{"id":13642,"url":"\/distributions\/13642\/click?bit=1&hash=b1d04d123bef3157778955d4fff0f37b6ea4b9628be659b0252c803d9c42eced","title":"\u0412\u044b \u0441\u0430\u043c\u043e\u0437\u0430\u043d\u044f\u0442\u044b\u0439? \u0422\u0435\u043f\u0435\u0440\u044c \u043c\u043e\u0436\u0435\u0442\u0435 \u043f\u0440\u043e\u0434\u0430\u0432\u0430\u0442\u044c \u043d\u0430 \u00ab\u042f\u043d\u0434\u0435\u043a\u0441 \u041c\u0430\u0440\u043a\u0435\u0442\u0435\u00bb","buttonText":"\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435","imageUuid":"7b44ef31-f829-53ec-90f8-add9595cf252","isPaidAndBannersEnabled":false}
Сервисы
Андрей Лакета

DoubleVPN vs. обычный VPN

VPN для многих стал правилом хорошего тона в сети: обход блокировок, анонимность, защита данных. Но достаточно ли обычного односерверного VPN?

Разберемся с терминами

VPN — virtual private network, т.е. виртуальная частая сеть. Термин, объективно говоря, малопонятный рядовому пользователю: сеть какая-то, еще и виртуально-частная..
Простыми словами, VPN — это сервер(-а), к которому мы подключаемся со своего устройства по шифрованному каналу (туннелю), и уже с этого сервера мы идем дальше в интернет по своим делам: сайт, мессенджер, instagram, итд.
Это значит, что наша конечная цель (сайт/мессенджер/instagram) принимает наше соединение не напрямую, а через VPN-сервер, т.е. не видит дальше этого сервера: вместо нашего ip-адреса цель видит ip-адрес VPN’а. Таким образом обеспечивается анонимность, а также обход национальных блокировок (как побочное явление по сути).
Кроме того, шифрованный туннель позволяет скрыть и нашу цель (куда мы пошли) и сам трафик (что мы там делаем) от глаз провайдера/оператора сотовой связи/СОРМа/спецслужб.
Ну что ж, уже неплохо.

DoubleVPN — как очевидно следует из названия — это цепочка уже из двух vpn-серверов (на маршруте между нами и нашим пунктом назначения). Это значит, что мы дважды сменим ip-адрес, следуя к цели, а также то, что наш трафик тоже будет зашифрован дважды.
Первый раз: от нас до vpn1.
Второй: от vpn1 до vpn2.

А смысл?

Предположим, мы, находясь в России, идем на российский же ресурс (avito, например), используя односерверный VPN:

Как видно, в этом случае деанонимизировать нас не так уж и сложно:
• один СОРМ-запрос от сайта "откуда пришел?" — ip нашего VPN’а
• один СОРМ-запрос от провайдера "куда ходил?" — ip нашего VPN’а, он же

Буквально 2 запроса сужают поиск до 10−20 клиентов максимум, из которых вычленить непосредственно нас — вопрос простейшего сопоставления косвенных данных (время, активность на сайте, частота посещений — вот мы и попались).

Теперь представим все то же самое, только заменим обычный VPN на double:

И тут двумя вшивенькими запросами отделаться уже не получится — ip будут разные. А дальше копать сильно сложнее: межгосударственные запросы, разные юрисдикции, разные основания, далеко не в каждой стране есть аналоги СОРМа, а там где есть — далеко не всегда они работают по тем же принципам. Да и отношения между странами сегодня, мягко говоря, не благоволят таким процессам.

При этом, если сервера doubleVPN’а расположены в разных странах/юрисдикциях — то мы получаем аж 3 юрисдикции в цепи, что делает нашу деанонимизацию практически бесперспективной. На практике, этим никто не будет заниматься, пока сумма ущерба не превысит хотя бы $50 000 — порог входа по стандартам интерпола (не говоря уже о том, что бюро интерпола в любой стране насчитывает не больше 50−100 сотрудников: представьте их ежедневный объем работы, и сможете легко оценить риски).

Итак, мы выяснили, что doubleVPN существенно анонимнее и безопаснее обычного VPN.
Но достаточно ли нам такого стандартного решения?
Даже если это doubleVPN?
Конечно же нет. Мы усовершенствовали эту технологию.

Как было изначально?

Для каждого doubleVPN мы брали 2 разных сервера в двух разных странах. И пусть они были никак не связаны между собой (и уж тем более — с нами), пусть они были зарегистрированы и оплачены от имени совершенно разных людей. Но выходной сервер-то был один, т.е. — статичный выходной ip для всех пользователей (куда входят далеко не только наши клиенты, но и мы сами, а также наши друзья и коллеги).

И довольно быстро мы пришли к пониманию, что такая схема отнюдь не идеальна: сегодня мы с этого ip делаем свои обычные дела, в т.ч., например, светим наши реальные данные. А завтра один из пользователей где-то нашкодит — и под подозрение попадают сразу все, довольно простая логика.

Как же быть?

Технология BespaleVPN v.2

Очевидный выход из ситуации: сделать выходной ip (server2) — динамическим. Т.е. сегодня мы работаем из Испании, через неделю из Германии, через месяц из Румынии. Таким образом, кто бы там ни нашкодил, угнаться за остальными участниками концессии (да и за самим шкодником) уже не получится: сегодня здесь, завтра там.

