Amatista
Интересующийся
- Регистрация
- 30 Апр 2023
- Сообщения
- 45
- Реакции
- 3
Всем привет.
Непонимание между людьми в вопросах безопасности рождается из-за разных потребностей и разных моделей угроз. Допустим, что вы хотите оставить самый анонимный комментарий на свете в социальной сети. Что вам для этого нужно? VPN? Tor? SSH-туннель? Вовсе нет, достаточно купить на ближайшем развале «пустую» симкарту и там же б/у смартфон. Отъехать подальше от места своего проживания, вставить одно в другое, написать сообщение и утопить телефон. Вы справились с поставленной задачей с оценкой «отлично».
Но что если вам нужно не просто оставить разовый комментарий, не просто скрыть свой IP-адрес от какого-то сайта? Что если вам нужно иметь такой уровень анонимности, который составит сложнейшую головоломку и практически не даст возможности для раскрытия на любом уровне? А также обеспечить скрытность и в какой-то степени сам факт использования средств анонимизации. Именно об этом я и хотел поговорить.
Идеальная анонимность, как и все идеальное — это скорее мечта, но приблизиться к ней вполне возможно, и происходит это за счет множества различных слоев защиты. Когда одна технология начинает дополнять и усиливать другую, и даже когда для вашей идентификации применяются отпечатки параметров системы и другие методы, вы по-прежнему остаетесь неотличимым от общей массы пользователей сети. В данной статье я попытаюсь рассказать о вариантах, которые помогут этого добиться.
Базовый уровень защиты
Базовый уровень защиты и анонимности, выглядит примерно так:
Что же касается Tor, во-первых, его использование напрямую может вызывать подозрение, а во-вторых, выходные ноды, которых около 1000 штук известны и многие из них забанены, для многих сайтов это как красная тряпка. Например в Cloudflare есть возможность в Firewall'e разрешать или принимать подключения из сети Tor. В качестве страны следует использовать T1. Кроме того, использование Tor намного медленнее VPN (Скорость в сети Тор на данный момент не превышает 10 мбит, а часто находится на уровне 1-3 мбит).
Итог: Если вам нужно просто не носить по миру свой открытый паспорт и обходить простейшие запреты на сайты, иметь хорошую скорость соединения и возможность полностью пускать весь трафик через другой узел, то следует выбрать VPN. В этом случае нет смысла использовать Tor, но в каких-то случаях и Tor является хорошим решением, особенно, если существует еще дополнительный слой безопасности, такой как VPN или SSH-туннель. Но об этом дальше.
Средний уровень защиты
Средний уровень защиты, выглядит как дальнейшее развитие уровня начального, базового.
Высокий уровень защиты
Раньше считалось, что высокий уровень анонимности достигался путем использования Tor/VPN/SSH/Socks, но сегодня я бы порекомендовал добавить еще и использование удаленного рабочего места в эту схему.
Идеальный
Данная схема нами протестирована, тормоза — очень приличные, даже если географически вся схема составлена правильно. Но вполне возможные и терпимые. В данном случае, подразумевается, что человек не разносит сервера на пути по разным континентам. Допустим вы физически находитесь в Москве, так и стройте схему так, что первый VPN тоже в Москве, второй например в Монако и т.п., удаленное рабочее место, например в Нидерландах и конечный VPN, например, в Украине. Логика построения должна быть такой, что не стоит использовать все сервера внутри, например еврозоны, т.к. там хорошо налажено сотрудничество и взаимодействие различных структур, но при этом не стоит их разносить далеко друг от друга. Соседние государства ненавидящие друг-друга — вот залог успеха вашей цепочки!
