Анонимность в сети
@smarttccontractHello, ув. обитатели канала @smarttccontract. Не так давно мы писали о крипто-анонимности, но хотим напомнить что также не стоит забывать о анонимности в сети. Ведь на самом то деле без второго не быть первому.
Люди только придя в даркнет, в большинстве своём, не начинают разбираться с анонимностью с чистого листа с технической точки зрения. Они начинают сразу же работать по теневым схемам с уже заложенной в их голову информацией которую они находили на каких-то сомнительных форумах, но эта информация является просто напросто устаревшей. Дело в том, что большинство статей которые я видела, именно на форумах, написаны просто новичками для сруба репутации и за собой никакого документального или практического применения они абсолютно не несут, соответственно они несут только лишь вред. Когда человек начитался непонятно чего, то у него появляется чувство безопаности, но на самом деле это появляется чувство беспечности. Он начинает совершать какие-либо опрометчивые поступки и думать что он находится в безопасности, но это не так.
Давайте рассмотрим с вами на практике самые основные схемы анонимности, их плюсы и минусы. Самая стандартная базовая анонимность, двойной VPN:
Начали мы с этой схемы потому что она самая простая. Тут мы даже не предусматривали схему рангом ниже - схему одиночного VPN'а. Это даже обсуждать изначально не имеет смысла, потому что одиночный VPN это не анонимность. Первое что хотелось бы сказать - VPN и анонимность не имеют ничего общего, абсолютно. VPN никогда не был создан для анонимности. VPN (Virtual Private Network) - виртуальная частная сеть, он был создан лишь с одной целью - это обеспечение шифрованного канала связи между пользователем и сервером. Всё. Других предназначений у него не было никогда.
То, что меняется ip адрес, то это просто средство смены ip адреса, в первоначальной задумке это только лишь средство защиты трафика для того чтобы его невозможно было расшифровать.
Давайте разберём из чего состоит самый обычный VPN. Есть три составляющие:
1. Аппаратная. Это либо физический, либо виртуальный сервер.
2. Программная. Платформа на которой построен наш VPN сервер: L2TP, p2p, open VPN, Hamachi и так далее. Их больше десятка различных платформ.
3. Сетевая. Это ip адрес. Нашему серверу, аппаратной части где находится программная часть, необходима сетевая часть, ip адрес для того чтобы обеспечить связь с этим сервером.
Итак, вот у нас есть три составляющие - заработал у нас VPN сервер. Давайте теперь смоделируем ситуацию как мы можем его использовать.
Например, представим что мы злые школьники, и находимся с вами в Ростове, VPN у нас находится где-нибудь в Берлине, и мы с вами взломали страничку в вк сына депутата который живёт в Москве, нашли там в переписках его интимные фото и начали шантажировать на деньги: "Заплати, или фото выложим в общий доступ". Он пожаловался папе. А у его папы есть хороший друг - майор ФСБ. Этот майор ФСБ видит наш VPN, наш Берлинский ipшник, он больше ничего не видит. Что он делает дальше? Что вообще можно узнать просто напросто по ip адресу? Что он может сделать минимально для того, чтобы определить VPN это или нет? Он может воспользоваться nmap или её графическим аналогом zenmap вбив туда этот ipшник, далее он сможет увидеть открытые порты, открытые сервисы и слепок операционной системы - узнать какая операционная система стоит. Этот ip адрес майор начинает проверять, обнаруживает что у него открыт 22 порт, это порт подключения по ssh как к выделенному серверу, у него открыт 80 порт и слепок операционной системы говорит что это Linux, то есть этот сервер сразу будет являться либо выделенным сервером, либо же он будет являться VPN'ом. Ну узнал майор что это VPN, хорошо. Что он дальше будет делать? Он возьмёт систему COPM (систему оперативно розыскных мероприятий).
Система COPM это не какой-то суперкомпьютер который может деанонимизировать любого человека, взломать пентагон и создать в течении 1 секунды 1000 биткоинов, нет. Это просто напросто средство аналитики, средство сбора и проверки информации. По закону РФ оборудование COPM должно находиться у каждого интернет провайдера и сотового оператора, фактически у любого субъекта предоставляющего телекоммуникационные услуги связи. Соответственно что он может сделать?
Майор даёт запрос COPM'у, тот ему выдаёт что подключение к такому то ip адресу было из Ростова в такое-то время. Это время совпадает со временем взлома странички, а также когда пришло сообщение с шантажом, мы деанонимизированы. На всё это уйдёт пара часов, это максимум, может быть час.
