Vlákno názorů k článku Čína posiluje kontrolu nad internetem, chce zatrhnout VPN od Palo M. - Článok je plný nepresností. 1. VPN protokoly sú blokované...

Článok je plný nepresností.

1. VPN protokoly sú blokované už niekoľko rokov. Paródia na VPN v podobe PPTP nefungovala poriadne nikdy, "štandardné" OpenVPN je odhalené pomocou DPI do pár sekúnd a dynamicky je bloknutá kombinácia IP+port, podobne Tor bez obfuskátora. Nepomôže ani vlastný virtuál v zahraničí, OpenVPN fingerprintnú okamžite počas handshake a skrátka začnú zahadzovať pakety. (IMHO im kvalitné DPI technológie museli v tichosti predať nejaké americké a/lebo európske firmy za ťažké prachy, rád by som vedel ktorí amorálni hajzli to boli, nevie niekto?) Z mobilov je väčšinou blokované aj IPsec, na pevnom nete zatiaľ nie (predpokladám, že kvôli tomu že to používajú firmy, ktoré keby rovno odstrihli, tak sa obratom zdvihnú a odídu z Číny, a to by Súdruhov finančne zabolelo - možno aj sem teraz mieria tými licenciami, aby mohli na IPsec nasadiť white-list.)

2. Kedysi GFW blokoval semi-staticky IP-adresy, ale teraz už to takmer vôbec nerobia (príliš náročné na prostriedky), prešli na dynamické blokovanie podľa potreby. Väčšinu vybavia cez falšované DNS a na nešifrované http funguje "starý dobrý" TCP-reset...

3. Tor klient z Číny má brutálne problému s bootstrapom. Dajú sa použiť len bridges s obfs3 a obfs4. Ale je problém získať ich adresy; Na torproject.org sa samozrejme dostať nedá. Dá sa síce požiadať o bridge mailom, ale je to obmedzené - a to trochu nezvládli ľudia z torproject, pretože Google je so Súdruhmi na vojnovej nohe už dlhší čas, preto gmail často "podivne timeoutuje", ďalšia možnosť je Yahoo ktoré čínskej vláde v minulosti vo veľa veciach vyhovelo čo sa týka cenzúry a tuším im aj naservírovalo nejakých disidentov. No a hlavne sa mi veľakrát stalo, že som dostal mailom len jeden bridge, ten nefungoval, požiadal som o druhý, odfajčili ma že mám počkať pár hodín, no a nakoniec som aj tak dostal ten istý (samozrejme stále nefungoval). Ono tie žiadosti mailom môžu totiž posielať sami pracovníci GFW, je ich na to dosť. A potom ich všetky pekne zablokovať (možno pri tomto ešte používajú na blokovanie IP-adresy), takže normálny človek keď raz za čas požiada o bridge, s vysokou pravdepodobnosťou mu nefunguje.
Samozrejme, keď sa bootstrap podarí, tak už tor potom ide. Ale ten začiatok je taká tortúra, že by som to rozhodne nepopísal ako "Tor funguje prakticky vždy"...

Čo ako-tak funguje, je privátny skrytý obfs bridge na vlastnom virtuále, po ten sa Súdruhovia nemajú ako dostať a keď už Tor naštartuje, tak ide (no, Youtube sa cez to veľmi pozerať nedá). Alebo tunelovať openvpn cez obfsproxy či cez stunnel (to ale bohužiaľ ide len cez TCP, na UDP to nefunguje). Prípadne nejaké ďalšie netradičné konfigurácie. V podstate všetko len tak, že má človek vlastný server vonku, používa ho sám a raz za čas musí niečo pozmeniť, aby to aspoň nejako išlo. Komerčne sa to pravdepodobne nasadiť nedá, nie je to pre bežných ľudí. Okrem toho, ak človek vytvorí nejaké spojenie (alebo UDP stream) ktoré nemá žiaden známy fingerprint (a teda súdruhovia nevedia, či to náhodou nie je niečo šifrované), tak sa po nejakom čase (alebo možno objeme prenesených dát) začnú diať čudesné veci, napríklad že sa stráca 30% paketov, alebo naopak replay paketov spred piatich minút... na čo treba tiež operatívne zareagovať, zasa nič pre obyčajných BFU.

A čo hovorili BFU v okolí, použitie komerčných VPN je hra na mačku a myš, teda človek si zaplatí nejaké VPN o ktorom sa od známych dopočul že teraz funguje a je za prijateľnú cenu, chvíľu mu to ide, potom zrazu sek a už to nejde (ani tým známym), tak si dá od VPNka vrátiť nevyužité peniaze a zaplatí nejaké ďalšie VPN a tak stále dokola. Hlavne človek nevie dňa ani hodiny, kedy to prestane ísť (častokrát v tom najnevhodnejšom momente).

