10. Торификация приложений

Когда Tor и фильтрующий прокси уже установлены пора настроить нужные сетевые приложения для работы с Tor.

Напомним, что сам факт установки Tor не анонимизирует сетевые соединения компьютера. Приложение, в простейшем случае это браузер, необходимо настроить на работу с Tor.

В принципе подключить к Tor можно любые сетевые приложения, работающие по транспортному протоколу TCP. Это дает возможность усиления анонимности их использования. Процесс называют «торификацией » приложений. Приложения, работающие по транспортному протоколу UDP в настоящее время не торифицируются (в планах разработчиков переход на UDP в недалеком будущем). Системы IP-телефонии (Skype и др.), помимо использования UDP, используют специфичный протокол VoIP. VoIP анонимизировать через Tor можно, но процесс весьма непростой и мы этим заниматься не будем.

Tor, Vidalia и фильтрующий прокси (Polipo) совместно работают как прокси сервер, т.е. на локальном компьютере они эмулируют работу обычного интернет-сервера. Приложения для Интернет спроектированы в расчёте на то, что они будут обмениваться сообщениями по сети, используя протокол TCP/IP и IP-адрес в качестве уникального сетевого адреса другого компьютера.

Для взаимодействия сетевых процессов в пределах одного компьютера используется специальный внутренний IP-адрес 127.0.0.1. Когда программа посылает данные по IP-адресу 127.0.0.1, то данные не передаются по сети, а остаются в пределах данного компьютера.

Вместо IP-адреса 127.0.0.1 можно использовать значение «localhost », оно всегда обозначает, что соединяться следует с тем же компьютером, на котором запущено приложение.

Таким образом, алгоритм торификации приложения заключается в поиске и установке его настроек для работы с внутренним прокси-сервером (Tor, Vidalia и Polipo) по адресуlocalhost.

В настройках фильтрующего прокси Polipo (файл polipo.conf) указаны параметры прокси-сервера:

proxyAddress = «127.0.0.1″

proxyPort = 8118

а также его параметры по протоколу SOCKS:

socksParentProxy = «localhost:9050″

socksProxyType = socks5

Итак Tor внутри компьютера работает по адресу 127.0.0.1 и через порт 8118

Для торификации приложения необходимо прописать данные параметры в его настройках (Сеть-прокси):

– адрес прокси 127.0.0.1 (или localhost)

– порт 8118

– по протоколу SOCKS адрес тот же, а порт 9050

– тип протокола SOCKS – socks5

Вот так это выглядит, например, в браузере FirefoxPortable:

В случае использования фильтрующего прокси Privoxy следует поступить аналогично.

Если у вас перед инсталляцией пакета Vidalia Bundle был установлен браузер Firefox, то его торификация произойдёт автоматически после запуска плагина TorButton. Другие браузеры для работы с Tor придётся торифицировать.

Все прочие программы, умеющие работать с HTTP прокси (браузеры, FTP-клиенты, интернет-пейджеры и т. д.), настраиваются на работу с Tor таким же образом. Но в некоторых приложениях приходится выбирать между протоколами http (https, ssl, ftp и др.) и socks. Чтобы научить приложение работать с socks-протоколами их нужно «соксифицировать», для чего требуется дополнительно специальныя программа — соксификатор.

Не рекомендуется использовать через сеть Tor «качалки» и BitTorrent. Во-первых, потому, что сеть Tor сравнительно медленная, по причине задержки на промежуточных серверах. Во-вторых, анонимизировать процесс закачки в большинстве случаев просто бессмысленно. Например, ну что из того, если кто-то узнает, что вы скачали неприличный фильм или «крамольную» книгу.

Сложнее обстоит дело с анонимной отправкой почты. Дело в том, что почтовые клиенты отправляют почту по протоколу SMTP, а большинство почтовых серверов работает по этому протоколу через порт 25. Но порт 25 в сети Tor закрыт. Что делать?

Теоретически тут возможны два варианта решения проблемы:

1. Самый очевидный. Настроить браузер на работу через Tor и воспользоваться веб-интерфейсом для отправки и получения анонимной почты. Т.е. делать всё через браузер.

2. Искать для своего анонимного ящика почтовый сервер, который работает с нестандартным портом. (Например, Gmail использует нестандартный порт 587) И соответственно настраивать почтового клиента.

