Выберите свою 😉
Всем салют, ребята!
Очень часто непонимание между людьми в вопросах, касаемых безопасности рождается из-за разных потребностей и разных моделей угроз.
Допустим, что вы хотите оставить самый анонимный комментарий на свете в социальной сети. Что вам для этого нужно? VPN? Tor? SSH-туннель? Вовсе нет, достаточно купить на ближайшем развале «пустую» симкарту и там же б/у смартфон. Отъехать подальше от места своего проживания, вставить одно в другое, написать сообщение и утопить телефон. Вы справились с поставленной задачей с оценкой «отлично».
Но что, если вам нужно не просто оставить разовый комментарий, не просто скрыть свой IP-адрес от какого-то сайта? Что если вам нужно иметь такой уровень анонимности, который составит сложнейшую головоломку и практически не даст возможности для раскрытия на любом уровне? А также обеспечить скрытность и в какой-то степени сам факт использования средств анонимизации. Именно об этом я и хотел c вами поговорить.
Идеальная анонимность, как и все идеальное — это скорее мечта, но приблизиться к ней вполне возможно, и происходит это за счет множества различных слоев защиты. Когда одна технология начинает дополнять и усиливать другую, и даже когда для вашей идентификации применяются отпечатки параметров системы и другие методы, вы по-прежнему остаетесь неотличимым от общей массы пользователей сети. В данной статье я попытаюсь рассказать о вариантах, которые помогут этого добиться.
Базовый уровень защиты
✅ Базовый уровень защиты и анонимности, выглядит примерно так:
Клиент → VPN/TOR/SSH-туннель → Цель
По сути, это лишь продвинутая альтернатива прокси, позволяющая просто подменить IP. Ни о какой реальной и качественной анонимности тут говорить не приходится. Уже не приходится. Одна неверная или дефолтная настройка пресловутого WebRTC и ваш реальный IP уже известен. Данный тип защиты уязвим и перед компрометацией узла, и перед fingerprints и перед простым анализом логов у провайдера и в дц.
Что же касается Tor, во-первых, его использование напрямую может вызывать подозрение, а во-вторых, выходные ноды, которых около 1000 штук известны и многие из них забанены, для многих сайтов это, как красная тряпка. Например в Cloudflare есть возможность в Firewall'e разрешать или принимать подключения из сети Tor. В качестве страны следует использовать T1. Кроме того, использование Tor намного медленнее VPN (Скорость в сети Тор на данный момент не превышает 10 мбит, а часто находится на уровне 1-3 мбит).
Итог: Если вам нужно просто не носить по миру свой открытый паспорт и обходить простейшие запреты на сайты, иметь хорошую скорость соединения и возможность полностью пускать весь трафик через другой узел, то следует выбрать VPN. В этом случае нет смысла использовать Tor, но в каких-то случаях и Tor является хорошим решением, особенно, если существует еще дополнительный слой безопасности, такой как VPN или SSH-туннель. Но об этом дальше.
Средний уровень защиты
✅ Средний уровень защиты выглядит, как дальнейшее развитие уровня начального, базового:
Клиент → VPN → Тор → цель и вариации на тему
Это оптимальный и рабочий инструмент, для любого, не безразличного к подмене IP-адреса человека, это именно тот случай, когда сочетание технологий усилило каждую из них. Но не стоит питать иллюзий, да, узнать ваш реальный адрес, будет затруднительно, но вы по-прежнему подвержены всем тем же атакам, что и выше. Ваше слабое место — это ваше физическое место работы, ваш компьютер.
Высокий уровень защиты
Клиент → VPN → Удаленное рабочее место (через RDP/VNC) → VPN
Рабочий компьютер должен быть не ваш, а удаленный, например на Windows 10, с Firefox, парой плагинов вроде Flash, парой кодеков, никаких уникальных шрифтов и прочих плагинов. Скучный и неотличимый от миллионов других в сети. И даже в случае какой-либо утечки или компрометации вашей системы, вы все равно остаетесь прикрыты еще одним VPN'ом
⚠️ Раньше считалось, что высокий уровень анонимности достигался путем использования Tor/VPN/SSH/Socks, но сегодня я бы порекомендовал добавить еще и использование удаленного рабочего места в эту схему.