Ďalšia zaujímavosť je, že sa pomerne nedávno vyrojilo kopec menších VPNiek o ktorých nikto predtým nepočul a evidentne sú cielené na činsky-hovoriacich zákazníkov, používajú virtuály, chvíľu to ide, keď to začne používať väčšie množstvo ľudí, tak je to bloknuté a zase to zanikne (ale medzičasom sa objavia iné). V porovnaní so zahraničnými VPN s dlhšou tradíciou to (z hľadiska BFU) nie je až také najhoršie, skrátka to približne rovnako chodí dobre nejaký čas, kým sa GFW na to nešpecializuje, potom to fungovať prestane a BFU musí začať používať niečo iné.
Je dosť možné, že je to biznis nejakých Číňanov z Číny a práve na tých môže byť cielená táto akcia s licenciami. Možno ich mienia pochytať a exemplárne odsúdiť, aby odradili ostatných. (To je samozrejme len moja špekulácia.)

Veď som o tom písal aj ja, že to treba prehnať cez obfsproxy alebo stunnel (odstavec nasledujúci za bodom 3). A aj to, že tento postup funguje len pre TCP tunel (čo má potom ďalšie nevýhody).

Mimochodom, ten link čo si hodil neobsahuje dostatočnú konfiguráciu stunnel, pretože len server sa prezentuje certifikátom. Teda GFW môže pri otvorení spojenia zistiť adresu+port a potom urobiť sondu: sám sa skúsi na daný port pripojiť akože je openvpn klient cez stunnel a keď zistí, že na druhej strane mu odpovedá openvpn server, tak blokne danú kombináciu IP/port. Presne takýto probing robili na tor bridges (Tor až následne na to zaviedol obfs3/obfs4, kde sa klient musí prezentovať znalosťou kľúča, inak bridge hrá mŕtveho chrobáka). Takže aj stunnel treba nakonfigurovať tak, aby sa aj klient serveru preukazoval kľúčom (alebo prípadne heslom), potom sa GFW nemôže zahrať na klienta a detegovať že v tuneli je skryté OpenVPN.

Technicky to zrealizovať ide, ale nie je to pre BFU, je to ťažko nasaditreľné pre verejná služba a takisto výkon nič moc...

Ono, pre jednotlivých ľudí (väčšinou BFU) čo sa chcú dostať na zablokované weby, je dosť ťažké zápasiť s "všemocným režimom". Nejaký VPN provider v zahraničí v tom tiež neveľmi pomôže, stále je to brutálne nerovný boj. Zatiaľ sa ako-tak dá lavírovať, hlavne preto, že aj ten GFW je podobne kvalitný, ako všetko made in China - lenže Súdruhovia sú v tomto cieľavedomí, postupujú krok za krokom, síce pomaly, ale postupne sa posúvajú kam chcú.
V podstate jediná šanca by bola, keby celý demokratický svet (na úrovni vlád a aj to by museli postupovať spoločne) zabránil Súdruhom vyberať si z internetu čerešničky (teda ak by Súdruhovia akokoľvek blokovali prístup von, tak by sa tým automaticky pripravovali o vedomosti a hlavne o peniaze z biznisu naviazaného na internet). To ale nie je realistická vízia, bohužiaľ (dokonca mám pocit, že niektoré vlády sa po vzore Číny tiež snažia blokovať, čo im nevyhovuje a manipulovať tak s vlastnými občanmi).

Napríklad Wikipedia zabránila v tom vyberaní čerešničiek, keď dala celý obsah len pod https. Predtým, kým bolo aj http aj https, tak súdruhovia zablokovali celé https a na http selektívne blokovali články ktoré im nevyhovovali (masaker na námestí, náhorná plošina, vojna s Vietnamom, atď), ale inak povzbudzovali ľudí nech odtiaľ čerpajú technické vedomosti - a tiež tam písali články vytvárajúce pozitívny obraz o Číne (úspechy stavbe infraštruktúry napríklad).
No a odkedy je Wikipedia len cez https, tak si môžu súdruhovia vybrať: buď všetko, teda aj užitočné veci aj také, za ktoré sa hanbia... alebo nič, a s tým spojený ich vlastný úpadok (už sa raz zavreli za svoj múr, a potom počas ópiových vojen boli zrazu veľmi prekvapení, že po čase tí "barbari zvonka" prišli s technológiami, ktorým Čína nemohla konkurovať).
Kým je to len Wikipedia, tak to nestačí. Keby to bol celý net, tak by sa museli zaobísť bez blokovania (a inak osobne si myslím, že by si celkom poradili, pretože aj neopresívne postupy im celkom idú).

