App neu denken

Ein WireGuard-Client, eine von OpenSnitch inspirierte Firewall und Netzwerküberwachung + ein von Pi-Hole inspirierter DNS-über-HTTPS-Client mit Blocklisten.

Mit anderen Worten: Rethink DNS + Firewall verfügt über drei Hauptmodi: VPN, DNS und Firewall. Der VPN-Modus (Proxifier) ​​unterstützt mehrere WireGuard-Upstreams in einer Split-Tunnel-Konfiguration. Der DNS-Modus leitet den gesamten von Apps generierten DNS-Verkehr an einen vom Benutzer ausgewählten DNS-über-HTTPS- oder DNSCrypt-Resolver weiter. Im Firewall-Modus kann der Benutzer den Internetzugriff für ganze Anwendungen verweigern, basierend auf Ereignissen wie Bildschirm ein/Bildschirm aus, App-Vordergrund/App-Hintergrund, nicht gemessene Verbindung/gemessene Verbindung; oder basierend auf im Play Store definierten Kategorien wie „Soziale Netzwerke“, „Spiele“, „Dienstprogramm“ und „Produktivität“; oder zusätzlich basierend auf benutzerdefinierten Sperrlisten.

Rethink unterstützt die Weiterleitung von TCP- und UDP-Verbindungen über SOCKS5-, HTTP CONNECT- und WireGuard-Tunnel. Split-Tunneling hilft darüber hinaus dabei, mehrere solcher Tunnel gleichzeitig zu betreiben und ermöglicht es Benutzern, verschiedene Apps über verschiedene Tunnel zu leiten. Beispielsweise könnte man gleichzeitig Firefox über SOCKS5 mit Tor, Netflix über WireGuard über einen beliebigen gängigen VPN-Anbieter und Telegram oder WhatsApp über zensurresistente HTTP CONNECT-Endpunkte weiterleiten.

Die Firewall kümmert sich nicht wirklich um die Verbindungen an sich, sondern darum, was diese Verbindungen herstellt. Dies unterscheidet sich von herkömmlichen Firewalls, entspricht jedoch Little Snitch, LuLu, Glasswire und anderen.

Derzeit wird die Verbindungszuordnung pro App implementiert, indem udp und tcp Verbindungen erfasst werden, die von firestack verwaltet werden (in Golang geschrieben), und ConnectivityService nach dem Besitzer gefragt wird, eine API, die nur auf Android 10 oder höher verfügbar ist. procfs ( /proc/net/tcp und /proc/net/udp ) wird bei Bedarf gelesen, um Verbindungen pro App zu verfolgen, wie es NetGuard oder OpenSnitch auf Android 9 und niedrigeren Versionen tun.

Ein Netzwerkmonitor ist eine Art Bericht pro App darüber, wann und wie viele Verbindungen hergestellt wurden und wohin. Die Verfolgung von TCP hat sich bislang als unkompliziert erwiesen. Da DNS-Pakete schwieriger zu verfolgen sind, wird vorerst eine grobe Heuristik verwendet, die möglicherweise nicht in allen Fällen funktioniert.

Fast der gesamte netzwerkbezogene Code ( firestack ), einschließlich DNS über HTTPS-Split-Tunnel, ist ein in Golang geschriebener Hard Fork von Jigsaw-Code/outline-go-tun2socks. Die Benutzeroberfläche unterscheidet sich stark, lehnt sich aber minimal an Jigsaw-Code/Intra an. Ein Split-Tunnel fängt Anfragen ab, die an den DNS-Endpunkt des VPN gesendet werden, und leitet sie an einen DNS-über-HTTPS-/DNSCrypt-Endpunkt nach Wahl des Benutzers weiter. Dabei werden die End-to-End-Latenz, der Zeitpunkt der Anfrage, die DNS-Anfrageabfrage selbst und ihre Daten protokolliert Antwort.

Ein Malware- und werbeblockierender DNS-über-HTTPS-Resolver unter https://sky.rethinkdns.com/1:IAAgAA== (bereitgestellt an über 300 Standorten weltweit über Cloudflare Workers) ist der Standard-DNS-Endpunkt in der App Es steht dem Benutzer frei, dies zu ändern. Ein konfigurierbarer DNS-Resolver, mit dem Benutzer Sperr- und Zulassungslisten hinzufügen oder entfernen, Umschreibungen hinzufügen und DNS-Anfragen analysieren können, wird Ende 2023 auf den Markt kommen. Derzeit kann hier ein kostenloser DNS-über-HTTPS-Endpunkt mit benutzerdefinierten Sperrlisten eingerichtet werden: rethinkdns.com/ konfigurieren.

Der Resolver wird neben der Standardbereitstellung auf Cloudflare Workers auch auf Fly.io unter max.rethinkdns.com und Deno Deploy unter rdns.deno.dev bereitgestellt.

