V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Luzifer
V2EX  ›  分享发现

NSA Documents: Attacks on VPN, SSL, TLS, SSH, Tor 来源:《明镜》

  •  
  •   Luzifer · 2015-01-02 19:22:36 +08:00 · 3300 次点击
    这是一个创建于 3617 天前的主题,其中的信息可能已经有所发展或是发生改变。

    《明镜》 NSA Spying Scandal 公布了一些 TOP SECRET 的PDF
    http://www.spiegel.de/international/world/nsa-documents-attacks-on-vpn-ssl-tls-ssh-tor-a-1010525.html

    看完得压压惊, 管你什么 OpenVPN, PPTP, L2TP/IPSec, SSTP, SSL, TLS, SSH, 还是戴套啊. 各种技术在GFW面前不就成渣渣了么! 我根本就看不懂, 没看完...扯淡ing

    question

    我见识少, 德国人是不是对网络匿名有着超乎寻常地倔强和偏执(I2P,Whonix,JonDonym,n2n,... )?
    为什么?

    第 1 条附言  ·  2015-01-02 21:49:32 +08:00
    如果你是匿名性需求大于翻墙需求, 就最好不要用自己在VPS上搭建的VPN了.
    除了各种协议的破解风险, 你还多了 `VPS服务商的日志记录` 以及 `特定IP` 这些高风险环节。

    下面是最近寻找VPN得到的优惠信息, 有用就自取, 没用就无视好了, 反正有效期短:

    astrill免费半年今天到期2015/1/2, 到期前感觉是半残废了.
    它的VIP也就半年前水平, 还不足. 一天得换几次服务器, 受不了.
    用了半年没续费, 对不住了.
    记录日志, 并有提交用户信息给新加坡政府的前例
    优点是路由器翻墙applet很强大很方便.

    我是基于
    https://torrentfreak.com/which-vpn-services-take-your-anonymity-seriously-2014-edition-140315/
    选择VPN

    #####pia pia pia
    主页购买页就可, 没看见优惠就下面的链接
    https://www.privateinternetaccess.com/holidays/affiliate/FRDMHCKR001
    $31.95 USD/ year 优惠了5刀, 常年36.95的主
    PPTP, OpenVPN and L2TP/IPSec
    TorrentFreak 推荐, `EFF 认可`, 各种 VPN Reviews, Top10, 论坛, 出现频率最高, 评价非常高.
    我用黑莓, IKEv2没有, 纠结在这里

    #####torguard
    http://torguard.net/blog/torguard-2014-holiday-discounts/
    code “TorGuard2014” 5折优惠
    this limited discount code will only be active from December 24th – January 2nd.
    OpenVPN,PPTP, L2TP, IPSec, SSTP, ikev2
    TorrentFreak 推荐

    #####nordvpn
    https://nordvpn.com/
    PPTP, OpenVPN and L2TP
    3折优惠, 去主页就能看到$36 / year
    有为tor准备的服务器, 看了下, 服务器不够多
    TorrentFreak 推荐

    #####purevpn
    http://www.purevpn.com/
    主页就可以看到优惠
    Save upto 67% on Dedicated IP and 100% on SmartDNS with all PureVPN Plans
    $47.95, 但是页面会弹一个10分钟限时附加优惠, 最后 $44.95 / year 应该是3折.
    5设备
    OpenVPN,PPTP, L2TP/IPSec, SSTP, ikev2
    SmartDNS免费, 看Netflix, Hulu可以不用VPN, 比VPN快速(它的介绍).

    ```
    注意这个purevpn会记录日志, 不在 TorrentFreak 推荐之列
    虽然TOS写
    We do not log any user activity (sites visited, DNS lookups, emails etc.)
    We only log access attempts to our servers (for security and troubleshooting).
    We do not get involved in any form of censorship.
    We do not give your personal info to any third parties.


    http://www.purevpn.com/privacy-policy.php
    有详细说明, 嗯,不排除提供给执法人员.
    ```

    我最后还是买了purevpn,囧!! 看中 IKEv2 和 SmartDNS, 5设备了, 比重超过了匿名性.
    支持paypal , 支付宝, 还有专门为中国客户提供的客户端(离线安装版本), 起码说明了他们很重视中国客户嘛

