VPN, все про них [вопросы, советы, рекомендации]

Discussion in 'Анонимность' started by HIMIKAT, 13 Dec 2010.

  1. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Речь шла о российских VPN-компаниях, которые сообщают провайдеру что клиент пользуется именно их сервисом, а не просто подключился по OpenVPN к какому-то серверу и что-то оттуда скачивает и отправляет. Поставь себя на место органов и увидишь как упростится твоя задача. Предположим, некто взломал что-то, используя VPN. На SOCKS, натянутый поверх VPN, накатали жалобу, датацентр SOCKS'а предоставил IP-адрес подключившегося к нему пользователя VPN, затем жалоба идет в датацентр VPN, оттуда спускается к владельцу VPN-сервиса. Поскольку на 1 IP висит множество людей, владелец VPN-сервиса не может обойтись без логирования, чтобы не терять весь сервер, он смотрит по логам когда и какой клиент совершил это действие и отключает его. Одновременно с этим владелец русского VPN-сервиса передает компетентным органам логи клиента, компетентные органы смотрят логи, но получены они незаконным путем (т.к. официально владелец VPN-сервиса и органы не связаны между собой). Уже имея на руках все логи и доказательства, органы показывают прокурору входящий IP-адрес с логов датацентра, но датацентр не записывает весь контент каждого пользователя "от и до", он записывает только входящий IP и IP назначения, а также порт, метку времени и количество переданной информации в байтах. Базируясь на полученном адресе из датацентра, в дело вступают локальные отделения СОРМ-2, которые хранят логи подключений ко всему, в том числе к VPN-провайдерам. Естественно, в логах хранятся и те самые пресловутые TCP-заголовки, идентифицирующие компанию. Далее дело за малым - отследить по архиву логов кто подключался и к какому VPN-провайдеру, отталкиваясь от заголовков. Т.о. органы однозначно делают вывод, что клиент подключался именно к этой VPN-компании и используя именно эту VPN-компанию он совершил преступление. Тогда прокурор просит установить связь с VPN-компанией, чтобы точно быть уверенным что именно этот клиент в именно это время совершил преступление. Владельцы живут в России, найти их трудностей особых не представляет. На этом дело заканчивается, логи есть, датацентр не задет, VPN-компания не задета, сервер сохранен, доказательства для суда имеются. Эти TCP-заголовки как раз и создают доказательную базу, являясь ее частью.
     
    #101 black_berry, 1 Nov 2011
    Last edited: 1 Nov 2011
    1 person likes this.
  2. s62

    s62 Member

    Joined:
    18 May 2011
    Messages:
    49
    Likes Received:
    8
    Reputations:
    5
    А, теперь понятно..Вы конкретизировали фразу, добавив "речь шла о российских vpn"..
    Я-же говорил вообщем.., о vpn провайдерах разных стран..
     
  3. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    С другими странами все может быть примерно так. Когда судья из Зимбабве получает IP-адрес подключенного к датацентру в Мозамбике пользователя, он запрашивает Интерпол на помощь в расследовании. Сам пользователь при этом, условно говоря, находится в Германии. В Германии провайдером, предоставлявшим услуги пользователю под указанным IP, логируется весь траффик по умолчанию, т.к. установлена Solera. В логах Soler'ы видны заголовки TCP-пакетов VPN-провайдера, зарегистированного в Италии. Интерпол приезжает в Мозамбик и по решению суда конфискует всю стойку с VDS, где находится (пардон, находился) один из серверов VPN-компании. Содержимое изучается на предмет локальных логов, и если логи VPN-компании оставались на тот момент на этом сервере, они будут у Интерпола. Я могу только предположить, что таких исключительно редких делах международного масштаба VPN-компания как правило не извещается о том, что ее клиент что-то совершил, чтобы она в случае чего не успела "сжечь мосты", а получает постфактум информацию, что стойка с серверами изъята. Если Интерпол после изъятия стойки обнаружит на ней конфиги VPN-компании, ее название, это не будет иметь особого значения и связываться с ней в дальнейшем нет смысла - все локальные логи и так будут у них. Если увидят только входящий IP из Германии - пошлют запрос, в Германии изучат логи Soler'ы на предмет подключения к Мозамбику в ту дату и время, которая будет найдена в логах в Мозамбике, и найдут человека. Взломщику остается в этом случае только надеяться на то, что логи хранятся на каких-нибудь отдельных серверах в странах, не входящих в Интерпол или на зашифрованных разделах в криптоконтейнерах со стойкими паролями. Но так вряд ли будет...

    Вы не заметили, что ни одна зарубежная компания не предоставляет DoubleVPN-услуги, а в России таких полно и денег за это берется немеряно? ИМХО, рекламный ход. Сколько бы этих VPN-ов не стояло один за одним, если в России в любой момент компетентные органы могут попросить те логи, которые пишутся "про запас" для точечного отключения, если что-то случится в будущем - то грошь цена хоть "квадро-", хоть "пента"-VPN'у.
     
