Так вже іноді трапляється, що фантастичні і шпигунські сюжети виявляються не тільки плодом хворої фантазії автора, а справжнісінькою правдою. Ще зовсім недавно якийсь параноїдальний фільм про тотальне стеження держави за людиною сприймався як чергова казка, гра уяви автора і сценаристів. До тих пір, поки Едвард Сноуден не оприлюднював інформації про PRISM - програмі стеження за користувачами, прийнятою на озброєння Агентством національної безпеки США.
Після такої новини жарти про параною стали зовсім не актуальні. А розмови про стеження можна більше списати на розхитану психіку. Виникає серйозне питання, чи варто відчувати себе в безпеці, користуючись своєю поштою або спілкуючись у соціальній мережі або чаті? Адже на співпрацю зі спецслужбами пішли багато великих компаній: Microsoft (Hotmail), Google (Google Mail), Yahoo !, Facebook, YouTube, Skype, AOL, Apple. З огляду на те, що PRISM була націлена в першу чергу на стеження за іноземними громадянами, а обсяг перехоплюваних телефонних розмов і електронних повідомлень за деякими оцінками досягав 1,7 мільярда на рік, варто серйозно задуматися над тим, як захистити своє приватне життя від чужих очей.
Перша реакція на новину про PRISM у багатьох була однакова: не дозволимо стежити за собою, ставимо Tor. Це, мабуть, насправді найпопулярніший засіб, про який ми неодноразово розповідали на сторінках нашого журналу. Він теж був створений американськими військовими, правда для зовсім протилежних цілей. Така ось іронія. Користувачі запускають на своїй машині програмне забезпечення Tor, що працює як проксі, він «домовляється» з іншими вузлами мережі і будує ланцюжок, по якій буде передаватися зашифрований трафік. Після закінчення деякого часу ланцюжок перебудовується і в ній використовуються вже інші вузли. Для приховування від цікавих очей інформації про браузер і встановленої ОС Tor часто використовується в зв'язці з Privoxy - некешірующім проксі, який модифікує HTTP-заголовки і веб-дані, дозволяючи зберегти приватність і позбутися від настирливої реклами. Щоб не лазити по конфігураційним файлів і не правити всі налаштування ручками, є чудова GUI-оболонка - Vidalia, доступна для всіх ОС і дозволяє за пару хвилин підняти на своєму ПК двері в анонімний світ. Плюс розробники спробували все максимально спростити, надаючи користувачам в один клік встановити собі Tor, Vidalia і portable-версію Firefox з різними security-аддонами. Для безпечного спілкування існує децентралізована анонімна система обміну повідомленнями - TorChat. Для безпечного, анонімного і прозорого перенаправлення всього TCP / IP- і DNS-трафіку через мережу анонімайзерів Tor служить утиліта Tortilla. Програма дозволяє анонімно запускати на комп'ютері під Windows будь-яке програмне забезпечення, навіть якщо воно не підтримує SOCKS або HTTP-проксі, що раніше було практично неможливо зробити під Windows. Крім цього, для стандартної зв'язки Tor + Vidalia + Privoxy існує гідна альтернатива - Advanced Onion Router bit.ly/ancXHz , Portable-клієнт для «лушпиння маршрутизації». Для тих, хто особливо стурбований своєю безпекою, є Live CD дистрибутив, який «з коробки» налаштований відправляти весь трафік через Tor, - bit.ly/e1siH6 .
Основне призначення Tor - це анонімний серфінг плюс можливість створення анонімних сервісів. Правда, за анонімність доводиться розплачуватися швидкістю.
Запуск Tor через Vidalia
Крім «лушпиння маршрутизації», є ще й «часникова», що застосовується в I2P. Tor і I2P при деякому зовнішній схожості багато в чому реалізують діаметрально протилежні підходи. У Tor створюється ланцюжок з нод, по якій передається і приймається трафік, а в I2P використовуються "вхідні" та "вихідні" тунелі і таким чином запити і відповіді йдуть через різні вузли. Кожні десять хвилин ці тунелі перебудовуються. «Часникова маршрутизація» має на увазі, що повідомлення ( «часник») може містити в собі безліч «зубчиків» - повністю сформованих повідомлень з інформацією по їх доставці. В один «часник» в момент його формування може закладатися багато «зубчиків», частина з них може бути нашими, а частина транзитними. Чи є той чи інший «зубчик» в «часнику» нашим повідомленням, або це чуже транзитне сполучення, яке проходить через нас, знає тільки той, хто створив «часник».
