NSA Documents: Attacks on VPN, SSL, TLS, SSH, Tor 来源:《明镜》
Luzifer · 2015-01-02 19:22:36 +08:00 · 3290 次点击这是一个创建于 3612 天前的主题,其中的信息可能已经有所发展或是发生改变。
《明镜》 NSA Spying Scandal 公布了一些 TOP SECRET 的PDF
http://www.spiegel.de/international/world/nsa-documents-attacks-on-vpn-ssl-tls-ssh-tor-a-1010525.html
看完得压压惊, 管你什么 OpenVPN, PPTP, L2TP/IPSec, SSTP, SSL, TLS, SSH, 还是戴套啊. 各种技术在GFW面前不就成渣渣了么! 我根本就看不懂, 没看完...扯淡ing
question
我见识少, 德国人是不是对网络匿名有着超乎寻常地倔强和偏执(I2P,Whonix,JonDonym,n2n,... )?
为什么?
第 1 条附言 · 2015-01-02 21:49:32 +08:00
如果你是匿名性需求大于翻墙需求, 就最好不要用自己在VPS上搭建的VPN了.
除了各种协议的破解风险, 你还多了 `VPS服务商的日志记录` 以及 `特定IP` 这些高风险环节。
下面是最近寻找VPN得到的优惠信息, 有用就自取, 没用就无视好了, 反正有效期短:
astrill免费半年今天到期2015/1/2, 到期前感觉是半残废了.
它的VIP也就半年前水平, 还不足. 一天得换几次服务器, 受不了.
用了半年没续费, 对不住了.
记录日志, 并有提交用户信息给新加坡政府的前例
优点是路由器翻墙applet很强大很方便.
我是基于
https://torrentfreak.com/which-vpn-services-take-your-anonymity-seriously-2014-edition-140315/
选择VPN
#####pia pia pia
主页购买页就可, 没看见优惠就下面的链接
https://www.privateinternetaccess.com/holidays/affiliate/FRDMHCKR001
$31.95 USD/ year 优惠了5刀, 常年36.95的主
PPTP, OpenVPN and L2TP/IPSec
TorrentFreak 推荐, `EFF 认可`, 各种 VPN Reviews, Top10, 论坛, 出现频率最高, 评价非常高.
我用黑莓, IKEv2没有, 纠结在这里
#####torguard
http://torguard.net/blog/torguard-2014-holiday-discounts/
code “TorGuard2014” 5折优惠
this limited discount code will only be active from December 24th – January 2nd.
OpenVPN,PPTP, L2TP, IPSec, SSTP, ikev2
TorrentFreak 推荐
#####nordvpn
https://nordvpn.com/
PPTP, OpenVPN and L2TP
3折优惠, 去主页就能看到$36 / year
有为tor准备的服务器, 看了下, 服务器不够多
TorrentFreak 推荐
#####purevpn
http://www.purevpn.com/
主页就可以看到优惠
Save upto 67% on Dedicated IP and 100% on SmartDNS with all PureVPN Plans
$47.95, 但是页面会弹一个10分钟限时附加优惠, 最后 $44.95 / year 应该是3折.
5设备
OpenVPN,PPTP, L2TP/IPSec, SSTP, ikev2
SmartDNS免费, 看Netflix, Hulu可以不用VPN, 比VPN快速(它的介绍).
```
注意这个purevpn会记录日志, 不在 TorrentFreak 推荐之列
虽然TOS写
We do not log any user activity (sites visited, DNS lookups, emails etc.)
We only log access attempts to our servers (for security and troubleshooting).
We do not get involved in any form of censorship.
We do not give your personal info to any third parties.
但
http://www.purevpn.com/privacy-policy.php
有详细说明, 嗯,不排除提供给执法人员.
```
我最后还是买了purevpn,囧!! 看中 IKEv2 和 SmartDNS, 5设备了, 比重超过了匿名性.
