Social networks and communities
25 January 2017

Конец халяве: I Also Know What You Download (часть 2)

UPDATE: пост обновлен 11 мая 2017.

Примерно с месяц назад я написал пост про один нехороший сервис, которой отслеживает скачанные торренты. Появился повод написать небольшое продолжение.

NOTE: далее немного воды, и про баржу, и про канал, так что можно сразу переходить к разделу «Переходим к сути».

Не смотря на то, что многие писали, что по их ip-адресам статистика «левая», у меня все было очень даже правильно. Неприятно, когда на тебя собирают такую статистику. Поэтому вопрос о необходимости постепенного переползания на VPN для меня был очевиден, оставалось только решить на какой именно.

В этом пути и возникло интересное продолжение по теме.

image

DISCLAIMER: Я, конечно, никаких фильмов не качаю, и вообще всё выдумал.

Сначала небольшие лирические отступления.

Стоит отметить, что включение шифрования в торрент-клиенте не помогает против слежки.
(UPDATE: на самом деле против подобной слежке помогает отключение DHT в торрент-клиенте)
Если не связываться с совсем брутальными вариантами I2P, то фактически у нас есть два варианта: использовать VPN сервис и арендовать машину в облаке и качать через нее (не суть с нее или поднять там VPN-сервер). Недавно мне попалась на глаза хорошая статья Свой VPN-сервер: плюсы, минусы и инструкция (юзера samat). Там приводится список проектов-скриптов, с помощью которых можно с нуля поднять VPN-сервер. Это настолько просто (реально запуск одной команды), что можно даже писать об этом тут, а не на Хабре. Но в любом случае продолжение логичней писать там же, где начало.

Попробовав один VPN-сервис, ссылку на который я давал в прошлый раз (за промо), я оказался не в восторге. Тормозит. Сервера общие и бывают сильно перегружены. А торренты вообще поддерживают не все. Да, есть VPN-сервисы, которые предоставляют выделенные сервера. Но ценник там сильно выше. Очевидно, это должно быть дороже, чем поднять самому сервер. Поэтому решил развернуть свой сервер. Благо это стало тривиально с такими скриптами. Я когда-то делал это вручную с OpenVPN в AWS, но это было давно, на винде, и на Free Tier (не вариант из-за ограничения трафика).

Вопрос выбора между VPN-сервисом и собственным VPN-сервером оставим на другой раз.

Но сначала надо было выбрать хостинг. В той же статье упоминался сервис Scaleway за 3$ в месяц. Просто купившись на цену, с него я и начал. Это не реклама, мне ничего с этого. Напомню поисковик дешевых VPS — lowendstock.com.

За эти 3$ имеем 2 x86 ядра, 2Гб, 50Гб и неограниченный трафик. Похоже на сказку. Правда вот прям в момент написания поста, эти машины были временно недоступны: «VC1S servers are temporary out of stock».

Все три скрипта я не пробовал, я взял hwdsl2/setup-ipsec-vpn  (использует Libreswan/xl2tpd для  IPsec/L2TP, Cisco IPsec VPN, IKEv2). Работает как мэджик.
Через 2 минуты у вас свой VPN-сервер, к которому можно подключится встроенными средствами Windows (а также всех остальных ОС), не надо никаких OpenVPN. Тем кому нужен OpenVPN можно рекомендовать другой скрипт — https://github.com/Nyr/openvpn-install (аналогично одна команда и несколько вопросов интерактивных). Выбор между OpenVPN и IPsec и IKEv2 — это отдельная большая тема.
Из основных отличий стоит отметить, что, IPsec/IKEv2 работают только через два UDP-порта 500 и 4500, тогда как OpenVPN на любом порту, можно выбрать UDP или TCP и то, что клиенты IPsec/IKEv2 встроены в большинство ОС. Хороший пост на тему — VPN везде и всюду: IPsec без L2TP со strongSwan (но там про strongSwan, не Libreswan, но всё равно интересно).

