Обзор различных схем обеспечения анонимной работы.

TELE 2

МЕСТНЫЙ
Покупок
0
Регистрация
03.01.2016
Сообщения
1 044
Реакции
655
Баланс
0,00Руб
Введение: зачем это нужно?

Компьютеризация населения сделала заметный вклад в повседневную деятельность среднестатистического человека. Для кого-то информационные технологии стали средством получения стабильного дохода, зачастую не совсем законного, а для кого-то и совсем незаконного (простите за каламбур). Цель данного материала состоит не в описании каких-то сложных схем сокрытия факта своей деятельности от налоговой инспекции и не в предоставлении инструкции по исключению встречи с правоохранительными органами. Если читателю есть что скрывать, данный обзор подскажет как лучше организовать процесс сокрытия, в зависимости от ситуации.

Схемы, представленные в обзоре, представляют собой некую базу, на основе которой можно строить свои методики.


1. Конфиденциальность при работе с операционной системой.

Небольшое отступление: идея написать данный материал возникла из небольшого поста в моем блоге ("Анализ конфиденциальности при работе с гостевой ОС"), поэтому начну с рассмотрения излюбленной многими концепции «виртуальной машины».


1.1 Использование виртуальных машин.


Иллюзия изолированности гостевой ОС разрушается при рассмотрении некоторых процессов, протекающих в основной ОС.

В клиентских линейках многих операционных систем присутствует режим гибернации. При переходе в данный режим содержимое оперативной памяти отображается на жесткий диск и при стандартных настройках системы остается до следующего перехода. Риск сохранения состояния гостевой ОС на жестком диске довольно высок и не стоит списывать его со счетов.

Для ускорения работы ОС существует механизм постраничного сохранения участков оперативной памяти, которые не используются довольно продолжительное время (swap). Далее, при обращении к такому участку он восстанавливается в оперативную память. Соль этого механизма в том, что все эти манипуляции производятся прозрачно для пользователя и последний никак не может повлиять на процесс копирования.

Изменение размера файла подкачки снижает, но не устраняет риск попадания данных о состоянии сеанса гостевой ОС на жесткий диск из оперативной памяти. В свою очередь, полное отключение свопа устраняет потенциальный источник «утечки», но снижает скорость работы системы в целом. Тут придется идти на компромисс.

+ удобность в повседневном использовании
+ быстрое удаление компрометирующих данных в случае надобности
+ наличие образов и, как следствие, возможность сокрытия образа компрометирующей гостевой ОС
+ быстрая развертываемость инфраструктуры

- наличие неявных каналов утечки данных из гостевой ОС в основную ОС
- снижение производительности (весомый недостаток для многих)
- отсутствие автономности образов гостевых ОС от используемого для виртуализации ПО


1.2 Конфиденциальность при работе с LiveCD(DVD/USB)-дистрибутивами.


Широко распространена практика использования мобильных носителей с предустановленными системами. Кто-то предпочитает одну единственную систему, предназначенную для установки на flash или CD и содержащую весь необходимый инструментарий для работы в «полевых» условиях, а кто-то отдает предпочтение своей собственной сборке, настраивая все под свои нужды.

При работе с данным типом операционных систем наиболее высоким показателем качества, пожалуй, является «быстроразвертываемость» (мобильность). Лучший инструмента для анонимной работы в незнакомых условиях трудно найти, чего не скажешь о повседневном использовании: отсутствие возможности сохранения данных, конфигурационных файлов и т.п. является как отрицательным фактом (в ущерб usability), так и положительным (отсутствие утечки данных в основную память рабочей станции). Манипуляция данными исключительно в оперативной памяти позволяет не беспокоиться о явных каналах утечки данных.

+ мобильность
+ возможность работы в «полевых» условиях
+ работа с данными исключительно в оперативной памяти

- неудобство повседневного использования.


1.3 Конфиденциальность при работе с удаленными рабочими станциями (выделенными серверами).

Неаккуратное использование удаленных рабочих станций для совершения незаконных действий может раскрыть нарушителя, продемонстрировав его IP-адрес или другую полезную информацию третьим лицам. Рассмотрим возможные каналы утечки данных на примере Windows-серверов, в силу их наибольшей распространенности, которая, в свою очередь, вытекает из большей степени уязвимости.

При использовании службы терминалов (она же RDP) и при недостаточных «предосторожностях» есть риск попадания авторизованных действий в системные журналы (в Win NT так называемый event log: C:\WINDOWS\system32\config, все файлы которого скрытые и подлежат удалению с помощью специального ПО, наподобие Unlocker).

Если установленные взломщиком программы создают сетевую активность или активно используют ресурсы сервера, бдительный администратор может заметить подозрительную сетевую активность (либо подозрительную новую службу). Есть риск попасть «под колпак», т. е. администратор имеет все возможности снифать порт, на котором висит ПО нарушителя. Отсюда, как результат, утечка конфиденциальной информации. К тому же никто не даст гарантии, что взломанный сервер не входит в сеть honeypot со всеми вытекающими…

+ выделенные сервера доступны 24/7
+ производительность


- при недостаточных мероприятиях существует возможность попасть под наблюдение администраторов сервера, со всеми вытекающими последствиями.



