- Регистрация
- 01.05.12
- Сообщения
- 20,032
Как сделать что-либо в Сети и сохранить анонимность? Вопрос хороший. В стремлении остаться инкогнито приходится старательно маскировать настоящий IP-адрес и шифровать данные «на лету». Традиционных VPN-соединений, туннелингов и банальных прокси не всегда достаточно. К счастью, сейчас появились новые решения, способные сделать level-up твоей анонимности.
Пиринговые анонимные сети
В чем проблема такого замечательного средства, как VPN-сервис? На выходе получаешь совершенно другой IP, а весь трафик до сервера тщательно шифруется – сказка, да и только. Загвоздка в том, что ты все равно от кого-то зависишь. Нет никакой гарантии того, что сервак, на котором установлен VPN или прокся, не ведет логи, а в его подсети не орудует банальный снифер, который, как на десерт, уплетает весь расшифрованный трафик. Конечно, владельцы сервисов уверяют, что их услуги полностью безопасны и зачастую действительно прикладывают для этого массу усилий, еженедельно меняя IP, а иногда даже и площадки размещения серверов. Но 100% гарантий-то все равно нет. Давай посмотрим на это со стороны. Раз один сервер обеспечить анонимность не может, разумно попробовать периодически менять посредника – в этом случае отследить тебя будет гораздо сложнее. Так и родилась идея пиринговых анонимных сетей.
Вообще говоря, о подобной технологии, а именно – Tor, мы уже писали. Принцип обеспечения анонимности строится на базе распределенной системы серверов, так называемых нод, между которыми в зашифрованном виде передаются данные. Для соединения обычно используется три сервера, которые образуют временную цепочку. Серверы для нее выбираются случайным образом, причем каждый из них знает минимум информации о своих соседях. Однако Tor – это далеко не единственная разработка в этой области. Достигнуть широкой огласки ей помогли освещение в прессе и использование некогда в правительственных организациях и военных ведомствах. В то же время добротные разработки пока не продвинулись дальше своего аккаунта в Google Codes (бесплатный сервис для разработчиков – для хостинга своей программы и исходников, – Прим. Step’а).
Основное предназначение пиринговых сетей состоит в том, чтобы скрыть персону отправителя данных и их получателя. Иногда это делается даже в легальных целях (обмен информацией в кругу какого-то социального сообщества, типа «анонимных алкоголиков» и так далее). Но в целом многие эксперты выступают против таких сетей, потому что они увеличивают возможность оборота порнографии, нелегальных материалов и тому подобных вещей. Если рассматривать вопрос использования таких технологий со стороны безопасности, можно сказать, что они актуальны при обходе цензурных фильтров, которые активно применяются в разных странах (Китай, к примеру). Анонимные p2p-сети делятся на: opennet и darknet (friend-to-friend) реализации. С этим все просто. В первом типе сетей ноды выбираются автоматически или по указанию клиента, во втором же - юзер устанавливает соединение (direct) только с определенным узлом, который он сам, наверняка, знает. Некоторые из технологий, к примеру, Freenet (www.freenetproject.org) поддерживают оба типа соединения.
Конкретные реализации
Стоит отметить, что авторами подобного софта в основном являются немцы. Это легко объясняется суровостью законодательства в отношении хакерства и разработки вредоносного кода. Один из моих друзей в Германии со слезами на глазах рассказывал, что им запрещается даже держать софт с уклоном в тесты на проникновение или, не дай Бог, взлом (кроме случаев, когда ты предоставляешь такие услуги на реальной основе). В то же время орган, отвечающий за информационную безопасность страны - BSI, сам создал собственный LiveCD для «безопасников», напичканный софтом типа John-The-Ripper и т.п. Поэтому среди населения крепнет желание уклониться не только от выполнения упомянутых законов, но и, разумеется, ответственности за их несоблюдение. Остановившись на Германии, приведу в пример их одну из самых известных разработок из децентрализованных анонимных сетей - I2P (i2p2.de).
С установкой и настойкой проблем не возникнет – они предельно просты. Необходимо скачать клиент, требующий Java, и после запуска он забиндит адрес http://localhost:7657, через который ты и попадаешь в мир I2P. Там ты обнаружишь нечто вроде реальной сети, со своими сервисами, приложениями, личным кабинетом, где ты можешь отслеживать трафик, а также мониторить новые ноды. Итак, основные приложения, доступные для использования внутри I2P:
* Susimail (localhost:7657/susimail/susimail)
* SusiDNS (localhost:7657/susidns/index.jsp)
* I2Psnark (localhost:7657/i2psnark)
* eepsite (localhost:7658)
* I2PTunnel (localhost:7657/i2ptunnel/index.jsp)
* мониторинг туннелей (localhost:7657/tunnels.jsp)
Непосредственно анонимный серфинг в инете осуществляется посредством HTTP-proxy I2P на 4444-порту. Кстати, в самой сети установлены защищенные веб-узлы, специально заточенные для соблюдения анонимности и называемые eepsites.