Основне завдання I2P, на відміну від Tor, - анонімний хостинг сервісів, а не надання анонімного доступу в глобальну мережу, тобто розміщення в мережі веб-сайтів, які в термінології I2P називаються eepsites.
Для роботи програмного забезпечення I2P необхідна встановлена Java. Все управління ведеться через веб-інтерфейс, який доступний за адресою 127.0.0.1:7657. Після всіх необхідних маніпуляцій треба почекати пару хвилин, поки мережа налаштуватися, і можна користуватися всіма її прихованими сервісами. В даному випадку ми отримали анонімний доступ в мережу I2P, тобто до всіх ресурсів в домені .i2p. Якщо захочеться вийти в глобальну мережу, то досить просто прописати в настройках браузера використання проксі-сервера 127.0.0.1:4444. Вихід з I2P в глобальну мережу здійснюється через певні шлюзи (звані outproxy). Як розумієш, розраховувати на величезну швидкість в такому випадку не доводиться. Плюс немає ніякої гарантії, що на такому шлюзі ніхто не сніфает твій трафік. Чи безпечно розміщувати свій анонімний ресурс в I2P-мережі? Ну, 100% -ї гарантії безпеки тут ніхто дати не може, якщо ресурс буде банально вразливий, то не складе особливих труднощів визначити його справжнє місце розташування.
Консоль маршрутизатора I2P
Obfsproxy
У багатьох країнах, таких як Китай, Іран, провайдери активно борються проти використання Tor'а, застосовуючи DPI (deep packet inspection), фільтрацію за ключовими словами, виборчу блокування і інші методи. Для того щоб обійти цензуру, torproject випустив спеціальну ТУЛЗ obfsproxy bit.ly/z4huoD , Яка перетворює трафік між клієнтом і мостом таким чином, що він виглядає для провайдера абсолютно нешкідливим.
Схема роботи obfsproxy
А як щодо безпечного та анонімного обміну файлами? Для такої мети можна вдатися до допомоги GNUnet bit.ly/hMnQsu - фреймворка для організації безпечної P2P-мережі, яка потребує централізованих або будь-яких інших «довірених» сервісів. Основна мета проекту - створення надійної, децентралізованої і анонімної системи обміну інформацією. Всі вузли мережі працюють як маршрутизатори, шифрують з'єднання з іншими вузлами і підтримують постійний рівень навантаження на мережу. Як і в багатьох інших рішеннях, вузли, які беруть активну участь в роботі мережі, обслуговуються з більш високим пріоритетом. Для ідентифікації об'єктів і сервісів використовується URI, який виглядає какgnunet: // module / identifier, де module - ім'я модуля мережі, аidentifier - унікальний хеш, що ідентифікує сам об'єкт. Цікава фіча - можливість налаштувати рівень анонімності: від нуля (неанонімних) до нескінченності (по дефолту стоїть одиниця). Для безпечної передачі всі файли шифруються за допомогою ECRS (An Encoding for Censorship-Resistant Sharing - шифрування для стійкого до цензури обміну файлами). GNUnet є розширюваним, на основі якої формуються численні нові P2P-додатки. Крім файлообміну (найбільш популярного сервісу), існують альтернативні служби: найпростіший чат, який перебуває зараз в напівмертвому стані, а також розподілений DNS. Ну і як завжди, за анонімність доводиться розплачуватися: високою затримкою, низькою швидкістю роботи і досить високим споживанням ресурсів (що характерно для всіх децентралізованих мереж). Плюс присутні проблеми забезпечення сумісності між різними версіями фреймворка.
Анонімна однорангова мережа GNUnet
RestroShare bit.ly/cndPfx - це відкрита крос-платформна програма для побудови децентралізованої мережі за принципом F2F (Friend To Friend), що використовує GPG. Основна філософія полягає в обміні файлами і спілкуванні тільки з довіреними друзями, а не з усією мережею, через що її часто відносять до darknet. Для установки з'єднання з одним користувачеві треба згенерувати за допомогою RetroShare пару GPG-ключів (або вибрати існуючу). Після перевірки автентичності та обміну асиметричним ключем встановлюється SSH-з'єднання, що використовує для шифрування OpenSSL. Друзі друзів можуть бачити один одного (якщо користувачі включили таку можливість), але з'єднуватися не можуть. Така ось виходить соціальна мережа :). Але зате можна нишпорити папки між друзями. У мережі існує кілька сервісів для спілкування: приватний чат, пошта, форуми (як анонімні, так і зі звичайною аутентификацией), голосовий чат (VoIP-плагін), канали, на зразок IRC.
