Защита от российского Золотого Щита

После прочтения темы Tor Роутер анонимайзер Onion Pi + настройка 3G роутера и очередного списка запрещенных сайтов и введенных ограничений интернета в РФ возникли мысли о том, что для обхода блокировок вскоре придется применять аналогичные устройства т.к. Тор рано или поздно такими темпами запретят и будут блокировать (по модели КНР), высока вероятность в переходе на вбивание мостов вручную через "Get bridges". Проект Золотой щит подразумевает фильтрацию всего трафика на пути к международным каналам связи. Нечто аналогичное я вижу в ближайшем будущем в нашей стране. Не вдаваясь в политические особенности и пр. хотел бы обсудить варианты обхода подобного аналога ЗЩ в РФ, если возникнет такая потребность.
Первое, что приходит в голову - отправлять письма на почту Тор с фразой "Get bridges", но данный вариант не подходит ввиду геморройности и невозможности сделать это на единственном компьютере, работающем на Tails, например. Есть и ряд других неудобств, но они уже вторичны.
Как вариант хотелось бы узнать о технической возможности автоматизировать процесс получения мостов через указанную команду на отдельном устройстве (той же плате Raspbeery pi), которое бы раздавало интернет уже на компьютер с Tails.
Тут возникают вопросы:
Будет ли работать Тор-соединение внутри Тор-соединения (то есть Tails внутри интернета уже получаемого в сети Тор с платы)?
Какие будут особенности?
Как сделать это все из доступных материалов?

Если все это реально возможно, то особый интерес представляет сборка девайса, который бы подключаясь к вай-фай обычного провайдера (или по кабелю) мог бы раздавать уже вай-фай с Тор-соединением, а в случае необходимости (например, введения аналога ЗЩ) - сам отправлял автоматическое письмо с запросом мостов и применял так же автоматически указанные в ответном письме мосты без какого-либо участия пользователя.

Вот тут собирают деньги на что-то подобное, но не очень ясно сможет ли он сам запросить мосты при необходимости.

Такое вообще реально?

Редактировался Корыто (2016-10-13 18 ч.)

Вроде не должно сложностей быть или я что-то путаю.

А если при загрузке браузера быстро жамкнут на "параметры" (или как-то так), выбрать в появившемся большом окошке "мосты", они сами там  цепочку не выстроят?
Да и вообще, уважаемый Корыто, стоит ли так переживать? У тебя сам вопрос построен не очень корректно, защиты от щита не может быть в принципе, его нужно преодолеть, а в соревновании брони и снаряда всегда выиграет снаряд... Был я как-то в Китае, в Женьчжень, блядь, Ганьджоу, не долго был, по делишкам залетал. Когда залетал был на измене: "бля, все заблокировано, как же быть, что делать...". Я Тоr'ом пользовался как проксей и был доволен. Тоr не работал, факт, но и испуг был напрасен. Я заяндексил простое "бесплатный ВПН" и настроил первый же, какой попался и установился. Все полетело. Уверен, что все эти Щиты не для таких как ты, ты рано или поздно сам допетришь как преодолеть защиту, спутник на худой конец поставишь. Это все сделано для простого обывателя, которому банально впадлу обходить запреты, т.к. "мне нечего скрывать".
Хотя, надо думать, конечно, надо разбираться... )

Erturr, обойти блокировку никогда проблемой не было. Но я слышал, что в гэбэшных кругах кто-то предлагал заблокировать весь шифрованный трафик на канальном уровне, как в Казахстане.

Ну, что только не предлагают в гэбэшных кругах...попилы - золотое дно...  Я не сильно подкован во всей этой IT тематике, но если предположить, что весь шифрованный трафик нагнут, то что делать банкам, что делать айтишникам, что делать сайтам, кто как-то доступ к себе шифрует?  Я не знаню, прокунсультируйся с кем-то, кто посмышленее меня, но что-то мне подсказывает, что на данный момент это сделать на столько тяжело, что граничит с анриалом. Китай, который далеко не пальцем деланный, до сих пор пока в непонятках прибывает, если это сделает РФ, со своими на сегодняшний момент доступными технологиями, то я первый, кто будет аплодировать стоя.

