В Украине заблокируют доступ к "Яндексу", "ВКонтакте" и "Одноклассникам"

Проблемы цензурирования

colonelcassad
, 28 мая 2017 в 18:14


В продолжение темы блокировки российских ресурсов на Украине и проблемы обхода блокировок.

Не планировал писать эту часть, но, вижу, не все осознают, какую жопу можно сделать и как на самом деле легко цензурировать интернет в отдельно взятой стране при полной отмороженности её руководителей. Поэтому краткий ликбез крупным помолом, тезисно, без деталей и доказательств.

1. Весь интернет базируется на протоколе TCP/IP.

2. Протокол (вообще-то - стеке протоколов, но тут крупным помолом пойдёт) TCP/IP не имеет броадкаста как класса. Есть - мультикаст, но это немного не то.

3. В отсутствии броадкаста ВСЕ протоколы, лежащие на TCP/IP имеют потенциальную уязвимость - им надо знать IP-адрес "отвечающей" системы. Т.е. любой протокол имеет точку входа.

4. IPv4 крайне ограничен адресным пространством. С IPv6 таких проблем нет, но в него умеют не только лишь все - начиная от "не только лишь всех" абонентских устройств, продолжая оборудованием провайдеров и заканчивая оборудованием у хостеров.

5. Для блокировки сервиса достаточно на уровне TCP/IP заблокировать доступ к определенному адресу и/или определенной подсетке (совокупности IP-адресов, нарезанных согласно определенным правилам).
????

6. PROFIT!

7. HTTPS - не панацея. Даже вики среди всех дифирамбов "неуязвимости HTTPS" говорит нам, что
Everything in the HTTPS message is encrypted, including the headers, and the request/response load. With the exception of the possible CCA cryptographic attack described in the limitations section below, the attacker can only know that a connection is taking place between the two parties and their domain names and IP addresses.

7.1. В вольном переводе на русский нужный нам кусок будет звучать примерно как: "....атакер может только узнать, что соединение установлено между двумя сторонами и узнать их доменные имена и IP-адреса".

8. Вот тут и приехали. Блокировка на уровне TCP/IP сделает невозможным использования любимого HTTPS. Магистральные маршрутизаторы этому трюку более чем обучены - это основы роутинга: перенаправить запрос к определенному IP-адресу в нужную подсеть (напоминаю - крупным помолом). Например - на страницу 404.

9. При наличии политической воли и достаточно отмороженности, сделать централизованную систему сбора IP-адресов проксиков/VPN - труда не составит. А затем раз в сутки директивно рассылать списки блокируемых адресов всем более-менее крупным провайдерам.

9.1. Да только если обязать делать такие блокировки только мобильных операторов - уже 50% дела сделано! Откажутся они вряд ли - отзыв лицензии на частоту и сидеть, сосать лапу.

9.2. То, что VPN часто используется для соединения представительств в разных городах, для удалённой работы итд - поверьте, волновать никого не будет. Пользуешься VPN? Виноват! Компаниям может быть еще и сделают поблажку - а вот частным пользователям надо отвыкать.

10. Tor, кстати, тоже не спасёт. Tor - это ПРОТОКОЛ, помимо всего прочего. Детектировать его в траффике и блокировать пакеты - посложнее, чем сделать блокировку по IP-адресу, но вполне посильно. Тем более, что не стоит задача раскрыть личность источника - а просто заблокировать доступ в систему Tor-а.

10.1. В отличии от VPN/Proxy/HTTPS, которые могут использовать по куче разных причин - Tor используется исключительно для сокрытия траффика. Т.е. сама активность Tor-ноды - уже подозрительна и должна быть поставлена "на карандаш". А уж то ли это очередной ватник-колорад в ВКшечку ходит или педофил CP смотрит - не суть важно.

10.2. Лично я бы не блокировал бы Tor сразу, а сначала собрал бы инфу по активным нодам.

10.3. А ведь кроме протокола, Тор-нода имеют очень специфический профиль траффика... Это, пожалуй, даже проще будет отследить, чем парсить пакеты и вылавлить Tor - достаточно статистики. Если же под раздачу попадёт некоторое законопослушное количество пользователей... Ну кого это остановит в текущих условиях?

11. Можно и дальше красить тёмными красками. Например - запрет всякого SSL на нестандартных портал. 22 & 443 оставят - и хватит. Или даже только 443 - админы на удаленке и фрилансеры пусть сосут лапу.

12. В принципе, всё это можно обойти - так или иначе, рано или поздно. Обновления списков и их применение будут идти с лагом - так что можно будет получать альманахи сетевых адресов и прыгать между ними при блокировке очередного адреса. Можно уйти на IPv6 - где блокировка по IP дело уже более сложное из-за огромного адресного пространства. Но каждый шаг будет отсекать часть пользователей из Украины от блокированных ресурсов. А введение даже административных статей за использование методов обхода блокировок сильно поубавит количество тех, кто будет заниматься такими обходами.

13. И я просто оставлю это здесь: http://colonelcassad.livejournal.com/3441393.html?thread=756714993#t756714993 . Я не знаю - правда это или нет. Но я знаю, что отдетектить VPN - более чем реально (VPN - это, кстати, не протокол, общее название технологии, которая реализуют безопасную сеть над небезопасным окружением - посредством некоторых, вполне стандартных, протоколов). И лично я не вижу ничего невозможного или странного в данном случае. Кроме того, что, пожалуй, рановато начали. А может - перегибы на местах. Или даже - личная месть надоевшему пользователю/врагу по жизни.

13.1. Показательна сама идея - отключить интернет за использование VPN-ом по беспределу. И, боюсь, именно так оно и будет - неофициальная вказивка провайдерам, отключение под надуманными предлогами или даже без оных, а совсем не системы сбора данных, составление списков и прочие технические ухищрения. Кирпичом по башке а-ля гопник, а не изысканные схемы ликвидации с привлечением дорогостоящих профессионалов и сложных технических средств а-ля Джеймс Бонд.


Предыдущие материалы автора:

http://colonelcassad.livejournal.com/3438557.html - Подсчет потерь.
http://colonelcassad.livejournal.com/3439670.html - Подсчет потерь. Продолжение
http://colonelcassad.livejournal.com/3441393.html - Подсчет потерь. Перспективы