Безопасность в сети

Научись пользоваться криптой и купи за нее любой импортный VPS, для VPN’а требования минимальные, эквивалент 2-5$/мес.

1 2 3

Но начни с изучения матчасти для начала, не делая акцент на анонимности, ты все равно в нее не сможешь ввиду отсутствия базовых знаний об этом.

Что ты под безопасностью понимаешь?

Сложно сказать точно. Но если в общих чертах, чтобы трафик шифровался на всем пути и его нельзя было перехватить. Если это будет сервер, то там должна быть точно не винда и правильно настроены порты и т.п. Если есть роутер, а он будет, то желательно тоже его как то защитить к примеру файерволом. Надеюсь не чушь сморозил

Непонятно, где ты всей этой шляпы нахватался. Бери впс, определись с протоколом и используй наздоровье. Перехватывать и логгировать тебя могут в любом случае, за это переживать не стоит.

Где где, в интернетах. Нигде нет структурированной инфы. Везде кусками всё, отсюда и глупые вопросы.

Опять же, ты предложил впс. А какой протокол? Многие пишут что опенвnн не спасает, вайргард тоже. А трафик надо как то заворачивать, чтобы он выглядел как хттпс или нет? Или может сверху тор надо поставить? Я вот не очень вкуриваю как лучше, поэтому написал сюда.

Ну, если нужен 100-пудняк, то надо 2 впс. Один поближе к твоей дислокации, второй где нравится. В обход тспу коннектишься к первому, с него рулишь трафик на второй, тоже мимо тспу получится. Протокол в таком случае любой. Если нет, то перебирай комбинации протоколов/оюфускаций, проксей и прочего, пока не заработает.

Амнезию ставь, через нее amneziawg и xray.

2 от 3 особо ничем не отличается, см. случай с jabber.ru https://habr.com/ru/news/768914/

Отличается, не путай кражу данных с проца/озу и простой митм сети.

Впрочем отдельный сервер конечно тоже ничего не гарантирует в общем случае. Даже если он у тебя дома стоит.

3x-ui xray vless reality

Гугли, в интернете полно гайдов как это настроить.

Ну или амнезию накати, там этот протокол уже встроен и настраивается в один клик автоматически. И клиенты у них удобные. Но реализация забагована - там всем клиентам дается один и тот же id. Если ты единственный юзер - этого достаточно.

Интересую юридические моменты темы VPN в разных территориальных юрисдикциях.

• В юрисдикции РФ есть запрет на использования VPN без фильтра РКН, для обхода блокировок РКН.

• В юрисдикции РФ нет запрета на использование VPN с встроенным фильтром РКН, для обхода блокировок пользователей РФ в результате санкций.

• В юрисдикции стран принявших санкции против РФ есть запреты для обхода блокировок граждан РФ вызванных санкциями?

Формально за упоминание VPN (популяризацию) РКН имеет право забанить ЛОР!

• https://www.rbc.ru/life/news/651d4eeb9a7947857c7df985
• https://postnews.ru/a/27934
• …

1. Других наказаний, кроме бана страниц, за использование и разговоры о VPN в РФ нет?

2. А есть ли наказание за использование личных VPN без фильтра РКН?

3. А как настроить Васи фильтр РКН на своем VPN?

4. А какое наказание/санкции предусмотрены против граждан РФ в других юрисдикциях за использование VPN, для обхода санкций и блокировок РФ?

А есть ли наказание за использование личных VPN без фильтра РКН?

Легально, видимо, нет, но много чего блокируется просто потому что, так что возможна блокировка.

А какое наказание/санкции предусмотрены против граждан РФ в других юрисдикциях за использование VPN, для обхода санкций и блокировок РФ?

Бан учётной записи, если ресурс прямо запрещает подмену геолокации.

Рарешите оффтоп. Анонимность обеспечить настолько сложно, что значительно логичнее и дешевле переехать в страну, где анонимность в интернете не нужна. То есть добиться то анонимности можно, но это само по себе хобби на всю жизнь. И да, надо понимать, где ещё нужна анонимность, а где у вас обычная гражданская жизнь.