Децентралізована F2F-мережу
Ти можеш здивуватися: при чому тут Raspberry Pi? Ми ж говоримо про анонімність. А при тому, що цей маленький девайс допоможе цій анонімності домогтися. Його можна використовувати в якості роутера / клієнта, надає тобі доступ до Tor / I2P-мереж або анонімному VPN. Крім цього, є ще один плюс. У децентралізованих мережах досягти прийнятної швидкості доступу до внутрішньомережевих ресурсів можна, тільки якщо постійно перебувати в ній. Наприклад, в I2P довіру інших «часниковий роутерів» до такого вузла буде більше, відповідно і швидкість вище. Тримати заради цього постійно включеним свій комп'ютер або заводити окремий сервер недоцільно, а ось витратити на це всього 30 доларів ніби й не шкода. У повсякденному житті можна буде користуватися звичайним підключенням, а коли треба буде анонімно вийти в Мережу - просто пускаєш весь трафік через міні-девайс і не паришся з жодними настройками. Треба сказати, що до недавнього часу встановлювати софтину I2P, написану на Java, на «ожину» сенсу не було. Жадібної до ресурсів Java-машині ніяк не вистачало стандартних 256 Мб оператіви. З виходом Raspberry Pi model B, несе на борту вже 512 Мб, це стало вже цілком реально. Так що давай розглянемо основні моменти, пов'язані з установкою. Припустимо, ми використовуємо Raspbian . Насамперед обновляємося:
sudo apt-get update; sudo apt-get dist-upgrade
Потім встановлюємо Java, але не стандартну з пакетів, а спеціальну версію, заточену під процесори ARM, - bit.ly/13Kh9TN (Як показує практика, стандартна зжере всю пам'ять). Завантажуємо і інсталюємо:
sudo tar zxvf jdk-8-ea-b97-linux-arm-vfp-hflt-03_jul_2013.tar.gz -C / usr / local / java export PATH = $ PATH: / usr / local / java / bin
Після чого завантажуємо і встановлюємо I2P:
cd ~ mkdir i2pbin cd i2pbin wget http://mirror.i2p2.de/i2pinstall_0.9.7.jar java -jar i2pinstall_0.9.7.jar -console
Щоб перетворити Raspberry в роутер для I2P, треба трохи поворожити з конфіга. Переходимо в ~ / .i2p і починаємо редагувати файл clients.config. Там нам треба закомментировать рядок
clientApp.0.args = 7657 :: 1,127.0.0.1 ./webapps/
і розкоментувати
clientApp.0.args = 7657 0.0.0.0 ./webapps/
А потім у файлі i2ptunnel.config замінити адреси в рядках
tunnel.0.interface = 127.0.0.1 tunnel.6.interface = 127.0.0.1
на 0.0.0.0. Після чого можемо запустити I2P-роутер, виконавши:
cd ~ / i2pbin ./runplain.sh
Також можна додати в crontab наступні рядки, щоб софтіна автоматично піднімалася під час запуску системи або після краш:
0 * * * * /home/pi/i2pbin/runplain.sh @reboot /home/pi/i2pbin/runplain.sh
Залишилося тільки організувати віддалений доступ до девайсу. Оптимальний спосіб - використовувати динамічний портфорвардінг через SSH. Для цього треба тільки встановити в настройках I2P-тунель, який би вказував на 22-й порт на локальній машині. Таким же чином можна перетворити Pi в анонімний VPN (як це зробити, можна подивитися тут - http://bit.ly/11Rnx8V ) Або підключити до Tor'у (відмінний відеомануал з цього приводу http://bit.ly/12RjOU9 ). А можна і придумати свій спосіб, як використовувати девайс для анонімних подорожей по Мережі.
Насправді Raspberry Pi не єдиний маленький девайс, на базі якого можна організувати анонімний доступ в Мережу. Гідною альтернативою йому буде роутер від латвійської компанії MikroTik , Яка займається виробництвом мережного обладнання та софта для нього. Такий девайс обійдеться трохи дорожче, але потребують менше метушні при налаштуванні. У числі продуктів компанії RouterOS - операційна система на базі Linux, призначена для установки на апаратні маршрутизатори MikroTik RouterBOARD. Різні варіанти платформ RouterBOARD дозволяють вирішувати різні мережеві завдання: від побудови простої точки доступу до потужного маршрутизатора. Незважаючи на наявність роз'єму для підключення живлення, практично всі пристрої можуть харчуватися за допомогою PoE. Великий плюс - наявність гарної документації http://bit.ly/jSN4FL , В якій дуже докладно описано, як можна створити security-роутер на базі RouterBOARD4xx, підключивши його до мережі Tor. Зупинятися на цьому не буде, тут все дуже докладно описано.
