M9-A1
New member
Факторы Деанонимности
В этой статье речь пойдет об информации, которая может вас выдать, особенно полезно для анонимов или для тех, кто встает на путь истинный.Однако, мы не будем рассматривать трояны или проги, эксплуатация которых может привести к полному контролю вашего девайса.Итак, разделим всю информацию на 3 части:I.Общие факторыII.БраузерыIII.Приложения
I.Общие факторы
1.IP-адресЭто самый важный идентификатор в сети. В зависимости от ситуации, значимость его конечно разная. На сегодняшний день по ip адресу можно отследить местонахождение юзера, поэтому это самый страшный кошмар для анонимовDedicated servers (статья готовится)TOR,I2P или анонимайзеры (гугл в помощь)еще несколько способов:На самом деле существуют десятки отдельных проектов, посвященных анонимности в Интернете. Просто они менее популярны, а следовательно не изучены экспертами и не проверены на надежность. Вот несколько перспективных проектов
Он же — John Donym, в основе — Tor)Некоторые анонимные сети, построенные на основе Wi-Fi:— Better Approach To Mobile Ad-hoc Networking— Networked Electronic Technician Skilled in Ultimate Killing, Utility and Kamikaze Uplinking2.DNS-leaksТакая проблема обычно появляется, когда приложение отправляет свои DNS-запросы, используя DNS-серверы интернет-провайдера.Например: люди через локальный прокси-сервер (SOCKS 4, 5) пытаются отправить в сеть Tor трафик различных приложений, которые прогоняют DNS-имена в обход Tor.Есть очень хороший сервис по проверке вашего DNS:За вами спасибо...И вот у нас проблема, сервис обнаружил ваш DNS, что же делать?Ранее, вя уже описывал подробно как скрыть DNS, поэтому здесь опишу кратко: при работе с VPN наиболее удобным вариантом является принудительное использование статических DNS-серверов VPN-провайдера или если VPN-сервер у вас личный, то используем серверы OpenDNS (208.67.222.222, 208.67.222.220) или DNS Google (8.8.8.8, 8.8.4.4). Для дедиков и ssh-тунелей все аналогично.К примеру, в сети I2P DNS-запросов вообще нет. При работе с outproxy DNS-запросы выполняются на самом outproxy.При использовании Socks в Firefox, DNS по умолчанию будет пробиваться, чтоб от этого избавиться, нужно:Пишем в адресной строкеabout:config=> нажимаем «Я обещаю, что буду осторожен»
=> находим по поискуnetwork.proxy.socks_remote_dns=> меняем значение наtrue.
Эта настройка определяет, где будут выполняться DNS-запросы при использовании SOCKS5. Значение «True» устанавливает, что они будут выполняться через SOCKS-прокси, а не на клиенте.3.ПрофилированиеМожно понимать так, когда большая часть трафика постоянно идет в интернет через один узел (например Тоr).В таких случаях, анализируется активность и приписывается к одному псевдониму. Выходной узел может и не знать ваш ip-адрес, но будет знать, что вы делаете.В итоге, лучше не использовать постоянные цепочки Tor, нужно регулярно менять выходные узлы (VPN-серверы, прокси-серверы)4.MitM-атакиСлужат для прослушивания и модификации трафика на выходном узле (любой прокси-сервер или Tor). Интересным способом служит модификация цифровых подписей, GPG- или SSL-отпечатков, хеш-сумм скачиваемых файлов.Единственное решение: внимательность при появлении предупреждений о действии сертификатов и ключей.5.Тупизм в анонимном сеансеНа примере: клиент из анонимного сеанса заходит на свою страницу в соцсети и его интернет-провайдер об этом ничего не узнает.Но!!!соцсеть несмотря на то, что не видит реальный ip-адрес клиента, точно знает, кто зашёл. Так что лучше не допускать никакой левой активности в анонимном сеансе.Еще один момент: одновременное подключение по анонимному и открытому каналу. В таком случае, при обрыве интернет-соединения, оборвутся оба соединения клиента с одним ресурсом. По данному факту серверу будет нетрудно вычислить и сопоставить два одновременно завершенных соединения и вычислить реальный адрес.6.Определение авторства текстаСпец.программы могут сравнить текст, написанный анонимно и открытый текст, написанный автором. После чего определить с высокой степенью вероятности совпадение авторства.Мнения тут не однозначны, но для решения можно посоветовать прятать текст, который можно связать с автором.7.MAC-адреск примеру, MAC-адрес сетевого интерфейса становится известен wi-fi точке доступа при подключении к ней клиента.Лучшее решение в таком случае: заранее поменяйте MAC-адрес его до подключения. Изменять MAC могут виртуальные машины и спецсофт. Вот например: SMAC 2.0 – программа спуффит МАС-адреса сетевой платы. Можно менять раз месяц МАС-адреса и все будет ок.P.S.:Есть такой веселый сайт:
