Comments 135
потому что на последнем звене нет никакой защиты от прослушки трафика

вы пропускаете через меня трафик, а я его снифаю :)
Так вообще-то ни одно из решений, кроме end-to-end шифрования, такой защиты не имеет. Более того, это в tor faq обсуждается.

Зато в tor есть скрытые сервера — вот это действительно клёвая штука!
Да. Но разница в том, что тут каждый может стать exit-нодой и без доплнительной настройки с вашей стороны, трафик может пойти прямо через такой снифер.

В последнем ][акере материал про то, как легко любой желающий может стать выходной нодой Tor-сети и снифать проходящие через него данные. В том числе данные авторизации с gmail, paypal и прочих ресурсов, использующих https, — благодаря использованию тулзы sslstrip
Да, крутая атака. Прокся, которая из ссылок выкусывает строчку https и вставляет http. Ой баюсь-баюсь-баюсь.
Если вы не доверяете какой-то exit-ноде, то вы можете не пускать свой трафик через неё. Если у вас нет механизма различия доверенной exit-ноды от недоверенной, с тем же успехом снифер можно поймать и на проксе.
в любом способе нет защиты от прослушки если трафик между пользователем и сайтом не шифрованный. тор тут ни причем.
Тор обладает очень высокой степенью надежности в сокрытии IP-адреса.
Для этого и проектировался. А то, что кто-то пытается с его помощью решать более другие задачи (типа шифрование трафика) это его проблемы порожденные его глупостью.
Ну там по теме перечислены проблемы из FAQ Tor'а, про проблему прослушивания на exit-ноде (на proxy-сервере, или где-то там еще) надо помнить ВСЕГДА, когда идёт речь о незашифрованном соединении (пусть и пропущенном через шифрованный туннель).

А то можно дойти до маразма в духе «я вот не верю в стулья, после того, как случайно наступил себе на большой палец ножкой от стула, на котором сидел, качаясь».
UFO landed and left these words here
Расскажите о технологиях, которые способны узнать реальный IP за VPN, а то похоже на ненаучную фантастику
Если в браузере включен ActiveX, Flash или JS, то такая возможность есть (естественно, если мы имеем в виду работу пользователя в браузере).

о том, как это делается, будет рассказано в следующих постах =)
в топике, кстати, указан сервис, на котором можно проверить это (в разделе Interactive Detection):
whoer.net/ext
Очень даже интересно, в какой фазе должна быть луна, чтобы какой то сраный ActiveX \ Flash \ Java смогли узнать реальный адрес хоста, у которого все соединения идут через OpenVPN? Особенно если используется линукс. По ссылке whoer.net/ext мой реальный апи не определился. (OpenVPN, ubuntu, Opera)
1. Полнолуние.

2. ActiveX или Java могут сделать traceroute с твоего компьютера целью выяснить IP, фактически это полноценные программы. Проверка на whoer.net предпологает, что такие операции запрещены пользователем аплетам, что далеко не всегда так. Так же можно узнать DNS-сервера которые используются и которые у большиства соответствует DNS-серверам своего провайдера.

интересно, какой вариант лучше =)
Реально работает только третий вариант, но он определит только подсеть и то с большой погрешностью.

Вариант java-апплета запускающий traceroute — что-то на грани фантастики, а про ActiveX в убунте смеялся, да.
Ну ActiveX одними только браузерами не ограничиваются, это вполне себе самодостаточная и популярная (под)подсистема винды. Сомневаюсь, что разработчики вайна ее проигнорировали, ну а то, что кто-то пользуется продуктами разработчиков, которые ее проигнорировали (и то, не уверен, что-то было тут на хабре о поддержке Оперой этой технологии) не говорит о том, что это невозможно в принципе ;)
Поддержку ActiveX в браузерах давно уже пора похоронить проигнорировать
Java applet в browser'е никаких traceroute сделать не сможет, посколько ограничен соединением только с локальным хостом, на котором запущен броузер.
DNS Leak так же лечится если использовать в качестве DNS сервера хост на котором терминируется VPN.
1. Апплет может соединяться не с локальным хостом, а только с тем, с которого он был скачан.

