November 5, 2020

Типичные ошибки, приводящие к деанонимизации

В сегодняшней статье будут рассмотрены типичные ошибки, приводящие к деанонимизации. Многие из них вам могут показаться идиотскими. Но люди их совершают! Отчасти от незнания технических аспектов, отчасти просто забывая о намного более важных вещах, если настроить 2 VPN'а через 3 Tor'а и 8 проксей.

1. Анонимность в социальных сетях.

Если вы зарегистрировались в vk (социальной сети) указав свой номер телефона. Затем подключились к vk через Tor чтобы в официальной группе Администрации города Задрищенска написать «депутат второго созыва городской думы Никифоров С.С. вор». Значит ли это, что вы анонимны — ведь вы использовали Tor?

Нет не значит. Хотя бы потому, что к вашему аккаунту социальной сети привязан номер телефона. И для вашей идентификации IP адрес не особенно и нужен.

2. Анонимность и кукиз.

Кукиз — это небольшие фрагменты информации, которые хранятся в вашем веб-браузере после того, как сайт отправил их вам.

Если вы зашли на сайт, получили свои кукиз, затем переподключились через Tor и написали в комментариях что-нибудь вроде «депутат второго созыва городской думы Петров Д.С. тоже вор», то кукиз может связать автора комментария и пользователя, ранее зашедшим с другим IP адресом.

Кукиз предназначены для того, чтобы независимо от вашего IP адреса идентифицировать пользователя.

3. Многие сайты хранят IP предыдущих действий.

К примеру, я зарегистрировал VPN аккаунт к которому я буду подключаться через Tor. Но регистрировал его я со своего IP («потому что Tor тормозной, да и вообще тот сайт не принимает подключения из сети Tor). Буду ли я анонимным, если я подключаюсь к VPN через Tor? Нет, поскольку информация о предыдущих операциях с IP адресом сохранена.

4. Я КУПЛЮ VPN (или VPS сервер для настройки OpenVPN) и будут анонимным.

Даже если вы прочитали третий пункт и зашли регистрироваться через Tor, но используете кошельки, которые могут привести к вам, то ни о какой анонимности речи не идёт. Причём при покупке одноразовых СИМок и при входе на сайты кошельков также нужно помнить о своей анонимности, иначе это всё просто бессмысленно.

Именно поэтому просто Tor анонимнее чем Tor + OpenVPN. Довольно трудно что-то купить не оставив следы.

5. OpenVPN это очень хорошо, но не для анонимности.

Если вспомнить о первоначальном предназначении VPN сетей, то это организация виртуальных частных сетей, внутри которой компьютеры разбросанные по всему мир,у могут обращаться к локальным сетевым ресурсам друг друга. При этом обмен трафиком происходит в зашифрованном виде, но этот трафик зашифрован только для внешнего наблюдателя, но не для сервера и клиентов OpenVPN сети.

По этой причине, если вы приобрели бесплатный или платный VPN аккаунт то будьте готовы, что владелец сервера может делать с вашим трафиком ЧТО УГОДНО и ведёт журналы активности — какие запросы были сделаны от какого клиента.

Как написано в справке Whonix: треть популярных VPN провайдеров принадлежит китайским компаниям (Китай это не та страна, в которой уважают приватность), а остальные в странах вроде Пакистана — тоже те ещё «замечательные» страны. Сколько из них являются 'honeypot' и записывают активность сказать невозможно, но по моему мнению, этим занимаются 100% платных и бесплатных VPN провайдеров.

6. Есть 1000 и 1 способ узнать настоящий IP адрес удалённого пользователя.

Варианты от простейшего отправить ссылку на подконтрольный сайт и посмотреть IP (если общение через анонимный мессенджер) или файл с трояном до вполне изощрённых способов.

7. Если вы используете любое ПО с закрытым исходным кодом для противоправной деятельности, то там 100% установлен бэкдор.

Бэкдоры могут быть и в легитимном ПО с закрытым исходным кодом — в качестве трудно выявляемой уязвимости, о которой знает производитель, или просто обычный тупой как пробка бэкдор — такие находили, например, в официальных прошивках роутеров.

Что касается незаконного ПО с закрытым исходным кодом который распространяет анонимно, то скажите мне, пожалуйста, ну вот почему бы туда не установить бэкдор? Владелец ничего не узнаете, и даже если и узнает, что он будет делать? Пойдёт в полицию и скажет: я купил скрипты для взлома защиты краденых телефонов, а мне туда установили вирус… Вряд ли он так поступит.

8. Непонимание простейших технических аспектов работы сетей, серверов, приложений, накопленной и доступной в открытых источниках информации.

В моих статьях, ссылки на которые я дал выше, я нашёл сайты злоумышленника просто проанализировав куда уходит запрос POST. Почему злоумышленник оставил на этом сайте скрипты в архиве? Видимо, просто не знал, что очень легко можно отследить куда уходит запрос POST даже если HTML код обфусцирован.

И таких «технических» проколов может быть множество: простой пароль SSH подключения («никто же знает, где мой сервер»), непонимание, к какой информации на сервере может получить исследователь, непонимание для чего нужен Cloudflare и т.д.

9. Большая картина.

Пример: атакуются объекты инфраструктуры и следы IP и другие косвенные признаки ведут в куда-то далеко. Но при этом объекты и методы атаки схожи с теми, которые использовала известная хакерская группировка. Как минимум, есть повод задуматься.

10. Метаданные в файлах.

Вы должны знать всё о метаданных и программах для их просмотра и очистки. Иначе если вы распространяете файлы все остальные меры анонимности могут стать бесполезными. Примерно как в первом пункте, когда используется Tor, но выполняется вход в социальную сеть под своим аккаунтом.

Нужно ли использовать Tor с VPN, прокси, SSH?

Это частый вопрос в разных вариациях. И однозначного ответа на него нет. Предположим, в моей стране или мой провайдер Интернет-услуг блокирует доступ к сети Tor, тогда не столько хорошим, сколько единственным решением является использовать VPN + Tor. При этом риски VPN, который предназначен для организации виртуальных частных сетей, а не анонимности, я должен чётко понимать. Если я НЕ понимаю риски добавления разных промежуточных узлов, а делаю это просто потому что прочитал на каком-то форуме что так лучше, то это плохая идея: какой-то рабочей технологии узнать настоящий IP адрес пользователя сети Tor нет, а вот VPN «honeypot» будет знать про вас всё:

  • ваш настоящий IP адрес
  • к каким сайтам вы делали запросы
  • какие ответы получили