Какие требования должны предьявляться к VPN-провайдерам?
Наткнулся на интересный проект VPNSERVICE.RU
Если судить по сайту, то все белое и пушистое.
Начал знакомиться поближе, и выяснились первые пятна:
1. Контактное ICQ 285607659 кроме имени "Павел" и принадлежности к VPNSERVICE.RU не содержит никакой дополнительной информации. Типа шифруются. Странно... Ладно, идем дальше.
2. Указанное ICQ в дневное время не работает. Это прямо говорит об обязательности техподдержки и косвенно – о надежности самого сервиса.
3. Сервис представлен русским доменом. Однако сам сайт находится где-то в Далласе:
OrgName: ThePlanet.com Internet Services, Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US
RTechHandle: PP46-ARIN
RTechName: Pathos, Peter
RTechPhone: +1-214-782-7800
RTechEmail: admins@theplanet.com
Если подобное размещение сервиса для провайдеров обычных Internetуслуг решающей роли не играет, то для VPN-провайдеров эта особенность – решающая. Поскольку, если обслуживющий персонал принадлежит стране, в которой доминируют фискальные законы, то цена такому VPN-"сервису" – ломаный грош.
4. О самой индетификации VPNSERVICE.RU провайдер ничего не сообщает – ни официальной регистрации в соотв. структурах, ни, страны, ни улицы, ни дома.
Возникает вопрос: насколько при таких имеющихся данных можно доверять vpnservice.ru ?
Ведь вопрос не только о надежности, а и моральности хозяев сервиса, которые представляет непонятно какую страну с непонятно какими законами, и что ожидать от такого сервиса – непонятно.
Это частный случай, но он навел меня на следующие размышления – а давайте-ка мы попробуем изложить все необходимые требования, которые должны предъявляться к VPN-провайдерам?
Это поможет нам осуществлять правильный выбор и исключить досадные ошибки и напрасные расходы.
Ссылки
[link1] http://torrentfreak.com/which-vpn-providers-really-take-anonymity-seriously-111007/
[link2] http://win.ru/informatsionnye-vojny/1329111110
[link3] http://www.pgpru.com/biblioteka/osnovy/ssd/kontrrazvedka/nsl
[link4] https://en.wikisource.org/wiki/USA_PATRIOT_Act/Title_II#Sec._212._Emergency_Disclosure_of_Electronic_Communications_to_Protect_Life_and_Limb.
[link5] http://www.law.cornell.edu/uscode/text/18/2703
[link6] https://en.wikipedia.org/wiki/Code_(disambiguation)
[link7] https://en.wikipedia.org/wiki/Code_(law)
[link8] https://en.wikipedia.org/wiki/Napoleonic_code
[link9] https://www.vpnservice.ru/contacts.html
[link10] http://www.pgpru.com/comment68344
[link11] http://www.pgpru.com/comment70807
[link12] http://www.cnews.ru/news/top/2015-12-07_frantsiya_zablokiruet_tor_i_otklyuchit_publichnyj
[link13] http://www.pcweek.ru/security/article/detail.php?ID=180929
[link14] http://forum.nag.ru
[link15] https://metrics.torproject.org/userstats-relay-table.html
[link16] https://metrics.torproject.org/userstats-bridge-table.html
[link17] http://www.pgpru.com/biblioteka/statji/certifiedlies
[link18] http://blogerator.ru/page/runet-obrechennyj-tor-bridge-i2p-regulirovanie-interneta-i-cenzura-2
[link19] http://blogerator.ru/page/dpi-anatomija-kitajskogo-interneta-cenzura-filtracija
У Вашего сервиса нет вероятно лицензии, никаких гарантий что не кинут.
А вы типа хотите официальный впн сервис от трехбуквенных организаций? Со всеми лицензиями и 100% гарантией круглосуточной прослушки вашего трафика.
Никогда не ставьте свою безопасность в зависимость от благородства посторонних людей. Доверять можно себе, близким родственникам, и до некоторой степени знакомым.
Ну а наличие адреса, линензии, и даже репутации, не дает оснований доверять посторонним. Задайтесь вопросом: будут ли эти люди защищать вашу жопу рискуя своей?
Первое требование: владельцем должен быть тот, кому можно доверять. Список кому можно доверять см. выше.
Второе требование: сервис должен находиться за пределами доступности потенциальному противнику. Тут уж думайте от кого вы защищаетесь.