    + 信息来源: twitter "VPN Black Friday" "VPN Christmas/Xmas/Festive" "VPN New Year"
    第 2 条附言  ·  2015-01-05 19:57:12 +08:00
    退了PureVPN, openvpn TCP/UDP 根本就连不上服务器,
    TLS handshake failed.
    第 3 条附言  ·  2015-03-01 19:28:46 +08:00
    41 条回复    2015-01-20 16:25:18 +08:00
    kiritoalex
        1
    kiritoalex  
       2015-01-02 19:30:34 +08:00 via Android   ❤️ 1
    因为德国人非常注重隐私,不过NSA不是说了吗?仍然有一些混合匿名技术他们无法攻破
    Luzifer
        2
    Luzifer  
    OP
       2015-01-02 19:36:55 +08:00
    @kiritoalex 嗯, 这些文件也没有提到 OpenVPN 。
    Heracles
        3
    Heracles  
       2015-01-02 20:06:46 +08:00   ❤️ 4
    我不怕nsa有什么突破,我怕gfw有了突破
    rainy3636
        4
    rainy3636  
       2015-01-02 20:07:36 +08:00
    zts1993
        5
    zts1993  
       2015-01-02 20:10:22 +08:00
    @Heracles +10086
    a2z
        6
    a2z  
       2015-01-02 20:20:41 +08:00   ❤️ 1
    别怕。
    PPTP=100%搞定,NSA应该可以近实时解密。
    IPSec VPN,NSA一般通过各种方法拿到路由器的配置文件里面的PSK或者爆破PSK,然后利用PSK破解事先抓包的链接。所以如果用证书的话还是NSA proof的。

    TLS我怀疑也是通过各种方法窃取证书私钥(heartbleed之类的),然后用私钥破解已经抓包TLS/SSL的连接。snowden没出来前大家都没怎么要求有forward secrecy,所以通过私钥可以破解之前记录的连接。

    SSH就真心不知道了,估计是硬件里的弱随机数后门?可能也不是很弱,比如64bit左右,但是可以被超级计算机穷举。

    TOR,PGP,OTR,Openvpn还是安全的。
    hljjhb
        7
    hljjhb  
       2015-01-02 20:31:28 +08:00   ❤️ 1
    NSA引领GFW前进?

    你们不觉得很讽刺吗 对双方而言
    Luzifer
        8
    Luzifer  
    OP
       2015-01-02 20:58:34 +08:00
    @a2z
    NSA没攻破OpenVPN的AES,攻TLS 1.0 - 1.2(OpenSSL的), 成效显著。原文关了, 这些文件没提 OpenVPN 不代表 OpenVPN 就安全了, 文件都是很早的文件了, 我看的一部分都是2010-2012年.

    TOR是早就不安全了吧。都 VPN+TOR了(不是为连上TOR), 蜜罐问题?
    Luzifer
        9
    Luzifer  
    OP
       2015-01-02 21:04:25 +08:00
    @hljjhb
    @Heracles

    NSA 针对匿名, GFW 侧重封锁。
    我个人是觉得, 不管是审查监控面, 还是网络封锁面, 党国都走在前面

    所以说看完得压压惊, 因为我觉得NSA能搞定的, 党国难道还搞不定。
    Draplater
        10
    Draplater  
       2015-01-02 21:09:22 +08:00 via Android   ❤️ 1
    @Luzifer 党国发展中国家,估计比不过NSA
    Luzifer
        11
    Luzifer  
    OP
       2015-01-02 21:20:54 +08:00
    @Draplater 不能这么算哦, 得看他们在这方面放了多少资源。我也没数据
    kiritoalex
        12
    kiritoalex  
       2015-01-02 21:34:54 +08:00 via Android   ❤️ 1
    @Luzifer 一部分是,还有一部分可能女巫攻击或者物理渗透,不过出口节点一直争议很大,知道这一点就行了,谁知道出口节点是谁开的(大ISP.树大招风,扛不住,你懂的)
    miyuki
        13
    miyuki  
       2015-01-02 21:56:17 +08:00 via Android   ❤️ 1
    别怕。

    现在还不是有一些没被攻破
    zent00
        14
    zent00  
       2015-01-02 21:58:15 +08:00   ❤️ 1
    首先,这里大多数人的网络活动不足以让 NSA 来抓捕我们,所以你说 NSA 云云跟我们没什么关系,只要 GFW 不能解密我们的数据就行了。
    Luzifer
        15
    Luzifer  
    OP
       2015-01-02 22:00:17 +08:00
    @zent00 嗯嗯
    Heracles
        16
    Heracles  
       2015-01-02 22:27:11 +08:00   ❤️ 1
    @zent00 其实可以解密的。只要它想,你怎么折腾都翻不出去
    9999999999999999
        17
    9999999999999999  
       2015-01-02 22:32:29 +08:00
    这种广告让人想吐
    Luzifer
        18
    Luzifer  
    OP
       2015-01-02 22:40:10 +08:00
    @9999999999999999 我的错, 让您恶心吐了。

    purevpn 是有 Affiliates 的 , 我没放尾巴, 我也没推荐, "有用就自取, 没用就无视"