Кроме того, было бы неплохо разбавить трафик еще каким-нибудь другим трафиком, т.е. чтобы помимо нас, через эти динамически меняющиеся сервера свои дела бы проворачивали еще какие-то другие, не связанные с нами люди.

Сказано — сделано.
Мы убираем все наши server2, вообще. И вместо них подцепляем на выход сервера коммерческих VPN-сервисов. У всех на слуху гиганты индустрии: nordvpn, vypr, windscribe, ipvanish, unlimitedvpn, итд. Ими и воспользуемся, ведь, помимо нашего, через их сервера проходит трафик тысячи людей, с которыми мы слава богу никак не соприкасаемся, но чья жизнедеятельность нам весьма сподручна.

Резюмируя

DoubleVPN — вещь стоящая, спорить тут не о чем.
Дополнительный уровень анонимности + дополнительный слой шифрования.

А BespaleVPN v.2 — это эволюционное развитие технологии, которое учитывает особенности современного мира и действительно помогает защитить свои коммуникации.

Кто-то скажет: "а как же скорость? я слышал(-а) что это очень медленно".
Ну что ж, приглашаем протестировать и убедиться: 20−30-(и даже)-70Mbps — объективная реальность наших doubleVPN’ов. Пока мир полнится слухами, мы делаем свою работу.

Впрочем, vpn (каким бы он ни был) — лишь составная часть в общей конструкции личной цифровой безопасности. О том, какие еще детали и механизмы должны присутствовать в этой конструкции, мы поговорим в следующих постах.

0
15 комментариев
Написать комментарий...
Sokol

не проще переехать в другую страну, раз такие риски?

Ответить
Развернуть ветку
Максим Петров

Да, проще…

Ответить
Развернуть ветку
Максим Петров

Капча будет постоянно при использовании вашего впн?

Ответить
Развернуть ветку
Андрей Лакета
Автор

На каких-то серверах может и вылезать, не без этого.
Но не постоянно, уж точно. К тому же, если вас беспокоит капча на каком-то конкретном сервере, всегда можно попросить поддержку сменить выход таким образом, чтоб ip был почище.

Кроме того, капча может лезть не только из-за ip, но и из-за разницы во времени (на выходном ip и на вашей машине), особенно если эта разница существенная (Москва - Нью-Йорк, к примеру).

Ответить
Развернуть ветку
Евгений Захаров

Чем это лучше удаленного рабочего стола?

Ответить
Развернуть ветку
Андрей Лакета
Автор

Если вы подключаетесь к удаленному рабочему столу напрямую, то наличием второго сервера, об этом и статья, собственно говоря.
Подключаясь через впн, это можно нивелировать, согласен.

Но в целом, это две разные технологии, две разные сущности, имеют разное назначение и применение. Не очень понимаю, как это сравнивать вообще:)

Ответить
Развернуть ветку
Владислав Булатов

а как вы его на айфон поставите?

Ответить
Развернуть ветку
Птиц

Timing атака будет работать, даже если у вас 150 VPN между. Увы.

Единственный способ побороть это - выходить в Интернет через чужой коннект. Какой и как - вам решать.

Ответить
Развернуть ветку
Андрей Лакета
Автор

Что именно вы собрались атаковать по времени?

Ответить
Развернуть ветку
1305

Вероятно объем сопоставление объема трафика и времени, как самый просто способ вычислить. Условно если вы загрузили картинку в 9 часов 31 минуту 5 секунд размером 84 755 байт, то смотреть у кого в это же время был такой исходящий трафик. Кстати Windscribe реализовали функцию постоянно гонять трафик туда-сюда даже в режиме и простоя

Ответить
Развернуть ветку
Андрей Лакета
Автор

1. Вероятно, вы немного превратно понимаете значение термина "атака по времени":)
2. Указанный вами способ может и сработал бы в вакууме, где вы только качаете картинку и все. Но современный интернет - немного другая сентенция: трафик летит постоянно, и вычленить из шифрованного массива конкретные 84 755 байт не получится при всем желании.
3. Ну и, загруженное - это все-таки ВХодящий траф, так к слову.

Ответить
Развернуть ветку
1305

Но ведь с каждым разом, отлавливая трафик по объему исх/вх круг сужается, за небольшой период времени он сузится до нескольких десятков. В общем гуглите Traffic correlation attack

Ответить
Развернуть ветку
Tsepesh

Double Hop VPN, Multi-Hop VPN, VPN Cascades, VPN Chains... Эта функция есть у многих VPN, ничего нового здесь нет. У самого стоит Surfshark, мульти хоп через Нидерланды в США, скорость 260 Мб. Ну и ротация/смена IP тоже не новость

Ответить
Развернуть ветку
Konarev Alexander

Чем такой огород городить, проще не ходить на российские ресурсы через VPN, тогда запросы сопоставлять органам будет затруднительно..

Ответить
Развернуть ветку
Андрей Лакета
Автор

А как действовать?:) Идти напрямую? Не пользоваться вообще?

Для пользователя, кстати говоря, огорода-то нет никакого. Подключился к серверу, все:) Остальное происходит автоматически и не требует вообще никаких телодвижений.

Ответить
Развернуть ветку
Читать все 15 комментариев
null