Советую познакомиться с своей тенью лицом к лицу
II.Браузеры
1.CookiesЭто текстовые файлы с какими-либо значениями, хранимые приложением (часто — браузером) для разных задач, например, аутентификации. Часто встречается такой случай: юзер сначала зашел на ресурс из открытого сеанса, браузер сохранил cookies, а потом юзер соединился из анонимного сеанса, тогда сервер может сопоставить cookies и вычислить клиента.Более того, есть 3rd-party cookies, которые сохраняются у нас, например, после просмотра рекламного баннера с другого сайта (3rd-party). И сайт-владелец этого баннера способен отследить нас на всех ресурсах, где размещёны его баннеры.2.Flash, Java, AdobeЭти плагины являются по сути отдельными приложениями, которые запускаются от имени пользователя. Они могут обходить настройки прокси, хранить свои отдельные долгоживущие cookies (Flash — Local Shared Objects) и пр. О регулярно публикуемых в них уязвимостях говорить не будем.3.Fingerprint (отпечаток) браузераБраузер предоставляет серверу десятки категорий данных, в том числе и так называемый user agent . Всё это может сформировать достаточно уникальный «цифровой отпечаток браузера», по которому его можно найти уже в анонимном сеансе.Какие именно данные отправляет ваш браузер серверу, можно посмотреть черезили4.Скрипты Javascript,Яваскрипты, исполняемые на стороне клиента, могут собирать для сервера информацию, которая идентифицирует его.Более того, если посещаемый нами сайт подвержен XSS, то включенные на нём скрипты Javascript помогут злоумышленнику провести успешную атаку со всеми вытекающими последствиями.5.Web BugsЭто невидимые детали веб-страниц, используемые для мониторинга посещений сайта, способные дополнительно отсылать серверу разные данные о клиенте. Web Bugs от Гугла широко распространены по всему интернету.6.HTTP-refererЭто http-заголовок, с помощью которого веб-сайт может определить, откуда к нему идёт трафик. Если вы кликнули по ссылке, которая передает http-referer, то сайт, на который данная ссылка ведёт, сможет узнать, с какого именно сайта вы на него перешли.Все вышеописанные "браузерные дырки" можно залатать отдельными дополнениями. В этом нам поможет DuckDuckGo, который создал сайт с описанием для каждого браузера:
III.Приложения
Многие не в курсе, что изначально многие приложения создавались не столько для обеспечения анонимности, сколько для нормальной и эффективной работы для обхода блокирующих межсетевых экранов, прокси-серверов и т.п.Вот некоторые приложения, которые могут самостоятельно передавать идентифицирующие нас данные:1.Некоторые клиенты BitTorrentигнорируют настройки прокси, отправляя трафик по открытым каналам.2.Windows Updateотсылает серверу десяток категорий данных, включая уникальный 128-битный идентификатор (GUID). Windows Update также уязвим к Mit-M, а следовательно, выходной узел, например, Tor, может быть источником атаки.3.Лицензионные ключи или серийные номераплатных/бесплатных приложений также могут передаваться в интернет, например, при активации или обновлении, тем самым идентифицируя пользователя.4.Windows Media Playerможет самостоятельно запрашивать информацию о музыке или обменивается служебными данными.5.Данные о часовом поясемогут передаваться при использовании IRC-чата через протокол CTCP (Client-to-client protocol).6.Дамп оперативной памяти ОС Windows,отправляемый в случае ошибки, также содержит идентифицирующие данные.7.Метаданные файловмогут включать важные данные: дата создания, авторство и пр.Лучшее решение - это не использовать в анонимном сеансе любое не доверенное и не проверенное приложение.Всем на здоровье...
