Сбой в работе рунета 27 февраля, когда многие юзеры не могли зайти на какой-либо сайт/воспользоваться мессенеджром или подключиться к VPN на своем сервере, мог произойти из-за массового тестирования Active Probing, который уже много лет успешно работает в Китае или какой-то другой похожей на Active Probing технологии.
Вчера с IP-адреса из группы AS61280 проводили сканирование 443 порта у многих серверов (они могли быть пустые или на них мог быть установлен VPN). Данный адрес принадлежит ГЧРЦ.
При этом, в своей заметке на ресурсе ntc.party пишет о сканировании и ValdikSS, приводя в пример VPN-сервис Windscribe. В заметке говорится, что Примерно с середины января 2024 он обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились.
Данные блокировки происходят следующим образом:
При обращении:
- По HTTPS со SNI (api|checkip|assets).windscribe.com (и других доменов сервиса Windscribe) на порт 443
- (или) по TCP SYN на один из известных IP-адресов VPN-серверов сервиса и порт 443, 587, 21, 22, 80, 123, 143, 3306, 8080, 54783, 1194 (например, 149.88.108.1)
- (или) по UDP к VPN-протоколу OpenVPN или WireGuard на эти же порты
происходит блокировка на 5 минут:
- SNI по regexp (api|checkip|assets)\.[0-9a-f]{40}\.com, но при условии, что в имени зоны содержится хотя бы 5 цифр и 4 буквы. Т.е. api.abcdef0123456789abcdef012345678900000000.com заблокируется, но api.abc0000123456789222222012345678900000000.com — нет
Также он подметил, что метод с триггерами используется в том числе для выявления новых VPN-серверов, но если это и происходит, то не в атематическом режиме.
Таким образом получается, что в каком-то виде Active Probing уже минимум месяц работает в России точечно. Падение во вторник возможно было из-за попытки раскатать Active Probing в автоматическом режиме на весь рунет.
_______
Источник | #ru_tech_talk
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Вчера с IP-адреса из группы AS61280 проводили сканирование 443 порта у многих серверов (они могли быть пустые или на них мог быть установлен VPN). Данный адрес принадлежит ГЧРЦ.
При этом, в своей заметке на ресурсе ntc.party пишет о сканировании и ValdikSS, приводя в пример VPN-сервис Windscribe. В заметке говорится, что Примерно с середины января 2024 он обнаружил блокировки, срабатывающие после определённых действий на определённое время, только для IP-адреса, с которого они производились.
Данные блокировки происходят следующим образом:
При обращении:
- По HTTPS со SNI (api|checkip|assets).windscribe.com (и других доменов сервиса Windscribe) на порт 443
- (или) по TCP SYN на один из известных IP-адресов VPN-серверов сервиса и порт 443, 587, 21, 22, 80, 123, 143, 3306, 8080, 54783, 1194 (например, 149.88.108.1)
- (или) по UDP к VPN-протоколу OpenVPN или WireGuard на эти же порты
происходит блокировка на 5 минут:
- SNI по regexp (api|checkip|assets)\.[0-9a-f]{40}\.com, но при условии, что в имени зоны содержится хотя бы 5 цифр и 4 буквы. Т.е. api.abcdef0123456789abcdef012345678900000000.com заблокируется, но api.abc0000123456789222222012345678900000000.com — нет
Также он подметил, что метод с триггерами используется в том числе для выявления новых VPN-серверов, но если это и происходит, то не в атематическом режиме.
Таким образом получается, что в каком-то виде Active Probing уже минимум месяц работает в России точечно. Падение во вторник возможно было из-за попытки раскатать Active Probing в автоматическом режиме на весь рунет.
_______
Источник | #ru_tech_talk
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
bgp.he.net
AS61280 FGUP "GRCHC" - bgp.he.net
AS61280 FGUP "GRCHC" Network Information
Казахстан вновь предпринял попытки MITMовать пользовательский трафик, выпустив новый корневой сертификат. Попытки MITMовать пользовательский трафик были в 2015, 2019 и 2020.
Сертификат уже добавлен в OneCRL, то есть заблокирован для использования в Мозилле.
_______
Источник | #ru_tech_talk
@F_S_C_P
-------
поддержи канал
-------
Сертификат уже добавлен в OneCRL, то есть заблокирован для использования в Мозилле.
_______
Источник | #ru_tech_talk
@F_S_C_P
-------
поддержи канал
-------
bugzilla.mozilla.org
1879046 - Add New Kazakhstan Root Certificate to OneCRL
RESOLVED (bwilson) in Core - Security Block-lists, Allow-lists, and other State. Last updated 2024-03-07.