Важно: скрипт hwdsl2/setup-ipsec-vpn (т.е. Libreswan) не работает с OpenVZ, только KVM/Xen (другие реализации могут работать) — это важно при выборе VPS!
Если будете использовать связку Scaleway + hwdsl2/setup-ipsec-vpn, то надо иметь в виду, что ядро Linux, которое будет по умолчанию на машине (оно у них свое, модифицированное), не совместимо с IPSec. Его надо поменять. К счастью сделать это можно прям в Web-интерфейсе (надо выбрать 4.8 вместо 4.4):

image

Потом я вспомнил, что у меня вообще-то есть MSDN-подписка Azure и чего же я буду тратить 3$, когда можно бесплатно.

Повторил процедуру в Azure. В этот момент, кстати, я понял, почему никто не пользуется Азуром для виртуальных машин. Ну надо просто сравнить юзабилити создания виртуальных машин на Azure и других сервисах. Пример: заполнял шаблон машины в Azure, сразу настроил правила firewall — для Libreswan/IPSec надо открыть два порта 500 и 4500. Azure требует ввести приоритет правила, я ввел для обоих 100. Все сохранилось. Запустил деплоймент. Он упал. Почему? А потому, что нельзя для правил задавать одинаковый приоритет. Нет слов. Ладно, хочу исправить и перезапустить. Но того мастера уже нет. Теперь надо лезть в json-шаблон и править там. В общем, пользоваться можно только за бесплатно, либо по нужде.

Но я отвлекся. В общем заработал VPN-сервер на Azure. Я довольный, теперь у меня два VPN: один в Амстердаме, другой в Дублине. Круто. Но не совсем. Ping для Scaleway-Амстердаме-based — 50мс, ping для Azure-Дублин-based — 60мс. Печаль.

Вопрос к знатокам: 50-60 мс — это нормально для IPSec VPN-сервера в Европе?
Для сравнения по OpenVPN к той же машине в Azure (Дублин) пинг 68мс.

На самом деле, это всё было затянувшееся вступление.

Переходим к сути


Проверил как качаются торренты через VPN в Azure — 7 Мб/с. Ну, отлично.

DISCLAIMER: Я конечно фильм не качал, чисто попробовал, не докачал и удалил. Ну вы поняли.

Спустя сутки приходит письмо от Microsoft Azure Safeguards Team о том, что я нарушил Digital Millennium Copyright Act, т.к. на мой сервер (его адрес) поступила жалоба от агента Paramount.
Письмо следующего содержания:

Action Required: Digital Millennium Copyright Act (DMCA) Violation

This message is to notify you that the Microsoft Azure Safeguards Team recently received a complaint under the Digital Millennium Copyright Act (DMCA) of copyright infringement originating from your Azure deployment. Attached is a copy of the original complaint. Failure to respond to this complaint within two business days or continued violation of the Microsoft Azure Acceptable Use Policy may result in suspension of your deployment.

Copyright infringement violates the Acceptable Use Policy, which prohibits any use that is prohibited by law, regulation or governmental order or that violate[s] the rights of others. You are responsible for addressing complaints of copyright infringement originating from your Microsoft Azure deployment. The Microsoft Azure Services Terms and other agreement terms can be found at azure.microsoft.com/en-us/support/legal.

Please take the appropriate next step to resolve this notice:
· Please remove the materials identified in the complaint or take other appropriate action to resolve the complaint within two business days and inform us that you have done so by replying to this email.
· If you dispute that you have infringed a valid copyright, please file a counter notice and inform us that you have done so by replying to this email. Consult the DMCA's requirements for counter notices included below.
· If you are surprised by this activity, have additional questions, or believe you have been identified by mistake, please reply to this email and let us know.

Thank you,
Microsoft Azure Safeguards Team
Cyber Defense Operations Center


В аттаче собственно жалоба. Жалуется агент Paramount Pictures.

image

Т.е. некто Адриан из конторы IP-Echelon, являющейся агентом Paramount Pictures из Голливуда Лос-Анджелес США, прислал маляву, что дескать с указанного IP-адреса, принадлежащего Azure, кто-то раздавал файлы с видео контентом, эксклюзивно принадлежащем Парамаунт.

Выводы, как говориться, делайте сами (см. UPDATE 3).

В комментариях предлагаю поделиться опытом, сталкивался ли кто-то с подобным на других сервисах?