2. Анонимность при работе с web-ресурсами.

«Независимые исследователи» защищенности web-приложений в своей работе зачастую используют цепочки прокси-серверов и/или анонимную сеть Tor (или ее аналоги, например, I2P). Рассмотрим подробнее каждую из этих схем.


2.1 Использование прокси-серверов.

Техническая особенность цепочки прокси-серверов: отображение в логах целевого сайта последнего сервера в цепочке и прозрачный обмен данными между взломщиком и целевым сайтом. Однако как первый, так и второй факт можно оспорить: существует множество методов раскрытия нарушителя, который прячется за прокси-сервером, а также резкое снижение скорости соединения в силу технических особенностей.

Думаю, заострять внимание на подобной схеме не имеет смысла, так как на форуме данная тема «истерта» до мелочей. Перейдем к более интересной схеме - анонимной сети Tor.


2.2 Использование анонимной сети Tor.

Распределенная система серверов (нодов), между которыми трафик проходит в зашифрованном виде, знакома любому, кто хоть немного задумывался над собственной анонимностью в Сети.

На последней ноде в цепочке (так называемой, exit-ноде) передаваемые данные проходят процедуру расшифровки и передаются целевому серверу в открытом виде. Данный факт позволяет поставить снифер на выходной ноде и просматривать весь проходящий трафик. Звучит просто, но на самом деле все именно так. Подробнее процедура перехвата трафика в сети Tor описана в октябрьском номере журнала «Хакер» (статья «Включаем Tor на всю катушку»).

+ прохождение трафика в зашифрованном виде по цепочке серверов
+постоянная смена цепочки (изменение маршрута следования пакетов)
+возможность создания ноды

- передача данных с exit-node целевому серверу в открытом виде и, как следствие, возможность перехвата пакетов.


3. …

Технологию VPN я нарочно оставил за кадром, ведь обилие ее реализаций и способы использования сильно разнятся, что не позволит охватить все схемы в данном обзоре.

Каждый предпочитает свою схему обеспечения конфиденциальности при работе в различных сферах ИТ и поэтому давать универсальные рекомендации я не берусь, а хочу лишь попросить читателей не стесняться и выкладывать описания своих схем для последующего детального анализа и выявления «узких» мест, которые я (и другие участники форума) с удовольствием прокомментируют в данном посте.
 

TELE 2

МЕСТНЫЙ
Покупок
0
Регистрация
03.01.2016
Сообщения
1 044
Реакции
655
Баланс
0,00Руб
Proxy FAQ
Ввиду отсутствия на форуме нормального фака по проксям решил написать нечто подобное. По возможности старался делать материал кратким и максимум информативным. Никаких установок, настроек прокси-серверов и программ для их использования здесь не будет, рассматриваются только вопросы юзабилити. Итак, поехали.

Q: Что такое прокси-сервер?
A: Это служба(некая программа) на сервере, позволяющая выполнять косвенные запросы к службам на других серверах.

Q: Какие функции выполняет прокси?
A: Нижеперечисленные функции разумеется не являются обязательными для всех существующих прокси.
1. Кэширование данных.
2. Сжатие данных.
3. Анонимизация доступа.
4. Обеспечение, ограничение и защита доступа в Интернет компьютеров локальной сети.

Q: Какие типы прокси существуют?
A:
NAT proxy - самый простой вид прокси. NAT = network address translation (трансляция сетевых адресов). Входит в состав Windows начиная с версии 2000. Называется «Общий доступ к подключению интернета» и включается галочкой в свойствах соединения. Этот прокси работает прозрачно для пользователя, никаких специальных настроек в программах не требуется. Подробнее можно почитать здесь или wiki.
HTTP proxy - наиболее распространенный тип прокси. Как видно из названия - работает по протоколу HTTP. Если в программе явно не прописан тип используемого при работе прокси, то это именно HTTP прокси.
HTTPS proxy(SSL proxy) - то же самое, что HTTP прокси + поддерживают шифрование по протоколу SSL.
IRC proxy(bouncer, bnc) - используется для сокрытия реального IP в IRC сетях. Полезное свойство баунсеров - они позволяют оставаться на канале даже при выключении IRC клиента.
SOCKS proxy - могут работать с любыми протоколами(версия SOCKS4(a) - только TCP/IP, SOCKS5 - TCP/IP + UDP + авторизация + удаленный DNS-запрос). К числу недостатков SOCKS proxy можно отнести сложность их использования. Используя специальные программы можно соксифицировать практически любое приложение. Такие прокси анонимны по определению, т.к. не привязаны к протоколам высокого уровня и не модернизируют заголовки запросов.
CGI proxy (анонимайзеры) - с этим типом прокси возможно работать только через браузер, ибо в качестве прокси сервера в данном случае выступает не служба, забинденная на каком-либо порту, а скрипт на веб-сервере. Очень просты в использовании, но обладают существенно меньшими возможностями, чем все остальные виды прокси, не всегда корректно отображают страницы. Зато есть возможность запретить cookie и/или рекламу сразу в самом прокси сервере, не меняя настроек браузера. Подробнее об анонимайзерах.
FTP proxy - весьма узкоспециализированный тип proxy серверов и они могут работать только с FTP серверами. Используются в основном в корпоративных сетях. Как правило, функцию работы с FTP серверами также вставляют в HTTP прокси, поэтому данный вид прокси встречается все реже.
Gopher proxy - крайне нераспространенный тип прокси, работающий по протоколу Gopher - сетевому протоколу распределённого поиска и передачи документов(был широко распространен до изобретения WWW и впоследствии заменен им).
MySQL proxy - новый развивающийся вид прокси, его специализация ясна из названия - заточен на взаимодействие с сервером MySQL. Подробнее с возможностями можно ознакомиться на странице проекта (eng).

