Сайт о телевидении

Определение:
Анонимность это Безименность, неизвестность; умолчание, скрытие имени.

Решение:
На пути между Вами и интернетом не должно быть ничего что может связать Вас с вашим соединением. И вы не можете вести себя как обычно. При этом Ваше обычное поведение в это же время должно быть записано ложно.

Кто Вы такой можно узнать
1) Финансовый след
приобретение устройств и услуг которые обеспечивали Ваш доступ в интернет
получение выгоды из интернета в виде финансов, товаров и услуг
2) Электронный след
IP, MAC, время, встроенные камеры, wifi, gsm, gps, микрофон.
операционные системы, программы, плагины и прочее.
эти людишки снующие вокруг с мобилами в которых стоит софт по сбору информации не только о владельце мобилы но и о окружающем радиоэфире. Координаты GPS, базовые станции GSM, WiFi хотспоты, bluethooth девайсы и т д. А вон блондинка говорит по телефону, а её камера втихаря снимает что Вы посмотрели в её сторону. Это не потому что на шпионка, а потому что ставит на телефон всё без разбору.
3) След метаданных
почерк: скорость, характерные особенности Вашей работы в интернет. Стиль набора текста на клавиатуре имеет свой отпечаток. Орфографические ошибки, исправляемые опечатки, пунктуация и т д. Строка поиска гугла в в любом браузере при помощи JS (если он разрешён) передаётся на сервер гугла непрерывно пока Вы печатаете. Считайте что информация о характере набора передаётся в интернет. Гугл делает всё чтобы знать вас в лицо даже если на нём находится маска. Не забываем про мышку или тачпад.
информация которую Вы ищете без маски анонимоуса может Вас выдать при попытке сделать тоже самое в маске. Нужно иметь чётко прописанные инструкции чего делать нельзя и чётко ограниченные действия. Ваша анонимная жизнь должна быть похожа на будни шпиона. Это самодисциплина, это труд, это постоянное пополнение знаний и применение их на практике. Очень сложно не спалиться на практике когда за тобой 24 часа следят и делают это ненапрягаясь.
с прискорбием помолчим о том что ваши друзья напротив вашего Ника или номера телефона заботливо напишут ваше имя дату рождения, отношение, фотографию и аплоаднут на эпл или гугл, а все приложения имеющие доступ к адресной книжке (а туда не лезет только ленивый) знают это сразу.

Подключение к интернету можно украсть, купить симку с GPRS у цыган, но как Вы спрячетесь от видеокамер заботливо расставляемых по всему миру. RFID чипы от банков, библиотек, метрополитена заботливо рассованны по вашим карманам. Удостоверение личности становится биометрическим и его наличие в кармане в общественном месте навязывается законом.
Чем современее компьютер телефон тем с больше вероятность наличия в нём заводского бэкдора на уровне чипов, или бэкдора от перекупщика или службы доставки. Вы думаете что установив Tails или Кали Линукс Вы решили проблему - ошибаетесь вам нужно ещё и собрать компьютер на лампах:). Или вот вы таскаете с собой свой телефон он дарит провадеру информацию о том где Вы находились 24 часа в сутки. Дарит ему Ваши ежедневные привычки. Вот Вася едет на работу, вот с работы. А вот внезапно Вася пропал с радаров, хотя обычно в это время он ездит по маршруту А или Б. Странненько. Аномалия. А теперь если вся эта информация попадает в одни руки и анализируется, что получается? Получается что круг подозреваемых резко сужается. Васю находят на камерах на Митино, он покупает симку у циган, или стоит около библиотеки в автомобиле с ноутбуком на коленях.

А то что Вася пользуется TOR, VPN и необычной операционкой это для провайдера не секрет. Просто ему до времени нет дела до Васи. Записанный трафик можно вскрывать и потом.

Так что подпишусь под словами АртемЪ
Хотите аномнимности в интернет, не пользуйтесь интернетом.

Из месяца в месяц на андеграунд форумах всплывают темы - а как-же создать себе максимальную анонимность и стать неуязвимым, хватит ли ВПНа и натянутых носков и т.п. ересь, которая приелась и на которую уже отвечают заученными фразами вроде - Захотят найдут, 100% не бывает.

Берем лопаты и носилки.

Как не прискорбно об этом говорить нам все равно понадобится ВПН, его можно купить, украсть, родить, короче как его добыть решать вам. На бесплатные я бы не делал ставки, если уж совсем денег нет, покупайте у кебрума, там всего 5-6 баксов в месяц тарифы, ограничений нет никаких, да и есть демо режим, если торенты не качаете можно и в демо режиме поработать, однохуйственно. Ладно, каким-то образом вы завладели ВПНом, что-же дальше?

А дальше ДА-ДА-ДА, тот самый TOR, качаем, устанавливаем, все работает из коробки, правда из коробки если используете винды, под линуксами придется поебаться немножко, но труды ваши будут вознаграждены, лично я все строил на убунте 12, по началу плевался, но сейчас само заебись, аж эрекция. В общем тот TOR, который идет в коробке, тормоз еще тот, так что надо его правильно настроить, вот с этим конфигом, ваш TOR будет летать быстрее самолета + будут исключаться ненужные нам страны, то есть мы никогда не получим как вариант Российский IP адрес и постоянно будем выходить через американские узлы, само собой будем косить под амера.

Конфиг TOR

Как и куда пихать его, найдете легко в гугле.

Что мы имеем, значит выбираем Exit ноды только из США указав явно {US}, все промежуточные и входные узлы будут меняться по странам исключая эти: {RU},{UA},{BY},{LV},{LD},{MT},{GE},{SU}, этот список стран был составлен опытными кардерами, возможно следует добавить в список какие-то еще страны, если знаете какие, обязательно поделитесь. На все остальные значения не обращаем внимания, если есть желание можете на оффсайте TOR’а почитать о каждом параметре отдельно, при условие, что вы знаете английский язык либо воспользовавшись переводчиком от гиганта.

Значит отконфигурировали мы с вами TOR, обзавелись ВПНом, фундамент готов. Как мы знаем весь трафик на Exit ноде в торе прозрачен и легко может быть перехвачен злоумышленником, но мы не оставим плохим дядькам ни единого шанса. Натянем поверх всего этого фундамента SSH туннель. То есть вот что у нас получится:

1. Подключаемся к сети через ВПН, соответственно становимся амером, IP меняется на американский (вы можете строить свои цепочки и по желанию, конфигурировать так как вам нравится, страны могут быть любые).
2. Дальше запускаем наш отконфигурированный TOR, соответственно TOR будет работать уже через ранее подключенный нами ВПН канал.
3. Натягиваем SSH туннель проксифицированный через TOR сеть поверх всего имеющегося.
4. На выходе имеем IP адрес SSH туннеля. А через Exit ноду идет шифрованный трафик и ни один плохой дядька его не расшифрует и не спалит ваши секреты.
5. ПРОФИТ!

Первые два пункта мы уже с вами рассмотрели, думаю все все поняли. А вот с натягиванием туннеля давайте разберемся поподробнее. Так как у меня убунта (для этих дел советую именно линукса, ибо SSH туннель под форточками охуенно нестабильно работает, исплюетесь), буду рассказывать, как сделать все это в никс системах. Для того что-бы прокинуть SSH туннель, нам надо заиметь SSH шелл на каком нибудь сервере, как это сделать рассказывать не буду, можете опять-же – купить, украсть, родить. Короче грубо говоря мы купили SSH шелл на амерском серваке, что-же дальше, а дальше нам надо строить очередную стену. В консоле пишем команду:

Команда proxychains означает что мы запускаем ssh через наш локальный сокс TORа на порту 9050 (грубо говоря проксифицируем наш туннель), дальше идет параметр –D который создает сокет на порту 8181 а дальше уже сам адрес SSH сервера, где сначала идет логин, а потом через собаку сам IP адрес сервера. Жмем ентер и видим такую фиговину:

Если увидели OK значит, заебись, мы приконектились к серверу через TOR сеть, потом вводите пароль, жмете снова ентер и сворачиваете консоль, между тем на локальном хосте 127.0.0.1 на порту 8181 у нас повисает сокет, через который мы уже и будем выходить в интернет.
Охуеть сколько букв, надеюсь все все поняли, хотя это и замороченная тема, но никак иначе проделать данную операцию не получится. Со временем привыкните и за минуту, будите создавать себе невзъебенно крутые каналы.

