June 18, 2020

Типичные ошибки, приводящие к деанонимизации

Оформляй подписку

HiddenNews

Замечу, что эта статья написана только для образовательных целей. Мы никого ни к чему не призываем, только в целях ознакомления!

Люди задаются вопросом, как сделать «Tor + VPN из Tails» или как сделать связку «VPN → Tor → VPN». Цель таких конструкций главным образом обеспечить свою анонимность. Но при этом у многих, кто задаётся такими вопросами, слишком сильно смещён фокус на IP и они совершенно забывают о намного более важных вещах.

Дело не в том, что не нужно пытаться скрыть свой IP адрес, дело в том, что это абсолютно бессмысленно, если вы не понимаете другие аспекты анонимности.

Далее показаны типичные ошибки, приводящие к деанонизации. Многие из них вам могут показаться идиотскими. Но люди их совершают! Отчасти от незнания технических аспектов, отчасти просто забывая о намного более важных вещах, настроев 2 VPN'а через 3 Tor'а и 8 проксей.

1. Анонимность в социальных сетях

Если вы зарегистрировались в vk (социальной сети) указав свой номер телефона. Затем подключились к vk через Tor чтобы в официальной группе Администрации города Задрищенска написать «депутат второго созыва городской думы Никифоров С.С. вор». Значит ли это, что вы анонимны — ведь вы использовали Tor?

Нет не значит. Хотя бы потому, что к вашему аккаунту социальной сети привязан номер телефона. И для вашей идентификации IP адрес не особенно и нужен.

2. Анонимность и кукиз

Кукиз — это небольшие фрагменты информации, которые хранятся в вашем веб-браузере после того, как сайт отправил их вам.

Если вы зашли на сайт, получили свои кукиз, затем переподключились через Tor и написали в комментариях что-нибудь вроде «депутат второго созыва городской думы Петров Д.С. тоже вор», то кукиз может связать автора комментария и пользователя, ранее зашедшим с другим IP адресом.

Кукиз предназначены для того, чтобы независимо от вашего IP адреса идентифицировать пользователя.

3. Многие сайты хранят IP предыдущих действий

К примеру, я зарегистрировал VPN аккаунт к которому я буду подключаться через Tor. Но регистрировал его я со своего IP («потому что Tor тормозной, да и вообще тот сайт не принимает подключения из сети Tor). Буду ли я анонимным, если я подключаюсь к VPN через Tor? Нет, поскольку информация о предыдущих операциях с IP адресом сохранена.

4. Я КУПЛЮ VPN (или VPS сервер для настройки OpenVPN) и будут анонимным

Даже если вы прочитали третий пункт и зашли регистрироваться через Tor, но используете кошельки, которые могут привести к вам, то ни о какой анонимности речи не идёт. Причём при покупке одноразовых СИМок и при входе на сайты кошельков также нужно помнить о своей анонимности, иначе это всё просто бессмысленно.

Именно поэтому просто Tor анонимнее чем Tor + OpenVPN. Довольно трудно что-то купить не оставив следы.

5. OpenVPN это очень хорошо, но не для анонимности

Если вспомнить о первоначальном предназначении VPN сетей, то это организация виртуальных частных сетей, внутри которой компьютеры разбросанные по всему мир,у могут обращаться к локальным сетевым ресурсам друг друга. При этом обмен трафиком происходит в зашифрованном виде, но этот трафик зашифрован только для внешнего наблюдателя, но не для сервера и клиентов OpenVPN сети.

По этой причине, если вы приобрели бесплатный или платный VPN аккаунт то будьте готовы, что владелец сервера может делать с вашим трафиком ЧТО УГОДНО и ведёт журналы активности — какие запросы были сделаны от какого клиента.

Как написано в справке Whonix: треть популярных VPN провайдеров принадлежит китайским компаниям (Китай это не та страна, в которой уважают приватность), а остальные в странах вроде Пакистана — тоже те ещё «замечательные» страны. Сколько из них являются 'honeypot' и записывают активность сказать невозможно, но по моему мнению, этим занимаются 100% платных и бесплатных VPN провайдеров.