VPN, как мы и говорила ранее, ничего общего не имеет с анонимностью. То что мы вам сейчас рассказали это называется административная деанонимизация. Административная деанонимизация может быть в пределах какого-либо конкретного предприятия, города, региона, области или же какого-то конкретного субъекта, в данном случае РФ, либо же какого-то государства в целом. Также административная деанонимизация может быть использована на международном уровне.
Итак. Какой вывод мы можем сделать? Использования одиночного VPN'а, так же как и одиночного ssh, или одиночного proxy ничего общего с анонимностью не имеет, абсолютно.
Рассмотрим схему чуть-чуть другую, схема состоящая уже не из одного VPN, а из двух, из трёх, четырёх, из тысячи VPN'ов. Без разницы сколько их будет, нас это особо не волнует. Рассмотрим на примере двух:
У нас опять же таже самая ситуация. Мы находимся в Ростове, у нас есть два VPN'а. Первый находится в Париже, другой находится в Берлине. ФСБшник видит наш Берлинский ipшник, то есть ipшник нашего выходного сервера. Он проверяет откуда было подключение к этому ip адресу из РФ и было ли оно вообще, видит что не было этих подключений. Почему? Потому что информацию тому же COPM предоставляет провайдер, оборудование самого COPM находится у провайдера, соответственно провайдер видит что есть подключение от нас к Парижу, но не видит подключение из Парижа к Берлину. ФСБшник видит подключение из Берлина, но не видит подключение из Парижа. Соответственно на связке между Парижем и Берлином, первым и вторым узлами цепочка региональной административной деанонимизации разрывается. Провайдер не может знать куда мы дальше пошли. "Всё хорошо, можно использовать эту схему для анонимности и два VPN'а хватит вполне" - могут подумать многие.
Но, к сожалению, это не так, дело в том что если мы берём ipшник Берлина, который у нас не выходе, то чем он является? Он является третью составной частью нашего VPN'а, а именно сетевой.
Не в одной стране мира, нигде, никакой провайдер не получит разрешение на предоставление телекоммуникационных услуг если он не будет вести систему логирования. Ни в какой стране мира, никакой интернет провайдер не отключит систему логирования себе сознательно, потому что система логирования это система выявления каких-либо системных неполадок, сбоев, либо же системных проникновений хакеров, поэтому если провайдер её отключит, то фактически он лишается своих глаз, он не будет знать что происходит в его системе. Если вдруг что-то сломается, то он будет знать что там поломалось, а что конкретно поломалось будет неизвестно с таким подходом.
Соответственно, есть ip адрес, он принадлежит не VPN сервису где вы приобретали временное пользование VPN, он принадлежит не хостеру где хостится VPN сервис, он принадлежит не дата центру где хостится хостер у которого хостится VPN сервис, ip адрес принадлежит ПРОВАЙДЕРУ. У всех же остальных субъектов он находится либо в аренде, либо в субаренде.
Соответственно, майору ФСБ нет необходимости обращаться к сервису VPN, нет необходимости обращаться к хостингу, нет необходимости обращаться к дата центру. Он обратится напрямую к интернет провайдеру Германии, точнее к сцеслужбам Германии, а те уже к местному провайдеру, и они получают логи по данному ip адресу, увидят откуда было совершено подключение. В итоге наш майор получает подключение которое происходило из Парижа, далее ФСБшник обращается в Париж, получают информацию от французских коллег и выходит на Ростовский ipшник. Такая схема деанонимизации займёт примерно два дня. Защититься как-то при такой схеме от той же самой деанонимизации тайминг атаками практически тоже невозможно.
VPN > TOR > VPN.
Давайте теперь рассмотрим более сложный вариант, если мы добавляем в связку TOR:
Добавляя TOR - мы добавляем сразу три новых ресурса.
Раз уж я упомянула об одиночном VPN'е с самого начала, то также я упомяну и об одиночком TOR'е. Видела очень часто, что люди просто пользуются голым TOR'ом. Запускают TOR и думают, что анонимны. К сожалению, это не совсем так. Потому что если мы разыграем с вами туже самую сценку с ФСБшником, то вы это увидите. Мы из Ростова зашли в TOR, он у нас прошёл по куче узлов и мы взломали сына депутата, а далее начали его шантажировать. Что товарищ майор видит? Он видит ipшник принадлежащий TOR'у. Какие будут его дальнейшие действия?