В этой статье речь пойдет об информации, которая может вас выдать, особенно полезно для анонимов или для тех, кто встает на путь истинный.Однако, мы не будем рассматривать трояны или проги, эксплуатация которых может привести к полному контролю вашего девайса.Итак, разделим всю информацию на 3 части:I.Общие факторыII.БраузерыIII.Приложения
I.Общие факторы
1.IP-адресЭто самый важный идентификатор в сети. В зависимости от ситуации, значимость его конечно разная. На сегодняшний день по ip адресу можно отследить местонахождение юзера, поэтому это самый страшный кошмар для анонимовDedicated servers (статья готовится)TOR,I2P или анонимайзеры (гугл в помощь)еще несколько способов:На самом деле существуют десятки отдельных проектов, посвященных анонимности в Интернете. Просто они менее популярны, а следовательно не изучены экспертами и не проверены на надежность. Вот несколько перспективных проектов
Он же — John Donym, в основе — Tor)Некоторые анонимные сети, построенные на основе Wi-Fi:— Better Approach To Mobile Ad-hoc Networking— Networked Electronic Technician Skilled in Ultimate Killing, Utility and Kamikaze Uplinking2.DNS-leaksТакая проблема обычно появляется, когда приложение отправляет свои DNS-запросы, используя DNS-серверы интернет-провайдера.Например: люди через локальный прокси-сервер (SOCKS 4, 5) пытаются отправить в сеть Tor трафик различных приложений, которые прогоняют DNS-имена в обход Tor.Есть очень хороший сервис по проверке вашего DNS:За вами спасибо...И вот у нас проблема, сервис обнаружил ваш DNS, что же делать?Ранее, вя уже описывал подробно как скрыть DNS, поэтому здесь опишу кратко: при работе с VPN наиболее удобным вариантом является принудительное использование статических DNS-серверов VPN-провайдера или если VPN-сервер у вас личный, то используем серверы OpenDNS (208.67.222.222, 208.67.222.220) или DNS Google (8.8.8.8, 8.8.4.4). Для дедиков и ssh-тунелей все аналогично.К примеру, в сети I2P DNS-запросов вообще нет. При работе с outproxy DNS-запросы выполняются на самом outproxy.При использовании Socks в Firefox, DNS по умолчанию будет пробиваться, чтоб от этого избавиться, нужно:Пишем в адресной строкеabout:config=> нажимаем «Я обещаю, что буду осторожен»=> находим по поискуnetwork.proxy.socks_remote_dns=> меняем значение наtrue.
Эта настройка определяет, где будут выполняться DNS-запросы при использовании SOCKS5. Значение «True» устанавливает, что они будут выполняться через SOCKS-прокси, а не на клиенте.3.ПрофилированиеМожно понимать так, когда большая часть трафика постоянно идет в интернет через один узел (например Тоr).В таких случаях, анализируется активность и приписывается к одному псевдониму. Выходной узел может и не знать ваш ip-адрес, но будет знать, что вы делаете.В итоге, лучше не использовать постоянные цепочки Tor, нужно регулярно менять выходные узлы (VPN-серверы, прокси-серверы)4.MitM-атакиСлужат для прослушивания и модификации трафика на выходном узле (любой прокси-сервер или Tor). Интересным способом служит модификация цифровых подписей, GPG- или SSL-отпечатков, хеш-сумм скачиваемых файлов.Единственное решение: внимательность при появлении предупреждений о действии сертификатов и ключей.5.Тупизм в анонимном сеансеНа примере: клиент из анонимного сеанса заходит на свою страницу в соцсети и его интернет-провайдер об этом ничего не узнает.Но!!!соцсеть несмотря на то, что не видит реальный ip-адрес клиента, точно знает, кто зашёл. Так что лучше не допускать никакой левой активности в анонимном сеансе.Еще один момент: одновременное подключение по анонимному и открытому каналу. В таком случае, при обрыве интернет-соединения, оборвутся оба соединения клиента с одним ресурсом. По данному факту серверу будет нетрудно вычислить и сопоставить два одновременно завершенных соединения и вычислить реальный адрес.6.Определение авторства текстаСпец.программы могут сравнить текст, написанный анонимно и открытый текст, написанный автором. После чего определить с высокой степенью вероятности совпадение авторства.Мнения тут не однозначны, но для решения можно посоветовать прятать текст, который можно связать с автором.7.MAC-адреск примеру, MAC-адрес сетевого интерфейса становится известен wi-fi точке доступа при подключении к ней клиента.Лучшее решение в таком случае: заранее поменяйте MAC-адрес его до подключения. Изменять MAC могут виртуальные машины и спецсофт. Вот например: SMAC 2.0 – программа спуффит МАС-адреса сетевой платы. Можно менять раз месяц МАС-адреса и все будет ок.P.S.:Есть такой веселый сайт:
Советую познакомиться с своей тенью лицом к лицу
II.Браузеры
1.CookiesЭто текстовые файлы с какими-либо значениями, хранимые приложением (часто — браузером) для разных задач, например, аутентификации. Часто встречается такой случай: юзер сначала зашел на ресурс из открытого сеанса, браузер сохранил cookies, а потом юзер соединился из анонимного сеанса, тогда сервер может сопоставить cookies и вычислить клиента.Более того, есть 3rd-party cookies, которые сохраняются у нас, например, после просмотра рекламного баннера с другого сайта (3rd-party). И сайт-владелец этого баннера способен отследить нас на всех ресурсах, где размещёны его баннеры.2.Flash, Java, AdobeЭти плагины являются по сути отдельными приложениями, которые запускаются от имени пользователя. Они могут обходить настройки прокси, хранить свои отдельные долгоживущие cookies (Flash — Local Shared Objects) и пр. О регулярно публикуемых в них уязвимостях говорить не будем.3.Fingerprint (отпечаток) браузераБраузер предоставляет серверу десятки категорий данных, в том числе и так называемый user agent . Всё это может сформировать достаточно уникальный «цифровой отпечаток браузера», по которому его можно найти уже в анонимном сеансе.Какие именно данные отправляет ваш браузер серверу, можно посмотреть черезили4.Скрипты Javascript,Яваскрипты, исполняемые на стороне клиента, могут собирать для сервера информацию, которая идентифицирует его.Более того, если посещаемый нами сайт подвержен XSS, то включенные на нём скрипты Javascript помогут злоумышленнику провести успешную атаку со всеми вытекающими последствиями.5.Web BugsЭто невидимые детали веб-страниц, используемые для мониторинга посещений сайта, способные дополнительно отсылать серверу разные данные о клиенте. Web Bugs от Гугла широко распространены по всему интернету.6.HTTP-refererЭто http-заголовок, с помощью которого веб-сайт может определить, откуда к нему идёт трафик. Если вы кликнули по ссылке, которая передает http-referer, то сайт, на который данная ссылка ведёт, сможет узнать, с какого именно сайта вы на него перешли.Все вышеописанные "браузерные дырки" можно залатать отдельными дополнениями. В этом нам поможет DuckDuckGo, который создал сайт с описанием для каждого браузера:
III.Приложения
Многие не в курсе, что изначально многие приложения создавались не столько для обеспечения анонимности, сколько для нормальной и эффективной работы для обхода блокирующих межсетевых экранов, прокси-серверов и т.п.Вот некоторые приложения, которые могут самостоятельно передавать идентифицирующие нас данные:1.Некоторые клиенты BitTorrentигнорируют настройки прокси, отправляя трафик по открытым каналам.2.Windows Updateотсылает серверу десяток категорий данных, включая уникальный 128-битный идентификатор (GUID). Windows Update также уязвим к Mit-M, а следовательно, выходной узел, например, Tor, может быть источником атаки.3.Лицензионные ключи или серийные номераплатных/бесплатных приложений также могут передаваться в интернет, например, при активации или обновлении, тем самым идентифицируя пользователя.4.Windows Media Playerможет самостоятельно запрашивать информацию о музыке или обменивается служебными данными.5.Данные о часовом поясемогут передаваться при использовании IRC-чата через протокол CTCP (Client-to-client protocol).6.Дамп оперативной памяти ОС Windows,отправляемый в случае ошибки, также содержит идентифицирующие данные.7.Метаданные файловмогут включать важные данные: дата создания, авторство и пр.Лучшее решение - это не использовать в анонимном сеансе любое не доверенное и не проверенное приложение.Всем на здоровье...