Der Resolver ist Open-Source-Software: serverless-dns.

Das Weiterleiten von TCP-Verbindungen über einen serverlosen Proxy (gehostet auf Cloudflare Workers) wird bald Teil von Rethink sein. Benutzer könnten diese selbst hosten oder die von uns betriebenen für 1 Monat unbegrenzte Bandbreite nutzen. Dieser Dienst wird voraussichtlich Ende 2023 eingeführt.

Der Proxy ist eine Open-Source-Software: Serverless-Proxy.

• Die Telegram-Community ist super aktiv und voller Krypto-Brüder. Scherzhaft. Im Allgemeinen sind wir ein gastfreundlicher Haufen. Nehmen Sie gerne Kontakt mit uns auf: t.me/rethinkdns.
• Oder, wenn Sie Matrix bevorzugen (das mit Telegram verbunden ist).
• Oder senden Sie uns eine E-Mail an: [email protected] (wir lesen alle E-Mails sofort und antworten, sobald wir die gemeldeten Probleme behoben haben).
• Wir hängen regelmäßig in unserem Subreddit ab: r/rethinkdns.
• Wir sind auch ein wenig aktiv in der Vogel-App und beschimpfen hauptsächlich Nerds anderer Engs oder posten Scheiße über unseren Tech-Stack: twitter/rethinkdns.

Helfen Sie mit, Rethink DNS + Firewall auf Weblate zu übersetzen:

Rethink ist kein Anonymitätstool: Es hilft Nutzern, sich der unverminderten Zensur und Überwachung zu stellen, erhebt jedoch nicht den Anspruch, die Identität eines Nutzers zu jeder Zeit, wenn überhaupt, zu schützen.

Rethink zielt nicht darauf ab, eine funktionsreiche traditionelle Firewall zu sein: Sie entspricht eher Little Snitch als beispielsweise IP-Tabellen.

Rethink ist kein Antivirenprogramm: Rethink kann Benutzer durch seine DNS-basierten Sperrlisten vor Phishing-Angriffen, Malware und Scareware-Websites schützen, aber es wehrt Bedrohungen nicht aktiv ab, sucht nicht einmal nach ihnen oder reagiert ansonsten nicht darauf.

Um Android-Geräte in Benutzeragenten zu verwandeln: Etwas, das Benutzer nach Belieben steuern können, ohne Root-Zugriff zu benötigen. Ein großer Teil davon besteht bei ständig aktiven und immer verbundenen Geräten darin, den Netzwerkverkehr zu erfassen und ihn auf eine für die Endbenutzer sinnvolle Weise zu melden, die dann eine Reihe von Maßnahmen ergreifen können, um ihre Gefährdung zu begrenzen, aber nicht unbedingt beseitigen Sie es. Nehmen wir zum Beispiel DNS: Bei den meisten, wenn nicht allen Verbindungen senden Apps zuerst eine DNS-Anfrage, und indem man nur diese verfolgt, kann man viel darüber erfahren, was mit dem Telefon passiert und welche App dafür verantwortlich ist.

Um das Versprechen eines offenen Internets für alle einzulösen: Mit der unvermeidlichen ESNI-Standardisierung und der bevorstehenden Einführung von DNS über HTTPS und DNS über TLS in allen Betriebssystemen sind wir einem offenen Internet viel näher gekommen. Natürlich bleibt Deep Packet Inspection eine glaubwürdige Bedrohung, die damit nicht gemindert werden kann, aber es ist ein Beispiel für maximale Wirkung (Umgehung der Internet-Zensur in den meisten Ländern) mit minimalem Aufwand (kein Einsatz eines VPN oder Zugriff über IPFS erforderlich). , Zum Beispiel). Rethink würde diese Technologien weiterhin auf möglichst einfache Weise zugänglich machen, insbesondere diejenigen, die mit 10 % Aufwand 90 % des Ziels erreichen.

1. Fühlen Sie sich frei, eine Pull-Anfrage für alle reproduzierbaren Fehlerbehebungen zu forken und mitzusenden.
2. Die Codebasis ist roh und es mangelt an Dokumentation und umfassenden Tests. Wenn Sie Hilfe benötigen, erstellen Sie gerne eine Wikipage, um die Schwierigkeiten beim Erstellen, Testen, Schreiben und Festschreiben von Code hervorzuheben.
3. Schreiben Sie beschreibende Commit-Nachrichten, die die vorgenommenen Änderungen prägnant erläutern.
4. Jeder Commit muss auf ein offenes Problem im Projekt verweisen. Dies dient vor allem dazu, sicherzustellen, dass es nicht zu doppeltem Aufwand kommt.
5. Wenn Sie vorhaben, an einer Funktion zu arbeiten, erstellen Sie bitte zunächst ein Github-Issue für das Projekt, um die Diskussion anzustoßen, bevor Sie sich zu einer Arbeit verpflichten. Auch hier geht es vor allem darum, Doppelarbeit zu vermeiden.
6. Produktveröffentlichungen erfolgen normalerweise alle zwei Monate, während Betas alle zwei Wochen veröffentlicht werden.