Дальнейшие действия будут теже самые - использование COPM, будет просто напросто статистический запрос по провайдерам РФ - кто в данный момент использовал TOR. Далее, что он получает в результата этого запроса? В результате этого запроса получится лог из 3000-4000 человек которые в момент взлома находились в TOR, соответственно получили первый запрос 3000 тысячи человек. Когда мы вновь зашли и отписали например через сутки и снова начали шантажировать на деньги, то будет второй запрос, когда опять это случится, то майор делает третий запрос, после чего эти списки просто напросто он сравнит. При сравнении этих списков уже можно уменьшить круг подозреваемых с трёх тысяч человек до буквально 30, что фактически по силам распутать и найти нас уже одному оперативному сотруднику. Это первое, что касается TOR'а.
Второе, для тех кто пользуется даркнет форумами например. Представьте себе что вы сидите на даркнет форуме и продаёте что-то запрещённое, вы оставляете сообщения на форуме. Что у правоохранительных органов есть на вас? Есть ваша история посещений, ваши сообщения. Представим, что у вас 70 сообщений. ФСБшник даёт запрос на такое-то число, такое-то время, делается 70 запросов эллементарных, всё. Вас нашли и сдеанонили. Это что касается конкретно одного голого TOR'а.
Также ещё мы заметили у многих пользователей, практически у всех, 99%, включён java script, это вообще невероятная глупость которая противоречит самой сути использования TOR'а. Аудиотпечаток браузера. Кто пользуется TOR'ом и считает что он анонимен, то я вас расстрою, вы имеете свой уникальный идентификатор браузера. Сколько раз вы не меняйте свою личность, что угодно вы с этим TOR'ом будете делать, у вас всегда будет один и тот же идентификатор, у каждого свой - это я сейчас пишу для тех кто не отключает java script в процессе использования TOR.
Сложилась такая ситуация, у общественности о пользователях TOR'а, что его используют либо наркоторговцы, либо педофилы и соответственно неужели вы думаете что в такой большой стране как РФ, никто ещё недодумался, со всей системой слежения, ввести мониторинг людей которые используют TOR на уровне провайдера? Пофиг что вы там посещаете, это никому неинтересно, главное что вы его используете. А если вы его используете, то доказательств на вас всегда найти можно. Вы фактически уже являетесь под подозрением.
Есть такая вещь как административная деанонимизация TOR'а. У ФСБшника есть просто наш ipшник выходного ретранслятора TOR'а. Что он может сделать с этим ipшником? Он отправит запрос на этот ip адрес. В итоге он получит минимально 300 ответов. Почему 300 ответов? Потому что количество пользователей TOR'а более 3 миллионов. Количество выходных ретрансляторов TOR'а 7200, плавающее значение, плюс минус 100, скажем так. Так вот, в среднем нагрузка на один такой выходной ретранслятор пусть даже 300 человек. Сам TOR состоит из 3 узлов:
На картинке, которую мы добавили выше, зелёным компьютером является выходной ретранслятор TOR'а, его может создать каждый из вас. Так вот, это обычный компьютер, у него есть ipшник, ipшник принадлежит провайдеру. Запрос провайдеру - 300 ответов. Что хранят в себе эти 300 ответов? Это 300 синеньких компьютеров, то есть вы находитесь где-то в числе этих 300 компьютеров. Соответсвенно, майор даёт на каждый из этих 300 ответов ещё по одному запросу. Что он получит в итоге? На каждый из этих запросов он получит ещё по 300 ответов, в этих 300 ответах будут красненькие компьютеры, это минимум уже клубок в 90 тысяч соединений, МИНИМАЛЬНЫЙ клубок, за этим клубком может уже находиться тот же самый VPN, ssh, удалённый рабочий стол и так далее. Но фактически с таким методом деанонимизации никто не будет связываться, если только вы не супер террорист мирового уровня, но в теории об этом всё же надо знать. А вот с методом идентификации пользователя, посредством тех идентификаторов которые мы вам указали, самый из них мощный это как раз таки идентификатор динамического компрессора, то есть аудио идентификатор браузера. Уже здесь можно пользователя идентифицировать и соответственно в дальнейшем за ним следить, потому что где-нибудь он всё равно рано или поздно спалится.
Итак возвращаемся к нашей схеме VPN-TOR-VPN:
Зачем она нам нужна? Мы поняли, что использовать отдельно VPN, хоть единичный, хоть двойной, хоть тройной - смысла в этом нет, точно также как и использовать голый TOR, в этом смысла особого нет, за вами будет следить провайдер, вас можно будет всё равно вычислить. В анонимности нет универсального средства которое защитит от всего. Работают не части системы в отдельности, а система частей вместе. Сответственно, если мы совместим с вами VPN > TOR > VPN, то на выходе у нас абсолютно чистый ip адрес нашего второго VPN сервера, мы можем его менять, можем делать что угодно, сайты нас пускают, в отличие если бы у нас был на конце TOR. Он находится у нас в середине, о нём никто не знает, и первым - входным, у нас находится VPN сервер. Первый VPN сервер защищает нас от провайдера, соответственно если будет запрос по COPM'у - нас в TOR'е нет, если будет запрос по контретной личности которая сидит в TOR, то провайдер всё равно не увидит что мы пользуемся TOR'ом.