Для анонимной почты можно ещё воспользоваться римейлерами. (Римейлер – это сервис, пропускающий письмо через цепочку серверов, и заменяющий IP отправителя своими.) Но сервисы, работающих под видом римейлеров не всегда анонимны, и, кроме того, римейлеры безбожно уродуют кириллические кодировки, вплоть до абсолютной нечитаемости. Я бы этот способ не посоветовал.

Разумеется, прежде чем действительно отправлять анонимное письмо нужно проверить корректность настроек, отписавшись на какой-либо свой ящик.

Дополнительная информация по анонимности и настройкам браузеров

Когда у пользователей возникает необходимость скрыть свои личные данные и пользоваться Интернет анонимно, то закономерно, что появляются и ресурсы, по тем или иным причинам заинтересованные в раскрытии этой анонимности. (Такие вот «Единство и борьба противоположностей».)

Как известно, использование Socks-прокси не позволяет вычислять IP-адрес стандартными методами. Поэтому для определения IP-адреса научились использовать дополнительно следующие средства: плагины к браузерам (plugins), скрипты (Script) и куки (cookies).

Плагины – дополнения, устанавливаемые браузером для просмотра некоторых страниц. Многие плагины угрожают анонимности, посылая информацию в обход прокси-серверам (следовательно и в обход цепочки Tor). Например, Java, Flash, ActiveX, RealPlayer, Quicktime, Adobe PDF являются потенциально опасными для анонимности. Отключение плагинов может привести к неполному или искажённому отображению страниц. Однако всё равно рекомендуется отключать их при использовании Tor. (Анонимность требует жертв.)

Скрипты встраиваются непосредственно в исходный код страниц для увеличения их функциональности и исполняются браузером при получении.

Многие ошибочно полагают, что JavaScript – это то же самое, что и Java, лишь потому, что эти языки имеют схожие названия. На самом деле — это два совершенно различных языка, с разными задачами. Java язык программирования для приложений, которые вполне способны раскрыть анонимность. На языке JavaScript пишутся скрипты (сценарии), которые вставляются в страницы web-сайтов и выполняются в браузере пользователя. Он менее опасен для анонимности. Но помимо полезных функций, скрипты вполне способны при соответствующем написании определить IP-адрес или другую информацию, и передать это, минуя прокси. Поэтому для большей анонимности целесообразно отключать выполнение скриптов в вашем браузере.

Следующий потенциально опасный фактор – Cookies. Cookies (или Куки) — небольшой фрагмент служебной информации, помещаемый web-сервером на компьютер пользователя. Применяется для сохранения данных, специфичных для конкретного пользователя, и используемых веб-сервером для различных целей.

Сервер записывает в cookies-файлы информацию о пользователе, например если при входе на сайт требуется авторизация, то логин и пароль сохраняются в cookies-файл и в следующий раз не запрашиваются. Это удобно и по большому счёту безопасно, так как прочесть cookie может только тот сервер, который её установил.

Определить IP-адрес с помощью cookies невозможно, но использование сервером сохранённых данных может создать проблемы. Например, cookies могут привести к раскрытию связи между разными псевдонимами посетителя форума или сайта. Теоретически адресат может «зашить» в cookies любую информацию о себе, а другой «любопытный» ресурс может подцепить чужой cookie и узнать эту информацию.

Очевидно, что в целях максимальной приватности разумным решением было бы вообще не принимать cookies-файлы. Однако некоторые сайты требуют обязательной поддержки cookies и полное их отключение может сделать невозможной работу с ресурсом. Решается это просто: следует разрешить cookies, но запрещать прием cookies от чужого имени, избегать одновременных сеансов с разными ресурсами и обязательно удалять cookies-файлы после окончания сеанса.

Почти все вышеперечисленные дополнительные угрозы раскрытия анонимности решаются применением браузера Firefox совместно с расширением для этого браузера –Torbutton.

Разработчики системы Tor также настоятельно рекомендуют использование в качестве браузера Firefox и обязательно с расширением Torbutton. Такой вариант более тщательно изучается, чаще обновляется, и в нем реализованы дополнительные меры безопасности. Так Torbutton блокирует Java, Flash, ActiveX и другиe плагины, которые могут быть использованы для раскрытия вашего IP-адреса. Кроме того, Torbutton умеет обрабатывать cookies более безопасно.