Схема організації анонімного доступу в інтернет за допомогою Tor і MikroTik 
Аддони для браузерів
Велика частина часу в Мережі йде не на розмови по скайпу або спілкування в соціальних мережах, а на простий серфінг. Але і тут нас не залишають без нагляду. Соціальні мережі та інші сайти намагаються відстежити, які ресурси ти відвідуєш, що шукаєш в Мережі, щоб потім напихати тебе рекламою за схожою тематикою (коштувало мені один раз подивитися один ноутбук, як він тут же почав вискакувати всюди в рекламі від гугла). Це швидко починає дратувати і відволікати від основного пошуку. Та й взагалі, ми заходимо в Мережу не для того, щоб показати кому-то, що ми шукаємо. Так що з цим треба якось боротися.
Disconnect
Один з кращих плагінів, що дозволяє втекти від рекламної стеження, доступний для браузерів Firefox, Chrome, Opera і Safari. на офіційному сайті можна подивитися забавний анімаційний ролик, який демонструє, як деякі сайти стежать за користувачами і заважають їм зосередитися на пошуку. Після установки даного розширення на панелі інструментів з'явиться кнопка, при кліці на яку відобразиться випадає віконце (дропдаун), і в ньому буде наочно показано, скільки «лівих» запитів (від гугла, твіттера, Фейсбук, аналітичних і рекламних сайтів) було заблоковано під час заходу на дану сторінку. А також на скільки вдалося скоротити час завантаження сторінки і скільки заощадити трафіку.
Adblock Plus
Ще одним способом відстеження користувача (а також часто і поширення малварі) служить реклама. І нехай більшість банерів цілком нешкідливі, але погодься, що купа анімації і вискакують попап не тільки дратують, але і відволікають увагу від шуканої інформації. Щоб відключити рекламу в Firefox, Opera і Chrome, досить поставити розширення Adblock Plus .
DoNotTrackMe
Альтернативою популярному Disconnect, що також підтримує всі популярні браузери, може служити DoNotTrackMe . Інтерфейс у обох розширень дуже схожий. Правда, на відміну від більш просунутого конкурента, DoNotTrackMe надає право вибору по блокуванню того чи іншого шпигують сайту самому користувачеві. Такий підхід стане в нагоді тим, хто хоче залишити все як є, заблокувавши лише деяких порушників.
Ghostery
Ще одне розширення, що дозволяє блокувати ресурси, які намагаються відстежувати твоє місце розташування в Мережі. Володіє великою базою «шпигують» сайтів. На відміну від колег по цеху, підтримує IE. На жаль, плагін хоч і працездатний, але давненько не оновлювався. Завантажити можна на офіційному сайті .
Говорячи про приватність і анонімність в Мережі, не можна обійти стороною використання для цих цілей VPN. Ми вже розповідали, як замутити свій VPN-сервер в хмарі Amazon'а bit.ly/16E8nmJ , Докладно розглядали установку і тонке налаштування OpenVPN. Всю необхідну теорію ти можеш подивитися в цих статтях. Однак хочеться ще раз нагадати, що VPN не панацея. По-перше, можливі ситуації, коли трафік може «витекти» повз VPN-з'єднання, по-друге, в мережах, заснованих на протоколі PPTP, існує реальна можливість розшифрувати перехоплені дані ( «Такий небезпечний VPN»,] [акер № 170). Так що не варто вірити в повну безпеку при використанні віртуальних приватних мереж.
Це лише найбільш популярні рішення, що дозволяють хоч якось захистити своє приватне життя від цікавих очей Великого Брата. Можливо, в недалекому майбутньому з'являться нові технології або все ми будемо активно користуватися однією з розглянутих сьогодні. Хто знає ... Що б це не було, важливо завжди пам'ятати, що ніколи жодне рішення не здатна дати 100% -у гарантію захищеності. Тому не відчувай себе в цілковитій безпеці, встановивши Tor, I2P або щось ще, - за почуття удаваної безпеки багато хто вже поплатилися.
Виникає серйозне питання, чи варто відчувати себе в безпеці, користуючись своєю поштою або спілкуючись у соціальній мережі або чаті?Чи безпечно розміщувати свій анонімний ресурс в I2P-мережі?