1. HTML цвет текста

    Продолжается запись в группу обучающего курса! Успей занять свое место! Подробности

    Скрыть объявление
  2. HTML цвет текста

    Зеркало форума в зоне Тор - http://wp3whcaptukkyx5i.onion/

    Стандартные зеркала форума - procrd.co procrd.me
    Скрыть объявление

Методы анонимности в сети. Часть 2. Утечки данных

Тема в разделе "Безопасность", создана пользователем dedicated.jab, 22 янв 2016.

  1. dedicated.jab

    dedicated.jab ProCrd
    Регистрация:
    30 дек 2015
    Сообщения:
    51
    Симпатии:
    11
    Пол:
    Мужской
    Jabber:
    dedicated.jab@jabber.ru
    dedicated.jab@exploit.im
    Нашел довольно интересную статью по безопасности на всем известном форуме habrahabr.ru Думаю, многим будет она интересна. Ссылка в конце темы на статью, где можно найти продолжение.

    Привет, хабраюзеры!

    Сегодня мы продолжим разговор про анонимность в интернете.
    Вторая часть получилась чуть более сложной для новичков. Она будет состоять из двух разделов:
    • В первом разделе мы закончим разговор про централизованные решения для «анонимности»: VPN, SSH, SOCKSx.
    • Во втором — рассмотрим конкретные утечки деанонимизирующих данных.



    Удобство
    Удобство — понятие условное и субъективное, оно зависит от ваших целей и опыта.
    [​IMG]
    К VPN-серверу легко подключиться, но для новичков может быть непросто его настроить.
    Тогда как SSH-сервер более прост в настройке, но, например, вручную настраивать SSH-туннель для каждого приложения кому-то может показаться не совсем удобным.

    Скорость
    Скорость каждого средства зависит от конкретной реализации и используемых протоколов. Если сравнивать SSH и OpenVPN, поделюсь уже проведённым исследованием:
    • network — 96.5 Mbps.
    • network/SSH — 94.2 Mbps.
    • network/VPN — 32.4 Mbps.

    Подводя итог, стоит отметить, что VPN-серверы более популярны, чем SSH. В интернете существует много коммерческих VPN-провайдеров. Однако и SSH-туннели тоже продаются в избытке на специализированных форумах.
    Что разворачивать на своём сервере в Антарктиде — дело ваше.

    Полезный совет

    Иногда бывает ситуация, когда VPN-соединение по каким-либо причинам может разрываться. Если в случае с прокси-сервером, сетевое взаимодействие прекращается, то в случае с VPN траффик продолжит идти напрямую. Наиболее надёжным вариантом для недопущения этого является использование таблицы маршрутизации, где в качестве основного шлюза по умолчанию указан только шлюз VPN-сервера.
    Делается это просто:
    1. Удаляем любые маршруты по умолчанию:
    [​IMG]
    2. Разрешаем доступ в интернет только к адресу VPN-сервера:
    [​IMG]
    3. Добавляем маршрут по умолчанию со шлюзом – VPN-сервером:
    [​IMG]
    Где: 192.168.0.1 — шлюз интернета, 55.55.55.55 — VPN-шлюз.
    Еще одним способом является установка в свойствах открытого интернет-соединения несуществующих DNS-серверов, например, 127.0.0.1. В таком случае веб-сёрфинг и другие подобные задачи становятся невозможными без подключения к VPN-серверу.
    Также существуют специальные программы, например, VPN-watcher, которые для заданных приложений проверяет VPN-соединение несколько раз в секунду и приостанавливает их работу, если VPN-соединение обрывается.
    Спасибо за еще один способ Pongo: "Еще один способ обезопасить себя от разрыва vpn — это настройка файрвола. Подойдет в том числе и стандартный windows firewall. Есть инструкция с картинками. Причем блокирующие правила можно не создавать, а ограничиться 10-м пунктом. Для отдельных программ (например для openvpn) можно отдельно создать разрешающие правила, чтобы эти программы работали даже если впн не подключен."
    Спасибо за еще один способ amarao: "Я думаю, если строить защищённую конструкцию, то следует просто выделять две сессии — защищённую и не защищённую. Лидера сессии положить в cgroups, откуда не-vpn интерфейс просто не доступен для использования — в этом случае информация будет отправляться только через этот интерфейс."

