Остаться инкогнито

Как всегда оставаться анонимным? Как безопасно передавать данные по Cети? Как обезопасить себя от снифера? Сегодня мы решили ответить на все накопившиеся вопросы и поставить, наконец, все точки над i. Пристегнись, ты держишь в руках самый полный гид по безопасности!

[прокси и сокс-серверы]

Спроси любого горе-хакера, каким образом он остается анонимным, и он уверенно ответит тебе: «С помощью прокси-сервера, естественно». Метод действительно проверенный, но для того чтобы успешно использовать его, недостаточно просто прописать прокси в браузер. Первое, что нужно уяснить - прокси и сокс бывают разные. Едва ли опытный хакер стал использовать те прокси-листы, которые свободно распространяются в Сети. Тем более, для какого-то серьезного дела. Кто там недовольно спросил: «А почему бы и нет?». Подумай сам: где гарантия, что на сервере не ведутся логи? Может быть, хозяин прокси-сервера вообще спецагент камерунских спецслужб, который еще и хорошо знает дядю Мишу из соседнего с тобой отдела «К». Как тебе такой довод? Если уж собрался воспользоваться прокси, то не поленись купить доступ к специализированному сервису. В этом случае большинство из проксиков установлены на обыкновенных компьютерах-зомби (посредством троянов или эксплойтов к IE, например), а их хозяева даже не подозревают о подлянке и, само собой, не ведут логов. Такие компьютеры в огромных количествах разбросаны по всему миру, поэтому ты всегда сможешь найти прокси из той страны (или даже города/штата), которая тебе необходима.

Если же дело не особенно серьезное, то доступ к таким сервисам, в принципе, необязателен. В таких случаях можно положиться на обычные прокси, списки которых свободно распространяются через инет. Найти их несложно, но работа с ними превратится в самую настоящую каторгу, если на вооружение ты не возьмешь пару полезных утилит. Для удобства поиска проксей рекомендую программу ProxyGrab (proxygrab.msk.ru). Достаточно раз забить в ее базу адреса популярных ресурсов, содержащих прокси-листы (например, www.freeproxy.ru/download/lists/goodproxy.txt) - и дело в шляпе. Тулза сама извлечет адреса проксей со всех ресурсов и грамотно оформит их в виде стандартного прокси-списка. Этот список, естественно, нужно самым тщательным образом проверить. С задачей на «отлично» справится AATools (www.glocksoft.com), которая владеет проверкой не только обычных прокси, но еще и носков. Запомни: если речь идет о HTTP-прокси, то после проверки внимательно смотри на два параметра: анонимность и поддержка SSL. Уровень анонимность должен быть максимальным, так как только в этом случае удаленный сервер не заметит использование прокси. Поддержка SSL не менее критична, особенно если ты собрался мутить цепочки из прокси или работать с HTTPS-сайтами. Если такой поддержки у прокси не будет (даже из одной прокси в цепочке), ты сразу же засветишь себя. Комментарии излишни.

[VPN-сервер]

Главная проблема использования прокси в том, что данные передаются в открытом, то есть незашифрованном виде. Это в действительности очень серьезный недостаток, так как весь твой HTTP-трафик может быть легко перехвачен обычным снифером даже в твоей собственной локалке. Что уж говорить о провайдере и обо всех остальных узлах, через которые проходят сетевые пакеты, прежде чем достигают пункта назначения.

Аббревиатура VPN расшифровывается как виртуальная частная сеть. Технологию в большинстве случаев используют для объединения нескольких локальных сетей (например, двух-трех офисов одной компании) или для подключения к локальной сети удаленных пользователей. Каналом связи в обоих случаях выступает Интернет. Как оказалось, VPN идеально подходит для обеспечения анонимности и безопасности обычных пользователей. Фишка заключается в том, что VPN PPTP-соединение обычно использует криптостойкое шифрование (вплоть до 2048 бит), которое практически невозможно расшифровать «на лету». Чтобы лучше понять, как эта система работает, предлагаю по шагам рассмотреть процесс взаимодействия клиента и VPN-сервера.

