Угрозы деанонимизации через сеть

[_LeFF_]

Чтобы научиться защищаться от современных киберугроз, нужно понимать, какие ваши цифровые следы интересуют недоброжелателей. В этом материале поговорим про опасность утечки настоящего IP-адреса, угрозы технологии DNS, небезопасные точки доступа и потенциально возможный анализ зашифрованного трафика Tor.

IP-адрес​

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

предоставляется интернет-провайдером, который обязан хранить записи о том, кому принадлежит тот или иной адрес. Провайдеры, как и интернет-платформы, хранят и передают третьим лицам точную информацию о времени и обстоятельствах онлайн-активности даже спустя годы, поэтому IP – первое, что требует защиты при выходе в сеть.

IP – это богатый источник информации о пользователе. Например, вот список ресурсов, с помощью которых можно:

Узнать IP:

• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  – бонусом проверяет на утечки DNS.

Найти примерную геолокацию IP:

• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Проверить, присутствует ли IP в черных списках:

• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Получить регистрационную информацию об IP-адресе:

• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Проверить IP на наличие уязвимых к проникновению устройств:

• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  – замените числа на IP.

Определить другую информацию об IP:

• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
• Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

Если недоброжелатель получит IP-адрес, то определит примерное местоположение, характеристики устройства, а значит, и приблизится к установлению личности. Как избежать этих проблем:

• Не пользоваться связанными с вашей личностью SIM-картами и точками доступа.
• Использовать сеть
  Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  .
• Использовать анонимно оплаченный (криптовалютой) или самостоятельно настроенный VPN.
• Не переходить без подмены IP по ссылкам, которые вам присылают незнакомцы. Это может быть
  Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  . Подробнее о них в будущих материалах.

Технологии Tor и VPN в связке надежно скрывают IP-адрес и шифруют трафик, используйте их как можно чаще.

DNS​

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

– это технология, которую используют браузеры и другие сетевые приложения, чтобы находить IP-адрес интернет-ресурса. При подключении к сайту браузер посылает запрос в DNS-сервис, а тот в ответ выдает распознаваемый компьютером числовой IP-адрес сервера, на котором располагается сайт. Службу DNS создали для удобства человека, эта технология позволяет людям писать в адресную строку браузера не числовой IP-адрес сайта, а понятный словесный запрос.

DNS часто предоставляется самим интернет-провайдером. Такие DNS-службы сохраняют и по требованию передают властям все запросы пользователей. Частные поставщики DNS, вроде Cloudflare, также передают логи третьим лицам. Владельцы DNS-серверов знают почти обо всем, что пользователи делают в сети.

Контроль над DNS-серверами позволяет также блокировать доступ к запрещенным сайтам. DNS-служба, которую контролирует регулятор, выдает при запросе не нужный адрес, а адрес сайта-заглушки с уведомлением о блокировке, либо вовсе присылает ошибку, что такого сайта в списке адресов нет.

Другая серьезная проблема технологии заключается в том, что до сих пор по умолчанию служба DNS принимает и отправляет запросы в виде простого текста, без шифрования. Даже если зайти в режиме “Инкогнито” на сайт с помощью безопасного протокола

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

и использовать приватные DNS-сервисы, высок шанс, что ваш браузер пришлет DNS-серверу незашифрованный поисковый запрос. Если не шифровать DNS-запросы, провайдер или злоумышленник смогут с помощью атаки

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

записывать, какие запросы поступают от вашего IP-адреса.

DNS шифруют с помощью технологий

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

и

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

. DNS-сервер с поддержкой шифрования настраивают самостоятельно с помощью

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, берут у сторонних сервисов, вроде

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, либо автоматически получают от поставщика VPN или сети Tor. Учтите, что шифрование DNS само по себе

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

от других уязвимостей, с помощью которых недоброжелатели прослушивают и блокируют трафик.

Рекомендуем комбинировать технологии Tor, VPN + Pi-hole на приватном сервере и использовать виртуализацию, чтобы создать многоуровневую систему "DNS over VPN over Tor". Эти меры помогут решать проблемы с DNS настолько эффективно, насколько возможно для среднего пользователя.