Вот новое университетское исследование, как провайдеры могут эффективнее блокировать OpenVPN в своих сетях. Исследование делали на живом трафике в сети реального провайдера, с которым удалось договориться. То, что OpenVPN несложно блокировать - не новость, но эти исследователи показывают, как делать это еще эффективнее и как обходить стандартные защиты OpenVPN от блокировок.
Система, которую они использовали, не похожа на ТСПУ, а похожа на Великий китайский файрвол, то есть работает в два этапа - сначала пассивно ищет в трафике по фингерпринтам, а потом вторым этапом стучится на подозрительные айпишники проверять, не ответит ли там OpenVPN сервер, или как именно он сбросит соединение. Такие системы (filter + prober) точнее и имеют меньшее количество ложных срабатываний.
Основные результаты:
• Для определения OpenVPN трафика по этой методике нужно около 8 секунд с точностью около 85%.
• XOR-патчи, которыми обычно защищаются от блокировок провайдеры OpenVPN, от этой системы не помогают (34 из 41 реального провайдера получилось определить только пассивным сканированием). Восемь из десяти "обфусцированных" VPN-провайдеров из рейтинга top10vpn.com эта система блокирует.
• tls-crypt и tls-auth от этой системы не помогают, потому что сервера предсказуемо сбрасывают попытки активного сканирования.
• В смысле устойчивости лучше себя показали VPN-провайдеры, у которых OpenVPN только по UDP и у которых весь трафик идет через IDS, из-за чего активное сканирование (probing) не работает.
• А еще некоторые сервера оказалось легко блокировать, потому что у них что-то про VPN написано в сертификате (*.vpn.ipvanish.com), либо в WHOIS и DNS PTR записях.
Что рекомендуют VPN-провайдерам для повышения устойчивости к блокировкам:
• Не совмещать инфраструктуру - разделять обфусцированные и не обфусцированные сервера.
• Мусорить в трафик (рандомизировать паддинги), чтобы пакеты стали не похожи на себя.
• Использовать для обфускации pluggable transports, типа пусть новые способы обхода блокировок разрабатывают специально обученные люди.
Технические подробности на русском на Opennet тыц.
Ссылка на изначальный pdf исследования в PDF тыц.
_______
Источник | #ru_tech_talk
@F_S_C_P
-------
поддержи канал
-------
Система, которую они использовали, не похожа на ТСПУ, а похожа на Великий китайский файрвол, то есть работает в два этапа - сначала пассивно ищет в трафике по фингерпринтам, а потом вторым этапом стучится на подозрительные айпишники проверять, не ответит ли там OpenVPN сервер, или как именно он сбросит соединение. Такие системы (filter + prober) точнее и имеют меньшее количество ложных срабатываний.
Основные результаты:
• Для определения OpenVPN трафика по этой методике нужно около 8 секунд с точностью около 85%.
• XOR-патчи, которыми обычно защищаются от блокировок провайдеры OpenVPN, от этой системы не помогают (34 из 41 реального провайдера получилось определить только пассивным сканированием). Восемь из десяти "обфусцированных" VPN-провайдеров из рейтинга top10vpn.com эта система блокирует.
• tls-crypt и tls-auth от этой системы не помогают, потому что сервера предсказуемо сбрасывают попытки активного сканирования.
• В смысле устойчивости лучше себя показали VPN-провайдеры, у которых OpenVPN только по UDP и у которых весь трафик идет через IDS, из-за чего активное сканирование (probing) не работает.
• А еще некоторые сервера оказалось легко блокировать, потому что у них что-то про VPN написано в сертификате (*.vpn.ipvanish.com), либо в WHOIS и DNS PTR записях.
Что рекомендуют VPN-провайдерам для повышения устойчивости к блокировкам:
• Не совмещать инфраструктуру - разделять обфусцированные и не обфусцированные сервера.
• Мусорить в трафик (рандомизировать паддинги), чтобы пакеты стали не похожи на себя.
• Использовать для обфускации pluggable transports, типа пусть новые способы обхода блокировок разрабатывают специально обученные люди.
Технические подробности на русском на Opennet тыц.
Ссылка на изначальный pdf исследования в PDF тыц.
_______
Источник | #ru_tech_talk
@F_S_C_P
-------
поддержи канал
-------
Начиная с 21 марта в России наблюдалась блокировка на ТСПУ протокола TLS 1.2 в сторону Cloudflare.
Зацепило сайты и сервера мобильных приложений за Cloudflare, у которых в настройках самого Cloudflare был выставлен TLS 1.2. Не работали app.plex.tv, hello.vrchat.com, стримы в Twitch через OBS, ShareX и так далее. Блокировка возникала в ответ на предложение сервера при установке соединения установить шифрование ECDHE-RSA-AES128-GCM-SHA256 в сочетании с сертификатом.
Вчера вечером блокировку откатили и работоспособность постепенно восстановилась.
Обсуждение на форуме поддержки Cloudflare тыц.
Обсуждение на ntc.party тыц.