  4. s62

    s62 Member

    Joined:
    18 May 2011
    Messages:
    49
    Likes Received:
    8
    Reputations:
    5
    То, что при надобности вычислят все равно..с этим не спорю..Здесь уже много писалось, что берем левак: симку и телефон ..и т.д.
    Просто надо серьезно наработать, чтоб за тебя взялись в международном масштабе.., а так ,по мелочам
    ( что ,я думаю ,делают большинство этого сайта) бросят искать увидев ,что концы ведут дальше по цепочке..
    Дело касается,конечно, если ты в России , а подключаешься к провайдеру vpn..ну Великобритании..
     
  5. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Согласитесь что эти заголовки отправляются не просто так, от фонаря по умолчанию таких настроек в OpenVPN-сервере всего нет, или они есть но туда можно вбить любые данные. А почему эти провайдеры вбили свои настоящие идентификационные данные? Для чего, в каких целях? И наверняка сами владельцы этих контор знают об этих заголовках, словно говорят вашему провайдеру - "ваш клиент подключился к нашему серверу по зашифрованному каналу, мы находимся на Филиппинах, Манилла, наш электронный адрес - admin@***.com, наш сайт - ***.com". А на другом VPN-провайдере вообще ничего не видно.

    Вот лично вы как считаете, зачем им себя идентифицировать? То что это косвенно указывает на хранение логов и желание слить их при первой же возможности, не напрягая датацентр, уже понятно.
     
  6. cmerch

    cmerch Member

    Joined:
    27 Aug 2010
    Messages:
    58
    Likes Received:
    16
    Reputations:
    5
    судя по всему это данные которые были указаны при регистрации сертификатов, надо еще проверить при авторизации в ssh по ключу должно быть аналогично поидее. Соответственно при юзании ssh тунелей нужно так же обращать на это внимание.
     
    1 person likes this.
  7. lisawen

    lisawen New Member

    Joined:
    4 Aug 2011
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    да уж..
    может кто-либо из местных с репутацией сделает нормальный анонимный vpn сервис, чтоб в случае чево таких следов не осталось ?
     
  8. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Ты прав, нашел корень проблемы. В сертификате от TsunamiVPN флаг Issuer:

    E = [email protected]
    CN = TsunamiVPN
    O = TsunamiVPN
    L = Manila
    S = Manila
    C = PH

    То же самое флаг Subject.

    Правда, саму ситуацию это не меняет, поскольку большинство российских OpenVPN-продавцов предоставляют доступ к сертификатам и конфиг-файлам после покупки.

    Хорошо, когда в .crt можно просмотреть эти данные и выбрать, подходит это тебе или нет, а бывает когда сертификат находится внутри конфига, поэтому отследить что именно он будет отправлять до покупки подписки невозможно.
     
  9. s62

    s62 Member

    Joined:
    18 May 2011
    Messages:
    49
    Likes Received:
    8
    Reputations:
    5
    Кто спрашивал про Hotspot Shield
    [​IMG]

    Вроде все чисто..
     
    3 people like this.
  10. dll

    dll Elder - Старейшина

    Joined:
    6 Sep 2006
    Messages:
    37
    Likes Received:
    4
    Reputations:
    0
    Читать весь этот бредовый тред нет ни желания, ни смысла, но раз уж нам сообщили о "картинки с информацией о вашем сервисе" - отвечу.
    JJL, значение
    Code:
    verb 3
    в конфигах используется только для клиента и помощи ему в решении возможных проблем. Вам не приходило в голову, что значение (verb) можно свободно менять? Это к слову об очевидном бреде
    Code:
    verb равный значению 3, что уже говорит о наличии каких то логов.
    Информация для местных "аналитиков ИБ", которые якобы скомпрометировали наш vpn-сервис: заголовки транспортных протоколов TCP и UDP не несут в себе информацию о сертификатах или "контактах". На картинке показаны значения полей серверного сертификата, которые ни как не влияют на чью бы то ни было анонимность, ибо вписать туда можно что угодно, т.е. это не достоверная информация. Достоверная информация - это, например, IP-адрес с которым было установлено соединение и если начинается анализ, то, наверно, опорой являются достоверные факты. (хочется верить, что люди занимающиеся киберпреступностью профессиональнее тех, кому я это пишу).

    HIMIKAT, вы позорите как борд в целом, так и себя в частности. Нынче "вшивость" vpn-сервиса определяется заполненными чем-либо полями в сертификате? В таком случаи удалите или скройте на несколько лет этот тред и пойдите поучите матчасть.


    Феерический бред и примитивный "сюжет". Уважаемый black_berry, у вас есть хоть один факт ведения логов\их продажи\etc?

    P.S. Конкретно сервис DoubleVPN.com не декларирует о 100% анонимности и никогда не декларировал (в отличии от некоторых других). В узком смысле мы предоставляем возможность нашим клиентам снизить риск компрометации его истинного IP-адреса заинтересованной стороной.
     