Анонимность обеспечить настолько сложно, что значительно логичнее и дешевле переехать в страну, где анонимность в интернете не нужна. То есть добиться то анонимности можно, но это само по себе хобби на всю жизнь. И да, надо понимать, где ещё нужна анонимность, а где у вас обычная гражданская жизнь.

На редкость здравая позиция.

вот бы банить начали еще всех кто на лор заходит через прокси/впны

сразу толпа визжащих нетакусиков отвалится

а можно просто не визжать

или так сложно?

Бан учётной записи, если ресурс прямо запрещает подмену геолокации.

Если учетка сразу была создана не с IP РФ. Если, вдруг, при регистрации не использовалась почта с РФ. Как они могут ещё узнать о моей реальной геолокаци?

Задачи:

• Минимум получать обновления ПО и антивирусных баз.
• Максимум писать в багтрекер, на форумы, вики, …

Как они могут ещё узнать о моей реальной геолокаци?

Технические средства есть, но речь в первую очередь о правилах. И ты их именно что нарушаешь, и просто обманываешь, что довольно некрасиво. Пара случайных моментов из головы, о которых полезно помнить обманщикам: геолокация по IP может вдруг начать расходиться с указанной страной; часовой пояс браузера может слишком отличаться от фальшивой геолокации; довольно важный момент — там, где не любят VPN, их легко детектят, в том числе есть коммерческие сервисы, которые быстро предоставляют информацию по IP. Знать твою реальную локацию не надо, факт использования VPN уже с большой вероятностью означает, что она отличается от видимой.

Ну и лично моя позиция: если меня не рады где-то видеть, потому что у меня IP не из той страны — флаг им в …э-э-э… руки. И это касается не только реальной страны, а вообще любой, к которой относится мой IP. Любители дискриминации идут на хер, вот и всё.

1. Поискать аренду сервера за биткоины. Биткоины можно купить анонимно.

2. Для проксирования использовать протокол VLESS Reality.

Третий и второй вариант вообще одинаковые.

Поискать аренду сервера за биткоины. Биткоины можно купить анонимно.

Одного сервера может быть недостаточно. Биткоины нельзя купить анонимно.

Вообще как azsx выше написал, настоящую анонимность сделать очень сложно.

Одного сервера может быть недостаточно

Для прокси-сервера одного сервера достаточно. Впрочем никто не мешает арендовать сколько угодно серверов.

Биткоины нельзя купить анонимно.

Можно.

Вообще как azsx выше написал, настоящую анонимность сделать очень сложно.

Сейчас настоящую анонимность сделать как никогда легко. Для этого есть все инструменты.

В юрисдикции стран принявших санкции против РФ есть запреты для обхода блокировок граждан РФ вызванных санкциями?

По законам США в некоторых ситуациях есть риск получить обвинение в обходе экспортных ограничений. Хотя мне не попадались прецеденты с просто скачиванием чего-то из публичного (но недоступного для конкретной страны) доступа, но были истории навроде той, что разработчик игры, находясь в РФ купил у кого-то из США (это еще до серьезных санкций было) старую бумажную документацию на F-16, а потом у него за границей проблемы возникли.

Других наказаний, кроме бана страниц, за использование и разговоры о VPN в РФ нет?

Вроде можно и админку получить, если упорно НЕ удалять страницу. Но это не только VPN касается.

А есть ли наказание за использование личных VPN без фильтра РКН?

Нет, как нет и требования на личные VPN ставить фильтр РКН. Это бессмысленно было бы.

Другое дело, что неофициально-официальная позиция похоже в том, что физлицу в принципе VPN не положен, особенно заграничный. А если для работы нужен, например, для удаленки или еще каких-то рабочих потребностей, то солидный работодатель и так уже давно отправил всю инфу в РКН для включения в белые списки - остальные блокировать. Как послабление, похоже не блокируют внутрироссийские VPN.

Для прокси-сервера одного сервера достаточно.

Категорически недостаточно.

Можно.

Именно биткоины нельзя, если только через промежуточную другую криптовалюту.

Сейчас настоящую анонимность сделать как никогда легко.

Смотря для чего анонимность. Если бан на ресурсе обойти - это одно и для этого даже прокси покупать не обязательно.

Категорически недостаточно.

Почему?

Именно биткоины нельзя, если только через промежуточную другую криптовалюту.

