Názory k článku
Jak odhalit podvádění o své poloze pomocí VPN
-
FíkZlatý podporovateltak přičte se tam ta doba, kdy to teče po vpn
v tomto případě ukáží všechny tři servery v usa dlouhou prodlevu k vám (klidně stejnou, to je jedno) a krátkou mezi sebou, závěr je, že nejste v usa
-
Tron (neregistrovaný)
Pochybuji, ze by to co do presnosti prekonalo https://www.egothor.org/project/galeo/
-
Palo M. (neregistrovaný)
Z kratkej sietovej odozvy medzi kontrolnymi bodmi a dlhej sietovej odozvy od kontrolnych bodov ku mne predsa nevyplyva jednoznacne, ze sa geograficky nachadzam na inom mieste. Existuju aj ine dovody ktore mozu viest k takejto situacii (pomale pripojenie, niekolko NATov na ceste, pomale transparentne proxy na ceste, shitovy domaci router, ...).
Fakt som nepochopil, ako sa touto metodou da odhalit ina geograficka poloha. Podla vsetkeho sa da "odhalit" len pomale pripojenie (na take bombasticke odhalenie ale vacsinou netreba tri meracie body, ze). Aj ked cely ten paper som nestudoval do detailov, na konci v Conclusion je: "This paper leverages the strong delay-distance correlation established in the literature [27], [12], [17], [19]..." z coho som pochopil, ze sa to skratka spolieha na fakt, ze dlha sietova odozva znamena dlhu fyzicku vzdialenost. Hm...
-
anon (neregistrovaný)
Jn, je to jen nesmyslný hype. Na studenta PhD dost chabé, disertační práce má přinést nové poznatky, tohle je na úrovni bakalářky. Pořád jsem se snažil pochopil, co mi uchází, než jsem konečně pochopil, že mi neuchází vůbec nic. Příště si přečteme, co 'nového' vymysleli na VŠE ...
-
Palo M. (neregistrovaný)
No, tak nejaku robotu si s tym chlapik dal. Podla vsetkeho je tam popisany sposob, ako spolahlivo zistit cas odozvy aj vtedy, ked tej vzdialenej strane neverime, pretoze sa napriklad snazi podvadzat. Do detailov som to ale fakt nestudoval, tak neviem nakolko je to funkcne. A tiez neviem, ci je to naozaj inovativna metoda, alebo len nieco funkcne okopcil a prispevok jeho prace je prave v tom, ze sa to pouzije na overenie geografickej polohy.
Tak mozno to aj je na nieco vyuzitelne (ale podla mna na urcenie geografickej polohy nie).
-
FíkZlatý podporovatel
Tak oni to zkoušeli jen v severní Americe, ve skutečnosti by se používali servery všude
A ze stejné odezvy z US a EU jde vyvodit, že podvádíš a nejseš tam, kde se zdá (uprostřed USA), ale na tom druhým konci
-
Palo M. (neregistrovaný)
Ja som ten paper cital len velmi zbezne, co ale neznamena ze som ho necital vobec.
Kapitola 4.1 Operational requirements:
CPV requires geographically-distributed verifiers whose locations are consistent with the LSP’s
Permitted Geographic Regions (PGRs). PGRs are the regions in which clients are permitted
to receive services/content or carry out location-specific operation (e.g., login or vote).
... (bla-bla-bla)...
3. the convex hull of the verifiers must encapsulate the LSP’s PGR.V kapitole 7 su tam potom tie trojuholniky zakreslene v roznych situaciach.
Z toho mi vyplyva, ze tie kontrolne body suvisia s tou oblastou, ktora sa overuje (a nie s inou oblastou, kde je podozrenie ze by dany stroj mohol byt). Inymi slovami, ak chcu overit, ci je moj stroj v USA, tak kontrolne body pouzivane pre tuto metodu musia mat v USA, ale NEBUDU ich mat v EU, Cine, Australii, JAR, atd (to by bola situacia z obrazku 12b, kde je to oznacene ako nespravne).
-
Ačkoliv jsem práci jenom proletěl a nehodlám ji studovat, je celkem na první pohled zřejmé, že porovnáním časů dopředné (ping, traceroute, ...) a zpětné (aplikace běžící v browseru) latence lze poměrně jednoduše určit významný rozdíl, ke kterému v případě VPN dojde.
