Учитывая тенденции в Российском законодательстве, да и вообще поползновения Большого Брата «любить» всех и каждого, в среде пользователей компьютеров усиливается желание от такой «любви» несколько отстраниться.
Сразу скажу, ни одна технология сама по себе не является панацеей от деанонимизации, как не бывает абсолютно надёжных сейфов, абсолютно устойчивой защиты. Задача любой оборонительной системы — сделать проникновение в неё настолько дорогим и нудным, что «игра не будет стоить свеч». То есть — лишить злоумышленника экономической и творческой мотивации.
Защитная система, таким образом, должна быть многоплановой и многослойной, и я попробую дать общую схему системы, пригодной для домашнего пользования.
Данный текст не претендует на единственно возможную схему построения такой защиты, дополнения и исправления приветствуются. Важность оценена исходя из российских реалий по 5-балльной шкале. Этот текст относится только к «обычному интернету», без наложенных сетей (они будут рассмотрены в отдельной статье)
Эшелон 1: IP-адрес
Важность: 5
В этой теме вынужден изложить несколько банальных фактов.
IP-адрес (или диапазон) выдаётся пользователю определённым оператором (например, местным интернет-провайдером). У оператора есть все данные, кому он выдан и когда. Это касается и динамических адресов. А пользователь так или иначе сообщает свои данные оператору.
Если известен IP-адрес, с которого отправлено «незаконное» сообщение, а особенно если этих сообщений много с одного и того же адреса, к пользователю наверняка придут в процессе расследования, причём в первую очередь.
Спасением для этого пользователя может быть только одно преступление, но уже не уголовное: всего лишь нарушение договора с провайдером. Это предоставление доступа к своему каналу другим лицам. «Не знаю, кто с моего айпишника постил, потому что мне лень было делать шифрованную сеть на WiFi роутере.» Или: «Я тут поставил программку, которая говорила, что через неё другие будут выходить в интернет, а разве это запрещено? Мне своего интернета не жалко!»
К сожалению, в случае преследования российским государством «спасение» лишь условное. Полицаям важнее всего найти крайнего, после чего все улики будут показаны в деле с нужного угла, а насквозь зависимый суд признает всё, что «спущено сверху».
Узел, с которого ваша информация отправляется в интернет, может её записывать и/или анализировать. Помните об этом.
Вывод: свой IP-адрес скрывать обязательно.
Рекомендации и возможные средства:
TOR. Бесплатно. Работает не очень-то быстро. Практически очень сложно установить реальный IP-адрес того, кто пользуется данным каналом: данные проходят через множество промежуточных узлов в зашифрованном виде. Однако некоторые сайты могут блокировать пользователей, пришедших из этой сети, ибо список IP-адресов, задействованных в ней, получить весьма несложно. Причём это ограничение будет распространяться и на реальный адрес пользователя.
Зарубежные VPN-сервера. Обычно эта услуга платная, даже если условно анонимная — деньги-то перечислять приходится. Хорошо оправдывает себя с условием многозвенности и использования электронных валют вроде bitcoin.
Контррекомендации:
I2P. В данном случае не рекомендуется. Бесплатно, однако для доступа к «обычному интернету» не предназначена, а то и может поспособствовать деанонимизации различными способами (внедрению в защищённый контент изображений или скриптов из «обычного интернета»). Хорошей практикой при использовании I2P является полный запрет доступа бразуеру к «обычному интернету».
Бесплатные прокси и VPN. Это как сыр в мышеловке — всю проходящую информацию могут писАть, о чём наверняка сказано в пользовательском соглашении.
Эшелон 2: шифрование
Важность: 5
Опять банальности.
Большой Брат практически у каждого легального интернет-провайдера размещает оборудование СОРМ-2, что обеспечивает в случае необходимости (должно быть по санкции прокурора, но вы же понимаете, что это решение в наших реалиях могут оформить «задним числом») перехват пакетов определённого пользователя. Включая «динамиков». Технологически в этом проблем нет. Лично я при ознакомлении с моим первым уголовным делом видел пять DVD-дисков с перехватом моего трафика. Мне даже дали их посмотреть на компе. Так что не стройте иллюзий.
Выход — лишь асимметричное шифрование. Плюс внимание к внезапным изменением сертификатов и отпечатков ключей узлов, с которыми вы соединяетесь. Браузеры и прочие связанные с шифрованными каналами программы об этом предупреждают. Если об этом не было официального предупреждения от админов сайта — лучше откажитесь от соединения и примите к сведению, что ваш канал скомпрометирован.
Повторюсь, что шифрование современными алгоритмами само по себе — не гарантия нерасшифровываемости. Расшифровать можно, но на это уйдут годы и десятилетия при нашем уровне технологий. Квантовые же компьютеры, которых все так боятся, нереализуемы, ибо бредова и не соответствует экспериментальным данным сама квантовая теория.
В таких условиях гэбня будет ловить тех, кто не зашифровался, потому что для этого не надо напрягаться.
Вывод: шифрование — обязательно.
Рекомендации и возможные средства:
HTTPS, он же HTTP over SSL. Настройте ваш браузер таким образом, чтобы он не загружал незашифрованные элементы с зашифрованных страниц. Не игнорируйте предупреждения об изменившихся и недействительных сертификатах зашифрованных страниц. Не вводите свои логины-пароли на незашифрованных страницах или страницах с недействительными сертификатами.
Для «мгновенных сообщений» используйте протоколы, поддерживающие стойкое шифрование через SSL. Например, XMPP (Jabber) — он поддерживает как SSL-шифрование, так и OTR. Важный момент: между вами и сервером даже при использовании SSL сообщения зашифрованы, но на самом сервере — доступны в исходном виде. И между серверами — тоже. Для этого и придуман OTR. (OTR плагины для Миранды и Пиджина можно скачать здесь — прим. ПН)
Для чтения и отправки почты используйте протоколы с шифрованием на уровне соединения (используют SSL и работают по другим портам) или на уровне транспорта (TLS, работают на тех же портах, но поддерживают команду STARTTLS).
В почтовой переписке используйте дополнительное шифрование сообщений, например, PGP. Помните, что если даже вы избежали перехвата вашего сообщения у провайдера, на почтовом сервере оно появится вновь расшифрованным.