Сбой в работе рунета 27 февраля, когда многие юзеры не могли зайти на какой-либо сайт/воспользоваться мессенеджром или подключиться к VPN на своем сервере, мог произойти из-за массового тестирования Active Probing, который уже много лет успешно работает в Китае или какой-то другой похожей на Active Probing технологии.

Вчера с IP-адреса из группы AS61280 проводили сканирование 443 порта у многих серверов (они могли быть пустые или на них мог быть установлен VPN). Данный адрес принадлежит ГЧРЦ.

При этом, в своей заметке на ресурсе ntc.party пишет о сканировании и ValdikSS, приводя в пример VPN-сервис Windscribe. В заметке говорится, что Примерно с середины января 2024 он обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились.

Данные блокировки происходят следующим образом:
При обращении:

- По HTTPS со SNI (api|checkip|assets).windscribe.com (и других доменов сервиса Windscribe) на порт 443
- (или) по TCP SYN на один из известных IP-адресов VPN-серверов сервиса и порт 443, 587, 21, 22, 80, 123, 143, 3306, 8080, 54783, 1194 (например, 149.88.108.1)
- (или) по UDP к VPN-протоколу OpenVPN или WireGuard на эти же порты

происходит блокировка на 5 минут:

- SNI по regexp (api|checkip|assets)\.[0-9a-f]{40}\.com, но при условии, что в имени зоны содержится хотя бы 5 цифр и 4 буквы. Т.е. https://api.abcdef0123456789abcdef012345678900000000.com заблокируется, но https://api.abc0000123456789222222012345678900000000.com — нет

Также он подметил, что метод с триггерами используется в том числе для выявления новых VPN-серверов, но если это и происходит, то не в атематическом режиме.


Таким образом получается, что в каком-то виде Active Probing уже минимум месяц работает в России точечно. Падение во вторник возможно было из-за попытки раскатать Active Probing в автоматическом режиме на весь рунет.

Казахстан вновь предпринял попытки MITMовать пользовательский трафик, выпустив новый корневой сертификат. Попытки MITMовать пользовательский трафик были в 2015, 2019 и 2020.

Сертификат уже добавлен в OneCRL, то есть заблокирован для использования в Мозилле.

Apple выкатил документ, как будут работать альтернативые маркетплейсы для IOS в Евросоюзе

Альтернативные маркеты будут работать для IOS версии 17.4 и выше. Для этого у пользователя в Apple ID должна указана одна из стран ЕС и пользователь должен физически находиться (!!) в ЕС.

А если пользователь физически уезжает с территории ЕС с "правильной" страной в Apple ID, то:
• установить новый альтернативный маркетплейс нельзя.
• установить новые приложения из установленного европейского маркета нельзя.
• установленные оттуда приложения продолжат работать.
• но обновлять их можно только в течение 30 дней с момента переезда из ЕС, потом обновления перестанут работать. Хотите обновляться без ограничений - ставьте из основного Appstore или не уезжайте из ЕС.

А еще пишут, что при удалении приложения маркетплейса установленные оттуда приложения могут перестать работать. А могут не перестать. В общем, функционального аналога Fdroid на IOS не будет.

🤐 Demhack 8: то, что нельзя называть

Уже восьмой хакатон о приватности и свободе интернета состоится с 29 по 31 марта 2024 года в формате онлайн. Главная тема — изучение цензуры и новых способов доступа к информации.

Можно выбрать как одну из задач, подготовленных огранизаторами и партнёрами, так и предложить свой проект, отвечающий ценностям хакатона.

🥇Призовой фонд – 1200 USDT. За отдельные задачи партнёры готовы дать дополнительные призы. После хакатона лучшие проекты смогут довести mvp до релиза в Privacy Accelerator.

– Как получить доступ в свободный интернет?
– Какими могут быть новые формы распространения общественно важной информации?
– Каков масштаб блокировок VPN в России и мире сегодня?
– Насколько российские сервисы могут заменить внешние, доступа к которым больше нет?