Обходим фильтры
Еще одна интересная разработка в этой области – проект Psiphon (psiphon.ca). Цель разработчиков – предоставить возможность беспрепятственного доступа в инет гражданам тех стран, где это серьезно ограничивается. В большинстве стран никаких ограничений и фильтров нет, но есть целый ряд государств, имеющий свой взгляд на свободу в Сети. Общая идея проекта Psiphon заключается в том, что пользователи, проживающие в свободных и адекватных странах (вроде России), помогают менее удачливым братьям по разуму из других стран получить свободный доступ к Глобальной Сети. Без ограничений, цензуры и шейперов.
Psiphon работает через компьютерные сети, между участниками которых установлены доверительные отношения. Имеются провайдеры psiphon, которые устанавливают, контролируют и обслуживают psiphon-сервер (psiphonode) в той стране, где нет цензуры, и есть пользователи psiphon (psiphonites), которые входят в систему и получают доступ к заблокированному серверу из страны, где интернет проходит через цензуру. Любому, кто столкнулся с подобными ограничениями, под силу найти список псифонод и, попользовавшись настройками, получить возможность выходить в Web без всяких запретов.
Что представляет собой псифонод для обычного пользователя? Обычный веб-прокси – специальный сайт, с дополнительной панелью для ввода адреса и фреймом, где отображается содержимое запрашиваемого ресурса. Таким образом, для использования не нужно ничего, кроме обычного браузера.
Как организовать свой псифонод и предоставлять друзьям доступ к заблокированному для них контенту? Вот один из вариантов:
1) Качаем сам Psiphon (psiphon.ca/download) для Винды. Там же находятся версия для Linux, а также исходники приложения.
2) Во время обычной процедурой установки, наверняка, начнет ругаться твой файрвол. Необходимо разрешить нашей программе выходить в Сеть и разблокировать процесс. Далее придется напрячь извилины и придумать уникальное имя для своего псифонода.
3) На следующем этапе программа определит твой IP-адрес, проверит доступность 443-порта (для SSL). Если он занят, тебе потребуется вручную указать любой свободный порт.
4) Установка завершена – можно смело жать «Start». Как только твоя нода перешла в состояние «ON», проверь ее доступность, обратившись на адрес по синей ссылке в верхней части управления. Заметь, что URL для запроса имеет следующий вид: https://ip:443/имя (соответственно, введенное тобой на втором этапе). Если все корректно пашет, то в браузере должна открыться сертификационная страница, где клиент должен будет принять сертификат и ввести данные для авторизации. Кстати о них! Аккаунты для клиентов создаются с помощью кнопки «Add» (логин, пароль, электронная почта, полное имя).
Минусы технологии сразу не проявляются, но прозрачны. У недобросовестных операторов ноды существует возможность отслеживать, какие ресурсы посещают их псифониты. Если основываться на принципах взаимного доверия, оператор по идее не разглашает эту информацию, чтобы не подвергать людей опасности. Ситуация сродни истории о прослушивании выходных нод TOR-сервера, который ты сам снифаешь при использовании различными пользователями. Так, достаточно недавно шведский специалист по безопасности (DEranged Security) собрал около сотни аккаунтов электронных почт делегатов международных посольств и правительств. Второй скользкий момент Psiphon состоит в том, что провайдеру ноды необходимо каким-то хитрым, а главное, безопасным способом передать данные для подключения клиенту. А ведь без дополнительных разъяснений это может оказаться крайне сложным…
Моменты общения
Помимо непосредственно серфинга в Сети, особенно остро стоит вопрос о конфиденциальности общения. Нынешний андеграунд знает много различных IM-систем, способные обеспечить секретность разговоров. Попадаются даже собственные разработки, например, NDC (проект от fij’a).
Западные товарищи активно используют такую штуку, как SILC (SILC Secure Internet Live Conferencing). Secure Internet Live Conferencing, если расшифровать, – это клиент серверной технологии для крипто-переписки в режиме реального времени. Самое интересное в том, что она распространяется в виде связки, состоящей из отдельно сервера, который ты сам можешь установить для своих парней, и официального клиента под Linux/Unix/Mac/Windows. В особых случаях можно вообще обойтись без установленного клиента на машине. Представь, что мы организуем собственный VPS/VDS. Подключение к нему производится по SSH, на который мы вполне можем установить SILC-сервер и непосредственно клиент под никсы. Теперь, если ты оказался в такой ситуации, когда нет возможности установить официальный клиент (или специальный плагин для известного мессенжера Pidgin), то ты можешь просто зайти по защищенному SSH и воспользоваться консольным клиентом. Получаем двойное шифрование своей переписки: SSH + SILC! Вижу, ты уже загорелся – тогда приступаем к настройке.