    对不起啊
    rainy3636
        19
    rainy3636  
       2015-01-02 22:41:27 +08:00 via iPhone   ❤️ 1
    purevpn 速度怎么样?你是哪个运营商?

    astrill不仅客服是屎,现在的速度也屎,过几天把邮箱改了,把号卖了
    Luzifer
        20
    Luzifer  
    OP
       2015-01-02 22:44:14 +08:00
    @rainy3636 真心不是广告贴
    mewking
        21
    mewking  
       2015-01-02 22:52:37 +08:00
    TorrentFreak 是个啥网站,那篇推荐涉及的 VPN 服务商好多啊,你是全筛选完了挑出这几个?
    Luzifer
        22
    Luzifer  
    OP
       2015-01-02 23:10:06 +08:00
    @mewking http://en.wikipedia.org/wiki/TorrentFreak 我也不知道怎么解释它. 反正很多数据, 什么盗版下载最多的电影, 也不知道它数据怎么来的. 各种排名. 大数据分析? 哈. 反正挺有名, 挺有公信力的
    kmcool
        23
    kmcool  
       2015-01-02 23:21:59 +08:00   ❤️ 1
    纠结这个匿名性根本就是浪费自己生命。。。
    能翻个山,密码不被一般的代码小子搞到就行了,防政府机构的监控没必要也没可能性
    rainy3636
        24
    rainy3636  
       2015-01-02 23:24:35 +08:00 via iPhone
    @Luzifer 我在问你速度怎么样,噗
    Luzifer
        25
    Luzifer  
    OP
       2015-01-02 23:38:12 +08:00
    @mewking 我只挑了 anonymity 这一点, 没有去筛选.

    但PIA是各种 VPN Reviews, Top10, 论坛, 出现频率最高, 评价非常高. 只有它是综合的结果. 但是没看到国人的反馈. 也说不准速度会咋样.

    @rainy3636 purevpn跑了一下, 20M电信光纤

    Luzifer
        26
    Luzifer  
    OP
       2015-01-03 00:48:56 +08:00
    @rainy3636 重新测了几个点
    洛杉矶

    纽约

    柏林

    伦敦


    睡觉去了
    sinxccc
        27
    sinxccc  
       2015-01-03 01:51:46 +08:00   ❤️ 1
    @Luzifer NSA 在密码和数学上的积累甩党国几条街…嗯,也甩其他国家几条街,这么没办法,现状如此。

    不过最近因为意识形态的原因,NSA 之类的国家部门招中国人越来越难,不知道后面差距会不会有什么明显的变化。
    mewking
        28
    mewking  
       2015-01-03 11:46:57 +08:00   ❤️ 1
    @Luzifer purevpn 从你的图看还不错了,但也有人说慢的要死;我最近在用 12VPN,慢的要死,也有人说速度还不错。贵国上网真不容易啊……这个 PIA,我在哪里看到过也是 TOP 10,他家这个域名可够长的
    Luzifer
        29
    Luzifer  
    OP
       2015-01-03 12:03:54 +08:00
    @mewking 感觉还过得去, 晚上能测那样, 平时也不太注重测速, 只要youtube能上1440就差不多了。

    延迟我已经习惯很久了。 我也考虑过12VPN,

    12VPN 的 IKEv2 (你可以看它的黑莓设置) 要导入它的证书, 绝对不能忍, 给我感觉很不好。
    这一点就排除了。
    Luzifer
        30
    Luzifer  
    OP
       2015-01-03 12:09:04 +08:00
    @mewking 才用两个晚上purevpn, 还没整明白怎么挑速度快的服务器, 客户端都没完整点一遍