  11. JJL

    JJL New Member

    Joined:
    3 Oct 2011
    Messages:
    17
    Likes Received:
    4
    Reputations:
    0
    Ну по поводу клиентского конфига, это вы правы.

    А вот если на серверном конфиге verb 3 стоит, то там естесственно логи обращения по IP к серву присутствовать будут.
    Вопрос в том как его у вас проверить достоверно, на серв то пустить пустите, а сами перед этим значения можете поменять и потом обратно вернуть.
     
    #111 JJL, 2 Nov 2011
    Last edited: 2 Nov 2011
  12. cmerch

    cmerch Member

    Joined:
    27 Aug 2010
    Messages:
    58
    Likes Received:
    16
    Reputations:
    5
    если на стороне сервера в конфиге отсутствует параметр
    то параметр verbose
    роли не играет если мне память не изменяет.
    А на стороне клиента этот параметр регулирует колличество выдаваемой инфы о подключении и на безопастность ни как не влияет.
     
  13. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Значит, вы могли вписать туда что угодно, но вписали данные, которые удивительным образом совпали с существующим адресом вашей компании, а также E-Mail адресами. Хотел бы обнадежить, у вас еще не всё так плохо - на некоторых картинках даже номер аккаунта высвечивается.

    Я не буду отвечать за человека, которого уважаю, но с вероятностью 99.9% предположу следующее - это тред никто не удалит, как бы вам этого ни хотелось.

    Видимо "бред" - ваше любимое слово, поскольку в данной ситуации несёте его исключительно вы, причем с охотой переходите на личности. Зацепила, наверное, "картинка" и обсуждение. Ну ничего, переживёте. А про факт ведения логов вы расскажете сами, на основании какой информации вы выборочно отключаете подписку пользователя, который нарушили ваш TOS, вместо того чтобы терять весь сервер и доводить дело до изъятия стойки полицией. Будет интересно почитать.
     
  14. NpeTi

    NpeTi New Member

    Joined:
    10 Dec 2010
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    То же самое приходит в голову, когда читаешь подобное этому:

    Когда человек такое пишет он вообще размышляет? dll, вы думаете если там указана почта и домен, то при надобности их никто проверять не станет? По-моему это очевидно, что первое что будут проверять (пусть даже если это не окажется правдой) именно эти данные. Особенно если учесть что как правило (а здесь мы видеть что все-таки это правило, нежели исключение) впн компании оставляют именно свои координаты.
     
  15. NpeTi

    NpeTi New Member

    Joined:
    10 Dec 2010
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Такие заявления вообще убивают. А зачем тогда вы спорите, если вам не важна полная анонимность клиента? Так и скажите правду: "да, мы ведь не заявляем вам об анонимности на 100% вот и не заботимся о таких мелочах."

    У меня возникает вопрос, а зачем вы тогда нужны? Какой нормальный человек при схожих условиях выберет менее анонимный впн? Знаете, не всем нужен впн для чего-то криминального. Мне например нравится ощущать, что мои данные нигде не светятся. Но если бы я хотел чтобы моя анонимность не была 100%, я бы не тратил лишние деньги на впн.

    (Избавьте от рассуждения что 100% анонимности не бывает. Зато к ней можно стремится. И если впн компании заранее не стремятся к 100 анонимности пользователей, то там не только 100 не будет но и 50)
     
    #115 NpeTi, 2 Nov 2011
    Last edited: 2 Nov 2011
  16. funtikas

    funtikas New Member

    Joined:
    29 Jun 2010
    Messages:
    5
    Likes Received:
    1
    Reputations:
    0
    Cryptovpn тоже палит все (((

    [​IMG]


    Такая же ситуация и с openvpn.cc((( Абсолютно. Если надо скрин сделаю попозже.
     
    1 person likes this.
  17. Opiudless

    Opiudless New Member

    Joined:
    1 Nov 2011
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Именно.

    Снова согласен. Заметьте, dll так ничего и не предпринял и на дальнейшее "объяснение" факта отказался.
     
  18. spider-intruder

    spider-intruder Elder - Старейшина

    Joined:
    9 Dec 2005
    Messages:
    700
    Likes Received:
    339
    Reputations:
    37
    Каким впном вы пользуетесь провайде ваш будет знать в любом случае - у него есть ИП.

    Главное что содержимое пакета не видно... Так то (с) dh
     
  19. s62

    s62 Member

    Joined:
    18 May 2011
    Messages:
    49
    Likes Received:
    8
    Reputations:
    5
    уже говорили,читайте топик..
     
  20. s62

    s62 Member

    Joined:
    18 May 2011
    Messages:
    49
    Likes Received:
    8
    Reputations:
    5
    spider-intruder

    Ой да ладно..Можно подумать у всех провов есть базы - какие ip какой организации принадлежат..Для этого специально интересоваться надо и делать они это будут только по какой-нибудь веской причине, ИМХО..
     
    #120 s62, 4 Nov 2011
    Last edited: 4 Nov 2011