Внешне VPN-соединение мало чем отличается от подключения к обычной локальной сети: приложения вообще не почувствуют разницы и поэтому без какой-либо настройки будут использовать его для доступа в инет. Когда одно из них захочет обратиться к удаленному ресурсу (скажем, сайту www.xakep.ru), на компьютере будет создан специальный GRE-пакет, который в зашифрованном виде будет отправлен VPN-серверу. VPN-сервер, в свою очередь, этот пакет расшифрует, разберется, в чем его суть (запрос на закачку какой-либо HTTP-страницы, просто передача данных и т.д.), и выполнит от своего лица (то есть засветит свой IP) соответствующее действие. Далее, получив ответ от удаленного ресурса, VPN-сервер поместит его в GRE-пакет, зашифрует и в таком виде отправит обратно клиенту.

Непрерывное шифрование передаваемых данных - это ключевой момент в обеспечении безопасности. Благодаря этой возможности, VPN в последнее время на особом счету у любого толкового админа, хакера и кардера :). Серверы для анонимных VPN обычно устанавливают в странах, где наиболее лояльно относятся ко взлому, спаму и другим нехорошим деяниям (Китай, Корея и т.п.). В большинстве случаев имеет место договоренность с администрацией, которая за определенную денежку обязуется игнорировать жалобы в abuse-службу и вести все логи исключительно в /dev/null.

Наряду с VPN-сервером очень часто устанавливается еще и OpenVPN (www.openvpn.net). Он не только предоставляет некоторые дополнительные фишки по сравнению с PPTP, но еще и является единственной возможностью использовать VPN-подобное соединение, если провайдер не пропускает GRE-пакеты. Столь дурная привычка характерна для большинства сотовых операторов, которые почему-то режут все GRE-пакеты, проходящие через GPRS и EDGE.

Теперь главный вопрос: как получить доступ к VPN-серверу? Направо и налево VPN-аккаунты не раздают, поэтому, вероятнее всего, такой аккаунт тебе придется купить. Месяц обслуживания стоит примерно 30-40$, но цена вполне оправдана. В принципе, никто не мешает поднять тебе собственный VPN-сервер, но для этого, как минимум, понадобится некоторый опыт (читай архив Х, так как у нас были статьи на эту тему), а также выделенный сервер, требующий существенных денежных вложений. Пошаговые инструкции по созданию VPN-подключения обычно выложены на страницах сервиса, поэтому я намеренно не буду выкладывать их здесь. Тем более что ничего сложного в их создании нет.

VPN - это надежно и удобно, но есть один минус. Отдавать 30-40$ в месяц за услуги одного только VPN - очень накладно даже для более-менее обеспеченных пользователей. Да и какие гарантии, что VPN-сервис не курируют люди в форме? Словом, неплохо было бы найти дешевую альтернативу VPN, которая вместе с тем не уступала бы в надежности и не требовала использования услуг третьих лиц. Искать, на самом деле, ничего не надо - такая альтернатива есть. Я говорю о SSH-туннелировании.

Все, что нужно для ее использования, - шелл или хостинг с поддержкой OpenSSH, который довольно легко можно купить всего за 6-7$ долларов в месяц. Идея его использования выглядит следующим образом. Сначала с помощью любого SSH-клиента, например, SecureCRT (www.vandyke.com) или PuTTY (www.chiark.greenend.org.uk/~sgtatham/putty), ты устанавливаешь соединение с сервером. Проверяешь, разрешены ли с сервера внешние подключения. Если да, то ты совершенно безопасно начинаешь проверять почту, вести разговоры в ICQ/IRC, серфить кардерские и хакерские форумы. Почему безопасно? А как же иначе, если от тебя до SSH-сервера налажен зашифрованный канал, который невозможно прослушать и расшифровать?