Как нас будут ловить

Допустим спиздили вы миллион денег и за вашу жопу объявили награду. Соответственно вас начинаю искать. Давайте рассмотрим, как-же будет раскручиваться цепочка.

1. Так как конечный IP адрес SSH шелла, то хлебом не корми, все силы бросят туда.
2. Так как SSH шелл идет у нас через TOR сеть, то соответственно цепочка меняется каждые 10 минут, меняются Exit ноды, мидл сервера и входящие узлы. Тут клубок ебать косить получается, лично я даже представить не могу, как можно будет что-то найти во всей этой поебени. Трафик у нас зашифрован на всех узлах, проснифить Exit ноду тоже не получится, TOR цепочки могут вообще через весь мир строиться. Так что это какой-то анреал, даже если и найдут Exit ноду, то дальше придеться искать мидл сервер. А на это на все нужны средства, связи и очень много чего еще, не каждая контора будет заниматься этим, проще забить.
3. Предположим, что случилось чудо, TOR сеть нас подвела и рассказала наш IP адрес ВПНа. Ну что сказать – все зависит от ВПН сервера, администрации, погодных условий и еще многих факторов. Тут уж как повезет, либо ВПН сдаст все ваши логии либо нет.
4. Даже если и определили ваш реальный IP адрес, узнали страну, город. Это еще ничего не значит. Никто не отменял левые симкарты, соседский вайфай. Ну это совсем для параноиков, вроде Бин Ладена, по некоторым данным, его безопасность строилась именно таким способом, который я вам описываю, хотя это опять-же глухой телефон. Хочешь сделать хорошо, сделай это сам! Свою неуязвимость можете подкреплять мыслями о том, что если вас захотят найти, то на это потребуются очень неплохие финансы, ведь представьте только себе, что предстоит сделать оперативнику, хотя бы, чтоб получить логи с SSH сервера, не говоря уже о TOR сети.
5. В данном примере я не рассматриваю сеть i2p, это говно вообще ни о чем, во первых от нее вы никогда не дождетесь реальной скорости, во вторых не сможите авторизироваться ни на одном сайте, ибо i2p с куками вообще никак не дружит, в третьих на выходе у нас будет постоянно Германский IP адрес. Это основные моменты, которые заставляют послать i2p на большой сочный хуй.

Безопасный серфинг или окапываемся

50 процентов нашей крепости мы с вами успешно построили, поверти лучше потратить на все это один день, зато потом за несколько минут приводить систему в полный дефкон. Но что нам эта крепость, если мы наследим? Давайте усложним задачу и настроим наш браузер на полный пиздец. То есть не позволим нашему браузеру выдать нас с потрохами. Из всех имеющихся в мире браузеров, успешно поддается настройке только Firefox, именно его мы и выберем. Для этого качаем последнюю портабл версию, гугл в помощь, распаковываем и запускаем.

Это позволит нам отключить всю ненужную хрень, которая нас может спалить, вроде Java, Flash и т.п. неведомая хуйня. Дальше устанавливаем такие плагины:

Скриншотер, пейджхакер и хакбар можно не ставить, это на любителя, все остальное должно быть обязательно. Дальше выставляем галки как на этом скриншоте, это не позволит нам спалиться на кукисах, то есть после закрытия браузера, все куки на хуй удаляться и не возникнет в дальнейшем проблем если вы случайно забыли построить анонимные туннели.

и ищем строчку geo.enable – выставляем это значение в false, это позволит нам не привязывать браузер к нашему местоположению. Так, с основными настройками разобрались, теперь давайте конфигурировать установленные плагины.

NoScript

Первым делом настраиваем NoScript, особого ума там не надо, просто ставим галку – Запретить все JavaScript и все, хотя я еще покопался и отключил всякие ненужные уведомления. Заметьте что при включенном NoScript, у вас не будут работать некоторые сайты, которые содержат Java скрипты, так или иначе вам иногда всетаки придется отключать этот плагин, ибо тут никак, либо пользоваться мобильными версиями сайта. С отключенным плагином, мы спалим очень много данных о себе, например – версия браузера, разрешение экрана, глубина цвета, язык, операционную систему и многое многое другое включая ваш настоящий IP адрес. Так что, тут либо все либо ничего!

ModifyHeader

Этим замечательным плагином, мы отфильтруем некоторые передаваемые заголовки, не все конечно, а только те которые можно будет отфильтровать, смотрите на картинке и повторяйте за мной.

Как только закончили, нажимаем на морду с надписью Start, плагин активируется и будет фильтровать неугодные нам заголовки. Поехали дальше.

FoxyProxy

Этот плагин позволяет нам легко переключаться между проксями, например вы хотите выйти в интернет миную ssh туннель, либо наоборот использовать всю имеющеюся цепочку, либо вам нужен лишь TOR, примеров привести можно много. Создаем такую схему:

У меня тут всего 3 пункта, работа через TOR, работа через тоннель и прямой трафик без всяких проксификаторов.

Работа через TOR настроена так: 127.0.0.1 порт 9050 + нужно установить галку в Socks5
Работа через туннель, прописываем 127.0.0.1 порт 8181 (этот порт мы указали когда создавали ssh туннель, вы можете выбрать любой другой), так-же выставляем галку на Socks5. Все сохраняем и закрываем.

В первом случае у нас получится что в интернет мы будем выходить через ВПН, а дальше пускать браузер через TOR сеть, соответственно на Exit ноде наш трафик шифроваться не будет.

Во втором случае весь наш трафик идет через ВПН, затем проксифицируем ssh туннель через TOR сеть, на выходе получаем зашифрованный трафик и IP адрес выбранного нами ssh сервера.

В третьем случае мы вообще отключаем всю проксификацию и ходим в интернет с IP адресом нашего ВПН сервера.

Все это дело легко и удобно переключается мышкой и у вас не должно возникнуть никаких трудностей.

Манипулировать с плагинами мы закончили, надеюсь донес до вас азы всего этого барахла, если же чего-то не поняли, спрашивайте в комментариях. В принципе мы сделали себе безопасный браузер. Теперь можем шариться по сети и не бояться, что нас могут опознать по каким-то признакам, по сути мы замаскировались под обычного рядового американца, ничего нас не выдает. Вот сам отчет, как мы выглядим для других:

Заключение

В этой статье я познакомил вас с возможной концепцией анонимности в сети. На мой взгляд это оптимальная схема, конечно можно во всю эту цепочку добавить ДаблВПН, соксы и еще с три короба накрутить, но скорость будет уже не та, все зависит о желания и степени параноии. Все плюсы и минусы схемы я описал выше, надеюсь вам понравилось и натолкнуло на какие-нибудь правильные мысли.

Печеньки и стратегия

Ко всему этому хочу напомнить вам, что не следует забывать и о других предосторожностях, на пример установка англоязычной операционной системы, использовать виртуальные машины для черных дел, менять макадреса на сетевых картах, шифровать жесткие диски, при каждом новом подключении обязательно проверять свой IP адрес на специализированных ресурсах, то есть подключили ВПН – проверили IP адрес, подключили TOR опять-же проверили и так далее по накатанной, бывают ситуации, когда ВПН вроде и поднялся, но IP не сменился, вот и спалились, так что обязательно учитываем все мелочи, лучше сто раз проверить, чем потом сто лет жалеть. Так-же при совершении сделок не использовать ICQ, исключительно jabber и исключительно подключать его через созданные тоннели, на крайняк можно обойтись одним TOR’ом. Все деньги которые вы зарабатываете в сети, храните в LR либо в ЯД, затем покупайте на них Bitcoin, ну а дальше все средства анонимно выводятся любым удобным способом. После каждой сделки, меняйте Bitcoin кошелек (делается в пару кликов), потом все свои средства сливайте в один, который нигде не светился. Не забываем проксифицировать все приложения с которыми работаем, можно вообще всю систему настроить так, что абсолютно все программы будут ходить в интернет через ваши тоннели, опять-же направлю вас в гугл, информации об этом полно. Если вам чрезмерно важна винда и вы не можете или не переносите никс подобные системы, то то-же самое можно проделывать и под форточками, но поверьте что геморроя будет больше и стабильность упадет в разы, так что набирайтесь терпения и изучайте линукса если уж выбрали темную сторону. На этом спешу с вами распрощаться! Если что не понятно, спрашивайте, разжую! Пока пока!