Q: Все ли прокси одинаково анонимны?
A: Нет, прокси делятся по уровням анонимности:
transparent - прозрачные прокси, они не скрывают ни IP клиента, ни своего собственного(HTTP(S), FTP, Gopher proxy).
anonymous - анонимные прокси, скрывают IP клиента, но не скрывают своего присутствия(HTTP(S), CGI proxy).
distorting - заменяют IP клиента, не скрывают своего присутствия(HTTP(S), CGI proxy).
high anonymous / elite - скрывают IP клиента, а также сам факт использования прокси(HTTP(S), CGI, SOCKS proxy).
Подробнее об уровнях анонимности и переменных окружения.

Q: Что такое цепочка проски?
A: Цепочка из прокси серверов позволяет при помощи специальных программ(SocksChain и подобных) использовать несколько разных прокси таким же образом, как будто это один прокси сервер. Применяется в основном для повышения анонимности, но может существенно замедлить работу в сети.

Q: По каким параметрам различаются прокси?
A: За основу возьму параметры(не все) из программы для анализа прокси Charon, аналогичные должны присутствовать во всех пристойных программах подобного рода.
1. IP - без комментариев.
2. Hostname - символьное имя сервера(если есть).
3. Port - порт, на котором висит прокси. Прошу заметить, на одном сервере могут быть несколько проксей на разных портах.
4. Anon - уровень, либо наличие/отсутствие анонимности.
5. Ping - время, затраченное на передачу пакета информации от клиента к прокси и обратно, измеряется в миллисекундах.
6. Gateway - перенапрявляет ли данный прокси запрос на другой прокси(шлюз). Картинкой это можно описать так:
12.34.56.43:80 \
12.34.56.76:80 > 12.34.56.55:80
12.34.56.91:80 /
7. Connect - поддерживает ли проски метод CONNECT. Подробнее о методе CONNECT.
8. Socks - является ли прокси SOSKS proxy.
9. Country - физическое положение прокси.
10. Date - дата последней проверки прокси(к самому прокси в принципе не имеет никакого отношения).

Q: Где взять списки прокси серверов?
A: Свежие списки можно всегда найти на нашем форуме (;
Тема 1: proxy / socks 4 / socks 5
Тема 2: PROXY для ICQ /флуд/спам

Q: Что такое личинг проксей?
A: Это автоматический сбор прокси на основе веб-страниц, содержащих списки прокси серверов. Имхо сейчас этот способ менее актуален, проще пробежаться по специализированным форумам, взять недавно прочеканные прокси и "освежить" получившийся список уже непосредственно.
Подробнее о личинге проксей с помощью ProxyGrab

Q: Почему прокси медленные/не работают?
A: Наверно, потому что эти прокси взяты с нашего форума :) Или с любых других форумов/сайтов. Все эти прокси автоматически попадают в разряд public. Такие прокси отличаются исключительной нестабильностью работы. Эта нестабильность в первую очередь достигается большим количеством одновременных запросов(слишком много людей скопипастили проски с форума и теперь пытаются воспользоваться ими), либо прокси вообще могут отключаться на некоторое время или на совсем. Получить доступ к прокси разряда private можно, заплатив за этот самый доступ. Таких сервисов предостаточно.

Q: Как проверить прокси на работоспособность?
A: При проверке прокси на работоспособность производится сканирование соответствующего порта на сервере. Существует множество программ для анализа и проверки прокси. Заслуживает внимания вышеупомянутая программа Charon.
Программы для сканирования диапазонов IP на предмет работающих прокси(proxy hunters) заслуживают отдельного упоминания - с помощью них можно найти "условно приватные" прокси. Диапазоны сканирования можно взять отсюда.
Подробнее почитать о других прокси чекерах/хантерах можно тут и тут.

Q: Как проверить прокси на анонимность?
A: Существуют так называемые proxy judges, которые представляют собой perl/php или другой cgi скрипт, который возвращает набор переменных окружения своего веб сервера, на основе них можно сделать вывод об уровне анонимности конкретного прокси сервера. Ссылки на proxy judges брать тут и тут.

Q: Как правильно сканировать прокси?
A: Смотря для чего они будут использоваться. В любом случае - чем меньше пинг, тем лучше. Количество потоков для сканирования выбирается экспериментальным путем под конкретное соединение.
 
Верх