Рассмотрим это на конкретном примере. Чтобы не разбираться с настройками переадресации портов в SSH-клиентах, предлагаю установить специализированную программу Entunnel (www.vandyke.com). Тулза предназначена исключительно для поднятия SSH-туннелей, так что разобраться с ней и со схемой в целом будет проще простого. Поскольку помимо шифрования нас интересует еще и анонимность, придется воспользоваться SOCKS-сервером. Идея такова: наладить переадресацию пакетов с локального 1080 порта (порт SOCKS) на удаленный SOCKS-сервер, причем все это завернуть в SSH-соединение. Не понял? Сейчас разберемся подробнее.

Итак, запускай Entunnel и смело жми Create a new session. В разделе Connection обозначаются параметры SSH-соединения: IP-адрес SSH-сервера, порт (обычно, 22), а также тип авторизации (например, с помощью пароля). Заполнив их, приступай к параметрам непосредственно SSH-туннеля, которые находятся в разделе Port Forwarding. Жми Add (добавить новую переадресацию портов), в появившемся окне вводи имя правила (скажем, SOCKS), а также порт локальной машины, на котором программа будет «слушать» запросы (в случае сокса разумно будет указать 1080). Далее необходимо включить опцию Destination Host is different from the SSH server и в текстовом поле ввести адрес заблаговременно найденного SOCKS-сервера и его порт. На этом настройка соединения закончена - можно подключаться. Для этого просто нажми Connect и наблюдай за полем Status. Если все прошло успешно, программа с радостью об этом сообщит.

Все эти тулзы предельно просты в эксплуатации, но если возникнут вопросы, рекомендую обратиться к статье - www.xakep.ru/magazine/xa/063/028/1.asp.

Вообще SSH-туннелирование имеет ряд других неоспоримых плюсов. Внешне подобные туннели не вызывают подозрения и выглядят, как обычная работа на терминале, в то время как шифрованный VPN видно сразу и всем. Более того, все пользователи VPN наверняка сталкивались с ситуацией, когда VPN-соединение неожиданно и незаметно обрывалось, а работа продолжалась без него, напрямую. Из-за такого вот досадного недоразумения можно легко сдать себя в серьезном деле. Делай выводы…

[виртуальная машина]

Переменные окружения - очень подлая технология. Каждый раз, когда ты заходишь на ту или иную страницу, твой компьютер передает название используемого браузера, тип и локализацию винды и т.п. Все это вряд ли поможет тебе представиться толстым америкосом из Штата Флорида. Любая антифрод-система (antifraud) тут же заметит подвох и занесет тебя в черный список. Конечно, можно установить на машину нужную локализацию винды (то есть английскую версию), затем грамотно обозначить часовой пояс и сделать прочие приготовления, но, согласись, все это очень непрактично. Придется постоянно перегружаться, устанавливать дополнительный софт - словом, не наш метод.

Гораздо более удобно в этих целях использовать виртуальные машины. А почему, собственно, нет? Под эмулятором без проблем можно установить любую ось, в том числе и такую, которая будет полностью соответствовать предъявляемым требованиям. Но в то же время ты сможешь работать с ней в окне своей основной системы.

Для экспериментов рекомендую VMware Workstation, последние версии которой мы выкладывали на октябрьском DVD. Установка гостевой операционной системы осуществляется точно так же, как если бы устанавливал систему на свой жесткий диск. С той лишь разницей, что перед установкой нужно обозначить некоторые параметры будущей системы (File ->gt; New ->gt; Virtual Machine). Единственный шаг, который может вызвать затруднения, - Network Type. Мастер предлагает выбрать один из трех пунктов:

Use NAT - гостевая ось в этом случае спрятана за NAT-сервисом, организованным на основной машине. Она может обращаться к любому узлу локальной сети, однако удаленный узел не может инициировать подключение к ней (так как она не имеет собственного IP).

Use host-only networking - в этом случае будет использоваться виртуальная сеть с основным компьютером. Возможности доступа во внешнюю локальную сеть отсутствует.

Do not use network - сеть использоваться не будет.

Первый вариант наиболее предпочтителен.

