Факторы обнаружения и деанонимности

Тема в разделе "Безопасность и анонимность", создана пользователем Groll, 9 июл 2016.

  1. В этой статье речь пойдет об информации, которая может вас выдать, особенно полезно для анонимов или для тех, кто встает на путь истинный.

    Итак, разделим всю информацию на 3 части:

    I.Общие факторы

    1.IP-адрес
    Это самый важный идентификатор в сети. В зависимости от ситуации, значимость его конечно разная. На сегодняшний день по ip адресу можно отследить местонахождение юзера, поэтому это самый страшный кошмар для анонимов .
    Для решения можно использовать:
    -VPN
    -SSH-тунели
    -Dedicated servers
    -Socks + Proxifier
    -TOR,I2P или анонимайзеры (гугл в помощь) и еще несколько способов

    На самом деле существуют десятки отдельных проектов, посвященных анонимности в Интернете. Просто они менее популярны, а следовательно не изучены экспертами и не проверены на надежность.

    Некоторые анонимные сети, построенные на основе Wi-Fi:
    -Byzantium
    -B.A.T.M.A.N — Better Approach To Mobile Ad-hoc Networking
    -Netsukuku — Networked Electronic Technician Skilled in Ultimate Killing, Utility and Kamikaze -Uplinking

    2.DNS-leaks
    Такая проблема обычно появляется, когда приложение отправляет свои DNS-запросы, используя DNS-серверы интернет-провайдера.
    Например: люди через локальный прокси-сервер (SOCKS 4, 5) пытаются отправить в сеть Tor трафик различных приложений, которые прогоняют DNS-имена в обход Tor.
    Если сервис обнаружил ваш DNS, то нужно попытаться его скрыть: при работе с VPN наиболее удобным вариантом является принудительное использование статических DNS-серверов VPN-провайдера или если VPN-сервер у вас личный, то используем серверы OpenDNS (208.67.222.222, 208.67.222.220) или DNS Google (8.8.8.8, 8.8.4.4). Для дедиков и ssh-тунелей все аналогично.

    3.Профилирование
    Можно понимать так, когда большая часть трафика постоянно идет в интернет через один узел (например Тоr).В таких случаях, анализируется активность и приписывается к одному псевдониму. Выходной узел может и не знать ваш ip-адрес, но будет знать, что вы делаете.
    В итоге, лучше не использовать постоянные цепочки Tor, нужно регулярно менять выходные узлы (VPN-серверы, прокси-серверы)

    4.MitM-атаки
    Служат для прослушивания и модификации трафика на выходном узле (любой прокси-сервер или Tor). Интересным способом служит модификация цифровых подписей, GPG- или SSL-отпечатков, хеш-сумм скачиваемых файлов.
    Единственное решение: внимательность при появлении предупреждений о действии сертификатов и ключей.

    5.Тупизм в анонимном сеансе
    На примере: клиент из анонимного сеанса заходит на свою страницу в социальные сети и его интернет-провайдер об этом ничего не узнает. Но социальная сеть несмотря на то, что не видит реальный ip-адрес клиента, точно знает, кто зашёл. Так что лучше не допускать никакой левой активности в анонимном сеансе.

    6.Определение авторства текста
    Спец. программы могут сравнить текст, написанный анонимно и открытый текст, написанный автором. После чего определить с высокой степенью вероятности совпадение авторства.
    Мнения тут не однозначны, но для решения можно посоветовать прятать текст, который можно связать с автором.

    7.MAC-адрес
    к примеру, MAC-адрес сетевого интерфейса становится известен wi-fi точке доступа при подключении к ней клиента.
    Лучшее решение в таком случае: заранее поменяйте MAC-адрес его до подключения. Изменять MAC могут виртуальные машины и спецсофт. Вот например: SMAC 2.0 – программа спуффит МАС-адреса сетевой платы. Можно менять раз месяц МАС-адреса и все будет ок.

    II.Браузеры

    1.Cookies
    Это текстовые файлы с какими-либо значениями, хранимые приложением (часто — браузером) для разных задач, например, аутентификации. Часто встречается такой случай: юзер сначала зашел на ресурс из открытого сеанса, браузер сохранил cookies, а потом юзер соединился из анонимного сеанса, тогда сервер может сопоставить cookies и вычислить клиента.

    Более того, есть 3rd-party cookies, которые сохраняются у нас, например, после просмотра рекламного баннера с другого сайта (3rd-party). И сайт-владелец этого баннера способен отследить нас на всех ресурсах, где размещёны его баннеры.

    2.Flash, Java, Adobe
    Эти плагины являются по сути отдельными приложениями, которые запускаются от имени пользователя. Они могут обходить настройки прокси, хранить свои отдельные долгоживущие cookies (Flash — Local Shared Objects) и пр. О регулярно публикуемых в них уязвимостях говорить не будем.

    3.Fingerprint (отпечаток) браузера
    Браузер предоставляет серверу десятки категорий данных, в том числе и так называемый user agent . Всё это может сформировать достаточно уникальный «цифровой отпечаток браузера», по которому его можно найти уже в анонимном сеансе.
    Какие именно данные отправляет ваш браузер серверу, можно посмотреть через whoer или ip-score

    4.Скрипты Javascript,
    Яваскрипты, исполняемые на стороне клиента, могут собирать для сервера информацию, которая идентифицирует его.
    Более того, если посещаемый нами сайт подвержен XSS, то включенные на нём скрипты Javascript помогут злоумышленнику провести успешную атаку со всеми вытекающими последствиями.

    5.Web Bugs
    Это невидимые детали веб-страниц, используемые для мониторинга посещений сайта, способные дополнительно отсылать серверу разные данные о клиенте. Web Bugs от Гугла широко распространены по всему интернету.

    6.HTTP-referer
    Это http-заголовок, с помощью которого веб-сайт может определить, откуда к нему идёт трафик. Если вы кликнули по ссылке, которая передает http-referer, то сайт, на который данная ссылка ведёт, сможет узнать, с какого именно сайта вы на него перешли.
    Все вышеописанные "браузерные дырки" можно залатать отдельными дополнениями. В этом нам поможет DuckDuckGo, который создал сайт с описанием для каждого браузера: здесь

    III.Приложения

    Многие не в курсе, что изначально многие приложения создавались не столько для обеспечения анонимности, сколько для нормальной и эффективной работы для обхода блокирующих межсетевых экранов, прокси-серверов и т.п.
    Вот некоторые приложения, которые могут самостоятельно передавать идентифицирующие нас данные:
    1.Некоторые клиенты BitTorrent игнорируют настройки прокси, отправляя трафик по открытым каналам.
    2.Windows Update отсылает серверу десяток категорий данных, включая уникальный 128-битный идентификатор (GUID). Windows Update также уязвим к Mit-M, а следовательно, выходной узел, например, Tor, может быть источником атаки.
    3.Лицензионные ключи или серийные номера платных/бесплатных приложений также могут передаваться в интернет, например, при активации или обновлении, тем самым идентифицируя пользователя.
    4.Windows Media Player может самостоятельно запрашивать информацию о музыке или обменивается служебными данными.
    5.Данные о часовом поясе могут передаваться при использовании IRC-чата через протокол CTCP (Client-to-client protocol).
    6.Дамп оперативной памяти ОС Windows, отправляемый в случае ошибки, также содержит идентифицирующие данные.
    7.Метаданные файлов могут включать важные данные: дата создания, авторство и пр.

    Лучшее решение - это не использовать в анонимном сеансе любое не доверенное и не проверенное приложение.
     

Поделиться этой страницей