Názor k článku Čína posiluje kontrolu nad internetem, chce zatrhnout VPN od Palo M. - Článok je plný nepresností. 1. VPN protokoly sú blokované...

Článok je plný nepresností.

1. VPN protokoly sú blokované už niekoľko rokov. Paródia na VPN v podobe PPTP nefungovala poriadne nikdy, "štandardné" OpenVPN je odhalené pomocou DPI do pár sekúnd a dynamicky je bloknutá kombinácia IP+port, podobne Tor bez obfuskátora. Nepomôže ani vlastný virtuál v zahraničí, OpenVPN fingerprintnú okamžite počas handshake a skrátka začnú zahadzovať pakety. (IMHO im kvalitné DPI technológie museli v tichosti predať nejaké americké a/lebo európske firmy za ťažké prachy, rád by som vedel ktorí amorálni hajzli to boli, nevie niekto?) Z mobilov je väčšinou blokované aj IPsec, na pevnom nete zatiaľ nie (predpokladám, že kvôli tomu že to používajú firmy, ktoré keby rovno odstrihli, tak sa obratom zdvihnú a odídu z Číny, a to by Súdruhov finančne zabolelo - možno aj sem teraz mieria tými licenciami, aby mohli na IPsec nasadiť white-list.)

2. Kedysi GFW blokoval semi-staticky IP-adresy, ale teraz už to takmer vôbec nerobia (príliš náročné na prostriedky), prešli na dynamické blokovanie podľa potreby. Väčšinu vybavia cez falšované DNS a na nešifrované http funguje "starý dobrý" TCP-reset...

3. Tor klient z Číny má brutálne problému s bootstrapom. Dajú sa použiť len bridges s obfs3 a obfs4. Ale je problém získať ich adresy; Na torproject.org sa samozrejme dostať nedá. Dá sa síce požiadať o bridge mailom, ale je to obmedzené - a to trochu nezvládli ľudia z torproject, pretože Google je so Súdruhmi na vojnovej nohe už dlhší čas, preto gmail často "podivne timeoutuje", ďalšia možnosť je Yahoo ktoré čínskej vláde v minulosti vo veľa veciach vyhovelo čo sa týka cenzúry a tuším im aj naservírovalo nejakých disidentov. No a hlavne sa mi veľakrát stalo, že som dostal mailom len jeden bridge, ten nefungoval, požiadal som o druhý, odfajčili ma že mám počkať pár hodín, no a nakoniec som aj tak dostal ten istý (samozrejme stále nefungoval). Ono tie žiadosti mailom môžu totiž posielať sami pracovníci GFW, je ich na to dosť. A potom ich všetky pekne zablokovať (možno pri tomto ešte používajú na blokovanie IP-adresy), takže normálny človek keď raz za čas požiada o bridge, s vysokou pravdepodobnosťou mu nefunguje.
Samozrejme, keď sa bootstrap podarí, tak už tor potom ide. Ale ten začiatok je taká tortúra, že by som to rozhodne nepopísal ako "Tor funguje prakticky vždy"...

Čo ako-tak funguje, je privátny skrytý obfs bridge na vlastnom virtuále, po ten sa Súdruhovia nemajú ako dostať a keď už Tor naštartuje, tak ide (no, Youtube sa cez to veľmi pozerať nedá). Alebo tunelovať openvpn cez obfsproxy či cez stunnel (to ale bohužiaľ ide len cez TCP, na UDP to nefunguje). Prípadne nejaké ďalšie netradičné konfigurácie. V podstate všetko len tak, že má človek vlastný server vonku, používa ho sám a raz za čas musí niečo pozmeniť, aby to aspoň nejako išlo. Komerčne sa to pravdepodobne nasadiť nedá, nie je to pre bežných ľudí. Okrem toho, ak človek vytvorí nejaké spojenie (alebo UDP stream) ktoré nemá žiaden známy fingerprint (a teda súdruhovia nevedia, či to náhodou nie je niečo šifrované), tak sa po nejakom čase (alebo možno objeme prenesených dát) začnú diať čudesné veci, napríklad že sa stráca 30% paketov, alebo naopak replay paketov spred piatich minút... na čo treba tiež operatívne zareagovať, zasa nič pre obyčajných BFU.

A čo hovorili BFU v okolí, použitie komerčných VPN je hra na mačku a myš, teda človek si zaplatí nejaké VPN o ktorom sa od známych dopočul že teraz funguje a je za prijateľnú cenu, chvíľu mu to ide, potom zrazu sek a už to nejde (ani tým známym), tak si dá od VPNka vrátiť nevyužité peniaze a zaplatí nejaké ďalšie VPN a tak stále dokola. Hlavne človek nevie dňa ani hodiny, kedy to prestane ísť (častokrát v tom najnevhodnejšom momente).

Ďalšia zaujímavosť je, že sa pomerne nedávno vyrojilo kopec menších VPNiek o ktorých nikto predtým nepočul a evidentne sú cielené na činsky-hovoriacich zákazníkov, používajú virtuály, chvíľu to ide, keď to začne používať väčšie množstvo ľudí, tak je to bloknuté a zase to zanikne (ale medzičasom sa objavia iné). V porovnaní so zahraničnými VPN s dlhšou tradíciou to (z hľadiska BFU) nie je až také najhoršie, skrátka to približne rovnako chodí dobre nejaký čas, kým sa GFW na to nešpecializuje, potom to fungovať prestane a BFU musí začať používať niečo iné.
Je dosť možné, že je to biznis nejakých Číňanov z Číny a práve na tých môže byť cielená táto akcia s licenciami. Možno ich mienia pochytať a exemplárne odsúdiť, aby odradili ostatných. (To je samozrejme len moja špekulácia.)