    贵国上网真不容易啊…
    mewking
        31
    mewking  
       2015-01-03 12:24:47 +08:00
    @Luzifer 我不是技术人员,不懂,导入证书增加风险是吗?他家 iOS 上 IPSEC 也是导入证书的。你是用黑莓 Q10 吗?黑莓还堪用?最近又发布一个带四大天王按键的 Q10,耗时一年多就搞出这么个东西,应该要倒闭了吧
    Luzifer
        32
    Luzifer  
    OP
       2015-01-03 13:39:39 +08:00
    @mewking IKEv2是可以不使用自签证书的,( Astrill 和 PureVpn 的IKEv2都是证书认证,都不需要导入证书 )
    那为什么 12VPN 需要导入它自己的证书呢, 互联网这么凶险 , 平白无故多一份风险。 (可能会有中间人攻击)
    虽然安全做不到绝对, 但可以预见的地方能规避还是规避掉。

    四大天王按键的是 Q20 / Classic。 和Q10同配置,造的一款情怀机型。 (胡乱猜测是Q10的物料没用完, 消化呢,0.O)
    黑莓 新机Passport 还是很高端滴, 按键带触控功能。
    黑莓应用少是事实。

    黑莓不至于倒闭, QNX在汽车上还是使用很多的。还有其他的商业服务嘛, BIS BES, 安全网络业务啥的。 还有一堆专利, 还有个BBM。。。 个人消费用户感觉黑莓不行了而已。

    看你好像在找VPN, 这样, 你留个邮箱, 我把我 PureVpn 账号给你试用下, 看看你上海电信用着咋样, 但说好了, 只四天(20150107), 我就改密码。使用方面问题不用问我, 我也不清楚。
    mewking
        33
    mewking  
       2015-01-03 15:28:40 +08:00
    @Luzifer 那真是太感谢了
    diablo3 at gmail
    Luzifer
        34
    Luzifer  
    OP
       2015-01-05 20:15:05 +08:00
    The Onion Browser provides a “Block All Cookies” setting which gives users a false
    sense of privacy. Particular fictitiousness stems from the fact that standard cookies are
    blocked. This allows visited websites to track Onion Browser users without difficulty via
    Evercookie. Indeed, we witnessed a leaked top secret NSA document citing Evercookie
    as a method for tracking Tor users.

    https://cure53.de/pentest-report_onion-browser.pdf

    @kiritoalex
    @a2z

    补充更新, 以免你们感兴趣
    Luzifer
        35
    Luzifer  
    OP
       2015-01-06 00:10:01 +08:00   ❤️ 1
    @wenbinwu 冒昧at ,

    退了PureVPN, openvpn TCP/UDP 根本就连不上服务器,
    TLS handshake failed.
    PPTP 速度过得去
    L2TP 据 @mewking 上海电信测试, 速度慢
    http://www.purevpn.com/refund-policy.php
    You have not used more than 500MB of bandwidth i.e. data transfer (total upload and download activity using PureVPN) or you have not exceeded 30 sessions i.e. the number of times you connected to PureVPN services. Whichever comes first.

    我用了两个晚上, 基本就是换服务器, 测速.
    sessions:45 bandwidth:1500MB (整数让我感觉不对)
    违反refund-policy扣了一个月,8刀. 当天就给删了账号.

    嗯, 教训是要么买一个月测试, 要么就找提供免费试用的服务商.

    anonymizer.com 就骄傲得提供了14天免费试用.

    它给我感觉非常好, 客户端, 就安装过程就给我很专业的感觉,
    LeakBlocker: VPN掉线就断开网络
    (astrill的路由器翻墙applet也有这功能)
    Openvpn L2TP/IPsec 都可以连上,
    速度不行. 测下来上传是下载的两倍速度
    79.99/y 还是值得的.

    Free OkayFreedom VPN Premium Flat for 1 year.
    嗯, 给个1年序列号, 连不上

    bolehvpn
    能连上, (有些服务器连不上) 速度慢, 价格高


    但是戳墙应该是没任何问题



    FinchVPN
    客户端在windows7会非正常关闭(登录环节就挂了), 但Openvpn_GUI可以连上,
    它家我感觉还是很用心做的, 继续关注.

    hideway.eu没试, 不用想, 速度慢.


    CactusVPN
    hideipvpn
    hide.me
    beevpn.com
    frootVPN
    GoVPN
    ShellfireVPN
    tunnel bear
    连不上(就是管它什么协议就是连不上), 如果你有看上哪个VPN, 就发给链接我, 看网页就知道试用过没.