Wir sind noch nicht so weit und werden es vielleicht nie sein, aber das sind einige Grundsätze für das Projekt in absehbarer Zukunft.

• Machen Sie es richtig, machen Sie es sicher, machen Sie es belastbar, machen Sie es schnell. In dieser Reihenfolge.
• Einfach zu verwendende Funktionen ohne Root-Zugriff und ohne Gimmicks, die gegen Zensur und Überwachung wirken.
  • Einfach zu bedienen: Jeder der 3B+ Android-Benutzer muss in der Lage sein, es zu verwenden. Denken Sie an die Benutzerfreundlichkeit von CleanMaster/Instagram.
  • no-root: Für hinzugefügte Funktionen sollte kein Root-Zugriff erforderlich sein.
  • No-Gimmicks: Zum Beispiel irreführendes Material, das an Scareware grenzt.
  • Anti-Zensur: Funktionen, die darauf abzielen, allen ein offenes Internet zu ermöglichen, vorzugsweise auf die effizienteste Art und Weise (sowohl finanziell als auch technisch).
• Anti-Überwachung: Wie oben, jedoch mit Funktionen, die die Überwachung durch Apps weiter einschränken (nicht unbedingt beseitigen).
• Inkrementelle Änderungen im Gleichgewicht mit neueren Funktionen.
  • Beispielsweise muss die Arbeit an lästigen UI-Problemen oder OEM-spezifischen Fehlern mit gleichem Gewicht wie neueren Funktionen in Angriff genommen werden, und eine Veröffentlichung muss wahrscheinlich ein gutes Gleichgewicht zwischen beiden herstellen. Jedoch; Es ist in Ordnung, nur an inkrementellen Änderungen für eine Version zu arbeiten.
• Rechthaberisch. Chip-away-Komplexität. Erwarten Sie nicht, dass Benutzer einen Doktortitel in Informatik benötigen, um die App nutzen zu können.
  • Keine doppelte Funktionalität.
  • Eine konzertierte Anstrengung, um nicht zu viele abstimmbare Knöpfe und Einstellungen bereitzustellen. Auf der Seite „einfach statt einfach“ irren.
• Ignorieren Sie alle Grundsätze.
  • Der gesunde Menschenverstand übernimmt immer die Oberhand, wenn Grundsätze im Weg stehen.
• Muss im PlayStore vertreibbar sein, zumindest eine abgeschwächte Version davon.
  • Dies bedeutet leider, dass Sperrlisten auf dem Gerät nicht möglich sind; Cloudflare Gateway-ähnliche cloudbasierte Sperrlisten pro Benutzer bieten uns jedoch die gleiche Funktionalität.
• Setzen Sie in die Tat um, was Sie predigen: Seien Sie zwanghaft privat und sicher.

Die Zensur des Internets (manchmal vom ISP und oft von der Regierung durchgesetzt) ​​und die flächendeckende Rasterüberwachung (durch so ziemlich jedes Unternehmen und jede App) haben uns auf diesen Weg gebracht. Wir drei von der Universität, Mohammed, Murtaza und Santhosh, trafen uns Ende 2019 in der verschlafenen Stadt Coimbatore in Indien, um etwas dagegen zu unternehmen. Unser Hauptkritikpunkt war, dass es all diese wunderbaren Tools gab, die die Leute nutzen konnten, aber nicht konnten, entweder aus Kostengründen oder weil sie nicht in der Lage waren, computerspezifische Fachsprache zu verstehen. Seit unserem Start ist viel passiert und viel hat sich verändert, aber unser Fokus lag immer auf Android und seinen ahnungslosen 2B+-Benutzern. Die aktuelle Idee ist seit Mai 2020 in Arbeit, wobei die Pandemie den Fortschritt ein wenig zunichte machte und es ein wenig Patzer gab, dass wir unsere vorherige Version zugunsten der aktuellen Abspaltung aufgegeben haben, auf die wir noch nicht stolz sind, aber sie ist ein Anfang. Alles ist gut, jetzt, da wir einen Zuschuss vom Mozilla Builders MVP-Programm erhalten haben, um mit der Entwicklung dieses Dings fortzufahren, das wir... schneller machen wollten... und uns nicht einfach durch die Ausführung verschlafen haben wollen. Ich hoffe, Sie sind aufgeregt, aber nicht so sehr wie wir, dass Sie dafür Ihren Job gekündigt haben, wie wir es getan haben.