[безопасный месседжер]

ICQ - зло. Ей пользуется почти каждый, но вместе с тем гарантировать безопасность использования ICQ не может никто. В Сети активно распространяются параноидальные слухи о том, что некоторые UIN'ы находятся под постоянным наблюдением, то есть все их мессаги логируются и исследуется спецслужбами. Пускай это маловероятно, но ведь есть и другие доводы «против». Взять хотя бы протокол ICQ: он давно изучен и не поддерживает шифрование трафика, поэтому все сообщения легко перехватываются сниферами (лучшим подтверждением моих слов является прога IcqSnif - www.ufasoft.com/icqsnif). Помимо этого, имеют место угоны ICQ, чреватые тем, что от твоего имени кто-то легко сможет вести диалог и тем самым серьезно подпортить твою репутацию. Одним словом, хотелось бы иметь более безопасное средство, которое без опаски (по крайней мере, сравнительно) возможно было использовать для серьезных дел. Такое, как Secure Shuttle Transport (www.secureshuttle.com).

По большом счету это еще один месседжер вроде ICQ, Indigo, AOL и т.п., но есть некоторые особенности, которые сделают твое общение безопаснее. Первое, что хочется отметить: SST передает сообщения исключительно в зашифрованном виде. Используемые RSA-алгоритмы работают так, что расшифровать сообщение сможет твой собеседник и никто другой. Помимо этого, есть еще один нюанс: программа использует два типа соединения. Первое - соединение с SST-сервером - необходимо для идентификации в системе, поиска пользователей, а также передачи сообщений тем юзерам, которые находятся в оффлайн. Второй тип соединения - прямое с конкретным пользователем - устанавливается во время передачи сообщений, файлов или голосовых мессаг. Таким образом, ни одна из твоих бесед не окажется в логах на сервере, так как сообщения через него попросту не проходят.

Другая замечательная особенность заключается в том, что угнать SST-номер значительно сложнее, нежели в ICQ-уин. Возможности восстановить пароль на аккаунте нет, о чем заблаговременно предупреждают разработчики программы. Потерял или забыл - виноват сам. Но это еще цветочки. Для работы в системе пользователь должен представить специальный файл-ключ, в котором зашифрована необходимая информация. Система очень похожа на Web-money: даже если ты знаешь пароль, но у тебя нет ключа, подключиться к серверу ты не сможешь.

[шифрование данных]

Записать пароль на листочек бумаги и оставить его лежать на столе - глупо. Согласен? Так почему тогда на компьютере ты хранишь конфиденциальную информацию в открытом виде? Извини, если я ошибся, но многие почему-то делают именно так. И это неправильно! Вся приватная информация должна быть тщательным образом зашифрована и спрятана от посторонних лиц с помощью мощных систем шифрования. Таких, как DriveCrypt (www.drivecrypt.com), PGP Whole Disk Encryption (www.pgp.com) и BestCrypt (www.jetico.com). Если хочешь максимум отдачи и минимум геморроя, то смело устанавливай последнюю из них - сейчас мы подробно рассмотрим именно ее.

В ходе установки никаких затруднений возникнуть не должно, и мастер очень скоро попросит перезагрузить компьютер. Как только система загрузится заново, ты сразу увидишь в трее новый значок. Любоваться там нечем, просто жми на него и в меню выбирай пункт BestCrypt Control Panel. Появившееся окно - это панель управления программой, с которой нам предстоит немного поработать. Здесь нужно в двух словах рассказать о возможностях BestCrypt. Используя специальные алгоритмы, прога создает специальный файл-контейнер, который можно примонтировать к системе как обычный логический диск. Функционально этот диск будет точно таким же, как и все остальные, но в тоже время содержащиеся на нем данные будут шифроваться «на лету» одним из выбранных крипто-алгоритмов (AES, GOST 28147-89, Twofish, Blowfish). Фишка заключается в том, что примонтировать такой контейнер к системе возможно только после ввода пароля. В противном случае, это будет не более чем набор случайных символов, связать которые между собой вряд ли под силу даже спецслужбам.