Рассмотрим, что будет если к этой цепочке ФСБшник применит административную деанонимизацию. Пусть исходящий VPN у нас будет в Амстердаме, нода TOR у нас будет в Болгарии, а VPN входящий у нас будет во Франкфурте например. Майор видит ipшник Амстердама, он даёт запрос по СОРМ'у, смотрит кто к нему подключался. Понимает, что никто к нему не подключался. Далее он даёт административный запрос спеслужбам Амстердама, просит предоставить ему логи подключения. Спецслужбы Амстердама дают ему ipшник TOR'а. Хорошо, ФСБшник даёт запрос через COPM кто подключался к TOR'у, проверяет всех наших подозреваемых. Пусть проверяет сколько угодно, потому что истинного человека там не будет. Провайдер не знает, что этот человек пользуется TOR'ом. Распутывать клубок TOR'а - давать запрос административный там где находится наш персональный TOR ретранслятор тоже не будет иметь никакого смысла, потому что этот клубок распутать в 90 тысяч соединений нужно потратить несколько месяцев, сотни тысяч долларов и задействовать десятки людей, опять же повторюсь, если вы не Бенладен, то никто не станет этим заниматься. Но здесь же всё равно, о чём хотелось сказать - безопасность это не только соединения, это точно также настроенная система, правильно настроенный браузер, это всё идёт в комплексе, это комплекс мер именно. А вот по поводу того является ли эта схема уникальной, то не совсем.
Теперь мы бы хотели вам предоставить чуть-чуть другую схему, не такую анонимную, не такую идеальную, но всё же:
Данной схемой пользуется довольно большое количество людей. С нашего компьютера мы подключаемся через VPN к удалённому рабочему столу, и на нём уже мы размещаем полностью всю информацию, после этого мы подключаемся с этого удалённого рабочего стола к нашему VPN'у. Хороша ли данная схема? Нет. Почему?
Потому что в ней отсутствует TOR. Знаете с чем бы мы хотели сравнить сейчас TOR? В фильмах, когда из вертолёта или со спутника следят за каким-нибудь правонарушителем, он едет на машине, потом заехал на подземную парковку или в туннель и с другой стороны выехал на совершенно другой машине. Вот это яркий принцип того же TOR'а. То есть, никогда не будет известно на каком соединении, на какой именно машине выедет пользователь, соответственно если использовать связку VPN > удалённый рабочий стол > VPN, то это фактически защитит только лишь от вредоносного программного обеспечения (вирусов). Но опять же, если вы являетесь более менее продвинутым и у вас хорошо настроена система на вашем удалённом рабочем столе, то вас даже вирусом не наградят. Соответственно, вас можно будет деанонимизировать с помощью административной деанонимизации, потому что никакого чёрного пятна, чёрной дыры на вашей связке не будет находиться. И хоть вы меняйте VPN на ssh туннели, хоть на прокси, абсолютно никакой разницы здесь не будет. Вас всё равно можно будет достать. Так что в эту связку нам нужно обязательно достроить TOR. Сейчас перед вами идеальная связка:
У нас уже было VPN > TOR > VPN, но между первым VPN'ом и TOR'ом мы встраиваем с вами ещё и удалённый рабочий стол. В чём прелесть данной связки? В том, что вы не храните информацию не на флешке, не на SD карте, не в своём компьютере, не в криптоконтейнере, вы не храните её нигде, она хранится где-то далеко в интернете. Плюс ко всему у вас нет нужды использовать и носить всегда с собой свой персональный компьютер. Вы можете подключиться к этому удалённому рабочему столу с телефона, планшета, фактически откуда угодно. На руках у вас ничего физического не будет, у вас будут только знания которые находятся в вашей голове. При применении данной связки мы получаем защиту от административной деанонимизации за счёт того что используем TOR и VPN в самом начале, на выходе мы получаем абсолютно чистый ip адрес за счёт использования VPN, также мы защищаемся с вами от вредоносного программного обеспечения путём использования удалённого рабочего стола. То есть, всё что мы делаем, вся наша работа, она находится где-то далеко в интернете, она не находится на нашем персональном компьютере, утечка нашего реального ip адреса фактически невозможна.