Пиринговые анонимные сети
В чем проблема такого замечательного средства, как VPN-сервис? На выходе получаешь совершенно другой IP, а весь трафик до сервера тщательно шифруется – сказка, да и только. Загвоздка в том, что ты все равно от кого-то зависишь. Нет никакой гарантии того, что сервак, на котором установлен VPN или прокся, не ведет логи, а в его подсети не орудует банальный снифер, который, как на десерт, уплетает весь расшифрованный трафик. Конечно, владельцы сервисов уверяют, что их услуги полностью безопасны и зачастую действительно прикладывают для этого массу усилий, еженедельно меняя IP, а иногда даже и площадки размещения серверов. Но 100% гарантий-то все равно нет. Давай посмотрим на это со стороны. Раз один сервер обеспечить анонимность не может, разумно попробовать периодически менять посредника – в этом случае отследить тебя будет гораздо сложнее. Так и родилась идея пиринговых анонимных сетей.
Вообще говоря, о подобной технологии, а именно – Tor, мы уже писали. Принцип обеспечения анонимности строится на базе распределенной системы серверов, так называемых нод, между которыми в зашифрованном виде передаются данные. Для соединения обычно используется три сервера, которые образуют временную цепочку. Серверы для нее выбираются случайным образом, причем каждый из них знает минимум информации о своих соседях. Однако Tor – это далеко не единственная разработка в этой области. Достигнуть широкой огласки ей помогли освещение в прессе и использование некогда в правительственных организациях и военных ведомствах. В то же время добротные разработки пока не продвинулись дальше своего аккаунта в Google Codes (бесплатный сервис для разработчиков – для хостинга своей программы и исходников, – Прим. Step’а).
Основное предназначение пиринговых сетей состоит в том, чтобы скрыть персону отправителя данных и их получателя. Иногда это делается даже в легальных целях (обмен информацией в кругу какого-то социального сообщества, типа «анонимных алкоголиков» и так далее). Но в целом многие эксперты выступают против таких сетей, потому что они увеличивают возможность оборота порнографии, нелегальных материалов и тому подобных вещей. Если рассматривать вопрос использования таких технологий со стороны безопасности, можно сказать, что они актуальны при обходе цензурных фильтров, которые активно применяются в разных странах (Китай, к примеру). Анонимные p2p-сети делятся на: opennet и darknet (friend-to-friend) реализации. С этим все просто. В первом типе сетей ноды выбираются автоматически или по указанию клиента, во втором же - юзер устанавливает соединение (direct) только с определенным узлом, который он сам, наверняка, знает. Некоторые из технологий, к примеру, Freenet (www.freenetproject.org) поддерживают оба типа соединения.
Конкретные реализации
Стоит отметить, что авторами подобного софта в основном являются немцы. Это легко объясняется суровостью законодательства в отношении хакерства и разработки вредоносного кода. Один из моих друзей в Германии со слезами на глазах рассказывал, что им запрещается даже держать софт с уклоном в тесты на проникновение или, не дай Бог, взлом (кроме случаев, когда ты предоставляешь такие услуги на реальной основе). В то же время орган, отвечающий за информационную безопасность страны - BSI, сам создал собственный LiveCD для «безопасников», напичканный софтом типа John-The-Ripper и т.п. Поэтому среди населения крепнет желание уклониться не только от выполнения упомянутых законов, но и, разумеется, ответственности за их несоблюдение. Остановившись на Германии, приведу в пример их одну из самых известных разработок из децентрализованных анонимных сетей - I2P (i2p2.de).
С установкой и настойкой проблем не возникнет – они предельно просты. Необходимо скачать клиент, требующий Java, и после запуска он забиндит адрес http://localhost:7657, через который ты и попадаешь в мир I2P. Там ты обнаружишь нечто вроде реальной сети, со своими сервисами, приложениями, личным кабинетом, где ты можешь отслеживать трафик, а также мониторить новые ноды. Итак, основные приложения, доступные для использования внутри I2P:
* Susimail (localhost:7657/susimail/susimail)
* SusiDNS (localhost:7657/susidns/index.jsp)
* I2Psnark (localhost:7657/i2psnark)
* eepsite (localhost:7658)
* I2PTunnel (localhost:7657/i2ptunnel/index.jsp)
* мониторинг туннелей (localhost:7657/tunnels.jsp)
Непосредственно анонимный серфинг в инете осуществляется посредством HTTP-proxy I2P на 4444-порту. Кстати, в самой сети установлены защищенные веб-узлы, специально заточенные для соблюдения анонимности и называемые eepsites.