    Деанонимизирующие данные и возможные уязвимости

    Посмотрим, какую идентификационную информацию о себе мы можем передать в интернет. Я не буду рассматривать уязвимости (в том числе и 0day) в программах, эксплуатация которых может привести вообще к полному контролю за компьютером.
    [​IMG]

    Общее

    IP-адрес. Самый «популярный» идентификатор в сети. Его ценность может быть разной в различных ситуациях, но как правило именно раскрытием ip-адреса принято пугать сетевых «анонимусов».
    Решение: со скрытием ip-адреса справляются средства, описанные в первой статье: "Методы анонимности в сети. Просто о сложном"

    DNS-leaks возникает тогда, когда приложение может отправлять свои DNS-запросы, используя DNS-серверы интернет-провайдера. Так часто бывает, когда люди через локальный прокси-сервер (привет, SOCKS 4, 5!) пытаются отправить в сеть Tor траффик различных приложений, которые резолвят DNS-имена в обход Tor.
    Проверить, подвержены ли вы этой утечке можно здесь: www.dnsleaktest.com
    Решение: при работе с VPN-соединением наиболее удобным вариантом является принудительное использование статических DNS-серверов VPN-провайдера либо, если VPN-сервер у вас личный, использование серверов OpenDNS (208.67.222.222, 208.67.222.220) или DNS Google (8.8.8.8, 8.8.4.4).
    Чтобы не допустить подобных утечек в Tor, рекомендуется использовать Tor Browser Bundle либо, если уж хочется отправить в Tor траффик другого приложения, то наиболее безопасным и универсальным вариантов является изолирующий прокси, который будет рассмотрен в одной из следующих статей.
    В сети I2P DNS-запросов нет. При работе с outproxy DNS-запросы выполняются на самом outproxy.
    Спасибо за совет Rulin: "… при использовании Socks прокси в Firefox, DNS-leaks будет по умолчанию происходить, чтоб от этого избавиться, надо: В адресной строке набираем about:config, Жмем «I'll be careful, I promise!»,
    Находим опцию network.proxy.socks, Двойным кликом меняем значение на true,
    Все, теперь при использовании socks прокси, dns запросы будут тоже ходить через socks
    ".
    Настройка «network.proxy.socks_remote_dns» определяет, где будут выполняться DNS-запросы при использовании SOCKS5. Значение «True» устанавливает, что они будут выполняться через SOCKS-прокси, а не на клиенте.

    Профилирование возникает, когда большая часть траффика долго выходит в интернет через один узел, например, Тоr. Тогда появляется возможность отнести увиденную активность к одному псевдониму. Выходной узел может и не знать ваш ip-адрес, но будет знать, что вы делаете.
    Решение: не использовать постоянные цепочки Tor, регулярно менять выходные узлы (VPN-серверы, прокси-серверы), либо, забегая вперёд, использовать дистрибутив Whonix.

    MitM-атаки направлены на прослушивание и модификацию траффика на выходном узле, например Tor или любом прокси-сервере. Интересным вариантом является модификация выходным узлом цифровых подписей, GPG- или SSL-отпечатков, хеш-сумм скачиваемых файлов.
    Решение: быть внимательным при появлении предупреждений о валидности сертификатов и ключей.

    Деанонимизирующая активность в анонимном сеансе. Например, когда клиент из анонимного сеанса заходит на свою страницу в соцети, то его интернет-провайдер об этом не узнает. Но соцсеть, несмотря на то, что не видит реальный ip-адрес клиента, точно знает, кто зашёл.
    Решение: не допускать никакой левой активности в анонимном сеансе.

    Одновременное подключение по анонимному и открытому каналу. В таком случае, например, при обрыве интернет-соединения, оборвутся оба соединения клиента с одним ресурсом. По данному факту серверу будет нетрудно вычислить и сопоставить два одновременно завершенных соединения и вычислить реальный адрес.
    Решение: не допускать одновременного подключения к ресурсу по анонимному и открытому каналу.

    Определение авторства текста. Подробнее здесь. Приложение может сравнить текст написанный анонимно и другой открытый текст, точно принадлежащий автору, и определить с высокой степень вероятности совпадение авторства.
    Решение: шутки-шутками, но эта тема пока не достаточно изучена. Можно посоветовать прятать текст, который можно однозначно связать с вами. Тогда не с чем будет сравнивать и анонимный текст.

    MAC-адрес сетевого интерфейса становится известен wi-fi точке доступа при подключении к ней клиента.
    Решение: если переживаете за то, что точка доступа запомнит MAC-адрес вашего интерфейса, просто поменяйте его до подключения.

    На этом ресурсе, посвящённом нашей «цифровой тени»: myshadow.org/trace-my-shadow, помимо всего прочего, мы можем увидеть, какие данные передаём о себе в сеть:
    [​IMG]

    Что могут рассказать Браузеры?