2. ДНС можно использовать любой, главное чтобы маршрут к нему шёл через туннель.

PassiveX и впрямь пора забыть. А от автора жду статьи про методы защиты от атак типа «терморектальный криптоанализ».
1. Согласен, у меня переклинило originating host с local host. Возможность сделать traceroute это все равно не дает.
2. Терминирующий сервер VPN будет самым ближним и скорее всего наиболее удобным для использования в качестве DNS-сервера.

Большинство сейчас ходят в сеть через ADSL, домашние Ethernet сети, либо через 2G-4G ОПСОСов.
В таком случае на компе в настройках DNS сервера мы увидим его локальный IP т.к. через ADSL мы выходим посредством внешнего роутера со своим кэширующим DNS, а в домашних и мобильных сетях так вообще 90% провайдеров не дают реального IP.

Так что прописанный в системе адрес DNS сервера атакующему мало что даст.
Нет, DNS Leak используют немного не так. Подробности смотрите в исходнике страницы по ссылкам в начале статьи. Обратите внимание на параметры flash_ajax_request( «dns_unique_domain»)
Ну, во всяком случае у меня, тест показал локальный адрес DNS роутера, за которым я сижу.
Который DNS -> Java -> System? Этот берет напрямую от системы. Интереснее те, которые пытаются отрезолвить уникальное имя: DNS -> Browser и DNS -> Java -> Resolve.
DNS -> Browser и DNS -> Java -> Resolve немного более информативны но всё-таки они показывают DNS провайдера через которого я выхожу а у него несколько сетей класса С на обслуживании, так что это мало что даст. Между мной и DNS провайдера 5 хопов и 2 кеширующих DNS.
Ну мой провайдер не дает реального IP (NAT использует) без допоплаты, но вот DNS у нас имеет вполне реальный, а не локальный, как шлюзы, адрес. По питерским меркам провайдер довольно крупный, если не крупнейший и использует DOCSIS (по «общей ТВ-антенне»).
Я сам сижу на внешнем IPшнике, но через свой NAT. А вот большинство знакомых (и на DOCSIS тоже) ходят в нет через NAT провайдера и используют локальный DNS провайдера т.к. не у всех есть инет, а внутренние ресурсы сети (файлопомойки, игровые сервера, ICQ прокси) без DNS не работают.
Mazzz, не знаю как ваши впны, но у других людей под впн поднимается как отдельный сетевой интерфейс и выдаются dns сервера, так-что трассировка от клиента и «доставание» dns сервера ну никак не раскроет инфу хотя бы даже о провайдере человека.
Вот именно. Единственную «правду» которую показал этот тест (http://www.whoer.net/ext) это ОС, браузер и ip роутера (192.168.1.1).
У меня еще обнаружил, что таймзона IP и браузера не совпадают :-)
> Java могут сделать traceroute с твоего компьютера целью выяснить IP
Java апплет должен быть как минимум подписан (т.е. просить разрешения у пользователя).
может немного не в тему, то похоже это обычный кросс-пост, чем обработаная информация
www.hack-info.ru/showthread.php?t=38176

p.s. тут видна и вторая часть статьи, только некоторые моменты очень спорные, к примеру если смотреть про яваскрипт
Статья писалась для другого ресурса (не hack-info.ru, там тоже перепост), в интернете нигде не мелькала (хотя, как оказалось, все же мелькала), поэтому и решил выложить здесь.
об этом — в следующий раз.

а вообще, из контекста легко угадывается)
Если берете авторство статьи на себе — тогда отдувайтесь, потому что бреда в ней навалом. Начните с выяснения что же такое VPN на самом деле, вы, судя по всему, этим словом называете PPTP.

Дальше следующие перлы в статье:
> VPN-сервер, в свою очередь, этот пакет расшифрует, разберется, в чем его суть (запрос на закачку какой-либо HTTP-страницы, просто передача данных и т.д.), и выполнит от своего лица (то есть засветит свой IP) соответствующее действие

VPN сервер ни в чем не разбирается, а шлет пакет по роутингу.