To je tak těžké udělat MITM a ty třešničky stále vybírat?
Tady by mohl pomoci už snad jedině celosvětový satelitní internet.

"To je tak těžké udělat MITM a ty třešničky stále vybírat?"
Teoreticky to nie je ťažké, ale prakticky by sa to súdruhom o kúsok predražilo. Plus, bolo by to nápadné.
Už som sa stretol na nete s informáciou, že Súdruhovia MITM na https skúšali, bolo to na nejakej čínskej univerzite a evidentne to len nejako testovali. Pomerne rýchlo si to tam študenti všimli, takže sa to prevalilo.
Ja osobne som sa s MITM na https nestretol (verím, že by som si ho s pomocou CertificatePatrol všimol), aj keď zasa bez VPN na mimočínske weby takmer ani neleziem, pretože je to príliš často takmer nepoužiteľné - keď je packet loss niekde medzi tými 30% až 75%, tak pre každé jedno spojenie sa musí znovuposielať toľko paketov, že v reále veľa prvkov na stránke timeoutuje (na tom má svoj podiel aj "moderný webdizajn", keď stránka obsahuje milión chujovín ťahaných od mnohých 3rd party serverov).

Ten rozdiel v cene útoku je asi takýto:
- V nešifrovanom http je kópia všetkých paketov z/do zahraničia posielaná na cenzorskú mašinu, ktorá hľadá v obsahu kľúčové slová. Keď nájde nežiadúci reťazec, pošle na obidve strany spojenia TCP reset. Nič špeciálne netreba, cenzorská mašina si nemusí držať stav spojenia, skrátka analyzuje jeden paket za druhým. Takisto sa to dá jednoducho škálovať, tých mašín môže byť ľubovoľné množstvo, pakety sa distribuujú jednoducho podľa záťaže. Stačí, aby sa stihol paket prehľadať dokiaľ je TCP spojenie otvorené.
- V https musí celé spojenie ísť cez cenzorskú mašinu. Po požiadavku klienta treba musí cenzorský stroj najprv vyrobiť https spojenie na cieľový server, získať certifikát, vyrobiť vlastný s rovnakým obsahom, podpísať ho nejakou tou cinknutou autoritou a poslať prvú odpoveď na klienta. Až potom môže cenzorská mašina hľadať "nežiadúce reťazce". Jednotlivo sa to robiť dá, ale plošne to nasadiť na všetky https spojenia sú omnoho väčšie náklady navyše. Plus, keby sa prevalila tá cinknutá CA (a k tomu by skôr či neskôr pri plošnom nasadení došlo), tak hrozí že ju browsery vyhodia zo zoznamu a celá tá drahá investícia sa minie účinkom.

Asi s tým Súdruhovia na tých univerzitách experimentovali a potom usúdili, že sa im to veľmi nehodí. Na vyberanie čerešničiek sa používajú iné finty, napríklad že sa spraví čínsky klon nejakej medzinárodnej služby, takže Číňania majú napríklad svoju náhradu YT a tú má vláda samozrejme pod palcom. No a na čínsky klon videoservera treba z YT stiahnuť videá (samozrejme len také, ktoré sú podľa vlády nezávadné), takže toto je tiež istý druh vyberania čerešničiek z internetu. Tiež nie lacný (treba neustále dodávať nový obsah, aby to ľudia vôbec chceli používať, plus samozrejme treba udržiavať vlastnú infraštruktúru navyše), ale z dlhodobého hľadiska perspektívny, pretože používa pozitívny prístup (teda neblokuje, ale naopak ponúka veci) a ľudia sú potom "menej nespokojní". De facto to už nie je cenzúra, ale skôr propaganda.

"Tady by mohl pomoci už snad jedině celosvětový satelitní internet."
To by asi nepomohlo. Na satelitné taniere sa skrátka spraví raz za čas razia (dialo sa bežne so satelitnými TV), plus sa samozrejme dá zistiť, ktorí Číňania tie satelity distribuujú a ísť hlavne po tých. Teraz už ľudia satelity veľmi nemajú a pozerajú cez net, tak to súdruhovia asi nechávajú tak, ale nemajú problém znova sa aktivovať, keby bolo treba, toto by ich vyšlo veľmi lacno...