支持paypal , 支付宝, 还有专门为中国客户提供的客户端(离线安装版本), 起码说明了他们很重视中国客户嘛
+ 信息来源: twitter "VPN Black Friday" "VPN Christmas/Xmas/Festive" "VPN New Year"
除了各种协议的破解风险, 你还多了 `VPS服务商的日志记录` 以及 `特定IP` 这些高风险环节。
下面是最近寻找VPN得到的优惠信息, 有用就自取, 没用就无视好了, 反正有效期短:
astrill免费半年今天到期2015/1/2, 到期前感觉是半残废了.
它的VIP也就半年前水平, 还不足. 一天得换几次服务器, 受不了.
用了半年没续费, 对不住了.
记录日志, 并有提交用户信息给新加坡政府的前例
优点是路由器翻墙applet很强大很方便.
我是基于
https://torrentfreak.com/which-vpn-services-take-your-anonymity-seriously-2014-edition-140315/
选择VPN
#####pia pia pia
主页购买页就可, 没看见优惠就下面的链接
https://www.privateinternetaccess.com/holidays/affiliate/FRDMHCKR001
$31.95 USD/ year 优惠了5刀, 常年36.95的主
PPTP, OpenVPN and L2TP/IPSec
TorrentFreak 推荐, `EFF 认可`, 各种 VPN Reviews, Top10, 论坛, 出现频率最高, 评价非常高.
我用黑莓, IKEv2没有, 纠结在这里
#####torguard
http://torguard.net/blog/torguard-2014-holiday-discounts/
code “TorGuard2014” 5折优惠
this limited discount code will only be active from December 24th – January 2nd.
OpenVPN,PPTP, L2TP, IPSec, SSTP, ikev2
TorrentFreak 推荐
#####nordvpn
https://nordvpn.com/
PPTP, OpenVPN and L2TP
3折优惠, 去主页就能看到$36 / year
有为tor准备的服务器, 看了下, 服务器不够多
TorrentFreak 推荐
#####purevpn
http://www.purevpn.com/
主页就可以看到优惠
Save upto 67% on Dedicated IP and 100% on SmartDNS with all PureVPN Plans
$47.95, 但是页面会弹一个10分钟限时附加优惠, 最后 $44.95 / year 应该是3折.
5设备
OpenVPN,PPTP, L2TP/IPSec, SSTP, ikev2
SmartDNS免费, 看Netflix, Hulu可以不用VPN, 比VPN快速(它的介绍).
```
注意这个purevpn会记录日志, 不在 TorrentFreak 推荐之列
虽然TOS写
We do not log any user activity (sites visited, DNS lookups, emails etc.)
We only log access attempts to our servers (for security and troubleshooting).
We do not get involved in any form of censorship.
We do not give your personal info to any third parties.
但
http://www.purevpn.com/privacy-policy.php
有详细说明, 嗯,不排除提供给执法人员.
```
我最后还是买了purevpn,囧!! 看中 IKEv2 和 SmartDNS, 5设备了, 比重超过了匿名性.
支持paypal , 支付宝, 还有专门为中国客户提供的客户端(离线安装版本), 起码说明了他们很重视中国客户嘛
+ 信息来源: twitter "VPN Black Friday" "VPN Christmas/Xmas/Festive" "VPN New Year"
第 2 条附言 · 2015-01-05 19:57:12 +08:00
退了PureVPN, openvpn TCP/UDP 根本就连不上服务器,
TLS handshake failed.
TLS handshake failed.
第 3 条附言 · 2015-03-01 19:28:46 +08:00
 |
1
kiritoalex 2015-01-02 19:30:34 +08:00 via Android  1
因为德国人非常注重隐私,不过NSA不是说了吗?仍然有一些混合匿名技术他们无法攻破
|
 |
2
Luzifer OP @kiritoalex 嗯, 这些文件也没有提到 OpenVPN 。
|
 |
3
Heracles 2015-01-02 20:06:46 +08:00 4
我不怕nsa有什么突破,我怕gfw有了突破
|
 |
6
a2z 2015-01-02 20:20:41 +08:00 1
别怕。
PPTP=100%搞定,NSA应该可以近实时解密。 IPSec VPN,NSA一般通过各种方法拿到路由器的配置文件里面的PSK或者爆破PSK,然后利用PSK破解事先抓包的链接。所以如果用证书的话还是NSA proof的。 TLS我怀疑也是通过各种方法窃取证书私钥(heartbleed之类的),然后用私钥破解已经抓包TLS/SSL的连接。snowden没出来前大家都没怎么要求有forward secrecy,所以通过私钥可以破解之前记录的连接。 SSH就真心不知道了,估计是硬件里的弱随机数后门?可能也不是很弱,比如64bit左右,但是可以被超级计算机穷举。 TOR,PGP,OTR,Openvpn还是安全的。 |
 |
7
hljjhb 2015-01-02 20:31:28 +08:00 1
NSA引领GFW前进?