> VPN-сервер поместит его в GRE-пакет, зашифрует и в таком виде отправит обратно клиенту
В GRE нет шифрования, это протокол инкапсуляции.

> Поддерживает гибкие методы авторизации подлинности клиента, основанные на сертификатах;
PPTP тоже умеет авторизацию по сертификатам (EAP-TLS)

> HTTP-прокси работают они только с HTTP (есть и https-прокси)
HTTP-прокси прекрасно организуют туннели через метод CONNECT, чем пользуются, к примеру ICQ и Skype.

> Протокол SOCKS наиболее примечателен тем, что он инкапсулирует протоколы не прикладного, а транспортного уровня, т.е. TCP/IP и UDP/IP.
SOCKS на самом деле прокси сессионного уровня. А UDP/IP — оригинальное написание.

> По этой же причине все SOCKS-сервера анонимны
Кто куда ходил — все прекрасно логгируется.

> Анонимайзеры представляют собой скрипты, написанные, например, на perl, php, cgi-скрипты.
У автора опять проблемы с категоризацией, perl и php — это обычно и есть CGI-скрипты.

> весь сетевой софт на компьютере форвардится на назначенный порт (вашего локалхоста), на котором висит сервис, соединенный по SSH с сервером
А зачем весь софт форвардить на один порт? Или автор смешал ssh port forwarding с ssh tunneling?

Резюме — вся статья написана на уровне обычного скрипткиддиса, много кульных названий и сокращений, а в деталях — бред и фантазии.
Со всем согласен.
А еще эта идиотская рекламная фраза «Шифрование 2048 бит, обеспечивает беспрецедентную безопасность».
Ага, учитывая, что 2048 бит там только при установлении соединения, а трафик шифруется сессионными ключами бит этак в 128-256 :-)
VPN это Virtual Private Network, реаилзуемый на основе PPTP или L2TP (о котором в статье не написано ни слова). Стиль изложения, допускающий употребление фраз вроде "… потуги майкрософта сделать что-то в области криптографии..." характерен скорее для журнала Хакер, чем для серьезного информационного ресурса. Это я все к тому, что в статье есть неточности как фактического, так и стилистического характера, но исправлять их, или указывать на них особого смысла не имеет, ибо рерайт ор форгет. Такое мое мнение )
Когда работаешь через VPN — SSH-туннелинг, на сервере логи какие либо сохраняются?
(кроме аутентификации по SSH)
Зависит от настроек самого сервера и vpn, ssh демонов.
По умолчанию в шеле останутся логи с какого IP подключались, на vpn еще и какие запросы слали.

Вообще суть данных технологий в шифровании трафика от провайдера и скрытии IP от третьих сайтов. Выяснить IP подключения и все запросы на самом vpn/ssh сервисе труда не составит. В платных сервисах отсутствие логов анонсируется отдельно, на своем можно самому отключить, в остальных случаях они ведутся.

Именно по причине возможной компрометации vpn сервера, используют double vpn цепочки, где реальный IP скрывается еще и от последнего VPN сервера. Теоретически можно использовать и triple vpn, при грамотном подборе серверов, чтобы пинг между ними был минимальный, скорость сильно не пострадает, но коммерческой реализации я пока не видел.
Посмотрел цены OpenVPN на сайте который вы преложили как вариант.
И получается, что дешевле хостинг купить и организовать через них SSH-tunnel.
А можно и через php,perl скрипты ходить по сайтам.
Да, так и есть, но SSH-туннелинг это не комерческое решение, оно связано с недоудобствами в настройке и использовании, из «коробки» не работает. Стоит добавить, что логи на шеле хостера так же ведутся.
К тому же сложно найти хостинг с возможностью организации на нем SSH-туннеля, который дешевле VPN.

Что касается скриптов и разных сервисов вроде pagewash, у них совершенно иное предназначение. Они нужны чтобы ходить на одноклассников и контакты на работе, очень часто там отсутствует поддержка ssl, зато есть реклама и посредственная скорость. Так же это не решает проблему с IM клиентами, например, да есть и для этого веб-сервисы, но, к примеру, для торрента придется искать уже прокси.