6. Есть 1000 и 1 способ узнать настоящий IP адрес удалённого пользователя

Варианты от простейшего отправить ссылку на подконтрольный сайт и посмотреть IP (если общение через анонимный мессенджер) или файл с трояном до вполне изощрённых способов.

7. Если вы используете любое ПО с закрытым исходным кодом для противоправной деятельности, то там 100% установлен бэкдор

Бэкдоры могут быть и в легитимном ПО с закрытым исходным кодом — в качестве трудно выявляемой уязвимости, о которой знает производитель, или просто обычный тупой как пробка бэкдор — такие находили, например, в официальных прошивках роутеров.

Что касается незаконного ПО с закрытым исходным кодом который распространяет анонимно, то скажите мне, пожалуйста, ну вот почему бы туда не установить бэкдор? Владелец ничего не узнаете, и даже если и узнает, что он будет делать? Пойдёт в полицию и скажет: я купил скрипты для взлома защиты краденых телефонов, а мне туда установили вирус… Вряд ли он так поступит.

8. Непонимание простейших технических аспектов работы сетей, серверов, приложений, накопленной и доступной в открытых источниках информации

В моих статьях, ссылки на которые я дал выше, я нашёл сайты злоумышленника просто проанализировав куда уходит запрос POST. Почему злоумышленник оставил на этом сайте скрипты в архиве? Видимо, просто не знал, что очень легко можно отследить куда уходит запрос POST даже если HTML код обфусцирован.

И таких «технических» проколов может быть множество: простой пароль SSH подключения («никто же знает, где мой сервер»), непонимание, к какой информации на сервере может получить исследователь, непонимание для чего нужен Cloudflare и т.д.

9. Большая картина

Пример: атакуются объекты инфраструктуры и следы IP и другие косвенные признаки ведут в куда-то далеко. Но при этом объекты и методы атаки схожи с теми, которые использовала известная хакерская группировка. Как минимум, есть повод задуматься.

10. Метаданные в файлах

Вы должны знать всё о метаданных и программах для их просмотра и очистки. Иначе если вы распространяете файлы все остальные меры анонимности могут стать бесполезными. Примерно как в первом пункте, когда используется Tor, но выполняется вход в социальную сеть под своим аккаунтом.

Нужно ли использовать Tor с VPN, прокси, SSH?

Это частый вопрос в разных вариациях. И однозначного ответа на него нет. Предположим, в моей стране или мой провайдер Интернет-услуг блокирует доступ к сети Tor, тогда не столько хорошим, сколько единственным решением является использовать VPN + Tor. При этом риски VPN, который предназначен для организации виртуальных частных сетей, а не анонимности, я должен чётко понимать. Если я НЕ понимаю риски добавления разных промежуточных узлов, а делаю это просто потому что прочитал на каком-то форуме что так лучше, то это плохая идея: какой-то рабочей технологии узнать настоящий IP адрес пользователя сети Tor нет, а вот VPN «honeypot» будет знать про вас всё:

  • ваш настоящий IP адрес
  • к каким сайтам вы делали запросы
  • какие ответы получили

Далее перевод со страниц официальной документации Tor Project. Я согласен с этими мнениями при условии, что есть доверие к сети Tor. У меня НЕТ 100% доверия к сети Tor, но из других вариантов сокрытия своего IP это лучшее решение.

Источники:

!Начало официальной документации Tor

Могу ли я использовать VPN с Tor?

Вообще говоря, мы не рекомендуем использовать VPN с Tor, если вы не являетесь опытным пользователем, который знает, как настроить оба способа таким образом, чтобы не нарушить вашу конфиденциальность.

Введение

В списке рассылки Tor много рассуждений о том, как объединить Tor с VPN, SSH и/или прокси в разных вариациях. Буква

X в этой статье означает «VPN, SSH или прокси». Все разные способы объединить Tor с X имеют разные плюсы и минусы.

Анонимность и конфиденциальность

Вы можете очень сильно нарушить свою анонимность, используя VPN/SSH в дополнение к Tor. (Прокси описаны ниже.) Но если вы знаете, что делаете, то вы можете повысить анонимность, безопасность и конфиденциальность.

Провайдеры VPN/SSH хранят историю финансовых операций и вы оставите следы, если не выберите действительно анонимный способ оплаты. VPN/SSH действует как постоянный входной или как постоянный выходной узел. Это может решить некоторые проблемы, но создать новые риски.