Согласен с корыто, думать нужно заранее уже. Никто бы не открыл эту тему, елси бы ничто не стимулировало это делать. А в силу недавних событий, стимуляция есть.

Думаю стоит учитывать законы. Не знаю точно, возможно в Китае просто запретили Тор, но не запретили обход блокировок. У нас же может быть такое, что любое шифрование траффика запретят. Другой момент, стоит учитывать что китайцев полтора миллиарда, если много кто юзает обходы, всех просто физически нельзя переловить, не то что в РФ, где 150 лямов и 100к юзеров Тор. Учитывать нужно разные факторы, например я также могу считать, что у нас могут сделать строже чем в Китае и все и никакие прокси не спасут, но это маловероятно. Вы слышали что SSL сертификаты от Комодо запретили? Наши власти хотят свои SSL cертификаты выпустить, чтобы благополучно расшифровывать все что нужно.

Так же возможен и такой вариант. Возможен вариант что просто запретят, а кто нарушает - под статью.

Как бы вы не смеялись над ними, факт ест факт, все идет к вышеописанному.
Вот сомтрите, давайте вспомним как было 2-3 года назад. Когда всееееее смеялись над антипиратским законом. Блокировали гитхаб, реддит, википедию и так далее. У нас в стране все всегда смеялись.  Но они нестоят на месте. Пошли РЕАЛЬНЫЕ блокировки сайтов, теперь заблокировать могут без решения суда. Все всегда смеялись. Потом реально заблокировали рутрекер, все говорили хаха нихуя я могу обойти блокировку. Потом пакет яровой, который ваше пиздец просто.... Все все равно смеются, типа нихуя не будет кококо ебать, то что там написано это не возможно, однако сами видите. Все до сих пор смеются над этой хуйней, как и три года назад, кто все только началось. И неизвестно, что будет дальше. Один из самых крупных поставщиков SSL был заблокирован, о чем речь. Скоро все остальные серты заблокируют и останутся чисто ГОС серты.

А что делать банкам, я тебе скажу. Им будут выдавать сертификаты, ФСБшные. Вот и все в принципе. Тяжело - не тяжело. Будут делать потихонечку.

Когда заблокируют, тогда и будем думать как обходить, ибо это зависит от технической реализации, принятых к тому времени законов и правоприменительной практики. Для тех кому надо, решение найдется даже если интернет в России полностью отключат.

Не буду цитировать все тезисы, прозвучавшие в первых сообщениях, просто приведу общие мысли. Недавно провалилась попытка моделирования отключения РФ от глобального интернета, не думаю что эта попытка была последней. Недавно защел на порнхаб 2ip, раздел анонимайзер. Что теперь там висит? Правильно, запрет Роскомназдора. И так потихоньку закрывают все разделы, позволяющие выходить в сеть через прокси, ВПН и пр. Меры идут по нарастающей.
Для тех, кто не понимает механизма, поясню идеями Макиавелли (несколько веков уже творения его сочетают в себе лучшие практики государственного управления).

Прошу не вдаваться сейчас в политические дискуссии и сосредоточить внимание именно на технической составляющей.

Приведенный пример с вводом мостов - крайняя ситуация на случай совсем серьезных ограничений, но это крайне неудобно: нужен второй компьютер (с теилз без соединения с Тор никуда не выйдешь - даже на почту для получения этих самых мостов), нужно руками вводить (или переносить на флешке) эти три моста и делать это каждый раз.
Да, если придется, я буду делать именно так, но хотелось бы обойтись без этого или возложить это на машину.

Поэтому прежний интерес составляет: возможен ли тор внутри соединения тор? Возможно ли создание устройства, которое я описал выше из общедоступных материалов?

Редактировался Корыто (2016-10-14 05 ч.)

Корыто, технический момент - я арендую дедик в еуропах/сша хожу в тор с него и не имею ничего палевного, до него ssh/openvpn которые всегда обьяснимы защитой от хаккеров и прочих. Это 1 из примеров, можно настроить гейт в тор для себя(вход по паролю) с ssl, и блекджек и все остальное, лля самых черных дел всегда одноразовое оборудование, аккаунты, чужие интернеты.

Редактировался sektor (2016-10-14 06 ч.)

.

Редактировался spurdo (2018-05-26 11 ч.)