Достоинство VPN в его универсальности, покупается и устанавливается в 3 клика, полностью «соксифицирует» всю систему. Изначально, основной смысл VPN, не в посещении одноклассников, а в шифровании трафика от провайдера, подмена IP это по сути побочный эффект. Как и зачем это использовать, уже тема другой, отдельной статьи. Если коротко, то многие интернет-проекты являются оффшорными компаниями, так удобне работать с точки зрения законодательства, но оно же облагает налогом и твои доходы полученные за рубежом. Это актуально и с торговлей на иностранных биржах и для СЕО индустрии. Тоесть целевая аудитория VPN несколько иная. Морально-этические аспекты трогать не будем.
да повысится же карма у таких щедрых людей, которые держат такие проекты =)
Еще есть smarthide.com — тоже OpenVPN, но для «домохозяек», в хорошем смысле слова. Все работает из коробки, есть свой удобный клиент, много серверов и стоит от 10$
UFO landed and left these words here
Цель статьи — рассмотреть все возможные методы, просто перечислить их. Основной смысл не в том, чтобы скрыть использование анонимайзеров, а чтобы добиться эффекта скрытия.

OpenVPN тоже легко вычисляется провайдером, по gre-заголовкам в пакетах. Этого можно избегать довольно сложной инкапсуляцией трафика в другие протоколы.

Что касается P2P, то к его достоинствам стоит отнести, что не существует некоего «центрального узла» через который все проходит. В дополнение к VPN, очень действенная штука, хорошая безопасность — это совокупность мер.

Что касается «захотят найдут» — это не аргумент. Достаточно вспомнить последние дела над блоггерами: используй они впн, например, в Панаме и не распространяясь о своей реальной жизни, я не уверен, что кого-нибудь бы вообще нашли. Дело в том, что властям Панамы, безразличны требования российской аббревиатуры, а сам процесс выявления нужного «клиента» на сервере в большим кол-вом юзером — непростая работа.
>Цель статьи — рассмотреть все возможные методы, просто перечислить их.

Тогда упущен по крайней мере еще один метод — NAT.

P.S. www.whoer.net/ext определил СПб как Азию )))
видимо, создатели базы GeoIP считают, что Россия полностью находится в Азии =)
Причем не только они, в свое время очень удивился увидев российские зеркала Убунту в разделе «Азия» :(
NAT — это внутрисетевая технология, не меняющая реальный интернет-адрес узла, причем здесь она? Вернее, как практически ее можно использовать? Те же Yota или Stream выложат на вас всю информацию, когда, где и куда. Поэтому не вижу смысла рассматривать NAT в этой статье.

Накладки с географией, видимо, связаны с тем, что сервис этот скорее всего использует GeoIP, от которого и бывает, что неправильно определяется, хз)
Ну как не меняющая? Этот сервис не смог определить реальный адрес моего узла, определил только адрес внешнего узла моего провайдера, то есть идентифицировать именно меня владелец узла к которому я буду стучаться не сможет в теории, если только мое ПО не пошлет мой реальный адрес. Насчёт практического использования согласен, хотя Yota, Stream или мой провайдер вряд ли выложат всю инфу обо мне по запросу владельца узла (по крайней мере надеюсь на это), а посоветуют обратиться в соответствующие органы, но так, скорее всего, поступит и любой владелец, скажем открытого прокси, ведущего логи.
Nat это трансляция одного адреса в другой, причем любого в любой! в пакетах изменяется пункт назначения и отправления, и это вполне надёжный способ изменения своего айпи…
Установив дополнительную циску со статическими маршрутами я подменяю свой айпи для определённых подсетей и в итоге на выходе из корпоративной сети я сижу на ДВУХ совершенно различных IP одновременно…
вероятно не о VPN как идеологии, а об их конкретных реализациях под названием PPTP/L2TP.
UFO landed and left these words here
а как легко вычислить, что пришедший клиент пришел через тор?
UFO landed and left these words here
Да не в том вопрос. Вопрос «как»? Вот к Вам на сервер клиент пришел, как вы определите что он с ТОРа?
есть постоянно обновляющиеся базы end-point'ов, возможно, есть и другие варианты.