Вся приведенная мною информация в этом топике дана лишь для ознакомления и не является призывом к действиям, вся ответственность лежит на ваших плечах.

Upd:

В Firefox обнаружилась еще одна интересная штука, рассказываю!

Вводим в адресную строку браузера: about:config
Ищем параметр: network.proxy.socks_remote_dns
Выставляем его в: true

Теперь браузер настроен на использование DNS-серверов самого SSH-туннеля. Для примера, если вы зайдете на whoer.net с подобными настройками браузера, вы увидите DNS-сервер страны SSH-туннеля, а не DNS вашего провайдера или OpenVPN-сервера, через который вы заходите в Интернет.

Last updated by at Июль 2, 2015 .

Во время массовой интернетизации всего мира всё сложнее скрыть свою личность в Глобальной сети от других пользователей. Одни государства вводят цензуру в своем национальном сегменте Сети, другие выискивают ходы по ограничению прав пользователей, в том числе и свободы слова. Подвергать цензуре Глобальную сеть могут даже небольшие компании, устанавливающие всевозможные фильтры на выход своих сотрудников в Интернет, блокируя социальные сети, чаты и всё то, что не имеет прямого отношения к работе. В России в последнее время также наблюдается тенденция к регулированию нашего сегмента Сети. Законы об интернет-СМИ весьма спорны в трактовке и предполагают контроль интернет-порталов за их читателями. Неоднозначная трактовка уже существующих законов, которые мало отражают действительность, неподготовленные кадры - всё это позволяет быстро закрывать ресурсы только по одному подозрению. За примерами далеко ходить не надо - это и попытка закрытия крупнейшего торрент­ресурса torrents.ru (ныне rutracker.org), и изъятие серверов в дата-центрах (блокировка ifolder.ru), и многое другое. После принятия пролоббированных законов, касающихся авторского права, правообладатели и «душеприказчики» звуко­ и видеозаписывающих компаний получили законное право решать, кто честен, а кого можно и прижать. Одна только некоммерческая организация РАО портит жизнь многим пиратам. Но, увы, меры, принимаемые этими компаниями, зачастую затрагивают не криминальные элементы, получающие прибыль с продаж и от распространения контрафактной продукции, а обычных пользователей, включая тех самых авторов и исполнителей. В связи с этой непрос-той ситуацией на многих популярных порталах Интернета обсуждается перевод серверов из российских зон.ru и.рф на зарубежные площадки, где у какой­либо организации нет возможности заблокировать домен только на основе домыслов. Многие ресурсы уже перевели свои сайты и домены на заграничные хостинги. Как известно, суровость российских законов компенсируется необязательностью их исполнения, однако в данном случае это правило перестает действовать. При этом чем выше популярность новостного или социального ресурса, тем быстрее он может попасть в число интернет-СМИ, где постепенно вводится тотальный контроль за пользователями.

В настоящей статье мы не будем рассуж-дать о правильности принятия тех или иных законов и мер по регулированию интернет-деятельности, а рассмотрим методы, обеспечивающие анонимность пользователя в сети Интернет.

Доступ к запрещенным сайтам

Первый метод - без установки дополнительного программного обеспечения. Представим, что пользователю из небольшой компании необходимо сохранить свое инкогнито в Интернете. Он не является инсайдером или любителем «взрослых» фильмов, просто общителен, и для поднятия настроения и бодрости духа ему нужно общаться с друзьями и знакомыми. Начальник отдела строго приказал системному администратору заблокировать сайты vkontakte.ru, odnoklassniki.ru, twitter.com и все популярные сервисы по обмену мгновенными сообщениями: icq, skype, mail.ru. Системный администратор, недолго думая, пошел по пути наименьшего сопротивления: создал правило блокировки портов этих сервисов и добавил в web filter блокируемые сайты. Пользователь в шоке: не работает его любимый сайт, да и коллеге об этом рассказать нельзя. Из такой ситуации есть достаточно простой выход - использование анонимных прокси.

Прокси­серверов, дающих возможность анонимно серфить в Интернете, довольно много. Однако владелец прокси-сервера, поскольку весь трафик идет через его сервер, может украсть и пароли, и любую другую конфиденциальную информацию, поэтому доверять публичным сервисам не стоит. Скрывшись от шефа, пользователь рискует потерять свои данные. В этом случае лучше использовать платный прокси-сервер или проверенный прокси знакомого.

Однако многие системные администраторы блокируют не только определенные сайты и сервисы сообщений, но и порты известных прокси-серверов. В таком случае у пользователя остается надежда лишь на то, что в компании не заблокирован туннельный трафик. Тогда несчастный пользователь может найти несколько VPN-серверов и, подключившись к ним, получить доступ по всем ресурсам Сети, включая торрент, который заблокирован в большинстве организаций де-факто. Тут нельзя не отметить тот факт, что пакеты трафика прокси-сервера, даже через защищенное соединение https к самому серверу, могут подвергнуться перехвату на стороне шлюза системного администратора. Применение туннельных соединений, напротив, предполагает использование защищенного канала связи: IPSec, MPPE и т.п. Однако найти бесплатный VPN-сервер с реализацией такой возможности сложно. Вообще, если дома хороший канал связи с выделенным прямым IP-адресом, то установить прокси-сервер или l2tp/pptp сможет каждый, прочитав несколько простых описаний. В любом случае положение офисного работника незавидно, поскольку системный администратор может жестко модерировать его перемещение в Глобальной сети.

Анонимность работы в сети

Для обеспечения анонимности в Интернете существуют специализированные утилиты, которые позволяют пользователям входить в анонимную и в большинстве случаев децентрализованную сеть. Как правило, многие из таких сетей - свободно распространяемые программы с исходным кодом. Публикация открытого кода имеет как минусы, так и плюсы. Например, плюсом является свободный доступ любого программиста к коду, что позволяет быстро находить проблемы и вычленять код инсайдеров, если таковой имеется. Минус заключается в том, что взлом действующей сети на основе проблемного кода может привести к деанонимизации находящихся в ней клиентов. Взломом анонимных сетей частенько занимаются спецслужбы и другие органы охраны правопорядка. К примеру, взлом японской анонимной сети позволил задержать и осудить нескольких распространителей новинок кинопроката в HD-качестве. О правильности такого метода борьбы с «вселенским злом» мы судить не будем. Лучше рассмотрим наиболее известные системы для анонимизации пользователей в Интернете.

TOR

Сеть TOR больше всего подходит пользователям, которые не занимаются обменом файлов в Интернете, а лишь хотят серфить его под маской, скрывая свои настоящие данные. Эта сеть, появившаяся относительно недавно, довольно быстро стала популярной. Прототип системы TOR был создан в исследовательской лаборатории Военно­морских сил США по федеральному заказу. В 2002 году эту разработку рассекретили, а исходные коды были переданы независимым разработчикам, которые создали клиентское ПО и опубликовали исходный код под свободной лицензией. Напомним, что такая мера была принята для того, чтобы все желающие могли проверить TOR на отсутствие ошибок и бэкдоров. В основе сети TOR лежит сеть из многочисленных клиентов, соединенных между собой виртуальными туннелями через Интернет. Когда какой­нибудь пользователь запрашивает страницу в Интернете с помощью этой сети, пакет с запросом шифруется и передается нескольким узлам в сети. При этом пакет проходит ряд клиентов сети и выходит от последнего из них уже к запрашиваемому сайту. Таким образом, никто из пользователей сети не знает, сколько клиентов прошел пакет и кто был инициатором подключения. Раз в десять минут цепочка компьютеров для клиента сети меняется, что обеспечивает большую защищенность сети. На данный момент сеть TOR насчитывает порядка 2 тыс. компьютеров­серверов и несколько тысяч клиентов. Поскольку эта сеть еще довольно мала, скорость соединения в ней нестабильна и редко превышает 200 Кбайт/с. Впрочем, изначально она задумывалась как средство анонимности для работы с веб­страницами, а не для передачи видеоконтента.