A protože v browseru vám běží netflix klient, lze měřit poměrně jednoduše. Výsledky pak můžete prohnat nějakou neuronovou sítí (netflix má dost uživatelů) a významné odchylky začnete sledovat. Pokud se neobjeví nějaká fatální chyba návrhu, po odladění dosáhnete přesnosti přes 99.9%. Po zbylé desetině procenta budete chtít ověření země původu (třeba přihlášením se přes mobilní telefon).
V článku jsem zahlédl zmínku o možnostech mid boxů, které by mohly falšovat časové značky, umím si představit nástroje, které tomu zabrání (šifrovaný zpětný kanál).
-
a1 (neregistrovaný)
..ano chytraku tu je vazne dost, hlavne tech co jen "letaji"..
u vpn zadny rozdil latence mezi pingem a aplikaci nebude (vse bezi pres vpn) ;) rozdil bude u asynchronnich linek protoze ping nezjisti rozdil mezi cestou tam a zpatky kdezto ten jejich protokol ano
takze jestli jsem pripojenej k nejakemu johnovi novakovi z texasu vpnkou z evropy nebo nejakou pomalou potrubni postou lokalne, to nezjisti, ale u nekoho kdo je pripojenej pres saturovane xDSL, to oproti pingu vrati rychlejsi odezvu a tim ho spolehliveji lokalizuje bliz arbitrum nez ping (kde se RTT pocita jako pulka casu odezvy)
-
Jenda (neregistrovaný)
> u vpn zadny rozdil latence mezi pingem a aplikaci nebude (vse bezi pres vpn)
Bude.
VPN: Když server pingne uživatele, odpoví mu u VPN endpoint, který u Netflixu je nejspíš v USA. Když uživatel pingne server, počítá se cesta i od uživatele k endpointu. Tj. USA-USA, vs. USA-Evropa.
NeVPN: Když server pingne uživatele, odpoví mu uživatelův NAT nebo v nejhorším CG NAT. Pokud mezi CG NATem a uživatelem není zalagovaná mikrovlnka, bude tato latence skoro stejná, jako při měření celé cesty.
-
Sten (neregistrovaný)
Hmm, měří to rozdíly od uživatele ven, kdy některý traffic jde přes VPN a jiný ne. Nj, takže až Netflix nasadí tohle pěkně výkonnostně náročné řešení na zjišťování VPN, FoxyProxy (či podobné) se prostě naučí přesměrovat veškerý traffic té Netflixové aplikace do VPN a celou detekci obejdou :-)
-
Jenda (neregistrovaný)
Není mi jasné, jak to tím obejdeš. Útočník (NetFlix) má nody v Dallasu a VPN endpoint je taky v Dallasu. Útočník ví, že na všechny počítače v rámci Dallasu má RTT pod 40 ms. Evropský uživatel ale nikdy do 40 ms odpovědět nemůže, protože je rychlost světla prostě příliš pomalá.
Jediné, jak by to šlo obejít, by bylo nainstalovat odpovídač přímo na VPN endpoint.
-
Palo M. (neregistrovaný)
1. Super, necital si to, ale o tom brutalne diskutujes. Teda... v skutocnosti diskutujes o uplne niecom inom. Ale zjavne nie si sam, co si si len precital nazov a na jeho zaklade tu zapalisto diskutuje.
2. Predpoklad, na ktorom to cele vystavali, je podla mna uplne chybny. A teoria vystavana na chybnom predpoklade (nech je vnutorne akokolvek spravna), je v praxi na 2 veci. -
Sten (neregistrovaný)
Pokud pingáte zvenku, tak se dopingnete akorát na VPN server už teď. Ten samozřejmě odpoví úplně stejně rychle jako všechny servery okolo něj a nic nepoznáte. Tohle řešení zkouší ping od uživatele na Netflix, přičemž se zkouší několik serverů v různých lokacích a porovnává se latence.
-
. . (neregistrovaný)
boj s větrnými mlýny. Tohle zase zabírá jen na sdílené VPN služby, nápad je ale hezky popsané, sicej sem už podobné myšlenky četl i před deseti lety, kdy rozdíl latencí byl daleko výraznější.
Spustím si v USA X server s jejich klientem a samotné video budu routovat po vpn rovnou k sobě, nepoznají ani bramboru.
Všechny volně dostupné VPN sítě zanechávají podstatné stopy přímo v IP komunikaci a je možné je odhalit. Pokud má netflix klienta na pc, není nic jednoduššího než se podívat na interface a routovací tabulku.