你们不觉得很讽刺吗 对双方而言 |
|
8
Luzifer OP @a2z
NSA没攻破OpenVPN的AES,攻TLS 1.0 - 1.2(OpenSSL的), 成效显著。原文关了, 这些文件没提 OpenVPN 不代表 OpenVPN 就安全了, 文件都是很早的文件了, 我看的一部分都是2010-2012年. TOR是早就不安全了吧。都 VPN+TOR了(不是为连上TOR), 蜜罐问题? |
|
9
Luzifer OP |
|
12
kiritoalex 2015-01-02 21:34:54 +08:00 via Android 1
@Luzifer 一部分是,还有一部分可能女巫攻击或者物理渗透,不过出口节点一直争议很大,知道这一点就行了,谁知道出口节点是谁开的(大ISP.树大招风,扛不住,你懂的)
|
 |
13
miyuki 2015-01-02 21:56:17 +08:00 via Android 1
别怕。
现在还不是有一些没被攻破 |
 |
14
zent00 2015-01-02 21:58:15 +08:00 1
首先,这里大多数人的网络活动不足以让 NSA 来抓捕我们,所以你说 NSA 云云跟我们没什么关系,只要 GFW 不能解密我们的数据就行了。
|
 |
17
9999999999999999 2015-01-02 22:32:29 +08:00
这种广告让人想吐
|
|
18
Luzifer OP |
 |
19
rainy3636 2015-01-02 22:41:27 +08:00 via iPhone 1
purevpn 速度怎么样?你是哪个运营商?
astrill不仅客服是屎,现在的速度也屎,过几天把邮箱改了,把号卖了 |
 |
21
mewking 2015-01-02 22:52:37 +08:00
TorrentFreak 是个啥网站,那篇推荐涉及的 VPN 服务商好多啊,你是全筛选完了挑出这几个?
|
|
22
Luzifer OP @mewking http://en.wikipedia.org/wiki/TorrentFreak 我也不知道怎么解释它. 反正很多数据, 什么盗版下载最多的电影, 也不知道它数据怎么来的. 各种排名. 大数据分析? 哈. 反正挺有名, 挺有公信力的
|
 |
23
kmcool 2015-01-02 23:21:59 +08:00 1
纠结这个匿名性根本就是浪费自己生命。。。
能翻个山,密码不被一般的代码小子搞到就行了,防政府机构的监控没必要也没可能性 |
|
25
Luzifer OP |
 |
27
sinxccc 2015-01-03 01:51:46 +08:00 1
@Luzifer NSA 在密码和数学上的积累甩党国几条街…嗯,也甩其他国家几条街,这么没办法,现状如此。
不过最近因为意识形态的原因,NSA 之类的国家部门招中国人越来越难,不知道后面差距会不会有什么明显的变化。 |
|
28
mewking 2015-01-03 11:46:57 +08:00 1
@Luzifer purevpn 从你的图看还不错了,但也有人说慢的要死;我最近在用 12VPN,慢的要死,也有人说速度还不错。贵国上网真不容易啊……这个 PIA,我在哪里看到过也是 TOP 10,他家这个域名可够长的
|
|
29
Luzifer OP @mewking 感觉还过得去, 晚上能测那样, 平时也不太注重测速, 只要youtube能上1440就差不多了。
延迟我已经习惯很久了。 我也考虑过12VPN, 12VPN 的 IKEv2 (你可以看它的黑莓设置) 要导入它的证书, 绝对不能忍, 给我感觉很不好。 这一点就排除了。 |
|
30
Luzifer OP |
|
31
mewking 2015-01-03 12:24:47 +08:00
@Luzifer 我不是技术人员,不懂,导入证书增加风险是吗?他家 iOS 上 IPSEC 也是导入证书的。你是用黑莓 Q10 吗?黑莓还堪用?最近又发布一个带四大天王按键的 Q10,耗时一年多就搞出这么个东西,应该要倒闭了吧
|
|
32
Luzifer OP @mewking IKEv2是可以不使用自签证书的,( Astrill 和 PureVpn 的IKEv2都是证书认证,都不需要导入证书 )