_______
Источник | #ru_tech_talk
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Зацепило сайты и сервера мобильных приложений за Cloudflare, у которых в настройках самого Cloudflare был выставлен TLS 1.2. Не работали app.plex.tv, hello.vrchat.com, стримы в Twitch через OBS, ShareX и так далее. Блокировка возникала в ответ на предложение сервера при установке соединения установить шифрование ECDHE-RSA-AES128-GCM-SHA256 в сочетании с сертификатом.
Вчера вечером блокировку откатили и работоспособность постепенно восстановилась.
Обсуждение на форуме поддержки Cloudflare тыц.
Обсуждение на ntc.party тыц.
_______
Источник | #ru_tech_talk
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Cloudflare Community
Russia blocks TLS v1.2 requests to cloudflare edges
There is a lot of reports about connection issues from russia when: a) Connecting to a cloudflare-proxied website that has TLS v1.3 explicitly disabled in cloudflare dashboard (examples: app.plex.tv, vrchat.com) b) Using specific network stacks like .NET’s…
Когда неделю назад вышел IOS 17.5, у пользователей iPhone в галереях неожиданно появились давно удаленные фотографии. Apple сообщила, что случилась "порча базы данных", быстро выпустила обновление до 17.5.1 и фото снова исчезли.
Теперь исследователи разобрали этот патч и посмотрели, как проблема была устроена "под капотом" и как Apple ее решила. Сюрприз-сюрприз, фото не удалялись с файловой системы, а только помечались как удаленные. В смысле когда фото удаляются, они же сначала попадают в корзину, а потом когда они должны удаляться совсем, тогда это место на файловой системе должно помечаться как свободное. Так вот, этот последний шаг был сломан. А обновление IOS 17.5 запустило процесс поиска фото по файловой системе для обновления библиотеки работы с фото, нашло все старое плохо удаленное и пользователям показало. Проблема произошла локально на устройствах, а те, кто на форумах жаловался, что у них фото появились на новом устройстве, те врут или ошибаются.
В общем, надежное удаление файлов с NAND-накопителей - большая проблема, и то, что вы чего-то не видите в интерфейсе, не значит, что на смартфоне его нет. Надежно удалить данные с современных смартфонов можно сбросом до заводских настроек.
_______
Источник | #ru_tech_talk
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
Теперь исследователи разобрали этот патч и посмотрели, как проблема была устроена "под капотом" и как Apple ее решила. Сюрприз-сюрприз, фото не удалялись с файловой системы, а только помечались как удаленные. В смысле когда фото удаляются, они же сначала попадают в корзину, а потом когда они должны удаляться совсем, тогда это место на файловой системе должно помечаться как свободное. Так вот, этот последний шаг был сломан. А обновление IOS 17.5 запустило процесс поиска фото по файловой системе для обновления библиотеки работы с фото, нашло все старое плохо удаленное и пользователям показало. Проблема произошла локально на устройствах, а те, кто на форумах жаловался, что у них фото появились на новом устройстве, те врут или ошибаются.
В общем, надежное удаление файлов с NAND-накопителей - большая проблема, и то, что вы чего-то не видите в интерфейсе, не значит, что на смартфоне его нет. Надежно удалить данные с современных смартфонов можно сбросом до заводских настроек.
_______
Источник | #ru_tech_talk
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot
9to5Mac
Security Bite: Here's the iOS 17.5 bug that resurfaced deleted photos - 9to5Mac
After reports of deleted photos resurfacing years later following the installation of iOS 17.5, Apple released iOS 17.5.1 last week...
У меня для вас Новость о matrix.org, которую вы скорее всего пропустили.
Дефолтный и самый крупный сервер для регистрации аккаунтов в сети matrix - matrix.org сломал федеративность. А именно нарушил обмен ключами шифрования со всеми остальными серверами.
Юзеры с аккаунтами на matrix.org могут общаться между собой. Но не могут расшифровать сообщения от юзеров с аккаунтами на любых других серверах. Ошибка “unable to decrypt message” в Element и “message could not be decrypted due to missing key” в Nheko.
При этом нет никаких проблем с ключами между юзерами любых других серверов.
То есть, matrix.org окуклился. Вынуждая всех остальных (кто поднимал собственные серверы или регистрировался на маленьких серверах компаний, например) заводить учётки в matrix.org, чтобы не потерять связь с большей частью людей в сети.
Разрабы молчат, как шпионы: github.com
Хотя проблема наблюдается минимум с конца июля.
Я считаю, что на волне борьбы с e2e шифрованием в англии, германии и франции к ним просто напросто ПРИШЛИ. И попросили создать загон, чтобы люди не расползались по неконтролируемым серверам.
Думаю, вам стоит хотя бы упомянуть об этом событии в одном из выпусков.