Покупаешь биткоины и анонимизируешь их. Хоть через миксер, хоть через монеро, хоть прогнав через пару посредников, к которым у твоего потенциального врага нет доступа.

Смотря для чего анонимность. Если бан на ресурсе обойти - это одно и для этого даже прокси покупать не обязательно.

Ну это уже топикстартеру видней. Я думаю, он хочет анашу продавать и не сесть в тюрьму. Но может быть это журналист под прикрытием, который хочет сорвать покровы и не получить новичок в трусы, как знать?

Следил, за часовым поясом, раскладками, странами, IP+MAC. Старался чтобы все эти данные коррелировали между собой.

На чем ещё могут палить что ты с РФ.

ЗЫ: конкретно ко мне в принципе могут все относится дружно и доброжелательно. Но с верху заставят запретить доступ ВСЕМ с РФ.

Почему?

Потому что палится факт входящего соединения с проксей.

Следил, за часовым поясом, раскладками, странами, IP+MAC. Старался чтобы все эти данные коррелировали между собой.

На чем ещё могут палить что ты с РФ.

Если настолько параноидально все, то как уже сказали использование IP хостера, а не провайдера уже повод отказать.

есть риск получить обвинение в обходе экспортных ограничений. Хотя мне не попадались прецеденты с просто скачиванием чего-то из публичного (но недоступного для конкретной страны) доступа

Половину сайтов РКН заблокировал, половину санкциями заблокировали. Просто неудобно, когда некоторые нужные доки недоступны…

Репы дистрибутивов пока не банят, а clamav свои базы уже забанил!

Нет, как нет и требования на личные VPN ставить фильтр РКН. Это бессмысленно было бы.

Почему? У меня прокся есть своя, по URL/домен/IP фильтрует все, даже https. Будет в публичном доступе черный список от РКН мог бы и по нему банить.

Другое дело, что неофициально-официальная позиция похоже в том, что физлицу в принципе VPN не положен, особенно заграничный.

А если там сервак у кого?

Для этого прокси надо идентифицировать. Палится лишь факт того, что пользователь заходит на некоторый сайт по HTTPS.

использование IP хостера, а не провайдера уже повод отказать.

Не все «эти, запрещённые» имеют конечный, да ещё и публично доступный список исходящих узлов.

Допустим захожу на сайт с IP обычного пользователя у которого провайдер в не подсанкционной стране. Почем тогда могут палить что ты с РФ?

Не все «эти, запрещённые» имеют конечный, да ещё и публично доступный список исходящих узлов.

Не все, если перебирать, можно найти мелкого хостера и не в списке. Но более-менее весь крупняк таки в списках. Это вообще публичная информация кому принадлежит IP-адрес, так что списки составляются не узлов, а названий организаций.

Допустим захожу на сайт с IP обычного пользователя у которого провайдер в не подсанкционной стране. Почем тогда могут палить что ты с РФ?

Какую-то утечку чего-то не заметил. Может WebRTC или еще какой фигни, которых напридумывали очень много. Tor-browser, например, прикладывает значительные усилия, чтобы не текло инфы о реальном IP. Если на том конце очень сильно параноят, лучше запускать браузер и остальное с того же узла через удаленный доступ. (RDP, VNC и др)

Для этого прокси надо идентифицировать. Палится лишь факт того, что пользователь заходит на некоторый сайт по HTTPS.

Мы сейчас о чем говорим, об обходе блоков или анонимности? Если об обходе, то ты прав, если об анонимности, то очевидно, что факта захода уже достаточно, чтобы ее не было.

Когда то здесь предлагал поддержку сервера для раздачи баз clamav, если кто даст бесплатный дедик. Желающих дать сервер не нашлось.

Интересно, а слышал ли кто идеи от депутатов обязать (например РКН) создать бесплатные прокси для обхода блокировок в Интернете граждан РФ в результате санкций? Например чтоб обновления работали.

Tor-browser

Пользуюсь стандартными, доверия к бровзерам нет и так.

WebRTC или еще какой фигни

Читал другой чат, там какой-то утверждал, что его сайт узнает даже с чистой виртуалки, IP, логины, пароли естественно разные. Но в бровзере был включен JS. Как? ИИ узнавал «флуд по одной теме», хоть он утверждал, что «чуть менял манеры, фото видео». Или сквозь виртуалку JS сливал какую идентификацию с хоста? Может сторонняя идентификация, нажатие клавиш, работа мышки?