Кроме того, в версии плагина Torbutton начиная с 1.2.0 добавлено несколько дополнительных возможностей безопасности, чтобы защитить вашу анонимность от всех главных угроз. Настройки, выставленные по умолчанию, должны быть подходящими (и самыми безопасными!) для большинства пользователей, но если вы хотите большей гибкости и безопасности, то можно выполнить следующие настройки плагина Torbutton:

1. Отключать плагины при использовании Tor! Эта опция является ключевой в безопасности Tor. Плагины выполняют свою работу в сети независимо от браузера, и многие плагины только частично подчиняются своим собственным настройкам прокси.

2. Ограничить динамическое содержание текущим режимом Tor.

3. Перехватывать опасный код Javascript!

Эта опция разрешает работу перехватывающего кода Javascript. Javascript встроен в страницы, чтобы перехватывать данные о дате и маскировать вашу временную зону, и, перехватывая данные о навигаторе, скрывать информацию об операционной системе и браузере. Эта функция не выполняется стандартными настройками браузера Firefox.

Целесообразно использовать Firefox с расширением Torbutton для анонимной работы в Интернет, а для обычной (неанонимной) работы — какой-либо другой браузер (например Opera), не торифицированный.

Довольно часто причиной раскрытия анонимности является беспечность и небрежность пользователя. Например, ранее вы пользовались своим почтовым ящиком не анонимно, а сегодня решили отправить письмо через сеть Tor, не раскрывая себя. Но в почтовом ящике остались логин и пароль с вашим подлинным IP-адресом. При желании, вашу анонимность уже можно раскрыть.

Поэтому надо взять себе за правило — для анонимной работы пользоваться одним набором логинов, паролей и т.д., а для неанонимной работы совсем другим набором. Это означает, что и почтовые ящики, номера счетов и прочие должны быть другими.

11. Блокирование Tor и как с ним бороться

Система Tor позволяет скрывать от провайдера конечные (целевые) адреса, тем самым прорывая возможную блокаду доступа к заблокированным им сетевым ресурсам. Также система Tor скрывает от целевых ресурсов адрес отправителя, тем самым снимая возможность нахождения пользователя или блокировки пользователей.

Однако и провайдер и сетевые ресурсы могут бороться с самим Tor путем блокировки его публичных узлов. Далее приводятся приемы борьбы с такими блокировками Tor.

1. Использования непубличных входных узлов (bridge-узлов)

В странах с интернет-цензурой провайдеры часто пытаются блокировать доступ к «запрещённым» интернет-ресурсам. (Не понимаю, почему какой-то урод будет решать какие сайты мне посещать, а какие — нет!)

Информационный поток данных, идущий от пользователя в сеть Tor маскируется под шифрованный SSL-трафик (протокол https) и распознать его по каким-то особенностям нереально. Однако провайдер всегда знает первичный адрес, по которому шлются данные. При работе через Tor это адрес первого узла анонимизирующей цепочки.

Tor — открытая система, поэтому все адреса публичных узлов Tor известны и нетрудно включить их в «чёрный список» с последующей блокировкой.

Иногда такую блокировку считают даже как уязвимость системы Tor.

Разработчики Tor предусмотрели такую ситуацию и создали некоторое подмножество непубличных входных узлов (bridge-узлов или мостов), узнать адреса которых можно только вручную и небольшими порциями.

На странице https://bridges.torproject.org можно найти адреса трех текущих bridge-узлов в формате proxy_host:proxy_port (например 188.40.112.195:443). Там же будет краткая инструкция по установке мостов. (Правда на английском языке.)

Если данная страница также заблокирована, то можно получить адреса bridge-узлов по почте, отправив письмо-запрос на bridges@torproject.org с заголовком и единственной строкой get bridges в теле письма.

Вставить в клиент Tor полученные bridge-узлы можно через его графическую оболочку Vidalia.

Для чего нужно: открыть окно Vidalia, нажать кнопку «Настройки » («Settings»), в открывшемся окне выбрать вкладку «Сеть » («Network»), пометить там галочкой пункт «Мой Интернет-провайдер блокирует доступ к сети Tor » («My ISP blocks connections to the Tor network»).

Скопировать адрес первого bridge-узла в поле «Добавить bridge » («Add bridge») и нажать кнопку «+». Таким же образом вставить и остальные bridge-узлы.

Нажать кнопку «Ok». Перезапустить Tor.