Приступим к созданию контейнера. Для начала нужно указать диск, на котором он будет располагаться, и в контекстном меню выбрать пункт New container. Появившееся окно будет содержать несколько настроек: Filename (имя файла-контейнера), Location (место его расположения), Size (размер), Algorithm (алгоритм шифрования), Key generator (алгоритм создания ключа). Выбор алгоритмов шифрования и создания ключа - дело сугубо индивидуальное. Если ты мало представляешь суть каждого из них, оставляй параметры по умолчанию и жми кнопку Create. Далее программа займется созданием псевдослучайной комбинации символов, необходимой для кодирования информации, и ты ей должен в этом деле помочь. Больших умственных затрат не потребуется: просто беспорядочно долби по клавишам клавиатуры нужное число раз :). Если в параметрах контейнера ты активировал опцию Mount and format now, зашифрованный диск сразу же появится в системе и даже предложит себя отформатировать. Готово!

Создать скрытую область несложно, но надо учитывать несколько моментов. Если ты уже примонтировал зашифрованный раздел, нужно его отключить (функция Dismount All BestCrypt Drives). Иначе ты просто не сможешь войти в окно свойств (Change container properties) контейнера, где и производятся все необходимые действия. В этом окне нас интересует только одна опция - Create Hidden Part. Смело активируй ее и жми ОК - появится новое окно с предупреждением о возможных последствиях создания скрытой области. Содержимое длинного текста можешь не читать, просто соглашайся и все. Далее остается лишь обозначить объем скрытой области, а также указать пароль, после чего можно приступать к ее форматированию.

Теперь о том, как эта система работает. Если тебе необходимо примонтировать обычный зашифрованный контейнер (его имя отображается в панели управления BestCrypt), вводи свой первый пароль, а если скрытую часть (об ее существовании знаешь ты и только ты!) - второй. Есть еще один важный нюанс: работать с файлами в изначальном контейнере можно исключительно до (!) создания скрытой части. Как только ты ее создашь, любое копирование/удаление/перемещение данных в изначальном контейнере может привести к потере информации в скрытой части. Это происходит потому, что сам BestCrypt не подозревает о существовании и расположении внутри контейнера скрытой части до тех пор, пока пользователь не введет соответствующий пароль. Получается, что файлы в изначальном контейнере нужны исключительно для маскировки, и ценности обычно не представляют.

[RAM-диск - средство для особых случаев]

Для особых случаев вместо шифрования данных можно использовать экзотический вариант сокрытия данных - RAM-диск. Существует немало программ, как под линукс, так и Windows, которые позволяют организовать виртуальный локальный диск, данные которого физически будут находиться в оперативной памяти. Приоритетной задачей таких программ, со слов разработчиков, является многократное увеличение скорости чтения/записи. Оно и понятно: любая, даже самая медленная оперативка работает гораздо быстрее, чем SCSI-винт. Впрочем, нас такая оптимизация интересует мало: гораздо более привлекательной кажется другая особенность подобных дисков. Дело в том, что сразу после перезагрузки компьютера все данные из оперативки стираются и восстановить их без специального оборудования практически невозможно. Да и кто узнает об их существовании? По-моему, это можно вполне успешно использовать!

Конечно, эта тулза имеет еще несколько настроек, но для нас они мало интересны. Единственное отмечу, что все данные с такого диска могут быть мгновенно скопированы в специальный файл образ (*.IMG), а при запуске системы - загружены на RAM-диск.

[безопасное удаление данных]

Не буду в сотый раз объяснять, что простого удаления файлов для полного их уничтожения недостаточно. Их восстановление в этом случае не займет много времени. Значительно усложнить задачу и даже свести его шансы к минимуму помогут специальные программы. Лучшей в этой области, на мой взгляд, является Acronis Privacy Expert. По сути, это мощный комплекс утилит, одна из которых обеспечивает надежное удаление данных с компьютера на основе алгоритмов, удовлетворяющих самым жестким стандартам, в том числе, и российскому ГОСТ P50739-95.

WARNING

Вся информация приведена в целях ознакомления. Автор и редакция не несут ответственности за те действия, которые ты можешь совершить, прочитав этот материал.