Можно еще добавить автоматическое посещение веб-сайтов в фоновом режиме, с вашей реальной машины как имитацию серфинга, чтобы не было подозрения, что вы используете какое-то средство анонимизации. Так как трафик идет лишь к одному IP-адресу и через один порт. Можно добавить использование Whonix, получать доступ в интернет через публичный Wi-Fi в кафе, при этом поменяв данные сетевого адаптера, которые тоже могут привести к деанонимизации. Даже изменить внешность, чтобы не быть идентифицированы по лицу в том же самом кафе, это будущее и оно уже здесь - CV Dazzle: Computer Vision Dazzle Camouflage. Вы можете быть определены как по наличию координат местонахождения, в файле фотографии, сделанной вашим телефоном (Vice.com Reveals John McAfee's Location In iPhone Metadata | Hacker News) до диагностики определенного стиля письма. Просто помните об этом.
С другой стороны, большинству людей достаточно анонимайзера, но он не слишком удобен для серфинга. Да, обычный VPN — это нормальное и грамотное решение для обхода простых блокировок и работы в сети на хорошей скорости, хотите больше анонимности, правда в ущебр скорости? Добавьте сюда еще и Тор. Хотите еще большего? Сделайте как написано выше.
Fingerprints, как и попытки определения использования VPN, по средствам замера времени отправления пакета от пользователя к вебсайту и от вебсайта к IP-адресу пользователя (не берем в расчет такой «костыль» как блокировка только входящих запросов определенного вида) обойти не так просто. Обмануть кое-что можно, одну-другую проверку, но нет гарантий, что завтра не появится очередное «зло». Именно поэтому вам необходимо удаленное рабочее место, именно поэтому нужна чистая виртуалка, именно поэтому это лучший совет, что который можно дать, на данный момент. Cтоимость такого решения может начинаться всего лишь от 40$ в месяц. Но учтите, что для оплаты, следует использовать исключительно крипту.
Вместо выводов.
Самая важная часть и самый главный залог успеха в защите анонимности — разделение работы с персональными данными и с данными секретными, представляющими какую-то ценность. Все эти туннели и выстроенные схемы, будут абсолютно бесполезны, если вы с него зайдете, например на свой персональный аккаунт в Google.
Непонимание между людьми в вопросах безопасности рождается из-за разных потребностей и разных моделей угроз. Допустим, что вы хотите оставить самый анонимный комментарий на свете в социальной сети. Что вам для этого нужно? VPN? Tor? SSH-туннель? Вовсе нет, достаточно купить на ближайшем развале «пустую» симкарту и там же б/у смартфон. Отъехать подальше от места своего проживания, вставить одно в другое, написать сообщение и утопить телефон. Вы справились с поставленной задачей с оценкой «отлично».
Но что если вам нужно не просто оставить разовый комментарий, не просто скрыть свой IP-адрес от какого-то сайта? Что если вам нужно иметь такой уровень анонимности, который составит сложнейшую головоломку и практически не даст возможности для раскрытия на любом уровне? А также обеспечить скрытность и в какой-то степени сам факт использования средств анонимизации. Именно об этом я и хотел поговорить.
Идеальная анонимность, как и все идеальное — это скорее мечта, но приблизиться к ней вполне возможно, и происходит это за счет множества различных слоев защиты. Когда одна технология начинает дополнять и усиливать другую, и даже когда для вашей идентификации применяются отпечатки параметров системы и другие методы, вы по-прежнему остаетесь неотличимым от общей массы пользователей сети. В данной статье я попытаюсь рассказать о вариантах, которые помогут этого добиться.
Базовый уровень защиты
Базовый уровень защиты и анонимности, выглядит примерно так:
- клиент → VPN/TOR/SSH-тунель → цель.
Что же касается Tor, во-первых, его использование напрямую может вызывать подозрение, а во-вторых, выходные ноды, которых около 1000 штук известны и многие из них забанены, для многих сайтов это как красная тряпка. Например в Cloudflare есть возможность в Firewall'e разрешать или принимать подключения из сети Tor. В качестве страны следует использовать T1. Кроме того, использование Tor намного медленнее VPN (Скорость в сети Тор на данный момент не превышает 10 мбит, а часто находится на уровне 1-3 мбит).