Кто твой противник? Против глобального противника с неограниченными ресурсами добавление новых промежуточных узлов делает пассивные атаки (немного) сложнее, но активные атаки становятся легче, поскольку вы предоставляете больше поверхности для атаки и отправляете больше данных, которые можно использовать. Добавление узлов укрепляет вас против сговора узлов Tor и против хакеров-блэкхатов, которые нацелены на клиентский код Tor (особенно если Tor и VPN работают в двух разных системах). Если сервер VPN/SSH находится под контролем злоумышленника, вы ослабляете защиту, предоставляемую Tor. Если сервер заслуживает доверия, вы можете повысить анонимность и/или конфиденциальность (в зависимости от настроек), предоставляемых Tor.

VPN/SSH также может быть использован для обхода цензуры Tor (если ваш Интернет провайдер блокирует доступ к Tor или если конечный узел блокирует подключения из сети Tor).

VPN/SSH против прокси

Соединение между вами и VPN/SSH зашифровано, но не всегда.

С другой стороны, соединение между вами и OpenProxy не зашифровано. «SSL-прокси» в большинстве случаев является только http-прокси, который поддерживает метод connect. Первоначально метод connect был разработан для того, чтобы вы могли использовать подключение с использованием SSL к веб-серверам, но возможны и другие интересные вещи, такие как подключение к IRC, SSH и т. д. Ещё одним недостатком прокси-серверов http(s) является то, что некоторые из них, в зависимости от настроек вашей сети, даже пропускают ваш IP через заголовок «http forwarded for». (Такие прокси-серверы также называются «неанонимными прокси-серверами». Хотя слово «анонимный» в любом случае следует понимать с осторожностью, один OpenProxy намного хуже, чем Tor).

VPN против SSH или прокси

VPN работает на уровне сети. Туннель SSH может предложить прокси socks5. Прокси работают на уровне приложений. Эти технические детали создают свои собственные проблемы при объединении с Tor.

Проблемой для многих пользователей VPN является сложная настройка. Они подключаются к VPN на машине, которая имеет прямой доступ к Интернету.

  • пользователь VPN может забыть сначала подключиться к VPN
  • без особых мер предосторожности при разрыве VPN-соединения (перезагрузка VPN-сервера, проблемы с сетью, сбой VPN-процесса и т. д.) будут выполняться прямые подключения без VPN.

Чтобы решить эту проблему, вы можете попробовать что-то вроде VPN-Firewall.

При работе на уровне приложений (с использованием SSH-туннелей socks5 или прокси-серверов) проблема заключается в том, что многие приложения не соблюдают настройки прокси-сервера.

Наиболее безопасным решением для устранения этих проблем является использование прозрачного прокси, что возможно для VPN, SSH и прокси.

Вы -> X -> Tor

Некоторые люди при определённых обстоятельствах (страна, Интернет-провайдер) вынуждены использовать VPN или прокси для подключения к Интернету. Другие люди хотят сделать это по другим причинам, которые мы также обсудим.

Вы -> VPN/SSH -> Tor

Вы можете маршрутизировать Tor через VPN/SSH сервисы. Это может помешать вашему провайдеру и прочим увидеть что вы используете Tor. С одной стороны, VPN более популярны, чем Tor, так что вы не будете особо выделяться, с другой стороны, в некоторых странах замена зашифрованного соединения Tor на зашифрованное соединение VPN или SSH также будет подозрительной. Туннели SSH не так популярны.

Как только VPN-клиент подключится, VPN-туннель станет маршрутом по умолчанию для Интернету подключения, и через него будет маршрутизироваться TBB (Tor Browser Bundle) (или Tor-клиент).

Это может быть хорошей идеей, если предположить, что сеть вашего провайдера VPN/SSH безопаснее, чем ваша собственная сеть.

Ещё одним преимуществом здесь является то, что Tor не сможет видеть ваш IP за VPN/SSH. Поэтому, если кому-то удастся взломать Tor и узнать IP-адрес, с которого идёт ваш трафик, и ваш VPN/SSH за вами не следит, тогда это поможет вам остаться анонимным.