Для доступа во внешнюю сеть используется набор программ, которые идут в комплекте стандартной поставки к клиенту TOR. Для платформы Windows комплект поставки содержит клиент TOR, программу управления Vidalia и прокси-сервер Polipo. Программа управления позволяет настраивать все важнейшие параметры клиента (рис. 1). Прокси­сервер Polipo является Socks-сервером, поэтому невозможно с целью использования просто прописать его в настройках любого браузера. В большинстве случаев TOR подразумевает применение браузера Mozilla Firefox, к которому может быть установлен плагин Torbutton, позволяющий разрешать или запрещать использование сети TOR для этого браузера. Для тонкой настройки других браузеров или клиентов мгновенных сообщений для работы в сети TOR необходимо изменять настройки прокси-сервера Polipo.

Рис. 1. Программа управления Vidalia для сети TOR

Пользователи, не имеющие представления о работе прокси-серверов и других компонентов сети, могут скачать на официальном сайте TOR специальную сборку, которая, кроме клиента TOR, включает браузер Firefox, настроенный только для работы в этой сети.

Недавние исследования сети TOR выявили ее недостаточную защищенность. Один из пользователей на собственном примере показал, каким образом через сеть TOR может быть осуществлено проникновение в личные данные. Он установил на свой компьютер клиент TOR в режиме сервера сети. Это позволено всем пользователям и даже рекомендуется разработчиками для увеличения общей пропускной способности сети. Затем он установил на своем компьютере сниффер пакетов, что позволило ему прослушивать трафик проходящих через него пакетов пользователей. И затем успешно перехватил письма тех пользователей, которые, установив защиту в виде TOR, забыли установить шифрованное соединение с сервером почты. Таким образом, при использовании сети TOR не стоит забывать и о безопасных каналах везде, где это возможно.

В целом технология TOR позволяет работать с Интернетом в достаточно защищенном режиме, однако для большей ее эффективности необходим мощный канал связи, поскольку запросы к Интернету проходят через множество других клиентов.

Freenet

Децентрализованная сеть Freenet является, пожалуй, самой широко известной анонимной сетью для обмена пользовательскими данными. Она построена на базе Java-приложения, которое через шифрованные каналы связи устанавливает связь с остальными участниками сети. Поскольку Freenet представляет собой децентрализованную одноранговую сеть, она будет функционировать до тех пор, пока работает хотя бы один ее клиент. Сеть Freenet обес-печивает наиболее защищенное и анонимное соединение. В ней данные хранятся и извлекаются при помощи связанного с ними ключа, подобно тому как это реализовано в протоколе HTTP. В ходе разработки Freenet, которая началась еще в 2000 году, упор был сделан на высокую живучесть сети при полной анонимности и децентрализации всех внутренних процессов в ней. Сеть не имеет центральных серверов и не находится под контролем каких­либо пользователей или организаций. Даже создатели Freenet не имеют контроля над всей системой. Сохраненная информация шифруется и распространяется по всем компьютерам, входящим в сеть во всем мире, которые анонимны, многочислены и постоянно обмениваются информацией. Теоретически весьма сложно определить, какой участник хранит конкретный файл, поскольку содержимое каждого файла зашифровано и может быть разбито на части, которые распределяются между множеством компьютеров. Даже для участника сети требуются значительные усилия, чтобы узнать, какую именно информацию хранит его компьютер. Поскольку каждый пользователь может задать границы пространства, выделяемого для обмена данными, это затрудняет определение кусков данных, которые хранятся на пользовательском компьютере. Запрошенный с сети файл собирается по кусочкам от разных пользователей, так как основным принципом передачи данных в этой сети является модифицированная технология torrent.

Клиент сети Freenet представляет собой консольную утилиту, которая поставляется для большинства современных операционных систем. Единственное требование - наличие виртуальной машины Java. После установки клиента сети пользователь может работать с ресурсами сети через любой браузер, который подключается к локальному хосту пользователя. Поскольку сеть полностью анонимная и децентрализованная, скорость передачи данных и работы в ней очень низкая. Для более высокого быстродействия необходимо большее количество пользователей сети, которые за счет своих каналов связи и должны по задумке обеспечить Freenet высокую пропускную способность. В настоящее время скорость скачивания информации в этой сети редко превышает 100-200 Кбайт/с. Интерфейс управления сетью также основан на веб­консоли (рис. 2).

Рис. 2. Консоль управления клиентом Freenet

Сеть Freenet можно рассматривать как огромное и при этом потенциально ненадежное распределенное устройство хранения информации. При сохранении какого-либо файла в этой сети пользователь получает ключ, с помощью которого впоследствии можно получить сохраненную информацию обратно. При предъявлении ключа сеть возвращает пользователю сохраненный файл, если он еще существует и все его час­ти хранятся на доступных анонимных клиентах.

Основной идеей сети Freenet является попытка недопустить навязывания группой лиц своих убеждений и ценностей другим, так как никому не позволено решать, что приемлемо. В сети поощряется терпимость к ценностям других, а в случае отсутствия последней пользователей просят закрыть глаза на содержание, которое противоречит их взглядам.

I2P

I2P - это анонимная распределенная сеть, которая использует модифицированную технологию DHT Kademlia и хранит в себе хешированные адреса узлов сети, зашифрованные алгоритмом AES IP-адреса, а также публичные ключи шифрования, причем соединения между клиентами также шифруются. В отличие от вышеописанных сетей, I2P предоставляет приложениям простой транспортный механизм для анонимной и защищенной пересылки сообщений друг другу.

Многие из разработчиков I2P ранее участвовали в проектах IIP и Freenet. Но, в отличие от этих сетей, I2P - это анонимная одноранговая распределенная децентрализованная сеть, в которой пользователи могут работать как с любыми традиционными сетевыми службами и протоколами, например E-Mail, IRC, HTTP, Telnet, так и с распределенными приложениями вроде баз данных, Squid и DNS. В отличие от сети Freenet, внутри сети I2P работает собственный каталог сайтов, электронные библиотеки и даже торрент­трекеры. Помочь сети и стать разработчиком может каждый пользователь. Кроме того, существуют шлюзы для доступа в сеть I2P непосредственно из Интернета, созданные специально для пользователей, которые по разным причинам не могут установить на компьютер программное обеспечение или же провайдер блокирует доступ в эту сеть. Основной особенностью сети является способность функционировать в жестких условиях, даже под давлением организаций, обладающих весомыми финансовыми или политическими ресурсами. Исходные коды программ и протоколов сети общедоступны, что позволяет пользователям убедиться в том, что программное обеспечение делает именно то, что заявлено, и облегчает сторонним разработчикам возможность совершенствовать защиту сети от настойчивых попыток ограничить свободное общение. Нельзя не отметить тот факт, что сеть I2P схожа по своей структуре с традиционным Интернетом и отличается от него лишь невозможностью цензуры благодаря использованию механизмов шифрования и анонимизации. Это привлекает пользователей, которым интересны инновации и мудреный интерфейс. Несомненным плюсом I2P является то, что третьи лица не могут узнать, что просматривает пользователь, какие сайты посещает, какую информацию скачивает, каков круг его интересов, знакомств и т.п.