В Китае был этим летом. I2P и TOR там работали, поскольку база нодов/бриджей была загружен заблаговременно. Не такой уж и всесильный этот золотой шыт. Но мы не знаем, какой будет реализация шыта в РФ. Учитывая склонность к радикальным решениям, он, вероятно, будет тупо блокировать любой неидентифицируемый трафик. К тому же, это самое простое решение: в конце цепочки подрядчиков обычно находится студент, работающий за пиво и доширак, и разработку системы глубокого анализа пакетов ему не потянуть.

Ребята, вы совсем уже? Какой "Золотой щит", у нас не Китай, уровень коррупции максимально возможный. Вместо камер слежения ставят макеты, наклейки. SSL сертификаты РУ производства, никогда не будут введены, сервисы не дадут согласия на подмену своих сертификатов. Все блокировки сайтов от Роскомнадзора, смех да и только, пакет Яровой - распил денег, фильтрация трафика в онлайн режиме всех пользователей Тора ЦРУ даже не снилось, пока наши технологии дойдут до западных, пройдет минимум лет 20 в лучшем случае, с уровнем коррупции, все фичи, нововведения- пиздаболия

sektor, понимаю, что дедик и прочее наше все, но нужен вариант именно с Теилз работающей локально т.к. это связано с несколькими особенностями деятельности (например, с удобством "вытащил-сжег" и пр.)

Есть ли материалы по этому вопросу где-либо?

А практические попытки работы были уже предприняты?

Еще возник вопрос: можно ли организовать ВПН из роутера (платы) с целью потом через него уже выйти в тор при попытке блокировки? Насколько это удобнее предложенного варианта с тором из роутера (платы)?

Вот, к примеру, пару статей: geektimes.ru/post/278804/ rublacklist.net/19308/
Роскомнадзор пару раз блокировал крупные ресурсы, типа википедии и гитхаба.
Сейчас удалили комодо из реестра,но это не надолго. Я так понимаю, они "тестируют" пока.

Корыто, а что работу Хвостов через секурные прокси уже отменили? И мостов не надо.  Если так готовитесь, то прямо сейчас проксями и озаботьтесь своими или купленными.

Любое аппаратное устройство с ВПН труднее  "вытащил-сжег", чем флешка. Оно же вещдок, для тех, кого не надо.

Торовские мосты не отдаются по запросам ботов и(или) в большом количестве сразу, и несложно понять, почему. Если открыть такую возможность, то "златощитникам" будет легко поблокрировать все эти мосты по IP:port и немного сложнее - обнаруживать работу пользователей в Торе через мосты, отличать их трафик от другого шифрованного трафика (HTTPS/TLS сайты, обновления проприетарных программ, некоторые месседжеры, игры и пр.).

Поэтому - либо на bridges.torproject.org капчу вводить и 1-3 моста зараз получать (и то даже человеку в один и тот же день другую тройку мостов обычно не дают, а боту - вообще не дают), либо писать человеческое письмо по e-mail  и опять получить тройку мостов за раз. Иначе мосты быстро окажутся в том же положении, что и обычные публичные ноды Тора.

Я так периодически захожу в Тор с прежних мостов - и с  bridges.torproject.org получаю новые, проверяю их по Whois (об этом была моя первая статья на этом форуме), сохраняю в текстовом файле, использую то одни мосты, то другие. Файл с коллекцией мостов можно на Persistent флешки с Tails хранить, можно много куда ещё запрятать.

Поясните пожалуйста для слабо понимающего в теме.

Тут Вы правы, просто порой его присутствие - неизбежность. Например, было бы очень удобно работать без компа, тогда вообще бы не было улик компьютерных преступлений. Но без компа совершить их невозможно.
А тут - если есть способ без новых свистоперделок железа сделать - было бы отлично!

То есть набрать мостов "впрок" для этого случая и какие-то из них могут сохранить валидность к моменту Икс? Я идею верно понял?

Есть.
Хвосты вещь самодостаточная. Флешку выкинул, разжевав   и пред ясны очи остаётся только девственно чистый комп, возможно даже без своей Оси, сломаный ,мол он.

Lapa, прошу дать название секурных прокси полное, т.к. я даже что гуглить не могу пока понять 
Был бы рад найти варианты все это обойти при необходимости без новых вещественных устройств.