IP+MAC

Твой MAC, если чё, последним видит твой роутер, а если его нет — провайдерский свитч :)

Это если выходить через парадные ворота в эзернетпакетах.

Кто его знает сколько бэкдоров ещё в системе? Кажись dbus ID может генерится на основе MAC и передаваться в юзерспейс для дальнейшего распространения через бэкдоры…

Интересно, а слышал ли кто идеи от депутатов обязать (например РКН) создать бесплатные прокси для обхода блокировок в Интернете граждан РФ в результате санкций? Например чтоб обновления работали.

Очевидно же, что такие централизованные вещи уже за рубежом или закроют или будут блочить наравне с просто российскими IP. Но вот организовать зеркала ресурсов вполне могли бы. Но им похоже наплевать на это. Лишь бы свои куда не надо не ходили.

Читал другой чат, там какой-то утверждал, что его сайт узнает даже с чистой виртуалки, IP, логины, пароли естественно разные. Но в бровзере был включен JS. Как? ИИ узнавал «флуд по одной теме», хоть он утверждал, что «чуть менял манеры, фото видео». Или сквозь виртуалку JS сливал какую идентификацию с хоста? Может сторонняя идентификация, нажатие клавиш, работа мышки?

Абстрактно сложно сказать, но если виртуалка была на том же хосте могли фингерпринт составить из разрешения экрана, dpi, названия процессора, монитора, еще каких-нибудь параметров, просачивающихся в виртуалку.

Или сквозь виртуалку JS сливал какую идентификацию с хоста? Может сторонняя идентификация, нажатие клавиш, работа мышки?

Известно, что мобильные устройства могут быть однозначно идентифицированы по особенностям калибровки конкретных экземпляров сенсоров: акселерометра, гироскопа, магнитометра:

• SensorID, sensor calibration fingerprinting for smartphones (pdf).

Насчет запрета по умолчанию доступа web-сайтам к сенсорам в современных браузерах не уверен. В Firefox’e за это отвечают настройки в about:config:

• device.sensors.*

Я понимаю, что описанное выше – не тот случай, т.к. в PC да еще и в виртуалке такого обилия сенсоров нет, но есть нечто похожее – индивидуальная неточность хода конкретного экземпляра часов:

• Clock-Skew-Based Computer Identification: Traps and Pitfalls (pdf).

Как с fingerprinе’ом по сенсорами, так и по неточности часов позволяет бороться расширение для браузера JShelter, которое сначала округляет, а потом добавляет случайную концовку к снимаемым показаниям.

Тут речь едет об оставлении сайтами индивидуально различимых следов в кеше CPU:

• The Spy in the Sandbox: Practical Cache Attacks in JavaScript and their Implications (pdf).

Хотя это тоже вряд ли (если на одном хосте одновременно не открывать одни и те же сайты в виртуалке и без или в разных виртуалках).

Еще возможен fingerprinting по особенностям сетевого соединения:

• Passive Fingerprinting of HTTP/2 Clients (pdf-whitepaper, pdf-slides);
• TCP/IP stack fingerprinting (Wikipedia).

По умолчанию IPv6-адрес не должен генерироваться на основе MAC-адреса сетевой карты (а у виртуальной сетевой карты должен быть свой MAC-адрес), но все же:

• Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6 (rfc8981);
• How do I verify that my MAC address is not leaking via IPv6 (old.reddit.com);
• Online тест: https://ip.bieringer.net/ и (вход по IPv6) http://ipv6.bieringer.net/

Если не делать прямого проброса железа в виртуалку (включая, возможно, подключение некоторых видов USB-устройств, типа всяких мультимедийных), то других способов идентификации fingerprin’a host’a из виртуалки не приходит в голову. Если не считать закладок в UEFI (ycombinator.com - Replacing exploit-ridden firmware with a Linux kernel, okbsapr.ru - К вопросу о защите от Intel Management Engine), которые простым владельцам сайтов должны быть недоступны.