    今天翻了一遍 twitter "VPN" 用户,

    WiTopia, 自己官网上都说中国客户需要特殊配置, reddit评论也是中国没法用.

    hidemyass.com 这个牛逼多ip和服务器的VPN, 根本就没人提. G+里问了下, 打不过GFW

    没试过AirVPN

    mullvad是瑞典还是哪的, 欧洲, 速度慢, 但挺喜欢这个鼹鼠的, 有个obfsproxy

    www.interlink.or.jp 注册到什么片假名了! 整不下去了。说它飞快, 当然不是大陆的facebook上说的

    http://www.reddit.com/r/China/comments/2rb3i6/recommend_me_a_vpn/
    http://www.reddit.com/r/China/comments/2qm5tx/vpn_trouble_i_cant_find_anything_that_works_for/
    http://www.reddit.com/r/China/comments/2q22nt/what_is_the_fastest_vpn_in_china/
    评论里
    expressvpn 和 PIA 可以穿过GFW
    astrill靠谱的让人认为它和ZF扯不清.

    @rainy3636 哥, 你的 Astrill 账号还是别卖了, 矮子里他还真是将军.

    累死我了. 网络连接适配器都一堆一堆的了.
    还不如 AWS 的东京节点自建的.

    anonymizer Astrill PIA AirVPN Expressvpn FinchVPN bolehvpn
    个人排名, 让我再纠结纠结, 现在有 AWS, 搬瓦工, Do 自建撑着.
    Luzifer
        36
    Luzifer  
    OP
       2015-01-06 00:15:15 +08:00
    漏了一个 mullvad , 排最后
    rainy3636
        37
    rainy3636  
       2015-01-06 00:47:58 +08:00   ❤️ 1
    @Luzifer
    还没卖呢,刚改完邮箱,过几天把手机的号试试看能不能改

    interlink那个我申请到了,不过是申请的用softher软件连接的那个,估计会悲剧
    mewking
        38
    mewking  
       2015-01-06 11:56:55 +08:00   ❤️ 1
    @Luzifer 你辛苦了,感谢已发

    PureVPN 上海电信慢,应该是国际出口问题,但他家 IT 支持是有问题,Mac 客户端到现在都还不支持 OS X 10.10(官方说正在开发),TLS 失败是因为 GFW 吧

    PIA 的网站我又看了一遍,还是木有看到 Stealth 类的特性说明啊;Express 是有的,但 Stealth 服务器只在香港,Astrill 我觉得可以排除了,因为他家居然没被 GFW 认证,而且有过不良记录。

    我觉得现在选这个,Stealth 是关键,然后支持的协议越多越好,现在多数都只提供 PPTP、L2TP、OpenVPN,有 IPSEC、ikev2 的还是少。最后就是价格贵的更好,用的人少,速度就有保证

    AWS 只有单一服务器,作为备用手段挺好。请问你配的哪种协议,想求一份现成的配置文件和文档……几年前我配成过 IPSEC 和 OpenVPN,后来 ubuntu 升级后就再也配不成了……
    Luzifer
        39
    Luzifer  
    OP
       2015-01-19 19:16:30 +08:00   ❤️ 1
    AirVPN, PRQ, CryptoStorm, proxy.sh , IVPN, PIA, BolehVPN, Mullvad, Anonymizer.com

    排名不分先后, 只针对匿名
    I'll keep FinchVPN in mind.


    AirVPN用户不友好, DNS泄漏保护需要很多命令和规则来完成
    PIA, 客户端友好, DNS泄漏保护, VPN掉线断开网络, 价格便宜
    Anonymizer, 客户端友好, VPN掉线断开网络


    人民币358 (48.6欧元)

    速度不太好, 即使香港和日本

    PIA, 日本, 西海岸, 加利福利亚速度一般 , 再就是慢了. 香港是连不上滴.
    人民币230 (36.95美元)

    CryptoStorm趣闻: 老板Douglas Spink因为毒品生意被联邦调查局抓进去了, 没到年限就出来了(应该蹲17年, 但3年他就出来了), 有人猜他一是告密者, 二是和调查局达成协议了. CryptoStorm可能是个蜜罐, 有个onion站.

    日本的VPN提供商大多是PPTP, 不考虑这个协议, www.interlink.or.jp 有提供 SoftEther , 但我信用卡它死活不接受, 我放弃了
    Luzifer
        40
    Luzifer  
    OP
       2015-01-19 21:23:07 +08:00
    速度不太好, 即使香港和新加坡, 没日本. airvpn
    Luzifer
        41
    Luzifer  
    OP
       2015-01-20 16:25:18 +08:00
    AirVPN




    PIA
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3033 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 40ms · UTC 14:39 · PVG 22:39 · LAX 06:39 · JFK 09:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.