Подробный гайд по анонимности для новичков. Часть 2.

Как работает Tor со стороны клиента?

  Tor система маршрутизаторов, доступных только клиентам самого Tora, через цепочку которых клиент соединяется с нужным ему ресурсом. При дефолтных настройках количество узлов три. Tor использует многоуровневое шифрование. Опираясь на эти особенности, можно кратко описать общую схему доставки пакета данных от клиента к запрашиваемому ресурсу через 3 узла (то есть при настрйоках по умолчанию): предварительно пакет последовательно шифруется тремя ключами: сначала для третьего узла, потом для второго и в конце, для первого. Когда первый узел получает пакет, он расшифровывает верхний слой шифра (как при очистки луковицы) и узнаёт, куда отправить пакет дальше. Второй и третий сервер поступают аналогичным образом. А передача зашифрованных данных между промежуточнимы маршрутизаторами осуществляется через SOCKS-интерфейсы, что обеспечивает анонимность в купе с динамичным переконфигурированием маршрутов. И в отличие от статических прокси-цепочек, конфигурации луковых маршрутизаторов может меняться чуть ли не скаждым новым запросом, что только усложняет деанон.

  Если сайт детектит Tor, то я никак не могу зайти на этот сайт анонимным используя его?

   Попасть на такой сайт можно двумя способами. При помощи более изощренной схемы, которая де-факто делает это посещение еще более анонимным: связка Tor VPN, можно Tor Proxy, если не нужна дополнительная анонимность, а только факт сокрытия использования Tor для сервера сайта, но надо исползьовать именно в этой последовательности. Так получается, что сначала запрос идет через луковые хосты, затем через VPN/Proxy, а на выходе выглядит, как будто просто VPN/Proxy (или вообще обычное соединение).

    Но стоит заметить, что взаимодействие этих связок вызывает бурные обсуждения на форумах.

    Либо можно использовать так называемые мосты (bridges) это узлы, не занесенные в центральный каталог Tora, как их настраивать можно посмотреть здесь(http://darkconbp235ybwn.onion/index.php?topic=307.new#new).

    Можно ли как-то скрыть от провайдера факт использования Tora?

    Да, решение будет почти полносью аналогичное предыдущему, только схема пойдет в обратном порядке и VPN соединение вклинивается между клиентов Tora и сетью луковых маршутизаторов. 

  Что следует знать о I2P, и как эта сеть работает?

   I2P распределенная, самоорганизующаяся сеть, основанная на равноправии ее участников, отличающаяся шифрованием (на каких этапах оно происходит и какими способами), переменнами посредниками (хопами), нигде не используются IP-адреса. В ней есть свои сайты, форумы и другие сервисы.

    В сумме при пересылке сообщения используется четыре уровня шифрования (сквозное, чесночное, туннельное, а также шифрование транспортного уровня), перед шифрованием в каждый сетевой пакет автоматически добавляется небольшое случайное количество случайных байт, чтобы ещё больше обезличить передаваемую информацию и затруднить попытки анализа содержимого и блокировки передаваемых сетевых пакетов.

    Весь трафик передается по туннелям временные однонаправленные пути, проходящие через ряд узлов, которые бывают входящими или исходящими. Адрессация происходит на основе данных из так называемой сетевой базы NetDb, которая распределена в той или иной мере по всем клиентам I2P. 

  Какие еще есть сервисы/проекты по обеспечению анонимности?

     Freenet http://freenetproject.org/ одноранговая сеть распределенного хранения данных;

      GNUnet http://gnunet.org/ скоординированный набор софта для peer-to-peer соединения, не нуждающегося в серверах;

      JAP John Donym http://anon.inf.tu-dresden.de/index_en.html , в основу взят Tor;

      RetroShare http://retroshare.sourceforge.net/ кроссплатформенный софт для бессерверного обмена письмами, мгновенными сообщениями и файлами с помощью шифрованной одноранговой F2F (friend-to-friend) сети;

      Perfect Dark японский клиент под винду для файлового обмена. Анонимность сети Perfect Dark базируется на отказе от использования прямых соединений между конечными клиентами, неизвестности IP-адресов и полном шифровании всего, что только можно;

  Есть еще какие-нибудь моменты при достижении анонимности?

   Да, есть. Существует ряд правил, которых желательно придерживаться анонимном сеансе:

    1) При использвоании VPN, Proxy и пр. всегда в настрйоках устанавливать использование статических DNS-серверов провайдера сервиса, дабы избежать утечек DNS. Или выставлять должные настройки в барузере или межсетевом экране;

    2) Не использовать постоянные цепочки Tor, регулярно менять выходные узлы (VPN-серверы, прокси-серверы);

    3) При пользовании браузером отключать по возможности все плагины (Java, Flash, еще какие-нибудь Adobe поделки) и даже JavaScript (если задача полностью минимализировать риски деанона), а также отрубать использование cookies, ведение истории, долгосрочного кэширования, не разрешать отправлять HTTP-заголовки User-Agent и HTTP-Referer или подменять их (но это специальные браузеры для анонимности нужны, большинство стандартных не позволяют такую роскошь), использовать минимум браузерных расширений и тд. Вообще есть еще один ресурс, описывающий настройки для анонимности в различных браузерах, к которому тоже при желании стоит обратиться;

    4) При выходе в анонимном режиме в сеть следует исопльзовать чистую, полностью обновленную ОС с самыми последними стабильными версиями ПО. Чистая она должна быть чтобы было сложнее отличить отпечатки ее, браузера и другого софта от среднестатистических показателей, а обновленная, чтобы понижалась вероятность подхватить какую-нибудь малварь и создать себе определенных проблем, ставящих под угрозу работу всех сосредоточенных для анонимизации средств;

    5) Быть внимательным при появлении предупреждений о валидности сертификатов и ключей, для предотвращения Mitm-атак (прослушки незашифрованного трафика);

    6) Не допускать никакой левой активности в анонимном сеансе. Например, если клиент из анонимного сеанса заходит на свою страницу в соц. сети, то его интернет-провайдер об этом не узнает. Но соц. сеть, несмотря на то, что не видит реальный IP-адрес клиента, точно знает, кто зашел;

    7) Не допускать одновременного подключения к ресурсу по анонимному и открытому каналу (описание опасности было приведено выше);

    8) Стараться обфусцировать все свои сообщения и другие продукты авторского интеллектуального производства, так как по жаргону, лексике и стиллистике речевых оборотов можно с довольно большой точностью определить автора. И уже есть конторы, которые делают на этом целый бизнес, так что не надо недооценивать этот фактор;

    9) Перед подключением к локальной сети или беспроводной точке доступа предварительно менять MAC-адрес;

    10) Не использовать любое недоверенное или непроверенное приложение;

    11) Желательно обеспечить себе предпоследний рубеж, то есть какой-то промежуточный узел до своего, через который вести всю активность (как это делается с dedicated-серверами или реализовано в Whonix), чтобы в случае преодоления всех предыдущих преград или заражения рабочей системы третие лица получали доступ к болванке-посреднику и не имели особых возможностей продвигаться в вашу сторону дальше (или эти возможности были бы карйне дороги или требовали затраты очень большого количества времени);