Другие стандартные методы fingerprinting’a:

• Стандарт Банка России «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств» СТО БР БФБО-1.7-2023" (pdf) –

в этих условиях работать не должны.

Что касается особенностей использования клавиатуры/мыши конкретным человеком - то это фактически одна из разновидностей биометрических персональных данных. Ссылки на исследования об этом (и о многом другом) есть в публикации о расширении для браузера JShelter:

• JShelter: Give Me My Browser Back (pdf).

Расширение для Firefox Chameleon позволяет вставлять случайные задержки между нажатиями клавиш (заданной максимальной величины), тем самым защищая от «keyboard fingerprinting».

Ну и еще может быть интересно взглянуть с другой стороны: о чем думают те, кто за нами следит – на примере софта наподобие CreepJS.

Очевидно же, что такие централизованные вещи уже за рубежом или закроют или будут блочить наравне с просто российскими IP.

В текущих условиях, когда РКН требует установку своих фильтров на VPN и при этом не даёт в открытом доступе свои черные списки пользователи Интернета в РФ фактически лишены возможности на 100% законно обходить блокировки в следствии санкций против РФ.

1. Считаю что депутатам стоит обязать РКН поддерживать публичный, бесплатный прокси для обхода гражданами РФ блокировок в следствии санкций. Да сложно, но просто решит проблемы 99% пользователей Интернета в РФ. И государство будет довольно, что все ходят через прокси РКН.

Наш Васян хотел завести 5 виртуалок, 5 аккаунтов на одном топовом зарубежном сайте с миллиардным бюджетом и там флудить от имени 5 пользователей. «Анонимность» очень дорогая и становится все дороже, Васян просто проиграл «бюджетом» сайту.

Пальцем в небо предположу, что через проброску видеокарты для аппаратного ускорения, сливался серийник монитора.

2. А если бы наши депутаты в добавок к обязанности РКН поддерживать прокси, ещё дополнительно обязали РКН поддерживать базовую инструкцию по минимизации утечек персональных данных граждан РФ, уникальных идентификаторов их оборудования, местоположения, часовых поясов, …, для разных OS.

Анонимность в первую очередь для того, чтобы тебя отследить не могли. Могу ошибаться, но слышал что в случае с впс: во первых админ может тупо сидеть и мониторить что ты там делаешь, а во вторых любой запрос с печатью и твой айпи приносят на блюдечке кому нужно. А это уже не анонимно.

Упаковка соединения это тоже важный вопрос, провайдер должен видеть только подключение к какому то сайту в виде обычного трафика.

Анонимность в первую очередь для того, чтобы тебя отследить не могли.

Кто?

Могу ошибаться, но слышал что в случае с впс: во первых админ может тупо сидеть и мониторить что ты там делаешь

Нет, «тупо» не может. Во-первых это весьма нетривиально. Во-вторых это запрещено в любой компании, и такой админ рискует налипнуть на уголовку. В-третьих у админа хватает других забот, чтобы сидеть и что-то мониторить. Какие шансы того, что какой-нибудь иммигрант из Кении, работающий в нидерландской компании, заинтересуется тем, на какие сайты ходит хикки из Татарстана? В-четвёртых 99% трафика сейчас зашифровано от твоего браузера до конечного сервера и максимум, что можно вытащить это названия доменов из твоих запросов и даже это не так уж и просто.

а во вторых любой запрос с печатью и твой айпи приносят на блюдечке кому нужно. А это уже не анонимно.

Нет, не любой запрос с печатью. А только запрос с печатью от полиции той страны, где расположен сервер. Что должно произойти, чтобы тобой настолько заинтересовалась полиция Нидерландов?

Упаковка соединения это тоже важный вопрос, провайдер должен видеть только подключение к какому то сайту в виде обычного трафика.

В случае использования проксирования через инструментарий VLESS Reality так и будет.

Пальцем в небо предположу, что через проброску видеокарты для аппаратного ускорения, сливался серийник монитора.

Насколько я слышал, из браузеров: Chrome, Firefox, Safari, Brave, Edge, Yandex - только Edge и Yandex отправляют своим создателям какие-то hardware IDs:

• Douglas J. Leith - Web Browser Privacy: What Do Browsers Say When They Phone Home? (2020-pdf, 2021-pdf).