T-Mobile UK: osobní údaje nebo cenzuru

Zaplatíte si připojení k Internetu (dokonce předem, takže ISP nemusí mít strach, že mu utečete bez placení), ale pak zjistíte, že máte přístup jen k podmnožině Internetu, protože poskytovatel blokuje vaši komunikaci s některými servery, které se mu nelíbí (včetně např. administračního rozhraní nějaké služby, které potřebujete pro svoji práci). A když si stěžujete, poskytovatel podmiňuje zrušení cenzury tím, že mu poskytnete svoje osobní údaje (pravděpodobně proto, aby vás mohl lépe spamovat a vnucovat vám dražší služby). Absurdní? Ne, zkušenost jednoho zákazníka britského T-Mobilu.

Podobnou špatnou zkušenost s operátorem má Mike Cardwell. Zjistil, že T-Mobile se snaží donutit své zákazníky, aby pro odesílání pošty používali pouze jeho SMTP server (což znamená, že si bude moci číst obsah odeslaných zpráv) a to tak, že při pokusu o spojení s jiným SMTP serverem (kde může uživatel použít šifrování a zajistit si tak důvěrnost přenášených zpráv) poskytovatel pošle oběma stranám spojení TCP RST paket – klient i server si pak myslí, že druhá strana ukončila spojení a přestanou komunikovat. Tomuto útoku se říká TCP reset attack. Stejným způsobem poskytovatel blokuje OpenVPN komunikaci (ale např. SSH funguje). Mike v článku popisuje, jak se dá před tímto útokem bránit – pokud máte na klientovi i serveru GNU/Linux, stačí vám přidat jednoduchá pravidla do iptables firewallu – zahazovat RST pakety na daném portu. Po tomto ignorování podvodného (zaslaného poskytovatelem, ne druhou stranou TCP spojení) RST už komunikace nerušeně probíhá. Je ale otázkou, jak dlouho tento postup bude fungovat.

Cenzuře u mobilních operátorů se věnují i v blogu projektu Tor: A tale of new censors - Vodafone UK, T-Mobile UK, O2 UK, and T-Mobile USA.

Komentáře

OpenVPN

Stejným způsobem poskytovatel blokuje OpenVPN komunikaci
Sakra proč OpenVPN? SMTP "chápu" - spam. Content filter "taky" - nakonec, něco o tom, že u předplacenek mají být content filtry jsem kdysi něco četl - "kvůli dětem". Ale proč sakra blokují OpenVPN? To mi fakt hlava nebere.

Re: OpenVPN

Protože přes ní můžeš posílat spam, stahovat kinderporno a organizovat teroristické útoky. VPN si navíc může nastavit i nějaké dítě a pak se přes ni dívat na nějaké závadné weby. Nebo taky přes VPN můžeš používat SIP a Jabber a utrácet pak méně za hovory a smsky.

DPI vs obfuskace

Predpokladam, ze by taky slo upravit kod OpenVPN (a tedy mimo operacni system) na obou stranach tunelu, a jemne obfuskovat pakety. I mala bezvyznamna zmena, treba xor pres konstantu, by mohla stacit na to, aby se deep-packet inspection rozhodilo a nevidelo signatury.

Nebo jednoducha aplikace na port proxying, ktera provede takovou operaci na strane odesilatele a korespondujici na strane prijemce. Nemusi to byt nic sloziteho a neni na to potreba ani zasah do kernelu, staci userspace proces.

Mozna by se to pro mensi rychlosti a TCP dalo zvladat i v javascriptu pres HTML5...

Samozřejmě, možností obejití

Samozřejmě, možností obejití je spousta. Ono stačí, že povolují SSH a HTTPS - "ssh -D" a máš přístup zase všude. A když všechno selže, je tu HTTP tunel (posílá data v BASE64 v HTTP POST požadavku) a DNS tunel (posílá data v TXT DNS záznamech). Cestička se vždycky najde a je jasné, že dokud nebude na všech počítačích státní backdoor, který povolí spouštění pouze podepsaného kódu, vždycky to půjde nějak obejít.

A ICMP tunel... :)

A ICMP tunel... :)

Re: A ICMP tunel... :)

BTW: mluvil jsem s jedním člověkem z českého T-Mobilu a říkal mu o tom článku, co byl nedávno na Ábíčku – nevěděl o tom, ale říkal, že jim to asi nevadí, že těch dat nebude moc a málokdo to bude používat.

Nadeje je vzdy

A i kdyz bude na vsech pocitacich policajt, porad muzeme sestavit nebo z neceho vytahnou pocitac na kterem statni hajzlik nebude, a pouzit statem povolenou podepsanou VoIP aplikaci pro komunikaci pomoci akusticky vazaneho modemu. Jako za starych casu.

Nebo komunikovat pomoci QRPp, bezdratove a malym vykonem. Signal by mohl jit zamaskovat i treba jako konvencni elektromagneticke ruseni, treba od blbe odruseneho motoru. Na kratsi vzdalenost by to mohlo slusne fungovat. Na delsi by pak byla potreba hodne masivni prijimaci antena, a spooooousta matematiky pro vyloveni signalu ze sumu (predpokladam sdilenou presnou casovou zakladnu mezi prijimacem a vysilacem, treba pomoci GPS-synchronizovanych hodin, a znamy kod - predem zname kdy budou v signalu data-nesouci impulzy, neboli sekvence generovana pseudonahodnym generatorem z nejakeho klice sdileneho obema stranami.

Protivnik prohral a to prosim ta prava bitva jeste nezacala.

Jinak, dost by mě zajímalo

Jinak, dost by mě zajímalo kdy tohle dojde k nám...

A podvrhávání DNS u outů a

A podvrhávání DNS u outů a transparentní proxování u TMO je jako co?

úpadek Velké Británie

Začalo to, ale stále na tom nejsme tak zle, jako ve Velké Británii (kdysi vzorová demokracie, dnes jen ironie). Dovolím si ocitovat komentář pod tím odkazovaným článkem:

Rozumim tomu takto: po pravni strance je T-Mobile OK, predevsim musi vyhovet mistnim (UK) zakonum. A ty narizuji ukladat nesifrovanou komunikaci, logovat veskery provoz a zabranit nezletilym v pristupu k nezadoucim informacim plus splnit neverejna narizeni vykonne slozky statni moci (napriklad na verejnych pocitacich statni spravy, jako knihovny apod., neotevres archivy wikileaks, jen ty obecne stranky, filtruji to jako "malicious website").

Content Lock: blokuje ti ruzne stranky, lze odemknout vymenou za tve osobni/bankovni udaje. Pokud jim je das, pouziji je pro svuj prospech, ne tvuj. Alternativni reseni: pouzivat verejne proxy.

Vkladani sveho javascriptu do prenasenych stranek: vklada hromadne vsem uzivatelum, bude delat tak dlouho dokud to bude prochazet. Reseni neznam.

Blokovani portu a vkladani RST paketu: vyzkousel jsem ShieldsUp! a skutecne je vse zavrene krome asi 4-5 portu pro brouzdani, mail a (nastesti) aspon ssh. Reseni: lepe popsano v clanku nahore, uz shanim nejaky VPS...