По сравнению с Интернетом в I2P нет никаких центральных и привычных DNS-серверов, при этом сеть не зависит и от внешних серверов DNS, что приводит к невозможности уничтожения, блокирования и фильтрации участков сети. В идеале такая сеть будет существовать и функционировать, пока на планете останутся хотя бы два компьютера в сети. Отсутствие явных DNS-серверов не означает, что нельзя создать свою страничку. DHT Kademlia - механизм распределения имен в сети I2P - позволяет любым пользователям сети I2P создавать свои сайты, проекты, торрент­трекеры и т.д. без необходимости где­то регистрироваться, платить за DNS-имя или оплачивать какие­либо услуги. При этом каждый пользователь может абсолютно бесплатно и свободно создавать любые сайты, а узнать его местонахождение, как и расположение сервера, практически невозможно.

С каждым новым пользователем повышается надежность, анонимность и скорость сети I2P в целом. Для того чтобы попасть в сеть I2P, нужно всего лишь установить на своем компьютере клиент, коим является программа­маршрутизатор, которая будет расшифровывать/зашифровывать весь трафик и перенаправлять его в сеть I2P. Настраивать программу­маршрутизатор в большинстве случаев не требуется - по умолчанию она уже настроена оптимальным образом, а ее интерфейс полностью переведен на русский язык (рис. 3). При обращении к сайту или другому ресурсу в обычном (внешнем) Интернете программа­маршрутизатор автоматически, как и TOR, прокладывает туннель к одному из внешних шлюзов и дает возможность анонимно посещать и использовать внешние ресурсы Интернета.

Рис. 3. Консоль управления клиентом сети I2P

Выводы

Для обеспечения анонимности в Глобальной сети можно использовать множество различных способов. В большинстве случаев программы и виртуальные сети, позволяющие достичь той или иной степени анонимности в Сети, бесплатны и общедоступны. Каждый пользователь может выбрать для себя оптимальную программу или сеть для доступа как к внешним, так и к внутренним ресурсам. Однако чем выше защищенность используемой технологии, тем ниже ее скоростные показатели и доступность для понимания принципов ее работы. К примеру, если сеть TOR довольно прозрачна для большинства пользователей, то разобраться с настройками и принципом работы сети Freenet для рядового пользователя уже сложно. И хотя свобода слова и анонимность приветствуются большинством пользователей, существует и обратная сторона медали - распространение контрафактных материалов, запрещенного контента типа детской порнографии и т.п. Увы, это налагает отпечаток на все анонимные сети, ведь большинство пользователей негативно относятся к таким материалам, однако полная свобода предполагает именно такое положение вещей.

Переживания по поводу сохранения анонимности в интернете больше не являются заботой исключительно любителей порнографии, террористов и хакеров. Скомпрометированные персональные данные могут сделать вас жертвой мошенников, крадущих личную информацию, и нанести вам ущерб от иных нелегальных действий третьих лиц. Некоторые люди озабочены обеспечением безопасности от государственной слежки или даже слежки зарубежных правительств (и не без основания). При этом ничто не может обеспечить вам 100 % анонимность в интернете, так как всегда есть лазейки , которые могут быть использованы для вашей идентификации, а в различном программном обеспечении всегда остаются некоторые проблемы с безопасностью. Но если вы стремитесь создать себе более безопасные условия в наш век цифровых технологий, можно позаботиться о базовых мерах предосторожности, которые помогут вам в некоторой мере скрыть или завуалировать вашу личность в интернете.

Шаги

Часть 1

Знайте, что, скорее всего, ваш интернет-провайдер тоже анализирует трафик, чтобы знать, чем вы занимаетесь в сети. Чаще всего так провайдер проверяет, используется ли сеть для скачивания torrent-файлов или материалов, защищенных авторскими правами.

Поймите, что достигнуть полной анонимности в сети невозможно. Как бы тщательно вы ни скрывались, всегда остается некоторая информация, которую потенциально можно использовать для того, чтобы вас выследить и идентифицировать. Цель применения средств обеспечения анонимности - это сократить доступный третьим лицам объем личной информации, но из-за самой природы интернета достигнуть полной анонимности нельзя.

Поймите необходимый баланс. Просматривая интернет-страницы, вам необходимо сделать выбор между удобством и анонимностью. Сохранять анонимность в сети не так просто, и это требует существенных усилий и сознательных действий. Вы столкнетесь с заметным замедлением интернет-соединения при посещении веб-сайтов и будете вынуждены совершать дополнительные действия еще до того, как зайдете в сеть. Если вам важна ваша анонимность, будьте готовы пойти на определенные жертвы.

• В следующем разделе статьи мы расскажем вам о том, как избежать привязки личной информации к вашему IP-адресу, но не гарантируем сохранения анонимности. Чтобы еще больше повысить анонимность, необходимо дополнительно ознакомиться с двумя последними разделами статьи.

1. Используйте анонимные поисковые системы. Большинство крупных поисковиков, таких как Google, Yandex, Mail, Bing и Yahoo!, отслеживают историю поисковых запросов и привязывают их к адресу IP. Пользуйтесь альтернативными поисковиками, например DuckDuckGo или StartPage.

   Используйте менеджер паролей, чтобы держать сохраненные пароли под защитой. Если активно пользоваться интернетом дольше недели, вполне вероятно, что вам потребуется создать и запомнить целый ворох различных паролей. Порой соблазнительно везде использовать одинаковый пароль или его небольшие вариации, чтобы упростить себе жизнь, но это создает серьезный риск для вашей безопасности. Если один из веб-сайтов, где хранятся данные о вашем почтовом ящике и пароле к аккаунту, подвергнется хакерской атаке, то под угрозу попадут все ваши учетные записи на других сайтах. Менеджер паролей позволит вам безопасно управлять паролями для всех посещаемых вами сайтов, а также создавать надежные и даже случайные пароли для них.

   • Дополнительную информацию по установке менеджера паролей можно найти в сети.
   • С менеджером паролей вам не придется волноваться о создании легких для запоминания паролей. Вместо этого вы сможете создавать надежные пароли, которые практически невозможно взломать при действующих технологиях. Например, пароль «Kz2Jh@ds3a$gs*F%7» будет гораздо надежнее пароля «КличкаМоейСобаки1983».

2. Регулярно меняйте провайдеров VPS. Если вас очень волнует вопрос обеспечения безопасности, рекомендуется менять провайдеров VPS не реже раза в месяц. Это означает необходимость новой настройки OpenVPN каждый раз, но постепенно с каждым очередным повтором вы научитесь выполнять необходимые операции все быстрее и быстрее. Обязательно полностью перенастраивайте новый VPS, прежде чем подключаться нему.

Сначала хочу отметить, что данная тема очень обширна, и как бы я не старался донести все максимально сжато, но в то же время не упуская нужных подробностей и при этом излагать как можно более понятно для рядового пользователя, эта статья все равно будет пестрить различными техническими деталями и терминами, из-за которых придется лезть в гугл. Также предполагается, что читатель знаком хотя бы с основными моментами функционирования большинства популярных служб и самой глобальной сети.

В чем вообще заключается анонимизация?
Кроме нашумевшего на всех углах интернета мнения о сокрытии IP-адреса есть еще множество других деталей. По большому счету все методы и средства анонимности преследуют цель сокрытия провайдера. Через которого уже можно получить физически точное местоположение пользователя, обладая дополнительной информацией о нем (IP, «отпечатки» браузера, логи его активности в определенном сегменте сети и пр.). А также большинство методов и средств направлены на максимальное сокрытие/нераскрытие этой косвенной информации, по которой позже можно будет спрашивать у провайдера нужного юзера.

