Whirt
09.05.2009, 15:41
[ Вступление ]
Большинство из нас привыкло заботиться о собственной безопасности во время пребывания в сети.
Но многие до сих пор не знают, сколько информации в действительности передается о них,
и что даже использование socks-ов не является гарантией полной анонимности.
Хотелось бы поделиться некоторыми своими наблюдениями по данному вопросу.
Сразу оговорюсь, что плагины для решения возникающих проблем рассмотрены под мой любимый браузер Firefox.
[ К вопросу о параноидальной защите ]
Давайте представим ситуацию, когда мы купили VPN в США и собираемся скардить что-нибудь в магазине, или
взломать сайт, расположенный на server.com.
Вместе с передаваемым запросом на сайт, среди прочих других полей можно выделить поле
Accept-Language.
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Проблема в том, что выходной IP из VPN при пробивке его по базе geoip относится к территории сша,
Но Accept-Language стучит на нас, что владелец русский.
Следовательно при несовпадении страны и языка, можно уже с большей долей подозрительности относиться к
пришедшему на сайт (активно применяется в забургорных магазинах, не любящих работать с русскими)
Технологию определения языка по Accept-Language давно используют разные сайты, например
facebook.com , google.com (попробуйте зайдите на них через забугорный ip, язык все равно выдадут русский)
Но это не единственное, что могут вытянуть из вас сайты, которые вы посещаете.
Но рассмотрим все остальное в процессе защиты от этого.
[ Защита ]
Во многих статьях по безопасности (например, актуально для кардеров) рекомендуют ставить английскую версию
винды, чтобы избежать определения реального языка.
Но есть способ проще,- это использовать утилитку Odysseus.
Как же она работает? Все очень просто: она устанавливается локальным прокси, нам остается только
пропустить весь HTTP(s) траффик через нее, а она уже сама работает с проходящими пакетами в соответствие со
своим набором
правил.
[ Меняем язык ]
Правила задаются регулярными выражениями.
Например, чтобы все сервера думали что вы - англоговорящий, достаточно создать правило:
http://img147.imageshack.us/img147/6605/41676822.gif
[ Убираем Refefer ]
Так же, иногда полезно бывает стирать и referer, по нему можно узнать тоже полезную информацию - ведь там
находится сайт, откуда вы пришли (Например, античат, в целях безопасности использует обнуление referer при
переходе по ссылкам, но большиство сайтов передает его как есть). Стереть его, можно добавив регулярное
выражение, заменяющее его на пустую строку:
http://img147.imageshack.us/img147/9666/55208025.gif
Есть такие сайты, которые проверяют referer, поэтому может понадобится подделывать его для отдельных сайтов,
тогда вместо правила для Odysseus, мы воспользуемся расширением для firefox - RefControl.
Чтобы подделывать Referer для сайта google, необходимо внести изменения, как показано на скриншоте:
http://img147.imageshack.us/img147/457/59430238.gif
[ Подделываем User-Agent ]
Для полной красоты можно заставить свой браузер выдавать себя за Internet Explorer,
для этого аналогично вышеуказанным примерам User-Agent меняем в Odysseus на что-нибудь вроде:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
SV1)
Для проверки всего этого можем зайти сюда:
http://1whois.ru/?page=ip
[ Javascript = враг безопасности ]
Далее, один из главных наших злейших врагов - это поддержка javscript в браузере.
А при помощи нее можно сделать много нехороших вещей, например от определения версии flash player'а и
разрешения экрана до похищения буфера обмена (был как-то сплоит для IE), и много подобных нехороших вещей.
Это на первый взгляд кажется, что это полученных от браузера данных очень мало, но комбинируя все вместе,
начиная с ip, заголовков и информации от javascript, заканчивая проверкой специально оставленных
кукисов, о которых я расскажу ниже, мы получаем ,фактически, слепок профиля некоторого пользователя.
Проблема со скриптами решается использованием популярного расширения NoScript под Firefox
[ Нехорошие cookies ]
Как нам могут повредить кукисы? Там хранится информация о предыдущем(их) посещениях данного сайта.
Т.е. если мы сменили ip, но забыли убрать куки, то сайт может пропалить нас.