Итог: Если вам нужно просто не носить по миру свой открытый паспорт и обходить простейшие запреты на сайты, иметь хорошую скорость соединения и возможность полностью пускать весь трафик через другой узел, то следует выбрать VPN. В этом случае нет смысла использовать Tor, но в каких-то случаях и Tor является хорошим решением, особенно, если существует еще дополнительный слой безопасности, такой как VPN или SSH-туннель. Но об этом дальше.
Средний уровень защиты
Средний уровень защиты, выглядит как дальнейшее развитие уровня начального, базового.
- Клиент → VPN → Тор → цель и вариации на тему.
Высокий уровень защиты
- Клиент → VPN → Удаленное рабочее место (через RDP/VNC) → VPN
Раньше считалось, что высокий уровень анонимности достигался путем использования Tor/VPN/SSH/Socks, но сегодня я бы порекомендовал добавить еще и использование удаленного рабочего места в эту схему.
Идеальный
- Клиент → Double VPN (в разных дата центрах, но рядом друг с другом) → Удаленное рабочее место + Виртуальная машина → VPN
Данная схема нами протестирована, тормоза — очень приличные, даже если географически вся схема составлена правильно. Но вполне возможные и терпимые. В данном случае, подразумевается, что человек не разносит сервера на пути по разным континентам. Допустим вы физически находитесь в Москве, так и стройте схему так, что первый VPN тоже в Москве, второй например в Монако и т.п., удаленное рабочее место, например в Нидерландах и конечный VPN, например, в Украине. Логика построения должна быть такой, что не стоит использовать все сервера внутри, например еврозоны, т.к. там хорошо налажено сотрудничество и взаимодействие различных структур, но при этом не стоит их разносить далеко друг от друга. Соседние государства ненавидящие друг-друга — вот залог успеха вашей цепочки!
Можно еще добавить автоматическое посещение веб-сайтов в фоновом режиме, с вашей реальной машины как имитацию серфинга, чтобы не было подозрения, что вы используете какое-то средство анонимизации. Так как трафик идет лишь к одному IP-адресу и через один порт. Можно добавить использование Whonix, получать доступ в интернет через публичный Wi-Fi в кафе, при этом поменяв данные сетевого адаптера, которые тоже могут привести к деанонимизации. Даже изменить внешность, чтобы не быть идентифицированы по лицу в том же самом кафе, это будущее и оно уже здесь - CV Dazzle: Computer Vision Dazzle Camouflage. Вы можете быть определены как по наличию координат местонахождения, в файле фотографии, сделанной вашим телефоном (Vice.com Reveals John McAfee's Location In iPhone Metadata | Hacker News) до диагностики определенного стиля письма. Просто помните об этом.
С другой стороны, большинству людей достаточно анонимайзера, но он не слишком удобен для серфинга. Да, обычный VPN — это нормальное и грамотное решение для обхода простых блокировок и работы в сети на хорошей скорости, хотите больше анонимности, правда в ущебр скорости? Добавьте сюда еще и Тор. Хотите еще большего? Сделайте как написано выше.
Fingerprints, как и попытки определения использования VPN, по средствам замера времени отправления пакета от пользователя к вебсайту и от вебсайта к IP-адресу пользователя (не берем в расчет такой «костыль» как блокировка только входящих запросов определенного вида) обойти не так просто. Обмануть кое-что можно, одну-другую проверку, но нет гарантий, что завтра не появится очередное «зло». Именно поэтому вам необходимо удаленное рабочее место, именно поэтому нужна чистая виртуалка, именно поэтому это лучший совет, что который можно дать, на данный момент. Cтоимость такого решения может начинаться всего лишь от 40$ в месяц. Но учтите, что для оплаты, следует использовать исключительно крипту.
Вместо выводов.
Самая важная часть и самый главный залог успеха в защите анонимности — разделение работы с персональными данными и с данными секретными, представляющими какую-то ценность. Все эти туннели и выстроенные схемы, будут абсолютно бесполезны, если вы с него зайдете, например на свой персональный аккаунт в Google.