Какие есть способы анонимизации пребывания в сети?
Если говорить про обособленные единицы анонимизации (ведь есть еще схемы в виде комбинирования того или иного средства анонимности), то можно выделить следующие:
1) Прокси-серверы — бывают разных видов, со своими особенностями. По ним есть отдельный FAQ и другие топики на форуме;
2) VPN-сервисы — тоже работают по разным протоколам, которые предлагают провайдеры на выбор, их различия и особенности см. ниже;
3) SSH-туннели , изначально создавались (и функционируют по сей день) для других целей, но также используются для анонимизации. По принципу действия довольно схожи с VPN’ами, поэтому в данной теме все разговоры о VPN будут подразумевать и их тоже, но сравнение их все же будет позже;
4) Dedicated-серверы — самое основное преимущество в том, что пропадает проблема раскрытия истории запросов узла, с которого проводились действия (как это может быть в случае с VPN/SSH или прокси);
5) Великий и ужасный Tor ;
6) — анонимная, децентрализованная сеть, работающая поверх интернета, не использующая IP-адресацию (подробнее см. ниже);
7) Иные средства — анонимные сети, анонимайзеры и др. В силу пока недостаточной популярности они еще не изучены (а следовательно не имеют относительной гарантии надежности) сообществом, но достаточно перспективны, о них также см. ниже;

Что стоит скрывать, или какие есть деанонимизирующие данные и методы их получения?
Сразу отмечу, что все (основные по крайней мере) средства и методы для сокрытия данных в ниже представленном списке будут освещены в остальных вопросах этого FAQ’a. Еще хочу обратить внимание на один интересный ресурс , который посвящен вопросам, какую информацию мы оставляем о себе в сети, заходя в разных устройств;
1) IP-адрес , или самый популярный идентификатор в интернете. Дает возможность найти провайдера юзера и узнать у него точный адрес через тот же IP;
2) IP DNS провайдера , который можно «потерять» через метод, называемый (утечки DNS ). Важно отметить, что эта утечка может произойти при связке HTTP/SOCKS4 (5 в некоторых случаях) + Tor! Поэтому тут надо быть особенно внимательными;
3) Если большая часть траффика долго выходит в интернет через один узел, например, тот же Tor, то можно провести так называемое профилирование — отнести определенную активность к определенному псевдониму, который можно сдеанонить через другие каналы;
4) Прослушивание трафика на выходном узле или (man in the middle);
5) Одновременное подключение к анонимному и открытому каналам может в некоторых ситуациях создать непрятности, например, при обрывании соединения у клиента, оба канала перестанут функционировать, и на сервере можно будет определить нужный адрес, сопоставив время отсоединения пользователей (правда, это довольно геморный и далеко неточный способ деанонимизации);
6) Деанонимизирующая активность в анонимном сеансе — пользвоание публичными сервисами, особенно теми, на которых уже есть информация об этом пользователе;
7) MAC-адрес , который получает WiFi точка при подключении к ней (или он может быть бэкапнут коммутаторами одной из локальных сетей, через которую был осуществлен выход в интернет);
8) Информация из браузеров:

• Cookies — это текстовые файлы c какими-либо данными (как правило, уникальными для каждого пользователя), хранимые приложением (часто — браузером) для разных задач, например, аутентификации. Часто бывает, что клиент сначала посетил ресурс из открытого сеанса, браузер сохранил cookies, а потом клиент соединился из анонимного сеанса, тогда сервер может сопоставить cookies и вычислить клиента;
• Flash, Java, Adobe Reader — первые три плагина вообще можно выделить, как отдельные приложения на базе браузера. Они могут обходить прокси (DNS leaks ), засвечивать IP (IP leaks ), создавать свои подобия долгоживущих cookies и др. Также все три (в особенности этим грешит Flash) часто служат подспорищем для эксплуатации каких-нибудь 0-day или 1-day уязвимостей, позволяющих порой проникнуть в саму систему;
• JavaScript — исполняется на стороне клиента, не обладает таким широким спектром возможности в плане деанона, хотя может предоставить точную информацию об ОС, виде и версии браузера, а также имеет доступ к некоторым технологиям браузера, которые могут также, например, слить IP-адрес ;
• Browser fingerprint или отпечаток браузера — совокупность данных, которые браузер постоянно предоставляет серверу при работе с ним, что может сформировать достаточно уникальный «цифровой отпечаток», по которому можно будет найти юзера даже в анонимном сеансе или позже, по выходу из него;

Чем VPN отличается от прокси?
1) Трафик между клиентом и прокси передается в открытом виде, при использовании VPN уже идет шифрование;
2) Стабильность — при создании VPN соединения как правило постоянная, редко создаются разъединения, у прокси они происходят относительно чаще. Но все зависит от провайдера;
3) Кроме шифрования соединения VPN предоставляет более анонимный сервис в том плане, что используются DNS сервера VPN сервиса и не может произойти раскрытия приватных данных типа DNS leak , что ни чуть не хуже, чем раскрытие IP-адресаю Правда у SOCKS5 и SOCKS4a-прокси есть такая же возможность переложить DNS сервис на прокси-сервер;
4) VPN сервисы не ведут журналов или ведут на очень короткие сроки и неподробно (по крайней мере они так говорят), большинство прокси-серверов не дают таких обещаний;

Насколько эффективна цепочка из прокси-серверов?
Скорее она неэффективна, если ориентироваться по соотношению прироста времени деанонимизации на уменьшение скорости соединения от конечного ресурса к клиенту. К тому же, почти все недостатки деанонимизации, присущие прокси-серверам не исчезают при построении из них подобных цепочек. Поэтому можно сделать вывод, что данным методом при достижении анонимности лучше не пользоваться.

В FAQ’e про прокси-серверы не сказано о SOCKS4a, зачем он нужен?
Это промежуточная версия между 4 и 5 SOCKS’ами, в которой все функционирует аналогично 4, за исключением того, что SOCKS4a принимает только доменное имя вместо IP-адреса ресурса и сам его резолвит.

Можно поподробнее об особенностях, плюсах и минусах аренды dedicated-серверов?
Выделенный сервер предназначается далеко не для анонимизации, а для хостинга приложений, сервисов и всего другого, чегу заказчик посчитает нужным. Важно отметить, что арендатору предоставляется отдельная физическая машина, что дает ему некий гарант полного контроля этого узла и созадет важное преимущество для анонимности — уверенность в том, что история запросов никуда не утечет.
Учитывая вышесказанное и другие моменты можно выделить ряд преимуществ данного средства с точки зрения анонимизации:
1) Настройка HTTP/SOCKS-прокси или SSH/VPN-соединения на выбор;
2) Контроль истории запросов;
3) Спасает при атаке через Flash, Java, JavaScript, если использовать удаленный браузер;
Ну и недостатки тоже присутствуют:
1) Сильно дорогой метод;
2) В некоторых странах априори не может предоставлять анонимность, потому что арендатор обязан предоставить о себе данные: паспорт, кредитка и др;
3) Все соединения с выделенныем сервером логируются у его провайдера, так что тут возникает доверенность немного другого плана;

Через какие протоколы идет работа в VPN и какие у них есть особенности?
Лучше сразу рассматривать существующие сейчас варианты VPN, то есть какие связки и технологии предлагают провайдеры, если мы конечно не ставим цель поднять знания теории сетевых протоколов (хотя есть варианты с использоавнием одного единственного протокола, что мы также рассмотрим).
SSL (Secure Socket Layer ) протокол защищенных сокетов — использует защиту данных с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надежность передачи данных за счет использования корректирующих кодов и безопасных хэш-функций. Один из наиболее простых и «низкоанонимных» протоколов для VPN-соединений, использоуется в основном прилоежниями-клиентами для VPN. Чаще является частью какой-нибудь свзяки при создении VPN-соединения.
PPTP (Point-to-Point Tunneling Protocol ) — используется наиболее часто, довольно быстрый, легко настраивается, но считается наименее защищённым относительно других своих собратьев.


L2TP (Layer 2 Tunneling Protocol ) + IPSec (часто IPSec опускают в названии, как вспомогательный протокол). L2TP обеспечивает транспорт, а IPSec отвечает за шифрование. Данная связка имеет более сильное шифрование, чем PPTP, устойчива к уязвимостям PPTP, обеспечивает также целостность сообщений и аутентификацию сторон. Есть VPN на основе только протокола IPSec или только L2TP, но, очевидно, что L2TP + IPSec дают больше возможностей в защите и анонимизации, чем по отдельности.



OpenVPN — безопасный, открытый, а следовательно, распространённый, позволяет обходить многие блокировки, но требует отдельного программного клиента. Технически это не протокол, а реализация технологии VPN. проводит все сетевые операции через TCP или UDP транспорт. Также возможна работа через большую часть прокси серверов, включая HTTP, SOCKS, через NAT и сетевые фильтры. Для обеспечения безопасности управляющего канала и потока данных OpenVPN использует SSLv3/TLSv1 .
SSTP — такой же безопасный, как и OpenVPN, отдельного клиента не требует, однако сильно ограничен в платформах: Vista SP1, Win7, Win8. Инкапсулирует PPP-кадры в IP-датаграммы для передачи по сети. Для управления туннелем и передачи PPP-кадров данных протокол SSTP использует TCP-подключение (порт 443). Сообщение SSTP шифруется каналом SSL протокола HTTPS .


Отдельно стоит отметить сервисы, предоставляющие такие услуги как «DoubleVPN», когда перед достижением нужного узла траффик проходит 2 разных VPN-сервера в разных регионах. Или существует еще более жесткое решение — «QuadVPN», когда используется 4 сервера, которые пользователь может выбрать сам и расположить в нужном ему порядке.

Какие минусы есть у VPN?
Конечно же, не такая анонимность, как у некоторых других сервисов типа Tor’a, и не только потому, что алгоритм и схема другие. Также при использовании VPN все таки в критических ситуациях придется больше полагаться на добросовестное исполнение обязанностей этого сервиса (минимальное журналирование, работа без бэкапов трафика и пр.).
Следующий момент состоит в том, что хоть VPN и скрывает IP в большинстве случаев, а также предотвращает DNS leak , но есть ситуации, при которых и этот метод анонимизации даст сбой. А именно:
1) IP leak через WebRTC — на хроме и мозилле работает гарантированно и реализовывается через обычный JavaScript;
2) Утечка IP через Flash, инициировавший соединение с сервером и передавший ему IP клиента в обход VPN (правда работает не всегда);
Хотя эти случае можно предотвратить выключив у себя в браузере JS, Flash и Java;
3) При использовании клиентских настроек по умолчанию при разрыве соединения, в отличие от прокси-серверов, серфинг в сети будет продолжаться напрямую, уже не через виртульный канал, то есть будет полное палево;
Но этого можно избежать подкорректировав таблицу маршрутизации, где в качестве основного шлюза по умолчанию указать только шлюз VPN-сервера или перенастроить файрвол.

В чем различие между SSH-тунелями и VPN?
SSH-туннель ни что иное, как шифруемое по протоколу SSH соединение, где данные шифруются на стороне клиента и расшифровываются у получателя (SSH-сервера ). Создается для удаленного защищенного управления ОС, но как уже было написано выше, применяется еще для анонимизации. Поддерживает 2 варианта работы: посредством реализации приложением HTTP/SOCKS-прокси для направления траффика через локальный прокси-сервер в SSH-туннель. Или происходит создание практически полноценного (можно скзазать аналогичного, если брать последние версии SSH и OpenSSH) VPN-соединения.


VPN же разрабатывался в целях обеспечивать защищенный удаленный доступ к ресурсам корпоративных сетей, а следовательно компьютер, подключенный к VPN-серверу становиться частью локальной сети и может пользоваться ее сервисами.


То есть кроме технических мелких аспектов принципы функционирования схожи. А основное отличие состоим в том, что SSH-туннель — это соединение точка-точка, а VPN-соединение — это соединение устройство-сеть (хотя спецы могут и перенастроить по своему усмотрению).

Как работает Tor со стороны клиента?
В сети море вариаций ответов на этот вопрос, но хочу попробовать изложить основы как можно более просто и лаконично, избавив читателя от копания в горах аналитической и сложной информации.
Tor — система маршрутизаторов, доступных только клиентам самого Tor’a, через цепочку которых клиент соединяется с нужным ему ресурсом. При дефолтных настройках количество узлов — три. использует многоуровневое шифрование. Опираясь на эти особенности, можно кратко описать общую схему доставки пакета данных от клиента к запрашиваемому ресурсу через 3 узла (то есть при настрйоках по умолчанию): предварительно пакет последовательно шифруется тремя ключами: сначала для третьего узла, потом для второго и в конце, для первого. Когда первый узел получает пакет, он расшифровывает «верхний» слой шифра (как при очистки луковицы) и узнаёт, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. А передача зашифрованных данных между промежуточнимы маршрутизаторами осуществляется через SOCKS-интерфейсы, что обеспечивает анонимность в купе с динамичным переконфигурированием маршрутов. И в отличие от статических прокси-цепочек, конфигурации луковых маршрутизаторов может меняться чуть ли не скаждым новым запросом, что только усложняет деанон.

Какие преимущества и недостатки есть у Tor’a?
Из преимуществ стоит выделить:
1) Один из самых высоких уровней анонимности (при должной конфигурации), особнно в комбинации с другими способами типа VPN;
2) Простота в использовании — скачал, пользуйся (можно даже без особых настроек);
Недостатки:
1) Относительно низкая скорость, так как трафик идет через цепочку узлов, каждый раз происходит расшифровка и может проходить вообще через другой континент;
2) Выходной трафик может прослушиваться, а если не использовать HTTPS , то и прекрасно фильтроваться для анализа;
3) Может не спасти при включенных плагинах — Flash, Java и даже от JavaScript’a , но создатели проекта рекомендуют эти дела отключать;
4) Наличие урпавляющих серверов;

Если сайт детектит Tor, то я никак не могу зайти на этот сайт анонимным используя его?
Попасть на такой сайт можно двумя способами. При помощи более изощренной схемы, которая де-факто делает это посещение еще более анонимным: связка Tor ⇢ VPN , можно Tor ⇢ Proxy , если не нужна дополнительная анонимность, а только факт сокрытия использования Tor для сервера сайта, но надо исползьовать именно в этой последовательности. Так получается, что сначала запрос идет через луковые хосты, затем через VPN/Proxy , а на выходе выглядит, как будто просто VPN/Proxy (или вообще обычное соединение).
Но стоит заметить, что взаимодействие этих связок вызывает бурные обсуждения на форумах, вот раздел о Tor и VPN на сайте лукового проекта.


Либо можно использовать так называемые мосты (bridges ) — это узлы, не занесенные в центральный каталог Tor’a, как их настраивать можно посмотреть .

Можно ли как-то скрыть от провайдера факт использования Tor’a?
Да, решение будет почти полносью аналогичное предыдущему, только схема пойдет в обратном порядке и VPN соединение «вклинивается» между клиентов Tor’a и сетью луковых маршутизаторов. Обсуждение реализации такой схемы на практике можно найти на одной из страниц документации проекта.

Что следует знать о I2P, и как эта сеть работает?
I2P — распределенная, самоорганизующаяся сеть, основанная на равноправии ее участников, отличающаяся шифрованием (на каких этапах оно происходит и какими способами), переменнами посредниками (хопами), нигде не используются IP-адреса . В ней есть свои сайты, форумы и другие сервисы.
В сумме при пересылке сообщения используется четыре уровня шифрования (сквозное, чесночное, туннельное , а также шифрование транспортного уровня ), перед шифрованием в каждый сетевой пакет автоматически добавляется небольшое случайное количество случайных байт, чтобы ещё больше обезличить передаваемую информацию и затруднить попытки анализа содержимого и блокировки передаваемых сетевых пакетов.
Весь трафик передается по туннелям — временные однонаправленные пути, проходящие через ряд узлов, которые бывают входящими или исходящими. Адрессация происходит на основе данных из так называемой сетевой базы NetDb , которая распределена в той или иной мере по всем клиентам I2P . NetDb содержит в себе:

• RouterInfos — контактные данные роутеров (клиентов), используются для построения туннелей (упрощая, они представляют собой криптографические идентификаторы каждого узла);
• LeaseSets — контактные данные адресатов, используются для связи исходящих и входящих туннелей.

Принцип взаимодействия узлов этой сети.
Этап 1. Узел «Kate» строит исходящие туннели. Он обращается к NetDb за данными о роутерах и строит туннель с их участием.