Большинство сайтов по дефолту вешают такие куки даже при простом посещении.
Бороться с этим можно и нужно с помощью расширения для FireFox - CookieSafe.
http://img147.imageshack.us/img147/6310/74383444.gif
Выборочно проставляем сайты, которым можно вешать куки, остальные будут игнорироваться.
[ Socks/Proxy v.s. VPN ]
По данному вопросу хотелось бы тоже сказать несколько слов.
Proxy - сами по себе (если они конечно не анонимные) уступают socks'ам, потому что в отличие от последних они
могут вносить например такие "стучащие" поля, как: Via, X-Forwarded-For , которые
будут указывать наш IP. Socks от себя ничего не добавляет, но это тоже не панацея, подтверждение этому ниже.
Есть специальная техника определения DNS-сервера провайдера, на эту тему уже были статьи.
Ограничусь лишь небольшим описанием: для захода на сайт target.com, наш компьтер делает запрос на DNS
сервер провайдера, тот в свою очередь пересылает запрос на модифицированный DNS сервер target.com,
который сохраняет всю информацию о запросах, включающую также ваш настоящий IP.
Проверить это можно тут - http://private.dnsstuff.com/tools/aboutyou.ch
в строчке Your DNS server.
Выход здесь - использовать хороший VPN, при использовании которого запросы будут передаваться через сторонние
DNS сервера.
[ Заключение ]
Как видите, собрать можно достаточно много данных о клиенте.
С одной стороны - можно просто игнорировать это, с другой,- все же анонимность пребывания в сети
частично нарушается.
[ Disclaimer ]
Настоящее описание является результатом личных экспериментов и наблюдений автора и не претендует на полноту, точность и всеобъемлемость. Ради доступности некоторые термины и выкладки даны в упрощенном виде. Я всегда рад выслушать любые адекватные комментарии и критику :)
Статья писалась исключительно в образовательных целях и автор не несет никакой ответственности за
использование данной информации в целях, противоречащих действующему законодательству страны, в которой вы проживаете.
09.05.09
Специально для Античат, (c) Whirt
З.Ы. Всех с праздником ;)
Большинство из нас привыкло заботиться о собственной безопасности во время пребывания в сети.
Но многие до сих пор не знают, сколько информации в действительности передается о них,
и что даже использование socks-ов не является гарантией полной анонимности.
Хотелось бы поделиться некоторыми своими наблюдениями по данному вопросу.
Сразу оговорюсь, что плагины для решения возникающих проблем рассмотрены под мой любимый браузер Firefox.
[ К вопросу о параноидальной защите ]
Давайте представим ситуацию, когда мы купили VPN в США и собираемся скардить что-нибудь в магазине, или
взломать сайт, расположенный на server.com.
Вместе с передаваемым запросом на сайт, среди прочих других полей можно выделить поле
Accept-Language.
Accept-Language: ru,en-us;q=0.7,en;q=0.3
Проблема в том, что выходной IP из VPN при пробивке его по базе geoip относится к территории сша,
Но Accept-Language стучит на нас, что владелец русский.
Следовательно при несовпадении страны и языка, можно уже с большей долей подозрительности относиться к
пришедшему на сайт (активно применяется в забургорных магазинах, не любящих работать с русскими)
Технологию определения языка по Accept-Language давно используют разные сайты, например
facebook.com , google.com (попробуйте зайдите на них через забугорный ip, язык все равно выдадут русский)
Но это не единственное, что могут вытянуть из вас сайты, которые вы посещаете.
Но рассмотрим все остальное в процессе защиты от этого.
[ Защита ]
Во многих статьях по безопасности (например, актуально для кардеров) рекомендуют ставить английскую версию
винды, чтобы избежать определения реального языка.
Но есть способ проще,- это использовать утилитку Odysseus.
Как же она работает? Все очень просто: она устанавливается локальным прокси, нам остается только
пропустить весь HTTP(s) траффик через нее, а она уже сама работает с проходящими пакетами в соответствие со
своим набором
правил.
[ Меняем язык ]
Правила задаются регулярными выражениями.