Присоединяйтесь к поиску ответов на эти актуальные вопросы, прием заявок на участие до 18 марта включительно: demhack.org

TorProject сообщили, что выпустили новый Pluggable Transport — WebTunnel (вдохновленный HTTPT), который может использоваться как замена obfs4. Сам obfs4, кстати, могут блокировать в Китае, так как он выглядит, как полностью ни на что не похожий зашифрованный трафик, WebTunnel, в свою очередь со слов Tor выглядит как WebSocket-подобное HTTPS-соединение. Таким образом, для внешнего наблюдателя, это выглядит как обычное HTTP-соединение с веб-сервером.

Для того, чтобы воспользоваться WebTunnel нужно:
1. Обновить TorBrowser до последней актуальной версии
2. Зайти на сайт Tor (https://bridges.torproject.org/options) и запросить мост для WebTunnel (да-да, на данный момент запросить данный тип моста возможно только через сайт, но разработчики пишут, что планируют выдавать их с помощью электронной почты и Telegram, как это было с obfs4)
3. Открыть TorBrowser, перейти в настройки подключения, выбрать WebTunnel, после чего вручную добавить полученный вами на сайте мост (подобный гайд есть в новости)
4. Подключиться

Вот новое университетское исследование, как провайдеры могут эффективнее блокировать OpenVPN в своих сетях. Исследование делали на живом трафике в сети реального провайдера, с которым удалось договориться. То, что OpenVPN несложно блокировать - не новость, но эти исследователи показывают, как делать это еще эффективнее и как обходить стандартные защиты OpenVPN от блокировок.

Система, которую они использовали, не похожа на ТСПУ, а похожа на Великий китайский файрвол, то есть работает в два этапа - сначала пассивно ищет в трафике по фингерпринтам, а потом вторым этапом стучится на подозрительные айпишники проверять, не ответит ли там OpenVPN сервер, или как именно он сбросит соединение. Такие системы (filter + prober) точнее и имеют меньшее количество ложных срабатываний.

Основные результаты:
• Для определения OpenVPN трафика по этой методике нужно около 8 секунд с точностью около 85%.
• XOR-патчи, которыми обычно защищаются от блокировок провайдеры OpenVPN, от этой системы не помогают (34 из 41 реального провайдера получилось определить только пассивным сканированием). Восемь из десяти "обфусцированных" VPN-провайдеров из рейтинга top10vpn.com эта система блокирует.
• tls-crypt и tls-auth от этой системы не помогают, потому что сервера предсказуемо сбрасывают попытки активного сканирования.
• В смысле устойчивости лучше себя показали VPN-провайдеры, у которых OpenVPN только по UDP и у которых весь трафик идет через IDS, из-за чего активное сканирование (probing) не работает.
• А еще некоторые сервера оказалось легко блокировать, потому что у них что-то про VPN написано в сертификате (*.vpn.ipvanish.com), либо в WHOIS и DNS PTR записях.

Что рекомендуют VPN-провайдерам для повышения устойчивости к блокировкам:
• Не совмещать инфраструктуру - разделять обфусцированные и не обфусцированные сервера.
• Мусорить в трафик (рандомизировать паддинги), чтобы пакеты стали не похожи на себя.
• Использовать для обфускации pluggable transports, типа пусть новые способы обхода блокировок разрабатывают специально обученные люди.

Технические подробности на русском на Opennet тыц.
Ссылка на изначальный pdf исследования в PDF тыц.

Идеи проектов и задачи Demhack 8

29-31 марта 2024 онлайн состоится хакатон Demhack. К участию приглашаются программисты, дата-аналитики, дизайнеры и все, кто хочет создавать инструменты для развития свободы интернета и приватности.

Можно заявиться своей командой, участвовать одному или объединиться с другими специалистами. В течение 2 дней участникам будет помогать команда менторов – эксперты различных профилей по темам хакатона.

Общий призовой фонд хакатона – 1200 USDT. За некоторые задачи партнёры предлагают отдельные гарантированные призы в случае их успешного выполнения.