    Cookies — это текстовые файлы с какими-либо значениями, хранимые приложением (часто — браузером) для разных задач, например, аутентификации. Часто бывает, что клиент сначала посетил ресурс из открытого сеанса, браузер сохранил cookies, а потом клиент соединился из анонимного сеанса, тогда сервер может сопоставить cookies и вычислить клиента.
    Более того, существуют так называемые 3rd-party cookies, которые сохраняются у нас, например, после просмотра рекламного баннера с другого сайта (3rd-party). И сайт-владелец этого баннера способен отслеживать нас на всех ресурсах, где размещёны его баннеры.
    Тем, кто хочет изучить тему cookies подробнее, советую почитать статьи:

    Flash, Java, Adobe. Эти плагины являются по сути отдельными приложениями, которые запускаются от имени пользователя. Они могут обходить настройки прокси, хранить свои отдельные долгоживущие cookies (Flash — Local Shared Objects) и пр. О регулярно публикуемых в них уязвимостях говорить излишне.

    Fingerprint (отпечаток) браузера. Браузер предоставляет серверу десятки категорий данных, в том числе и так называемый user agent. Всё это может сформировать достаточно уникальный «цифровой отпечаток браузера», по которому его можно найти среди многих других уже в анонимном сеансе.
    Какие именно данные отправляет ваш браузер серверу, можно посмотреть, например, здесь, здесь (он жеpanopticlick.eff.org) и здесь.

    Скрипты Javascript, исполняемые на стороне клиента, могут собрать для сервера еще больше информации, в том числе и явно его идентифицирующей. Более того, если посещаемый нами сайт подвержен XSS, то включенные на нём скрипты Javascript помогут злоумышленнику провести успешную атаку со всеми вытекающими последствиями.

    Web Bugs — это невидимые детали веб-страниц, используемые для мониторинга посещений сайта, способны дополнительно отсылать серверу разные данные о клиенте. Web Bugs от Гугла широко распространены по всему интернету.

    HTTP-referer — это http-заголовок, с помощью которого веб-сайт может определить, откуда к нему идёт траффик. То есть, если вы кликнули по ссылке, которая передает http referer, то сайт, на который данная ссылка ведёт, сможет узнать, с какого именно сайта вы на него перешли.

    Решение: про безопасную настройку каждого из браузеров, включая блокировку каждой из вышеописанных категорий идентифицирующих данных, очень подробно и ясно написано на ресурсе: fixtracking.com, от замечательного поисковика DuckDuckGo:
    [​IMG]

    Приложения

    Важно понимать, что изначально многие приложения задумывались и проектировались не столько для обеспечения анонимности, сколько для нормальной и эффективной работы в «трудных» сетевых условиях: обхода блокирующих межсетевых экранов, прокси-серверов.
    В качестве примера я приведу лишь малую часть приложений, которые могут самостоятельно передавать в сеть идентифицирующие нас данные.
    • Некоторые клиенты BitTorrent игнорируют настройки прокси, отправляя траффик по открытым каналам.
    • Windows Update отсылает серверу десяток категорий данных, включая уникальный 128-битный идентификатор (GUID). Windows Update также уязвим к MitM, а следовательно, выходной узел, например, Tor, может быть источником атаки.
    • Лицензионные ключи платных или серийные номера бесплатных приложений также могут передаваться в интернет, например, при активации или обновлении, тем самым идентифицируя пользователя.
    • Windows Media Player может самостоятельно запрашивать информацию о музыке или обменивается служебными данными.
    • Данные о часовом поясе могут передаваться при использовании IRC-чата через протокол CTCP, Client-to-client protocol.
    • Дамп оперативной памяти ОС Windows, отправляемый в случае ошибки, также содержит идентифицирующие данные.
    • Метаданные файлов могут включать важные данные: дата создания, авторство и пр.

    Решение: не использовать в анонимном сеансе любое недоверенное и непроверенное приложение.

    Заключение

    Спасибо за внимание! Буду рад конструктивным комментариям и уточнениям.
    UPDATE: В следующей статье я расскажу про схему "при которой и пользоваться интернетом не напряжно и никаких следов такого рода не остаётся". А именно: разберу настройки веб-браузера, касающиеся анонимности, на примере Firefox.

     
    Dimapo нравится это.
  2. Dimapo

    Dimapo ProCrd
    Регистрация:
    2 авг 2015
    Сообщения:
    10
    Симпатии:
    0
    Пол:
    Мужской
    +
    --- объединение дубля, 22 янв 2016 ---
    + интересно
     
Загрузка...