UPDATE 1


Да, Микрософт, американская компания, которая будет исполнять американские законы (DMCA), даже если сервер размещен на территории Европы. Но в Европе есть аналогичные законы. Т.е. выбор хостинга изначально был неправильный. Но и смысл статьи — в привлечении внимания при выборе VPN не только к техническим аспектам, но законодательным.
Как уже отмечалось в прошлый раз, сам факт влючения VPN на машине, не гарантирует приватности. Есть множество сообщений, когда люди качали торренты с VPN и получили абьюзы от ISP (не в РФ, у нас пока такого нет), для примера: раз, два.

Тут интересный список VPN-провайдеров «which Take Your Anonymity Seriously»:
https://torrentfreak.com/anonymous-vpn-service-provider-review-2015-150228/. Но надо помнить, что проверить «мы ничего не логируем» невозможно. Вот тут интересный пост на тему — Don't use VPN services.

UPDATE 2


Рацпредложение от юзера Jeditobe:
Друзья, напоминаю про замечательную идею черных списков IP-адресов копирастов.



UPDATE 3: выводы


Выводы можно сделать следующие (помимо того, что «только дебилы качают торренты через Azure»):
  • слежка за торрентами — реальность, и пока мы отсуждали «неработающий» сайтик, «там» уже всё работает и автоматизировано;
  • отключение DHT в настройках торрент клиента при условии использования частного трекера помогает (по крайней мере против подобной слежки, т.к. она видимо реализована через DHT);
  • предъявы от агентов копирастов — это реальный головняк для обычных пользователей в странах победившей демократии;
  • угрозы расплаты за торренты в РФ пока больше теоретически, тогда как «там» вполне практически (поэтому вывод «что делать обычному человеку» не столько очевиден);
  • при выборе хостинга для торрентов помимо технических моментов (трафик/ТТХ машины) необходимо обращать внимание на страну расположения (причем не только с точки зрения пинга);
  • VPN-сервисы в данном плане обладают преимуществом по сравнению с VPS, т.к. они имеют формальные основания не реагировать на абьюзы от копирастов («у нас нет логов»), но вопрос доверия к VPN-сервисам остается;
  • При выборе хостинг провайдера для VPS стоит обращать внимание на предоставление готовых образов машин с софтом для торрентов (т.е. чтобы качать торренты удаленно через веб-интерфейс) — часто такие машины называют seedbox. Обычно там связка rTorrent и ruTorrent. Все это можно настроить самому, конечно (см. пример туториала). Но то, что хостинг провайдер предлагает образы для торрентов, скорее всего означает, что претензий по авторским правам и прочим милениум актам не возникнет. А может и возникнет. В уже упоминавшемся Scaleway есть образ Torrents (с rutorrent/rTorrent), при этом явно написано, что они соблюдают DMCA и европейские аналоги (хотя по факту никаких претензий от них не было, хотя поводы есть);


Спасибо юзеру Vilgelm, упомянувшему о Plex — plex.tv, в связи с seedbox. Это очень класный медиа сервер. Существует под все платформы. Если у вас есть NAS, то вообще мастхев. У меня NAS QNAP и по-сравнению с их родным Video Station это небо и земля. Соответственно, если у нас VPS в облаке, то ставим на него Plex и смотрим фильмы с него через удобную оболочку или мобильное приложение (за просмотр из мобильных приложений правда хотят 5$ за активацию, но отлично работает через браузер).
Т.к. я сам был не в курсе, то позволю себя порекомендовать всем, кто не слышал о Plex, посмотреть на него.
Only registered users can participate in poll.Log in, please.
Вы получали абьюзы (abuse) от хостинг/VPN-провайдера?
4.1% У меня свой VPN-сервер, я качал торренты, и я никогда не получал жалоб 55
3.3% У меня свой VPN-сервер, я качал торренты, и я получал жалобы 44
4.3% Я пользуюсь VPN-сервисом, я качал торренты, и я никогда не получал жалоб 57
0.3% Я пользуюсь VPN-сервисом, я качал торренты, и я получал жалобы 4
72.7% Не качаю торренты через VPN 962
15.1% Ты опять всё придумал! 201
1323 users voted. 635 users abstained.

+31
68.8k 264
Comments 265