Обходим фильтры
Еще одна интересная разработка в этой области – проект Psiphon (psiphon.ca). Цель разработчиков – предоставить возможность беспрепятственного доступа в инет гражданам тех стран, где это серьезно ограничивается. В большинстве стран никаких ограничений и фильтров нет, но есть целый ряд государств, имеющий свой взгляд на свободу в Сети. Общая идея проекта Psiphon заключается в том, что пользователи, проживающие в свободных и адекватных странах (вроде России), помогают менее удачливым братьям по разуму из других стран получить свободный доступ к Глобальной Сети. Без ограничений, цензуры и шейперов.
Psiphon работает через компьютерные сети, между участниками которых установлены доверительные отношения. Имеются провайдеры psiphon, которые устанавливают, контролируют и обслуживают psiphon-сервер (psiphonode) в той стране, где нет цензуры, и есть пользователи psiphon (psiphonites), которые входят в систему и получают доступ к заблокированному серверу из страны, где интернет проходит через цензуру. Любому, кто столкнулся с подобными ограничениями, под силу найти список псифонод и, попользовавшись настройками, получить возможность выходить в Web без всяких запретов.
Что представляет собой псифонод для обычного пользователя? Обычный веб-прокси – специальный сайт, с дополнительной панелью для ввода адреса и фреймом, где отображается содержимое запрашиваемого ресурса. Таким образом, для использования не нужно ничего, кроме обычного браузера.
Как организовать свой псифонод и предоставлять друзьям доступ к заблокированному для них контенту? Вот один из вариантов:
1) Качаем сам Psiphon (psiphon.ca/download) для Винды. Там же находятся версия для Linux, а также исходники приложения.
2) Во время обычной процедурой установки, наверняка, начнет ругаться твой файрвол. Необходимо разрешить нашей программе выходить в Сеть и разблокировать процесс. Далее придется напрячь извилины и придумать уникальное имя для своего псифонода.
3) На следующем этапе программа определит твой IP-адрес, проверит доступность 443-порта (для SSL). Если он занят, тебе потребуется вручную указать любой свободный порт.
4) Установка завершена – можно смело жать «Start». Как только твоя нода перешла в состояние «ON», проверь ее доступность, обратившись на адрес по синей ссылке в верхней части управления. Заметь, что URL для запроса имеет следующий вид: https://ip:443/имя (соответственно, введенное тобой на втором этапе). Если все корректно пашет, то в браузере должна открыться сертификационная страница, где клиент должен будет принять сертификат и ввести данные для авторизации. Кстати о них! Аккаунты для клиентов создаются с помощью кнопки «Add» (логин, пароль, электронная почта, полное имя).
Минусы технологии сразу не проявляются, но прозрачны. У недобросовестных операторов ноды существует возможность отслеживать, какие ресурсы посещают их псифониты. Если основываться на принципах взаимного доверия, оператор по идее не разглашает эту информацию, чтобы не подвергать людей опасности. Ситуация сродни истории о прослушивании выходных нод TOR-сервера, который ты сам снифаешь при использовании различными пользователями. Так, достаточно недавно шведский специалист по безопасности (DEranged Security) собрал около сотни аккаунтов электронных почт делегатов международных посольств и правительств. Второй скользкий момент Psiphon состоит в том, что провайдеру ноды необходимо каким-то хитрым, а главное, безопасным способом передать данные для подключения клиенту. А ведь без дополнительных разъяснений это может оказаться крайне сложным…
Моменты общения
Помимо непосредственно серфинга в Сети, особенно остро стоит вопрос о конфиденциальности общения. Нынешний андеграунд знает много различных IM-систем, способные обеспечить секретность разговоров. Попадаются даже собственные разработки, например, NDC (проект от fij’a).
Западные товарищи активно используют такую штуку, как SILC (SILC Secure Internet Live Conferencing). Secure Internet Live Conferencing, если расшифровать, – это клиент серверной технологии для крипто-переписки в режиме реального времени. Самое интересное в том, что она распространяется в виде связки, состоящей из отдельно сервера, который ты сам можешь установить для своих парней, и официального клиента под Linux/Unix/Mac/Windows. В особых случаях можно вообще обойтись без установленного клиента на машине. Представь, что мы организуем собственный VPS/VDS. Подключение к нему производится по SSH, на который мы вполне можем установить SILC-сервер и непосредственно клиент под никсы. Теперь, если ты оказался в такой ситуации, когда нет возможности установить официальный клиент (или специальный плагин для известного мессенжера Pidgin), то ты можешь просто зайти по защищенному SSH и воспользоваться консольным клиентом. Получаем двойное шифрование своей переписки: SSH + SILC! Вижу, ты уже загорелся – тогда приступаем к настройке.
Последнее редактирование:
