О Tor, его настройке и безопасности
@liberaltrueРассмотрим вариант обеспечения приватности с помощью одного из самых доступных способов – использовании Тор-браузера. В статье рассмотрено несколько приёмов и способ устранения нескольких уязвимостей браузера, так же рассмотрены ошибки при использовании для новичков.
Возможные способы деанонимизации пользователей сети Tor:
1. Перехват обращений к DNS-серверу провайдера
Есть множество способов значительно снизить вероятность такого рода утечки информации - например, настроить обращение к DNS-серверам Google. Сделать это очень просто: нужно в настройках сетевого подключения заменить адреса вашего провайдера (для IPv4) на Гугловские 8.8.8.8 для первичного DNS-сервера и 8.8.4.4 для альтернативного. Для IPv6 публичные Гугловские DNS такие: 2001.4860.4860:8888 (первичный) и 2001.4860.4860:8844 вторичный.
Также можно воспользоваться Acrylic DNS Proxy или программой DNSCrypt, которая будет шифровать все ваши обращения к DNS-серверу. Это обеспечит достаточный уровень конфиденциальности, но с оговоркой – необходимо доверие к стороннему ПО.
Можно настроить работу через сервера OpenDNS. Этот вариант не требует установки дополнительного софта, но с другой стороны он не даёт полной гарантии. Какой именно вариант выбирать - вопрос риторический.
2. Перехват заголовков через выходные ноды Tor
Перехват трафика исходящей ноды является одной из самых актуальных проблем для обычного пользователя, который серьезно относится к своей анонимности, поэтому вынужден использовать VPN или SOCKS-прокси после выходного узла Tor.
3. Порт 53
Частично исправляет ситуацию установка на Firefox пакета Vidalia Bundle, с помощью которого можно торифицировать (пускать через сеть Tor) используемые приложения. Более радикальный метод - запрет обращения к 53-му порту. Сделать это можно при помощи IPTables и переназначить порт с помощью Dnsmasq.
5. Environment variables, MAC-адреса и IP пользователя
Если ваша деятельность в сети ограничена только использованием Тор-браузера, вы должны отдавать себе отчет в том, что не исключен вариант утечки информации о переменных средах вашей системы.
Одним из самых эффективных способов противодействия данному безобразию состоит в совместном использовании Тор-браузера и VPN + SOCKS-сервер. Подробнее об использовании этой связки, её плюсах и минусах я расскажу далее.
7. Tor+VPN
Есть два разных подхода к их совместному использованию: сначала подключение к VPN, затем запуск Тор и наоборот. Мы рассмотрим оба варианта.
1. Сначала подключаемся к VPN-серверу. Этим мы сразу убираем две рассмотренные ранее проблемы – скрываем от провайдера факт использования Tor и благодаря шифрованному соединению исключаем утечку данных на этапе до вхождения в Tor. Плюс имеем еще один неочевидный бонус: в случае компроментации самой Tor Network, мы остаемся за барьером VPN-соединения. Конечно, это в случае, если VPN-провайдер не хранит логов. В идеале, нужно использовать свой, грамотно настроенный сервак.
2. Сначала подключаемся к Тор. Данный способ тоже убирает две проблемы – скрывает для внешнего мира использование нами сети Tor и шифрует открытый трафик из выходной ноды. Но техническая реализация этого способа сложнее, чем в первом варианте и требует некоторых практических знаний.
Не редко случаются обрывы VPN-соединения. Чтобы при этом исключить утечку данных, я рекомендую назначить выбранный вами VPN-сервер шлюзом по умолчанию и в фаерволе отключить возможность пускать трафик, кроме как только через этот сервер.
Как настроить Tor для максимальной анонимности
1. Избегайте установки различных расширений, не имеющих цифровой подписи torproject. Если вам нужно посмотреть видео или прослушать аудио - помните, что это может вас деанонимизировать.
2. Будьте осторожны с сохранением куки (cookie). Если они вам все-таки крайне необходимы, используйте «TorButton» для их обработки и «Cookie Culler» для сохранения.
3. Никогда не включайте использование JavaScript! Трудно переоценить тот урон, который может нанести вашей приватности игнорирование этого пункта.
4. Проявляйте максимальную осторожность к скачанным файлам, особенно исполняемым. Никогда не запускайте их и не открывайте будучи онлайн, предварительно не убедившись в их безопасности. Для проверки используйте virustotal.com.