Например, чтобы все сервера думали что вы - англоговорящий, достаточно создать правило:
http://img147.imageshack.us/img147/6605/41676822.gif
[ Убираем Refefer ]
Так же, иногда полезно бывает стирать и referer, по нему можно узнать тоже полезную информацию - ведь там
находится сайт, откуда вы пришли (Например, античат, в целях безопасности использует обнуление referer при
переходе по ссылкам, но большиство сайтов передает его как есть). Стереть его, можно добавив регулярное
выражение, заменяющее его на пустую строку:
http://img147.imageshack.us/img147/9666/55208025.gif
Есть такие сайты, которые проверяют referer, поэтому может понадобится подделывать его для отдельных сайтов,
тогда вместо правила для Odysseus, мы воспользуемся расширением для firefox - RefControl.
Чтобы подделывать Referer для сайта google, необходимо внести изменения, как показано на скриншоте:
http://img147.imageshack.us/img147/457/59430238.gif
[ Подделываем User-Agent ]
Для полной красоты можно заставить свой браузер выдавать себя за Internet Explorer,
для этого аналогично вышеуказанным примерам User-Agent меняем в Odysseus на что-нибудь вроде:
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;
SV1)
Для проверки всего этого можем зайти сюда:
http://1whois.ru/?page=ip
[ Javascript = враг безопасности ]
Далее, один из главных наших злейших врагов - это поддержка javscript в браузере.
А при помощи нее можно сделать много нехороших вещей, например от определения версии flash player'а и
разрешения экрана до похищения буфера обмена (был как-то сплоит для IE), и много подобных нехороших вещей.
Это на первый взгляд кажется, что это полученных от браузера данных очень мало, но комбинируя все вместе,
начиная с ip, заголовков и информации от javascript, заканчивая проверкой специально оставленных
кукисов, о которых я расскажу ниже, мы получаем ,фактически, слепок профиля некоторого пользователя.
Проблема со скриптами решается использованием популярного расширения NoScript под Firefox
[ Нехорошие cookies ]
Как нам могут повредить кукисы? Там хранится информация о предыдущем(их) посещениях данного сайта.
Т.е. если мы сменили ip, но забыли убрать куки, то сайт может пропалить нас.
Большинство сайтов по дефолту вешают такие куки даже при простом посещении.
Бороться с этим можно и нужно с помощью расширения для FireFox - CookieSafe.
http://img147.imageshack.us/img147/6310/74383444.gif
Выборочно проставляем сайты, которым можно вешать куки, остальные будут игнорироваться.
[ Socks/Proxy v.s. VPN ]
По данному вопросу хотелось бы тоже сказать несколько слов.
Proxy - сами по себе (если они конечно не анонимные) уступают socks'ам, потому что в отличие от последних они
могут вносить например такие "стучащие" поля, как: Via, X-Forwarded-For , которые
будут указывать наш IP. Socks от себя ничего не добавляет, но это тоже не панацея, подтверждение этому ниже.
Есть специальная техника определения DNS-сервера провайдера, на эту тему уже были статьи.
Ограничусь лишь небольшим описанием: для захода на сайт target.com, наш компьтер делает запрос на DNS
сервер провайдера, тот в свою очередь пересылает запрос на модифицированный DNS сервер target.com,
который сохраняет всю информацию о запросах, включающую также ваш настоящий IP.
Проверить это можно тут - http://private.dnsstuff.com/tools/aboutyou.ch
в строчке Your DNS server.
Выход здесь - использовать хороший VPN, при использовании которого запросы будут передаваться через сторонние
DNS сервера.
[ Заключение ]
Как видите, собрать можно достаточно много данных о клиенте.
С одной стороны - можно просто игнорировать это, с другой,- все же анонимность пребывания в сети
частично нарушается.
[ Disclaimer ]
Настоящее описание является результатом личных экспериментов и наблюдений автора и не претендует на полноту, точность и всеобъемлемость. Ради доступности некоторые термины и выкладки даны в упрощенном виде. Я всегда рад выслушать любые адекватные комментарии и критику :)
Статья писалась исключительно в образовательных целях и автор не несет никакой ответственности за
использование данной информации в целях, противоречащих действующему законодательству страны, в которой вы проживаете.
09.05.09
Специально для Античат, (c) Whirt
З.Ы. Всех с праздником ;)