Описание идей для проектов и задач тут. Прийти со своим проектом тоже можно (и нужно). Лучшие идеи будут поддержаны после завершения конкурса.

О победителях предыдущего Demhack 7 можно прочитать в материале: https://habr.com/ru/companies/roskomsvoboda/articles/800609/

Регистрация до 21 марта:
https://8.demhack.org/

Telegram представил новую функцию. Теперь пользователи могут получить бесплатную премиум-подписку в обмен на разрешение использовать их номер телефона для отправки одноразовых SMS-паролей другим пользователям, пытающимся войти в платформу.

В основном все возбудились, что кто-то узнал ваш телефон и будет слать вам спам. Но, кажется, что номер телефона не является чем-то ценным, и спам и так вам шлют, просто перебирая все номера подряд.

Интересно другое: можно ли сделать свой номер таким СМС шлюзом, написать скрипт для аутентификации в телеграме и завладеть аккаунтами, у которых нет двухфакторки? Привязки к гаджету там нет, код смс можно вводить с другого устройства, а не только с того что запросили.

Начиная с 21 марта в России наблюдалась блокировка на ТСПУ протокола TLS 1.2 в сторону Cloudflare.

Зацепило сайты и сервера мобильных приложений за Cloudflare, у которых в настройках самого Cloudflare был выставлен TLS 1.2. Не работали https://app.plex.tv, https://hello.vrchat.com/, стримы в Twitch через OBS, ShareX и так далее.

Блокировка возникала в ответ на предложение сервера при установке соединения установить шифрование ECDHE-RSA-AES128-GCM-SHA256 в сочетании с сертификатом. TLS 1.3 не блокировался - там ответы сервера другие.

Вчера вечером блокировку откатили и работоспособность постепенно восстановилась.

Обсуждение на форуме поддержки Cloudflare тыц.
Обсуждение на ntc.party тыц.

Google проиграл суд, их судили за то, что они собирают данные, когда пользователи пользуются инкогнито режимом в хроме. Это всё часть мирового соглашения по иску 2020 года, которое показало, как много инфы Google вытаскивает из нас, даже когда мы в режиме "Инкогнито".

Google обязали обновить стартовую страницу режима Инкогнито, чтобы теперь там было написано прямым текстом, что Google всё равно собирает данные, несмотря на режим просмотра. К тому же, некоторые "старые данные" пользователей Инкогнито, которым больше девяти месяцев, тоже будут удалены.

Запустили бета-версию DPIdetector для мониторинга блокировок VPN-протоколов в России

Инструмент сейчас анализирует доступность шести VPN-протоколов (OpenVPN, OpenVPN+TLScrypt, WireGuard, Amnezia WireGuard, Shadowsocks, Cloak) в разных регионах России у разных операторов.

Какие блокировки протоколов VPN мы видим сейчас:

- недоступен WireGuard на мобильных устройствах при подключении к зарубежным серверам;
- в некоторых регионах недоступен OpenVPN и OpenVPN+TLScrypt при подключении к зарубежным серверам на домашнем интернете;
- регулярно наблюдаются эксперименты по ограничению доступа к Shadowsocks, но на постоянной основе блокировок нет.


Вы можете принять участие в работе проекта:

1. Сообщить о блокировке через форму обратной связи, указав конкретный протокол, регион и своего провайдера.

2. Запустить ноду на своём компьютере. Для этого необходимо получить токен и поднять ноду. Инструкцию пришлем.
Мы особенно заинтересованы в нодах в тех регионах, которые отмеченных на карте серым цветом.

По всем вопросам пишите в чат @dpidetector и в личку @dpidetector_support

Позавчера РКН «бумажно» заблокировал Amazon, но сегодня у некоторых пользователей уже недоступен сам aws.amazon.com.

Блокируется все по ТСПУ, в реестрах ничего нет.