Небезопасные точки доступа Wi-Fi​

Злоумышленник с парой сотен долларов на покупку небольшого специального

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

способен провести следующую атаку.

Сначала он заставляет устройство

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

от текущей точки доступа и одновременно запускает поддельную с таким же названием. Проблемы с доступом в интернет будут продолжаться, пока вы не подключитесь к подменной точке доступа. Как только вы это сделаете, злоумышленник реализует разные варианты атаки MITM. Например, он перенаправит вас на поддельную

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, чтобы получить пароль от настоящего Wi-Fi. Продвинутые противники проводят сложные таргетированные

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

, чтобы красть реквизиты для входа в криптобиржи и электронные кошельки.

Вредоносная точка доступа сканирует трафик, чтобы определить, подключаетесь ли вы к VPN или Tor. Это выделяет устройство из толпы, так как Tor и VPN пользуются не все (метод работает, когда недоброжелатель знает, что цель находится где-то в толпе, но пока не знает, кто это.). С помощью подменной точки продвинутые недоброжелатели эксплуатируют уязвимости DNS и отслеживают посещаемые пользователем веб-сайты, несмотря на использование HTTPS, DoT, DoH, VPN и Tor по отдельности.

Это не все, что делают с помощью подменной точки доступа. Советуем подключаться к публичным точкам доступа в кафе, аэропортах, библиотеках и метро с осторожностью и использовать VPN и Tor в связке, чтобы защититься от атак MITM. Комбинированный трафик труднее анализировать или подменять.

Анонимный трафик Tor​

Однако Tor, особенно "голый" – это не панацея. Кратко рассмотрим три техники деанонимизации зашифрованного Tor-трафика:

Атака сопоставления отпечатков:

• Недоброжелатель снимает цифровые отпечатки вашего зашифрованного Tor-трафика и сопоставляет их с накопленным набором отпечатков известных ресурсов. Отдельные хакеры и местные силовики не способны проводить атаку сопоставления в из-за ограниченных вычислительных мощностей, однако в теории сопоставление отпечатков доступно спецслужбам. На официальном сайте The Tor Project размещена
  Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  , в которой рассказывается о некоторых методах борьбы с атакой сопоставления отпечатков.

Атака сопоставления времени подключения:

• Если противник имеет доступ к логам в сети, то способен сопоставить времеменные отрезки между соединениями и деанонимизировать вас, несмотря на Tor или VPN посередине. На практике такое
  Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  ФБР еще в 2013 году.

Атака сопоставления размера пакетов:

• Противник сопоставляет размер отправленных в определенный день и час пакетов данных с принятыми данными на контролируемом ресурсе. Со временем атакующий наберет множество совпадений размеров пакетов, что впоследствии используется для деанонимизации. Подробнее об этой атаке написано в
  Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.
  агента ЦРУ.

Как этому противостоять:

• Не используйте Tor/VPN для доступа к ресурсам, которые находятся в той же сети, что и вы. Например, не подключайтесь к Tor из университетской сети, чтобы анонимно зайти на университетский сайт. Используйте для этого другую точку доступа.
• Не подключайтесь к Tor из очевидно жестко контролируемых сетей, вроде корпоративных и правительственных.
• Используйте многослойные сети, например, VPN поверх Tor. Недоброжелатель все еще видит, что кто-то подключается конечному сервису через Tor, но не в состоянии определить, кто.

Помните, что это может не помочь против продвинутого противника с широкими возможностями глобальной слежки. Если он захочет деанонимизировать вас, то получит доступ к любым логам, где бы вы ни находились, либо использует т. н. “

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

”. Противник также может воспользоваться не компьютерными методами деанонимизации, например, поведенческим анализом.

На GitHub есть хорошая подробная статья “

Пожалуйста Войдите или Зарегистрируйтесь чтобы видеть скрытые ссылки.

”, обязательно прочитайте ее, если хотите узнать больше о Tor и его уязвимостях.

 

[oreldiman]

Попал((((