вы были правы,почуяв подвох. а мне подвоха не привиделось.в результате vpnservice.ru украл мои деньги.подписка на впн оплачена.и в яндекс-деньги я вижу пометку ,что на счет vpnservice.ru деньги перечислены.а впн у меня нет.мои письма к ним в тот же день стали мне возвращаться. мой e-mail заблокировали,чтоб не тревожил. через их сайт-разумеется связываться с ними бесполезно.с "ними" / с "ним" ..не знаю .посмотрел сейчас снова этот сайт.как я вообще на это купиться мог.даже смешно.
1. Сервис (серверы доступа) не должен располагаться в той стране, законодательство или иные соображения мешают Вашей предполагаемой деятельности и/или представляют угрозу Вашей безопасности.
Где хостится сайт сервиса – не суть важно, по этому факту судить о нём с какой-то достоверностью нельзя. Хотя если, например, сайт находится там же, где и их сервис, это говорит в пользу их солидности, так сказать.
2. Сервис должен быть зарегистрирован не в стране, из которой Вы к нему подключаетесь. Ещё лучше, если он зарегистрирован в оффшоре или стране, с которой нет официальных договоров об обмене информацией между правоохранительными органами в сфере, касающейся Вашей деятельности. Наличие также политической напряжённости или идеологических разногласий идёт в данном случае в "плюс".
3. Шифрование с хорошим ключом, больше 128 бит обязательно.
4. Провайдер VPN не должен вести логи, о чём:
а). должно быть заявлено самим провайдером;
б). законодательство страны, в которой находится сервис, не должно иметь требования обязательной записи подобной информации.
Пока вот такие соображения, которые меня больше всего интересуют. Если посмотреть рынок VPN-услуг, окажется довольно мало подходящих вариантов.
Это не считая технических вопросов и вопроса саппорта и стоимости.
Как определять хорошесть? Ровно 128 бит можно? Почему?
Ровно 128 бит можно?
Нет.
Как определять хорошесть?
Зависит от его длины. Ну и от алгоритма, естественно.
Нет?
Почему?
Вот подробный обзор известных сервисов:
http://torrentfreak.com/which-.....ty-seriously-111007/[link1]
Топикстартер просто мочит конкурента, чего тут непонятного
мда ... дешево как-то поливает конкурентов. ни разу прям не палится.
тут[link2]
Если ссылаются на закон, то и ссылку дают на закон. Цитировать и ссылаться на эпик вин это как ссылаться на ресурс с задорновым, только не смешно.
Речь, вероятно, о National Security Letters[link3].
Речь вероятно идёт об изменениях, внесённых через USA Patriot Act[link4] в US code[link5].
Возможно имеется ввиду это: а может ещё что – лень разбираться.
Любопытно, что в США свод законов называют кодом, используя то же слово, что и в IT. United States code типа как Windows code – исходный (или машинный?) код операционной системы, называемой United States.
[off]
Это особенности восприятия заимствованного слова, которое использовалось до всяких там IT:
Code_(disambiguation)[link6]
Code_(law)[link7]
Napoleonic_code[link8]:
Это компьютерные и прочие коды назвали в честь законов и кодексов, а не наоборот. Также как операционную систему словом "Окна".
[/off]
Да я не о приоритете, а о том, насколько глубокие аналогии тут можно провести.
Странно, но этот сервис до сих пор жив[link9], работает только по https (с кривым сертификатом) и сюдя по всему, "репутация" у него что надо.
Перефразируя цитату[link11], можно сказать
VPN дожен быть расположен в другой стране, иначе смысла в нем нет.
В чем проблема арендовать VPS за 1-2 бакса в месяц и поднять на нем свой VPN сервер, без логов, с нужным шифрованием, песнями и плясками? Выйдет дешевле и надежнее, чем впн сервисы.
Я вот именно так и сделал.
В том, что анонимная оплата — головная боль, а при неанонимной это то же самое, что сообщать VPS-хостеру и VPN-держателям своё ФИО. Это самая главная причина.
Логи может вести любой промежуточный сервер, в частности — хостинг-провайдер.
Хостер легко снимает образ ОС в режиме реального времени и получает всю информацию, это ж виртуалка. С дедиками тоже не идеал, но там хотя бы можно поиграть в игры кошки-мышки. Т.е. обсуждать логи и шифрование на VPN-сервере большого смысла не имеет, хотя если угроза — только ISP, шифрование помогает делу.
Ну если уж враги придут к хостеру, то они точно также могут снимать траффик и с впн сервиса.