ВКонтакте точно определяет прокси и тор, просто не заходит на него
есть постоянно обновляющиеся базы end-point'ов
ссылкой не поделитесь?
Сам tor при запуске получает обновлённый список узлов. Соответственно, в исходниках есть соответствующая функция.
Таки всех узлов? И таки вырывать это из исходного кода это легко? Впрочем, вопрос не к Вам. Да, какие то варианты изучения ТОР сети я прикидывал, и именно поэтому заинтересовала ремарка «легко определить».
Ну 100% не бывает, 96.3 максимум :)
Но думаю, что запросив список нод несколько раз, можно получить значительное число узлов.

Это смотря какая задача стоит. То есть, какие ошибки предпочтительнее — первого рода или второго. Совсем без ошибок тут не получится.

Предположим, у меня на десктопе стоит луковичный маршрутизатор, и Вы об этом знаете. Если я попытаюсь попасть на сайт, не пользуясь анонимайзерами — то буду принят за анонима.
Да, Вы абсолютно точно обозначили проблему отделения ТОР-трафика с последней ноды и неанонимного трафика источником которого является нода. Юоюсб что в общем случае задача неразрешима.
насколько мне изместно, есть rbl, которые работают по такому же принципу, например tor.efnetrbl.org, tor.dnsbl.sectoor.de, tor.dan.me.uk, и другие. администраторы этих rbl'ей обьяняли мне механизм, и он похож на тот, что вы обьясняете.

однако в жизни, имея на руках сайт с неплохой посещяемостью, около 20% ложных срабатываний, и покрытие всего около 20%. покрытие — это когда я руками вычисляю тех, кто ходит с тора, но rbl про него не знает.

значит быть самим тором для получения списка релеев — это не панацея?
Есть менее очевидный и менее действенный способ — самому ходить через ТОР на свой же сайт, и записывать адреса. Но это долго и тоже не совсем точно.
этот способ пришел в голову первым, но тут же был отметен — как способ с очень маленькой скоростью схождения.