那为什么 12VPN 需要导入它自己的证书呢, 互联网这么凶险 , 平白无故多一份风险。 (可能会有中间人攻击) 虽然安全做不到绝对, 但可以预见的地方能规避还是规避掉。 四大天王按键的是 Q20 / Classic。 和Q10同配置,造的一款情怀机型。 (胡乱猜测是Q10的物料没用完, 消化呢,0.O) 黑莓 新机Passport 还是很高端滴, 按键带触控功能。 黑莓应用少是事实。 黑莓不至于倒闭, QNX在汽车上还是使用很多的。还有其他的商业服务嘛, BIS BES, 安全网络业务啥的。 还有一堆专利, 还有个BBM。。。 个人消费用户感觉黑莓不行了而已。 看你好像在找VPN, 这样, 你留个邮箱, 我把我 PureVpn 账号给你试用下, 看看你上海电信用着咋样, 但说好了, 只四天(20150107), 我就改密码。使用方面问题不用问我, 我也不清楚。 |
|
34
Luzifer OP The Onion Browser provides a “Block All Cookies” setting which gives users a false
sense of privacy. Particular fictitiousness stems from the fact that standard cookies are blocked. This allows visited websites to track Onion Browser users without difficulty via Evercookie. Indeed, we witnessed a leaked top secret NSA document citing Evercookie as a method for tracking Tor users. https://cure53.de/pentest-report_onion-browser.pdf @kiritoalex @a2z 补充更新, 以免你们感兴趣 |
|
35
Luzifer OP 1
@wenbinwu 冒昧at ,
退了PureVPN, openvpn TCP/UDP 根本就连不上服务器, TLS handshake failed. PPTP 速度过得去 L2TP 据 @mewking 上海电信测试, 速度慢 http://www.purevpn.com/refund-policy.php You have not used more than 500MB of bandwidth i.e. data transfer (total upload and download activity using PureVPN) or you have not exceeded 30 sessions i.e. the number of times you connected to PureVPN services. Whichever comes first. 我用了两个晚上, 基本就是换服务器, 测速. sessions:45 bandwidth:1500MB (整数让我感觉不对) 违反refund-policy扣了一个月,8刀. 当天就给删了账号. 嗯, 教训是要么买一个月测试, 要么就找提供免费试用的服务商. anonymizer.com 就骄傲得提供了14天免费试用.  它给我感觉非常好, 客户端, 就安装过程就给我很专业的感觉, LeakBlocker: VPN掉线就断开网络 (astrill的路由器翻墙applet也有这功能) Openvpn L2TP/IPsec 都可以连上, 速度不行. 测下来上传是下载的两倍速度 79.99/y 还是值得的. Free OkayFreedom VPN Premium Flat for 1 year. 嗯, 给个1年序列号, 连不上 bolehvpn 能连上, (有些服务器连不上) 速度慢, 价格高   但是戳墙应该是没任何问题  FinchVPN 客户端在windows7会非正常关闭(登录环节就挂了), 但Openvpn_GUI可以连上, 它家我感觉还是很用心做的, 继续关注. hideway.eu没试, 不用想, 速度慢.  CactusVPN hideipvpn hide.me beevpn.com frootVPN GoVPN ShellfireVPN tunnel bear 连不上(就是管它什么协议就是连不上), 如果你有看上哪个VPN, 就发给链接我, 看网页就知道试用过没. 