Идеальный
Клиент → Double VPN (в разных дата центрах, но рядом друг с другом) → Удаленное рабочее место + Виртуальная машина → VPN
Предлагаемая схема — это первичное подключение к VPN и вторичное подключение к VPN (на случай, если 1-й VPN будет скомпрометирован, через какую либо утечку), для скрытия трафика от провайдера и с целью не выдать свой реальный IP-адрес в дата центре с удаленным рабочим местом. Далее установленная виртуальная машина на этом сервере.
Зачем нужна виртуальная машина, я думаю, понятно? Чтобы каждую загрузку делать откат к самой стандартной и банальной системе, со стандартным набором плагинов. Именно на машине с удаленным рабочим местом, а не локально, потому что люди, которые использовали виртуальную машину локально, а из под нее TripleVPN на эллиптических кривых, однажды зайдя на whoer.net, очень удивились увидеть в графе WebRTC свой реальный и настоящий IP-адрес. Какую «мульку» реализуют завтра и не спросив вас, обновят вам браузер, я не знаю и думать об этом не хочу, и вы не думайте, не держите ничего локально. Кевин Митник это 30 лет назад уже знал.
⚠️ Данная схема мной протестирована, тормоза очень приличные, даже если географически вся схема составлена правильно. Но вполне возможные и терпимые. В данном случае, подразумевается, что человек не разносит сервера на пути по разным континентам.
✅ Допустим, вы физически находитесь в Москве, тогда схему можно построить так:
Первый VPN поднимаем у вас же в Москве;
Второй, например, в Монако;
Удаленное рабочее место, например, в Нидерландах;
Конечный VPN, например, в Украине.
Логика построения должна быть такой: не стоит использовать все сервера внутри, например, еврозоны, т.к. там хорошо налажено сотрудничество и взаимодействие различных структур, но при этом не стоит их разносить далеко друг от друга. Соседние государства ненавидящие друг-друга — вот залог успеха вашей цепочки!
⚡️ Дополнительно можно добавить автоматическое посещение веб-сайтов в фоновом режиме, с вашей реальной машины, как имитацию серфинга (это поможет не вызвать подозрения в том, что вы используете какое-то средство анонимизации).
⚡️ Вместо обычного TOR, можно добавить использовать виртуальную машину Whonix, получать доступ в интернет через публичный Wi-Fi в кафе, поменяв при этом данные сетевого адаптера, которые тоже могут привести к деанонимизации.
⚡️ Более того, можно даже изменить внешность, чтобы не быть идентифицированным по лицу в том же самом кафе (да, это будущее и оно уже здесь - https://cvdazzle.com/). Вы можете быть определены, как по наличию координат местонахождения, в файле фотографии, сделанной вашим телефоном (https://news.ycombinator.com/item?id=4868170) до диагностики определенного стиля письма. Просто помните об этом.
С другой стороны, большинству людей достаточно анонимайзера, но он не слишком удобен для серфинга. Да, обычный VPN — это нормальное и грамотное решение для обхода простых блокировок и работы в сети на хорошей скорости, хотите больше анонимности, правда в ущебр скорости? Добавьте сюда еще и TOR. Хотите еще большего? Сделайте как написано выше.
Fingerprints, как и попытки определения использования VPN, по средствам замера времени отправления пакета от пользователя к вебсайту и от вебсайта к IP-адресу пользователя (не берем в расчет такой «костыль», как блокировка только входящих запросов определенного вида) обойти не так просто. Обмануть кое-что можно, одну-другую проверку, но нет гарантий, что завтра не появится очередное «зло». Именно поэтому вам необходимо удаленное рабочее место, именно поэтому нужна чистая виртуалка, именно поэтому это лучший совет, что который можно дать, на данный момент. Cтоимость такого решения может начинаться всего лишь от 40$ в месяц. Но учтите, что для оплаты, следует использовать исключительно крипту.
Вместо выводов.
Самая важная часть и самый главный залог успеха в защите анонимности — разделение работы с персональными данными и с данными секретными, представляющими какую-то ценность.
❌ Все эти туннели и выстроенные схемы, будут абсолютно бесполезны, если вы с него зайдете, например на свой персональный аккаунт в Google.
На сегодня это все. Берегите себя ❤️
Comments