5. Крайне рекомендую совместно с Тор-браузером использовать Proxifier. Если вам не удастся найти рабочий ключ, а купить жаба давит, то как альтернативу используйте расширение HTTPS Everywhere от torproject и EFF. Это поможет вам защитить открытую часть трафика при невозможности или нежелании использовать VPN. Для быстрой проверки вашей анонимности используйте сервис whoer.net - иногда, при недостаточном внимании к настройке Тор-браузера вас могут ждать удивительные откровения=)
Ошибки:
Посещать собственный сайт в анонимном режиме - лучше избегать посещения персональных сайтов, к которым прикреплены реальные имена или псевдонимы, такое поведение ведёт к утечке анонимности,
- Заходить в аккаунты социальных сетей и думать, что вы анонимны. Не заходите в личный аккаунт Facebook или другой социальной сети через Tor.
- Никогда не заходите в аккаунты, которыми вы пользовались без Tor
Всегда предполагайте, что при каждом визите журнал сервера сохраняет следующее:
- Не авторизуйтесь в онлайн-банкинге или платёжных системах, если не осознаёте риски
- Не рекомендуется авторизация в онлайн-банке, PayPal, eBay и других важных финансовых аккаунтах, зарегистрированных на имя пользователя.
- Не чередуйте Tor и Open Wi-Fi. Некоторые пользователи ошибочно думают, что открытый Wi-Fi — более быстрая и безопасная «альтернатива Tor», поскольку IP-адрес нельзя привязать к реальному имени. Лучше использовать открытый Wi-Fi и Tor, но не открытый Wi-Fi или Tor.
- Не отправляйте конфиденциальные данные без оконечного шифрования. Использование оконечного шифрования — единственный способ отправить конфиденциальные данные получателю, избежав риска перехвата и раскрытия враждебным третьим лицам.
- Не раскрывайте в онлайне идентифицирующие данные Деанонимизация возможна не только с соединениями и IP-адресами, но также социальными способами.
Вот некоторые рекомендации защиты от деанонимизации от Anonymous:
Спойлер Не включайте в ники персональную информацию или личные интересы.
Не обсуждайте персональную информацию, такую как место жительства, возраст, семейный статус и т. д. Со временем глупые беседы вроде обсуждения погоды могут привести к точному вычислению местоположения пользователя.
Не упоминайте пол, татуировки, пирсинг, физические способности или недостатки.
Не упоминайте профессию, хобби или участие в активистских группах.
Не используйте специальные символы на клавиатуре, которые существуют только в вашем языке.
Не публикуйте информацию в обычном Интернете (Clearnet), будучи анонимным.
Не используйте Twitter, Facebook и другие социальные сети. Вас легко будет связать с профилем.
Не публикуйте ссылки на изображения Facebook. В имени файла содержится ваш персональный ID.
Не заходите на один сайт в одно и то же время дня или ночи. Пытайтесь варьировать время сеансов.
Помните, что IRC, другие чаты, форумы, почтовые списки рассылки — это публичные места.
Не обсуждайте ничего личного вообще, даже при защищённом и анонимном подключении к группе незнакомцев. Получатели в группе представляют собой потенциальный риск («известные неизвестные») и их могут заставить работать против пользователя. Нужен всего один информатор, чтобы развалить группу.
Герои существуют только в комиксах — и на них активно охотятся. Есть только молодые или мёртвые герои.
Если необходимо раскрыть какие-то идентификационные данные, то расценивайте их как конфиденциальную информацию, описанную в предыдущем разделе.
- Используйте мосты, если сеть Tor кажется опасной или подозрительной в вашем районе
- Не работайте долго под одной и той же цифровой личностью
- Не используйте несколько цифровых личностей одновременно. Использование псевдонимов в зависимости от контекста со временем становится всё сложнее и чревато ошибками.
- Не оставайтесь залогиненным в Twitter, Facebook, Google и др. дольше, чем необходимо. Сведите время авторизации в Twitter, Facebook, Google и других сервисах с аккаунтами (вроде веб-форумов) до абсолютно необходимого минимума. Немедленно выходите из аккаунта, как только прочитали, опубликовали информацию или выполнили другие необходимые задачи. После выхода из аккаунта безопасным будет закрыть Tor Browser, изменить цепочку Tor с помощью Tor Controller, подождать 10 секунд до смены цепочки — и затем перезапустить Tor Browser.
- Не изменяйте настройки, если последствия неизвестны
- Не используйте чистый веб и Tor одновременно. Используя одновременно не-Tor браузер и Tor Browser, вы рискуете однажды их перепутать и деанонимизировать себя.
При одновременном использовании чистого веба и Tor также возникают риски одновременных соединений к серверу по анонимным и неанонимным каналам. Это не рекомендуется.
- Не подключайтесь к серверу анонимно и неанонимно одновременно. Сильно не рекомендуется создавать соединения Tor и не-Tor одновременно к одному удалённому серверу.
- Не открывайте случайные файлы и ссылки
Если пользователю прислали файл любого типа или ссылку на файл (или на случайный URL/ресурс) по электронной почте или другим способом, требуется осторожность независимо от формата файла.
Подписывайтесь на мой канал @liberaltrue