Если начнут блокировать не только амазоновскую морду, но еще и подсети, рунет могут ждать катаклизмы, как было вначале блокировки Telegram, когда каждый второй сервис лежал, будь то Slack или Сбербанк Онлайн. Но теперь впн же у всех, верно?

UPD. Amazon - это не только магазин, это самый большой «хостинг» в интернете. Половина сервисов и сайтов лежат на нем.

Роскомнадзор заблокировал сайт Amnezia VPN

Сайт появился в реестре сегодня, но решение о блокировке приняли ещё 6 марта (в первую неделю вступления в силу закона о запрете информации про обход блокировок).

Amnezia VPN — это self-hosted VPN, где в несколько кликов и по понятной инструкции можно настроить VPN на своем сервере без глубоких технических знаний.

У Amnezia есть бесплатный VPN на базе собственного протокола AmneziaWG — AmneziaFree @free_vpn_amnezia_bot — он работает для большинства заблокированных сайтов медиа и соцсетей, например, Twitter или Facebook.

Сайт теперь доступен в России только с VPN, но приложения работают исправно на всех устройствах. Скачать

С 18 апреля TikTok заблокирован Кыргызстане. Платформа достаточно популярная и используется юзерами в разных целях.

Но все не так плохо. Команда Amnezia смогла оперативно запустить AmneziaFree. Это совершенно бесплатно и очень просто в использовании. Сама AmneziaFree уже запущена для РФ, к примеру, и позволяет обойти блокировки, предоставляя конфиги на протоколе AmneziaWG.

Запросить конфиг для Кыргызстана можно тут - @amnezia_free_kyrgyzstan_bot

И если у вас есть обратная связь или возникли проблемы с конфигурацией, отправляйте свои сообщения на support@amnezia.org

Сегодня вышла новость, что заблокированы сайты VPN-сервисов.

Многие из этих сервисов заблокированы были и раньше, кто-то через реестр, кто через ТСПУ. Сейчас же все эти сервисы вновь попадают под блокировку, но уже через реестр, а не через ТСПУ. Делается это, видимо, для того, чтобы привести все блокировки VPN-сервисов под закон о запрете информации о VPN.

Кроме того, Рунет несколько дней подвергался "опасности" из-за этого переезда, т.к. сайты некоторых сервисов оказались разблокированными на этот период.

Ну и кстати vpnlove.me так в реестр и не переехал. Ждем.

Очередная волна наброса на Protonmail по причине того, что протон сдал данные каталонского активиста. Спецслужбы Испании запросили через спецслужбы Швейцарии информацию о данных пользователя и получили резервный емайл, через который уже получили от Apple нужную информацию.

О чем эта новость нам напоминает:
1. Протон не анонимен (и никогда им не был, и почти никогда не декларировал это) и общается со спецслужбами в соответствии с швейцарским законом.
2. Нужно помнить о юрисдикции сервиса. Не надо пользоваться для оппозиционной деятельности сервисами вашей же юрисдикции.
3. Протон потенциально может передать все ваши данные, кроме содержания писем (только они шифруются).

Все это и так описано в п5 "Data disclosure" Privacy Policy сервиса.

Халява плз!

Наши хорошие знакомые из сервиса VPNPay, который занимается продажей ключей доступа к некоторым VPN-сервисам, хотят запустить продажу прокси-протоколов (VLESS, Vmess, Shadowsocks и другие) и раздают 200 кодов для тестирования на месяц бесплатно.

Все что вам нужно сделать - это перейти в этот бот (https://news.1rj.ru/str/proxy_all_bot), прочесть инструкцию и запросить ключи.

Весь фидбек пишите на почту команды VPNPay - help@vpnpay.io

Ну что, свершилось!

Представляем вам наш новый ютюб канал и новый ютюб-сериал TechTalk 2Weekly!

Сегодня вышло первое видео, которое и дальше будет выходить по средам раз в 2 недели :)

https://www.youtube.com/watch?v=e3nFTD31kyo&ab_channel=TechTalk

Подписывайтесь на канал, шер/лайк и все такое!