

    Joined:
    5 Mar 2013
    Messages:
    196
    Likes Received:
    12
    Reputations:
    -7
    Ровно так же, как и обсуждение какого нибудь теракта, не нарушает... пока не нарушает.
    Интернет давно надо запретить, сделать ограничение, пускать строго по паспортам как предлагал Евгений Касперский, тогда и интернет на порядок будет чище.
     
  12. FunOfGun

    FunOfGun Elder - Старейшина

    Joined:
    5 Sep 2012
    Messages:
    388
    Likes Received:
    72
    Reputations:
    124
    ок, а как вам такой вариант: персональный анонимайзер, замаскированный под [тут нужно придумать тип сайтов, требующий обмена зашифрованной/внешне случайной инфой], если предположить, что у каждого пользователя свой пароль(а в идеале всего один пользователь) и используется хороший блочный шифр, провайдер никогда не узнает что передается, т.к. сервер в Европе, т.е. физического доступа к нему нету, если используется фриха -- блокировка по ip бесполезна(просто переезжаем и все, фрих дофига, да и просто дешевых хостингов еще больше), а передавать заархивированную инфу через инет пока не запрещено.
     
  13. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    Хорошо то, что весь трафик становится недоступным для провайдера, так как по сути это обязательный туннель для каждого пользователя с веб мордой. Мне не нарвится 2 вещи: 1) То что пользователь вынужден костылять через такую систему (но это можно обыграть) 2) То что остается домен анонимайзера как точка приложения атаки, ведь вся фишка в что никто не мешает им блокировать основную часть url этого домена. То что Вы скачете с ip на ip можно реализовать и кластером эмулирующим Flux DNS, но проблемы это не решит


    Интересует все таки был ли у кого-то опыт работы с таким оборудованием и какие уязвимые места присутствуют - обработка SPDY, https пока вызывает наибольший интерес. Если решение по какой-то причине не хотите озвучит в паблик, пишите в ЛС, договоримся
     
  14. FunOfGun

    FunOfGun Elder - Старейшина

    Joined:
    5 Sep 2012
    Messages:
    388
    Likes Received:
    72
    Reputations:
    124
    я предлагаю скакать не с ip на ip, а с домена на домен, на каждом домене страница с уникальным именем, все из словаря частовстречаемых имен страниц
     
  15. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    раз так идёт дело возможно пиринг вернётся ещё к нам ))
    а когдато только в пиринге качал )) ностальгия
     
  16. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    А могли бы пояснить, что делать с тем доменом, который будет у пользоваталей в закладках (в уме), он же в любом случае один единственный
     
  17. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    Тем временем UPDATE: Русскую SOPу протащили в Думу

    Как и предполагалось, Минкульт (пока недоствоверно?), несмотря на массовые протесты интернет-отрасли и интернет-общественности, но при мощной артподдержке федеральных телеканалов в сжатые сроки протащил свой текст законопроекта, направленный против интернета в Госдуму.

    Номинальными субъектами законодательной инициативы стали депутаты ГД В.В.Бортко (КПРФ, режиссер), Е.Г.Драпеко (Справедливая Россия, актриса), М.П.Максакова-Игенбергс (Единая Россия, певица).

    Законопроект № 292521-6: «О внесении изменений в законодательные акты Российской Федерации по вопросам защиты интеллектуальных прав в информационно-телекоммуникационных сетях»

    Источник: http://rublacklist.net/5631/#more-5631
     
    #17 wtorrent, 7 Jun 2013
    Last edited: 7 Jun 2013
  18. FunOfGun

    FunOfGun Elder - Старейшина

    Joined:
    5 Sep 2012
    Messages:
    388
    Likes Received:
    72
    Reputations:
    124
    один пользователь(ну 2-3-5 от силы), один вебмастер, передача нового адреса лично или через открытые каналы, пароль можно не менять, т.к. с большой вероятностью наш большой брат не сможет договориться с европейским.
     
  19. wtorrent

    wtorrent New Member

    Joined:
    26 Feb 2012
    Messages:
    27
    Likes Received:
    0
    Reputations:
    0
    Т.е. Вы предлагаете по сути выдавать пользователю/малой группе пользователей уникальный домен для работы с ресурсом?
     
  20. FunOfGun

    FunOfGun Elder - Старейшина

    Joined:
    5 Sep 2012
    Messages:
    388
    Likes Received:
    72
    Reputations:
    124
    Один анонимайзер(со стандартным функционалом, т.е. навигация по любым сайтам) на небольшую группу, да.
    По большому счету, можно на фрихах их пачками делать, себестоимость будет равна стоимости каптчи и прокси, т.е. меньше цента за один анонимайзер.