今天翻了一遍 twitter "VPN" 用户, WiTopia, 自己官网上都说中国客户需要特殊配置, reddit评论也是中国没法用. hidemyass.com 这个牛逼多ip和服务器的VPN, 根本就没人提. G+里问了下, 打不过GFW 没试过AirVPN mullvad是瑞典还是哪的, 欧洲, 速度慢, 但挺喜欢这个鼹鼠的, 有个obfsproxy www.interlink.or.jp 注册到什么片假名了! 整不下去了。说它飞快, 当然不是大陆的facebook上说的 http://www.reddit.com/r/China/comments/2rb3i6/recommend_me_a_vpn/ http://www.reddit.com/r/China/comments/2qm5tx/vpn_trouble_i_cant_find_anything_that_works_for/ http://www.reddit.com/r/China/comments/2q22nt/what_is_the_fastest_vpn_in_china/ 评论里 expressvpn 和 PIA 可以穿过GFW astrill靠谱的让人认为它和ZF扯不清. @rainy3636 哥, 你的 Astrill 账号还是别卖了, 矮子里他还真是将军. 累死我了. 网络连接适配器都一堆一堆的了. 还不如 AWS 的东京节点自建的. anonymizer Astrill PIA AirVPN Expressvpn FinchVPN bolehvpn 个人排名, 让我再纠结纠结, 现在有 AWS, 搬瓦工, Do 自建撑着. |
|
36
Luzifer OP 漏了一个 mullvad , 排最后
|
|
37
rainy3636 2015-01-06 00:47:58 +08:00 1
|
|
38
mewking 2015-01-06 11:56:55 +08:00 1
@Luzifer 你辛苦了,感谢已发
PureVPN 上海电信慢,应该是国际出口问题,但他家 IT 支持是有问题,Mac 客户端到现在都还不支持 OS X 10.10(官方说正在开发),TLS 失败是因为 GFW 吧 PIA 的网站我又看了一遍,还是木有看到 Stealth 类的特性说明啊;Express 是有的,但 Stealth 服务器只在香港,Astrill 我觉得可以排除了,因为他家居然没被 GFW 认证,而且有过不良记录。 我觉得现在选这个,Stealth 是关键,然后支持的协议越多越好,现在多数都只提供 PPTP、L2TP、OpenVPN,有 IPSEC、ikev2 的还是少。最后就是价格贵的更好,用的人少,速度就有保证 AWS 只有单一服务器,作为备用手段挺好。请问你配的哪种协议,想求一份现成的配置文件和文档……几年前我配成过 IPSEC 和 OpenVPN,后来 ubuntu 升级后就再也配不成了…… |
|
39
Luzifer OP 1
AirVPN, PRQ, CryptoStorm, proxy.sh , IVPN, PIA, BolehVPN, Mullvad, Anonymizer.com
排名不分先后, 只针对匿名 I'll keep FinchVPN in mind. AirVPN用户不友好, DNS泄漏保护需要很多命令和规则来完成 PIA, 客户端友好, DNS泄漏保护, VPN掉线断开网络, 价格便宜 Anonymizer, 客户端友好, VPN掉线断开网络  人民币358 (48.6欧元)  速度不太好, 即使香港和日本 PIA, 日本, 西海岸, 加利福利亚速度一般 , 再就是慢了. 香港是连不上滴. 人民币230 (36.95美元) CryptoStorm趣闻: 老板Douglas Spink因为毒品生意被联邦调查局抓进去了, 没到年限就出来了(应该蹲17年, 但3年他就出来了), 有人猜他一是告密者, 二是和调查局达成协议了. CryptoStorm可能是个蜜罐, 有个onion站. 日本的VPN提供商大多是PPTP, 不考虑这个协议, www.interlink.or.jp 有提供 SoftEther , 但我信用卡它死活不接受, 我放弃了 |
|
40
Luzifer OP 速度不太好, 即使香港和新加坡, 没日本. airvpn
|
|
41
Luzifer OP AirVPN
   PIA  |
Select Language