Вы -> Прокси -> Tor

Это не мешает вашему провайдеру и прочим наблюдателям видеть, что вы используете Tor, поскольку соединение между вами и прокси не зашифровано.

В зависимости от конфигурации на стороне прокси-сервера иногда это не позволяет Tor видеть кто вы. Поэтому, если кому-то удастся взломать Tor и узнать IP-адрес, с которого идёт ваш трафик и ваш прокси-сервер не выдаст вас, то злоумышленник не увидит ваш настоящий IP.

Вы -> Tor -> X

Как правило, это действительно плохой вариант.

Некоторые люди делают это, чтобы избежать запретов подключения из сети Tor.

Обычно Tor часто переключает свой путь через сеть. Когда вы выбираете постоянное место назначения X, вы отказываетесь от этого преимущества, которое может иметь серьёзные последствия для вашей анонимности. Например, накопление информации о сделанных запросах, пришедших с разных IP адресов сети Tor затруднено, но используя один узел выхода вы лишаетесь этого преимущества.

Вы -> Tor -> VPN/SSH

Вы также можете маршрутизировать VPN/SSH через Tor. Это скрывает и защищает вашу интернет-активность от выходных узлов Tor. Хотя за вами могут наблюдать выходные узлы VPN/SSH. Этот вариант имеет смысл только если вы используете VPN/SSH таким образом, что можете платить за них анонимно.

Тем не менее это не так просто без использования виртуальных машин. И вам нужно будет использовать режим TCP для VPN (для маршрутизации через Tor). По нашему опыту, установление VPN-подключений через Tor является довольно сложным.

Даже если вы платите за них анонимно, вы создаёте узкое место где проходит весь ваш трафик — VPN/SSH может создать профиль всего, что вы делаете, и со временем это, вероятно, будет действительно опасным.

Вы -> Tor -> Прокси

Вы также можете маршрутизировать прокси-соединения через Tor. Это не скрывает и не защищает вашу интернет-активность от выходных узлов Tor, потому что соединение между выходным узлом и прокси не зашифровано, не одна, а две стороны могут теперь регистрировать и манипулировать вашим незашифрованным трафиком. Не имеет смысла, если вы не можете анонимно оплатить прокси серверы.

Вы -> X -> Tor -> X

Нет исследований, возможно ли это технически. Помните, что это, вероятно, очень плохой вариант, потому что Вы -> Tor -> X - уже очень плохой план.

Вы -> свой (локальный) VPN сервер -> Tor

Это отличается от рассмотренного выше. Вам не нужно платить провайдеру VPN, поскольку вы размещаете свой собственный локальный VPN-сервер. Это не защитит вас от того, что ваш интернет-провайдер увидит ваше подключение к Tor, и не защитит вас от шпионажа серверов выхода Tor.

Это делается для того, чтобы весь ваш трафик проходил через Tor без каких-либо утечек, в противном случае это не имеет смысла.

!Конец официальной документации Tor

Принцип неуловимого Джо

На площади гарцует ковбой на лошади.

- Кто это?

- Неуловимый Джо.

- И что, правда никто не может его поймать?

- Да кому он нафиг нужен!

Что нужно сделать, чтобы меня точно не нашли? Стопроцентной гарантией является только если вас не будут искать…

Даже если вы изучили от корки до корки «мануалы по анонимности», даже если он написан понимающим человеком (а это вряд ли, поскольку понимающий человек не стал бы такое писать и брать на свою совесть такую ответственность) и даже если вы всё сделали правильно, но при этом не понимаете других аспектов рассмотренных выше, то ваши шансы «спалиться» одним из рассмотренных выше идиотских способов велики.

Лучше быть законопослушным человеком и применять знания и навыки в правомерной деятельности:

«В последнее время стало так трудно воровать, что у меня такое ощущение, что я эти деньги заработал»

Предыдущие статьи:

Самые популярные тактики атак известных хакерских группировок

Популярные методы социальной инженерии

Делаем из Chrome анонимный браузер Tor

Делаем деньги на финансовых офферах

Зарабатываем на своём приложении

Соц.сети

Мы в Telegram - https://t.me/HiddenNewss

Мы во Вконтакте - https://vk.com/hiddennewsru