Конечно, тут можно парировать тем, что ФСБшник может заслать нам вирус с помощью социальной инженерии и этот вирус нами будет открыт на удалённом рабочем столе и тогда он узнает ipшник этого удалённого рабочего стола, а дальше майор уже делает административный запрос на ip адрес этого удалённого рабочего стола, получит ip адрес VPN'а с которого мы подключались и соответственно получит наш настоящий ip адрес. Да, такое может быть. Но для того чтобы от этого обезопасится можно разместить удалённый рабочий стол полностью в TOR'е. То есть, его даже не будет в интернете, у него не будет фактически как такового ip адреса. Сам запрос слать будет просто напросто некому. Он будет как чёрная дыра, где-то в космосе.
Дальше, ещё по поводу конкретно вот такой связки. В чём ещё её прелесть, что здесь самое хорошее и в чём минус? Минус в том, что когда мы хотим оставаться анонимными, то нам приходится чем-то пожертвовать, к сожалению. Это либо удобство пользования, либо скорость, и в данном случае нам придётся пожертвовать этим всем. Если вы хотите смотреть что-то в онлаин режиме, вести какие-либо переговоры, то задержка будет примерно 2-3 секунды, возможно больше, на этой связке, это я сразу скажу.
1. VPN.
3. TOR.
6. VPN.
Информация наша будет проходить через 6 узлов, соответственно даже если мы будем контролировать выходной ретранслятор сети TOR, мы можем взять его в хорошем месте и на хорошем канале, но мы всё равно не сможем контролировать внутренние ресурсы TOR которые будут постоянно разные. Соответственно, мы не можем гарантировать стабильное высококачественное соединение, но данная связка действительно является анонимной. К слову, не всегда все ресурсы необходимо направлять через сеть TOR, можно использовать тот же самый удалённый рабочий стол, до удалённого рабочего стола VPN, а после удалённого рабочего стола идёт новый VPN, но внутри удалённого рабочего стола направить тот же jabber, послать почту, браузер только лишь через TOR, но здесь уже всё конкретно зависит от вашей специфики работы, от того что конкретно вам необходимо.
Ну и напоследок, хотелось бы ещё сказать по поводу прелести использования таких связок - это миграция. Что это такое? Вот представьте себе что у вас есть вот такая вот связка:
У каждого из вас эта связка существует ровно месяц. Через месяц все эти ресурсы вы удаляете. Не просто меняйте ip адреса и ставите новые, а абсолютно полностью их удаляете. К чему это приведёт, зачем это нам вообще нужно? Дело в том, что даже если каким-либо волшебным специфически-невероятным образом у ФСБшника получится деанонимизировать TOR с помощью того же аудио идентификатора, то это не приведёт абсолютно ни к чему, потому что на процесс деанонимизации TOR'а будет потрачено такое количество времени которое привышает тот же самый месяц.
По прошествии этого месяца майор приходит, а там ничего нет. Ресурсов просто не существует, они удалены, они нигде не сохранены.
Так же хотелось бы добавить ещё по данной теме кое-что. Всё было бы это хорошо, если бы это всё работало в автономном режиме. То есть - поставил себе свой VPN, свой удалённый рабочий стол, свой ретранслятор TOR, ещё один свой VPN и всё хорошо, но к сожалению нет. Всегда есть лазейки, всегда есть уязвимости и они напрямую связаны с программным обеспечением, очень редко с аппаратным. Соответственно TOR это проект которым пользуются миллионы людей, это проект через который отмыли огромное количество денег, через который заработали эти самые миллионы денег и в нём, самое простое, идентификатор аудио, уникальный идентификатор каждого браузера. Соотвественно идентифицировать, идентификация и деанонимизация это два разных параметра, но деанонимизация вытекает из параметра идентификации - поэтому обязательно ВСЕГДА выключаем java script чтобы это отсечь. Если же у вас будет включён java script, то сколько вы не меняйте личность, что вы там не делайте, то у вас всегда будет один и тот же отпечаток аудио, то есть динамического компрессора, отпечаток java script'а и отпечаток canvasa, но в случае с canvas - TOR предупредит что там-то, куда вы хотите зайти используется отпечаток canvas. Java script же, к сожалению, может вас идентифицировать, если вы его не отключите.
Это простой пример как использование технологии TOR'а может быть абсолютно бесполезным у человека без понимания процесса. Если не будет отключён java script в браузере, то вся схема анонимности просто рухнет.