Со своим впн сервером, хотя бы есть уверенность, что логи сервера лично отключил, а так придется верить на слово впн сервису. Не говоря уже о том, что он вообще может быть подставной, изначально организованный недругами.
Все возможные противоречия способна разрешить модель угрозы: если она включает атаку на хостинг-провайдера или его принуждение к разглашению Ваших данных, то, очевидно, это слабое решение. В противном случае оно наверняка лучше коммерческого VPN-сервиса (не однозначно лучше, т.к. вполне возможен вариант, что Вы располагаете неким доверенным сервисом, при этом Ваша собственная квалификация в настройке сервера слишком низка, чтобы сделать это безопасно).
А хостер мог не отключать. Может быть, у хостера по умолчанию они включены (почти уверен) для всех клиентов VPS'ок, чтобы было легче реагировать на атаки, DDoS, взломы и прочее непотребство. Т.е. хостер может штатно получить табличку всех ваших входящих на сервер и исходящих с него, причём с отличной детализацией по времени — хостеру для этого даже не нужно залазить в вашу гостевую ОС, крутящуюся на VPS'ке, это всё на уровне управления хостингом делается. А ещё на подступах к хостеру наверняка стоят разные IDS, в которых тоже ведутся логи. И пока ваш трафик идёт к вашей VPS'ке (и от неё до целевого ресурса), он проходит через несколько AS'ов и десятки разных узлов сети (man tracepath), каждый из которых тоже может собирать логи ваших подключений (и, как мы знаем из откровений Сноудена, они этим действительно занимаются). Для дедиков картина качественно мало чем отличается, но с прямым доступом к вашей ОС у хостера будет больше волокиты. Короче, надо думать не о логах, а о шифровании пропускаемого через VPN трафика (к примеру, посредством Tor'а).
Решил не создавать новую тему, а спросить тут.
Могут ли власти стран "временно" переведенных на режим усиленного антитеррора (как сейчас Франция)
оZуетьусилить контртеррористические меры до такой степени, чтобы специально контролировать факт передачи трафика идущего через Tor и бесплатных VPN так что пользоваться этими сервисами в таких странах станет более опасно, чем не пользоваться ими вообще? И стоит ли сегодня избегать использования серверов VPN находящихся в таких странах и ставить в torrc ExcludeNodes {fr} {tk} и т.д. ?Вопрос можно разделить на три составляющие:
Ответ на первую часть вопроса будет положительный. Даже если провайдер не использует DPI, грубо дифференцировать пользователей таких сервисов можно по портам и хостам, с которыми производится соединение: у VPN порты в большинстве случаев стандартны, у Tor в большинстве случаев заведомо известны хосты (за исключением бридж- и obfs3-узлов). Будет ли в стране введено требование полного логирования трафика? Такое вполне можно допустить, особенно на время чрезвычайного положения.
Ответ на вторую часть определяется политической целесообразностью и традициями конкретного государства, поэтому в значительной мере будет носить спекулятивный характер. Но следует иметь в виду, что Франция — государство с одним из самых жёстких (для демократических стран) правовых режимов в отношении криптографии.
Ответ на третью часть обусловлен тем, где живёт конкретный пользователь. Если за пределами подобного государства, то, при условии ведения тамошними провайдерами полных логов, может быть смысл добавить {fr} в исключения. Имейте в виду, что само это действие усиливает Вашу профилируемость, независимо от того, где Вы находитесь.
Я бы сказал, что так делать имеет смысл, только если вы заведомо знаете, что всё логируется и пишется в одних местах, но не логируется и не пишется в других. В Tor'е Франция имеет существенный вес, выкидывание всех её узлов плохо скажется на производительности соединения, а, возможно, и на анонимности. К тому же не стоит забывать, что всё серьёзные меры принимаются в кооперации с АНБ и другими странами, поэтому думать, будто новые меры коснутся только узлов во Франции, не стоит.
Уже логируется и отключается)
Франция заблокирует Tor и отключит публичный Wi-Fi[link12]
Франция может заблокировать Tor и отключить публичный Wi-Fi[link13]
Что по статистике в логах провайдеров отображается больше: использование Tor или VPN? Интересует статистика по регионам и странам) Начнем с РФ и столиц-мегаполисов, потом Украина.
С такими вопросами обращайтесь туда[link14], где обитают провайдеры.
Так они и скажут?