Этап 2. «Boris» строит входной туннель аналогично тому, как и строится исходящий туннель. Затем он публикует свои координаты или так называемый «LeaseSet» в NetDb (здесь отметьте, что LeaseSet передается через исходящий туннель).


Этап 3. Когда «Kate» отправляет сообщение «Boris’у», он запрашивает в NetDb LeaseSet «Boris’а». И по исходящим туннелям пересылает сообщение к шлюзу адресата.


Еще стоит отметить, что у I2P есть возможность выхода в Интернет через специальные Outproxy, но они неофициальные и по совокупности факторов даже хуже выходных узлов Тоr. Также внутренние сайты в сети I2P доступны из внешнего Интернета через прокси-сервер. Но на этих входных и выходных шлюзах высока вероятность частично потерять анонимность, так что надо быть осторожным и по возможности этого избегать.

Какие есть преимущества и недостатки у I2P сети?
Преимущества:
1) Высокий уровень анонимности клиента (при любых разумных настрйоках и использовании);
2) Полная децентрализация, что ведёт к устойчивости сети;
3) Конфиденциальность данных: сквозное шифрование между клиентом и адресатом;
4) Очень высокая степень анонимности сервера (при создании ресурса), не известен его IP-адрес;
Недостатки:
1) Низкая скорость и большое время отклика;
2) «Свой интернет» или частичная изолированность от интернета, с возможностью туда попасть и повышением вероятности деанона;
3) Не спасает от атаки через плагины (Java, Flash ) и JavaScript , если не отклчить их;

Какие еще есть сервисы/проекты по обеспечению анонимности?

• Freenet — одноранговая сеть распределенного хранения данных;
• GNUnet — скоординированный набор софта для peer-to-peer соединения, не нуждающегося в серверах;
• JAP — John Donym , в основу взят Tor;
• — кроссплатформенный софт для бессерверного обмена письмами, мгновенными сообщениями и файлами с помощью шифрованной одноранговой F2F (friend-to-friend) сети;
• Perfect Dark — японский клиент под винду для файлового обмена. Анонимность сети Perfect Dark базируется на отказе от использования прямых соединений между конечными клиентами, неизвестности IP-адресов и полном шифровании всего, что только можно;

Следующие 3 проекта особенно интересные тем, что их цель — скрыть пользователя реализуется путем освобождения от провайдерской зависимости при интернет-соединении, за счет построения беспроводных сетей. Ведь тогда интернет станет еще более самоорганизованным:

• Netsukuku — Networked Electronic Technician Skilled in Ultimate Killing, Utility and Kamikaze Uplinking ;
• B.A.T.M.A.N — Better Approach To Mobile Ad-hoc Networking ;

Есть ли какие-то комплексные решения по обеспечению анонимности?
Кроме связок и комбинаций различных методов, вроде Tor+VPN , описанных выше можно воспользоваться дистрибутивами линукса, заточенными на эти потребности. Преимущество такого решения в том, что в них уже есть большинство этих комбинированных решений, все настройки выставленны на обеспечение максимального количества рубежей для деанонимизаторов, все потенциально опасные службы и софт вырезаны, полезные установлены, в некоторых помимо документации есть всплывающие подсказки, которые не дадут поздним вечером потерять бдительность.
По своему опыту и некоторых других знающих людей я бы выбрал дистрибутив Whonix , так как он содержит в себе самые новые техники по обеспечению анонимности и безопасности в сети, постоянно развивается и имеет очень гибкую настройку на все случаи жизни и смерти. Также имеет интересную архитектуру в виде двух сборок: Gateway и Workstation , которые в функционируют в связке. Основное преимущество этого состоит в том, что если в результате появления какой-нибудь 0-day в Tor или самой ОС, через которую попробуют раскрыть прятавшегося пользователя Whonix , то будет «деанонимизирована» только виртуальная Workstation и атакующий получит «очень ценную» информацию типа IP 192.168.0.1 и Mac address 02:00:01:01:01:01 .


Но за наличие такого функционала и гибкости в настройке надо платить — этим обуславливается сложность конфигурации ОС из-за чего ее порой ставят в низ топа операционок для анонимности.
Более легкие в настройке аналоги — это довольно известные , рекомендованный Сноуденом, и Liberte , которые также можно с успехом использовать в этих целях и которые обладают очень хорошим арсеналом для обеспечения анонимности.

Есть еще какие-нибудь моменты при достижении анонимности?
Да, есть. Существует ряд правил, которых желательно придерживаться даже в анонимном сеансе (если стоит цель достичь практически полной анонимности, конечно) и мер, которые необходимо предпринять перед входом в этот сеанс. Сейчас о них будет написано подробнее.
1) При использвоании VPN, Proxy и пр. всегда в настрйоках устанавливать использование статических DNS-серверов провайдера сервиса, дабы избежать утечек DNS. Или выставлять должные настройки в барузере или межсетевом экране;
2) Не использовать постоянные цепочки Tor, регулярно менять выходные узлы (VPN-серверы, прокси-серверы);
3) При пользовании браузером отключать по возможности все плагины (Java, Flash, еще какие-нибудь Adobe’вские поделки) и даже JavaScript (если задача полностью минимализировать риски деанона), а также отрубать использование cookies, ведение истории, долгосрочного кэширования, не разрешать отправлять HTTP-заголовки User-Agent и HTTP-Referer или подменять их (но это специальные браузеры для анонимности нужны, большинство стандартных не позволяют такую роскошь), использовать минимум браузерных расширений и тд. Вообще есть еще один ресурс , описывающий настройки для анонимности в различных браузерах, к которому тоже при желании стоит обратиться;
4) При выходе в анонимном режиме в сеть следует исопльзовать «чистую», полностью обновленную ОС с самыми последними стабильными версиями ПО. Чистая она должна быть — чтобы было сложнее отличить «отпечатки» ее, браузера и другого софта от среднестатистических показателей, а обновленная, чтобы понижалась вероятность подхватить какую-нибудь малварь и создать себе определенных проблем, ставящих под угрозу работу всех сосредоточенных для анонимизации средств;
5) Быть внимательным при появлении предупреждений о валидности сертификатов и ключей, для предотвращения Mitm-атак (прослушки незашифрованного трафика);
6) Не допускать никакой левой активности в анонимном сеансе. Например, если клиент из анонимного сеанса заходит на свою страницу в соц. сети, то его интернет-провайдер об этом не узнает. Но соц. сеть, несмотря на то, что не видит реальный IP-адрес клиента, точно знает, кто зашел;
7) Не допускать одновременного подключения к ресурсу по анонимному и открытому каналу (описание опасности было приведено выше);
8) Стараться «обфусцировать» все свои сообщения и другие продукты авторского интеллектуального производства, так как по жаргону, лексике и стиллистике речевых оборотов можно с довольно большой точностью определить автора. И уже есть конторы, которые делают на этом целый бизнес, так что не надо недооценивать этот фактор;
9) Перед подключением к локальной сети или беспроводной точке доступа предварительно менять MAC-адрес ;
10) Не использовать любое недоверенное или непроверенное приложение;
11) Желательно обеспечить себе «предпоследний рубеж», то есть какой-то промежуточный узел до своего, через который вести всю активность (как это делается с dedicated-серверами или реализовано в Whonix ), чтобы в случае преодоления всех предыдущих преград или заражения рабочей системы третие лица получали доступ к болванке-посреднику и не имели особых возможностей продвигаться в вашу сторону дальше (или эти возможности были бы карйне дороги или требовали затраты очень большого количества времени);

Подытожить можно вполне очевидным выводом: чем анонимнее/безопаснее технология или метод, тем меньше скорости/удобства будет при их использовании. Но порой бывает лучше потерять пару-тройку минут в ожидании или потратить чуть больше сил и времени на пользвование сложными техниками, чем терять потом значительно большее количество времени и других ресурсов от последствиий, которые могут произойти из-за решения где-то подрасслабиться.

Last updated by at Январь 18, 2016 .