на самом деле вопрос в открытости списка релеев ТОРа — есть они или нет. несколько человек сказали что это легко, я найти не смог. более того, я администрирую один из крупных irc серверов, где ТОРы тоже большая проблема, и там совместными усилиями эта проблема решается тоже с большим скрипом (ибо небольшой ТОР сетью релеев может стать, к примеру, сам же вирусный ботнет, собственного написания)
UFO landed and left these words here
Mazzz, ты забыл, что популярные реализации SSH-клиентов (Putty, openssh) умеют работать как локальный socks-прокси, что несколько упрощает настройку такого варианта.
На серверной части (opensshd) настройки по-умолчанию вполне работают.
Да, зачем нужна анонимность?
Чтобы троллить безнаказанно? :)
у всех цели разные! зачастую это используется не для того чтобы скрыть свой настоящий IP, а чтобы выйти в сеть с «нужного» IP
Потому что есть сайты, дискриминирующие и сегрегирующие посетителей по IP-адресу.
а еще есть открытые точки доступа, через которые прут все что мимо пролетает
Может быть %USERNAME% знает, как заставить оперу ходить через soks5 сервер? А то мессенджеры по shh-тоннелю ходят, а опера, дура, нет.
Так и не нашел ничего нормально работающего :(.
! а что там под симбиан! у меня в опере 10 под винду нет такой настройки.
Если не ошибаюсь, ни в одной из версий Оперы нет возможности пустить ее через Socks, с чем это связано — не знаю Соксифицировать ее нужно дополнительной программой, например FreeCap или SocksChain.
Ещё есть анонимная сеть I2P. Модуль обмена написан на Sun Java с использованием технологии p2p и имеет множество настроек по оптимальному скрытию траффика. В сети есть анонимная прокся, собственный торрент-трекер, анонимные форумы и многое другое.
В I2P мне очень понравилась скорость, но т.к. она не пускает на https ресурсы, толку от неё мало. Отмазка из FAQа по поводу того что в https используется шифрование так что этот трафик нет необходимости прятать, по моему абсолютно бредовая.
а почему в статье не рассмотрен самый популярный метод PAT (который многим известен под именем NAT)?
>>> У OpenVPN есть целый ряд преимуществ перед технологией VPN.
это пять
не стоит забывать, что надежность — это свои прокси(лично порутанные). бытует мнение, что большинство паблик проксиков держат спецслужбы. потому что ни один нормальный человек не выкинет адрес своей прокси в паблик.
все равно находят. если захотят. и через цепочку проксей. ведь все равно пакет идет к ВАМ и уходит от ВАС. а дальше уже дело техники.
ну выкинуть адрес прокси в паблик может не только его владелец ;)
хозяин сервера? так он больше будет заинтересован в закрытии такого «сервиса» =)
Очень часто на сервере организуют паблик проксю для нагрузочного тестирования. И после окончательной доводки напильником, проксю отключают и меняют IP дабы не фильтровать затяжные отголоски славы.
Есть платные сервисы предоставления прокси. Эти прокси организуются через ботнет на зомби-машинах. Если я правильно понял суть.
Опять-таки, многое зависит от того, для чего вам нужно сокрытие реального IP, одно дело получить доступ к публичному форуму или чату после бана по IP модератором, совсем другое — уход от законного (или не очень, ака «братки») возмездия за нарушение интересов третьих лиц.
Есть мнение, что забывчивые админы/юзеры могут при настройке например локальногй сети забыть закрыть прокси извне, а хакеры, сканируя диапазоны IP на открытые порты типа 3128, 8080 и тд, их находят. Я сталкивался с проксями как на корпоративных адресах, так и на той же Корбине.
UFO landed and left these words here
UFO landed and left these words here
Вот, ребят, вы забываете, что пакет идет не к ВАМ, а к ВАШЕМУ устройству. Так вот, можно вычислить кто купил телефон/симку. А вот вычислить организацию единоразового профессионального гоп-стопа (стук по голове и забрал телефон) — это уже сложнее. После гоп-стопа быстро подключаем ноутбук (по блютусу :-)), и хакаем необходимую систему. Собственно, проблема упирается в то, что хакнуть необходимую систему при таком уровне осторожности — очень сложно.
Вычисляют хозяина симки, узнают информацию про гоп-стоп, а далее классическая оперативная работа: фоторобот, опрос возможных свидетелей, снятие видеозаписи с камер наблюдения (если есть) и пр.
Никакого фоторобота — преступник был в маске.
С видеокамерой облом по той же причине.
И еще: преступник живет в другом городе.
UFO landed and left these words here
<paranoid-mode>
Chromium в режиме анонимности пустить через Privoxy который пустить через VPN который пустить через цепочку Socks прокси которую пустить через TOR в доме который построил Джек.
</paranoid-mode>
И наслаждатся скоростью в 1 байт в секунду, и пингами по пол-часа
UFO landed and left these words here
Такая большая статься, столько комментов и никато не упомянул про i2p?

Непорядок! Сылка на офф. сайт и вырезка из wiki:
I2P (сокр. от Invisible Internet Project/Protocol, рус. проект/протокол “Интернет-невидимка”) — Открытое программное обеспечение, созданное для организации анонимной оверлейной сети и применимое для веб-серфинга, систем обмена мгновенными сообщениями, блоггинга, а также для файлообмена.
Ах, да, совсем забыл про использование IPv6 в качестве дополнительного средства защиты. Всегда можно взять туннель у HE и завести на нём VPN сервер
Жесть, поржал. Как сказали выше очень много умных сокращений которые юзаются не в тему. А IPSec где? это дофигища однорановых сетей? Почемуто мало людей кстате используют IPsec и Openvpn только в тунельном режиме. Причем у всех VPN стал синонимом анонимности, как меня надоели скрипткидисы которые пишут мне посятонно, что хотят ко мне в долю, и купить у меня услугу, которую я не предоставляю.
как воспользоваться Peek-a-Booty? нужно установить клиентский модуль на комп, или что? если так, то где его скачать? почему нет ссылок, автор?
Only those users with full accounts are able to leave comments. Log in, please.