Я встречал два противоречивых мнения:
1 – Тор безопаснее, так как с ним невозможно профилирование, чем с ВПН и он достаточно распространен.
2 – Тор вызывает определенное внимание как к пользователю анонимайзера, а ВПН используют в корпоративных сетях для многих вполне "хомячковых" целей и таких подозрений ВПН не вызовет.
Вариант 2 ближе к действительности РФ, но тогда получается что при использовании ВПН поверх всего о поездках, выходах в сеть откуда удобно с учетом Глобального Наблюдателя нужно забыть. Или держать при себе коллекцию ВПН на разные случаи жизни? Бред.
Отсюда, мои вопросы таковы:
1 – Если я везде буду начинать входить в инет с Тор, я буду белой вороной?
2 – Если я буду юзать чисто-хомячковый (и потому достаточно распространенный) гугловский прокси 8.8.8.8 или настрою оперовский (без Оперы, напрямую, если это возможно) и умудрюсь подключиться к ним посредством SSL (если они это поддерживают), тогда когда я дальше уже через них буду поднимать свои ВПН, я скрою их от провайдера? (не от гугловского-оперовского прокси, а от своего прова или wifi точки)
3 – Можно ли еще какими-нибудь способами замаскировать факт использования ВПН? Слышал про какой-то японский проект для обхода цензоров режущих ВПН.
А местная публика тут при чём? Нужно сидеть-гадать, как бабки на лавочках, что у них там и как? По умолчанию, насколько мне известно, провайдер вообще не обязан вычислять в трафике Tor, VPN или ещё какие-либо сервисы. Сортировку для себя они делают для шейпинга трафика, чтобы, например, торренты не забили всю полосу. В этом массиве данных они могут вообще не выделять специфические протоколы тех же OpenVPN'а и Tor'а как-то по-особому. То, что они выделяют в логах для себя, может сильно зависеть как от провайдера, так и от момента времени. По закону провайдеры должны блокировать обращения к запрещённым ресурсам (кстати, только блокировать, а не логировать IP, к этим ресурсам обращающихся — последнее они вроде как вправе не делать). Более того, если только вы не в Белоруссии или ещё какой-то очень особой юрисдикции, блокировать и/или логировать VPN/Tor-трафик провайдеры не обязаны. Наконец, не следует путать провайдеров и СОРМ, который у них стоит.
Вдруг они отличают корпоративные VPN от «хомячковых», а «хомячковые» VPN вызывают у них лютый интерес? Постфактум их различить несложно. И если TBB — это просто программа, которую скачал, запустил и пользуйся, то VPN, как правило, платные, причём выбор конкретного VPN-провайдера и методов его оплаты — дополнительная информация о вас.
Какая связь между поездками и VPN'ом? Из другого места нельзя с тем же VPN-сервером соединяться? А глобальный наблюдатель здесь при чём? От него в полной мере ни одна существующая анонимная сеть не защищает, как и VPN.
Например, из России только напрямую к Tor'у каждый день подключается около 240k пользователей напрямую[link15] и около[link16] 3k через bridges. Выводы для себя делайте сами.
Если всё настроено правильно, то да, хотя по наблюдению за статистикой веб-серфинг через прокси, конечно, будет отличаться от VPN'а через прокси, поэтому постфактум, если провайдеру это будет слишком интересно, факт использования VPN (но не его IP) раскроется. Хуже то, что правильный и правильным образом настроенный SSL — почти что фикция (тем более, для таких популярных сервисов). На эту тему ещё давно была статья[link17], а после неё было ещё очень много новостей, подтверждающих тезис и все опасения.
Любую фиксированную детекцию типичного протокола (будь то VPN или другой) потенциально (теоретически) можно обойти, но против любой маскировки типичного протокола (будь то VPN или другой) можно сделать систему детекции, которая его будет распознавать. Борьба средств детекции и маскировки может идти сколь угодно долго, это извечная борьба щита и меча. На эту тему были[link18] обширные[link19] статьи про методы китайского файерволла.
Что бы вы ни делали, это вызывает определённое внимание. Особенное внимание вызывает тот, кто ничем и никак не вызывает к себе внимания, ибо последнее для среднего человека нетипично. Чем больше вы пытаетесь сравняться со средой, не привлекая к себе внимания, чем меньше внимания к себе вы привлекаете, тем больше внимания вы привлекаете к себе. Люди, непривлекающие к себе никакого внимания — это очень странно, к ним всегда привлекается повышенное внимание и интерес.