2. Добавления в конец цепочки Tor внешнего прокси

В настоящее время некоторые интернет-ресурсы блокируют или ограничивают доступ посетителей при использовании ими Tor. Видимо хотят контролировать своих посетителей (!?). (К сожалению сюда относятся даже такие известные сайты как Wikipedia, Gmail, ЖЖ, Linux.org.ru и другие.) Для такого блокирования составляется «чёрный список» всех (или почти всех) публичных выходных серверов системы Tor (блоклист) и запрещаются или ограничиваются посещения с этих серверов. Иногда можно посмотреть «чёрный список» по адресу https://proxy.org/tor_blacklist.txt, но скорее всего там будет сообщение типа «Зайдите завтра»

Простым способом преодоления блокирования со стороны интернет-ресурсов является добавление к цепочке Tor внешнего прокси-сервера. (Он не входит в «чёрный список».) Внешних прокси-серверов очень много и их можно легко найти в Сети (например, http://www.proxy-list.org/en/index.php/). Необходимо только, чтобы они поддерживали шифровку ssl трафика (для входа по защищенному каналу https) и желательно были «забугорными». Скопировать его адрес в формате: proxy_host:proxy_port.

Затем найти конфигурационный файл фильтрующего прокси Polipo:….conf и добавить в его конец строку parentProxy=proxy_host:proxy_port, где proxy_host:proxy_port — адрес «внешнего прокси».

После этого надо перезагрузить анонимный канал, т.е. Tor Browser.

Проверить анонимный канал можно на сайтах-анализаторах IP, (например http://www.ip-adress.com/what_is_my_ip/, или http://whatismyipaddress.com/, или http://geotool.servehttp.com/. Полученный IP-адрес должен совпадать с адресом внешнего прокси.

В результате добавления в конец цепочки Tor внешнего прокси, общение с целевым адресом (сайтом) пойдет через этот «чистенький» для блокировщика «внешний прокси».

12. Сравнительный анализ систем обеспечения анонимности

Итак, если, посетив какой-либо интернет-ресурс, вы оставили там свой реальный IP-адрес, то по нему легко узнать страну, где вы находитесь, город, название и адрес вашего провайдера, его телефон и e-mail. Если компьютер из организации, то адрес и название организации. Если компьютер физического лица, то данные о его владельце можно потом узнать у провайдера. Анонимность равна нулю.

Как уже упоминалось ранее, большинство способов сокрытия IP-адреса так или иначе связаны с использованием proxy-серверов и подменой на них IP-адреса.

Существует несколько типов proxy-серверов:

– HTTP proxy — наиболее распространенный тип прокси

– HTTPS proxy (SSL proxy) — то же самое, что HTTP, плюс шифрование

– CGI proxy — анонимайзеры (можно работать только через браузер)

– SOCKS proxy — анонимны по определению, могут работать с разными протоколами

Даже proxy одного типа могут иметь различную степень анонимности. Поэтому для начала следует разобраться, что представляет собой используемый прокси-сервер.

Существуют также различные программы для сокрытия IP-адреса пользователя. Это прежде всего «Steganos Internet Anonym » и программы серии «… Hide IP ».

Steganos пытается работать с прокси серверами, обычно устаревшими. Поэтому программа в принципе даже не всегда функциональна и хорошей (трудно раскрываемой) анонимности не обеспечит.

Программы типа Hide IP в бесплатном варианте (free) работают только с одним proxy сервером, иногда даже не анонимным и настойчиво предлагают купить платную версию (pro). Покупать не пробовал и другим не советую. Ибо платная версия подключит вас через один из широко известных серверов на территории США. Ваш IP-адрес явно светится не будет, но при желании найти вас через логи сервера будет не очень трудно.

Вобщем, это игрушки, широко разрекламированные, но слабофункциональные.

С точки зрения обеспечения анонимности намного лучше самому вручную или при помощи соответствующей программы построить цепочку из 2-3 анонимных proxy серверов. Но для этого нужно их найти, проверить на анонимность и выбрать (желательно разных стран). Потом из выбранных proxy серверов составить цепочку. Операция достаточно трудоёмкая, и кроме того, требует дополнительно наличия 3-5 программ.

При этом надо ещё учесть, что бывают как бесплатные так и платные прокси. (Также как платные и бесплатные программы). Как правило, с точки зрения предоставляемого сервиса, бесплатные прокси не отличается от платных proxy серверов, однако в их работе могут быть некоторые особенности — как преимущества, так и недостатки. Основным недостатком является то, что практически отсутствуют долго работающие бесплатные proxy. Как правило, через какое-то время они либо переходят в статус платных, либо прекращают работу.