PS Проблема проверялась на разных клиентах (и на ПК, и на андроиде) в разных ОС, с разными серверами, под ВПН и без, у разных провайдеров по всей РФ. Пробовалась команда /discardsession. -Однозначно это не что-то у меня лично поломалось.
_______
Источник | #ru_tech_talk
@F_S_C_P
Стань спонсором!
Дефолтный и самый крупный сервер для регистрации аккаунтов в сети matrix - matrix.org сломал федеративность. А именно нарушил обмен ключами шифрования со всеми остальными серверами.
Юзеры с аккаунтами на matrix.org могут общаться между собой. Но не могут расшифровать сообщения от юзеров с аккаунтами на любых других серверах. Ошибка “unable to decrypt message” в Element и “message could not be decrypted due to missing key” в Nheko.
При этом нет никаких проблем с ключами между юзерами любых других серверов.
То есть, matrix.org окуклился. Вынуждая всех остальных (кто поднимал собственные серверы или регистрировался на маленьких серверах компаний, например) заводить учётки в matrix.org, чтобы не потерять связь с большей частью людей в сети.
Разрабы молчат, как шпионы: github.com
Хотя проблема наблюдается минимум с конца июля.
Я считаю, что на волне борьбы с e2e шифрованием в англии, германии и франции к ним просто напросто ПРИШЛИ. И попросили создать загон, чтобы люди не расползались по неконтролируемым серверам.
Думаю, вам стоит хотя бы упомянуть об этом событии в одном из выпусков.
PS Проблема проверялась на разных клиентах (и на ПК, и на андроиде) в разных ОС, с разными серверами, под ВПН и без, у разных провайдеров по всей РФ. Пробовалась команда /discardsession. -Однозначно это не что-то у меня лично поломалось.
_______
Источник | #ru_tech_talk
@F_S_C_P
Стань спонсором!
GitHub
Matrix.org has broken the federation connection · Issue #2483 · matrix-org/matrix.org
The default and largest server on the Matrix network has broken the key exchange between messenger users. Users with accounts on matrix.org do not receive the key from their contacts with accounts ...
Ситуация: вы скачали музыку себе на компьютер, телефон, да хоть на плеер. И так сделали ещё 1 млн человек.
А потом вашего интернет-провайдера оштрафовали на 1 млрд рублей за пиратство (если точнее, за "содействие" нарушению авторских прав).
Логика странная, но случай реальный и произошёл в США ещё в 2019 году с Cox Communications (одна из крупнейших телекоммуникационных компаний в стране).
Сейчас, в 2024, Sony, Universal и другие правообладатели всё ещё продолжают судиться с провайдером и считают, что:
- абоненты использовали интернет для загрузки и распространения пиратских копий музыки;
- Cox закрывала на это глаза, продолжая получать прибыль от этих абонентов и не предпринимала достаточных мер по борьбе с пиратством.
Что говорит Cox:
- просит отменить или смягчить решение;
- считает, что интернет-провайдеры не должны нести ответственность за пиратские действия своих клиентов.
Если суд примет решение в пользу правообладателей, интернет уже не будет прежним. Провайдеры начнут ещё больше следить за пользователями и, не исключено, что даже отключать их по любому подозрению, чтобы снова не платить миллиардные штрафы. А потом такая судебная практика поедет по гастролям по другим странам.
_______
Источник | #ru_tech_talk
@F_S_C_P
-------
Секретики!
-------
А потом вашего интернет-провайдера оштрафовали на 1 млрд рублей за пиратство (если точнее, за "содействие" нарушению авторских прав).
Логика странная, но случай реальный и произошёл в США ещё в 2019 году с Cox Communications (одна из крупнейших телекоммуникационных компаний в стране).
Сейчас, в 2024, Sony, Universal и другие правообладатели всё ещё продолжают судиться с провайдером и считают, что:
- абоненты использовали интернет для загрузки и распространения пиратских копий музыки;
- Cox закрывала на это глаза, продолжая получать прибыль от этих абонентов и не предпринимала достаточных мер по борьбе с пиратством.
Что говорит Cox:
- просит отменить или смягчить решение;
- считает, что интернет-провайдеры не должны нести ответственность за пиратские действия своих клиентов.
Если суд примет решение в пользу правообладателей, интернет уже не будет прежним. Провайдеры начнут ещё больше следить за пользователями и, не исключено, что даже отключать их по любому подозрению, чтобы снова не платить миллиардные штрафы. А потом такая судебная практика поедет по гастролям по другим странам.
_______
Источник | #ru_tech_talk
@F_S_C_P
-------
Секретики!
-------
Torrentfreak
Cox Asks Supreme Court to Reject Record Labels' Petition over ISPs 'Piracy Profits' * TorrentFreak
Cox Communications opposes the writ of certiorari to the U.S. Supreme Court, filed by several record labels.