Анонимные сети

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Анонимные сети — компьютерные сети, созданные для достижения анонимности в Интернете и работающие поверх глобальной сети. Специфика таких сетей заключается в том, что разработчики вынуждены идти на компромисс между степенью защиты и лёгкостью использования системы, её «прозрачностью» для конечного пользователя. Также важен аспект сохранения анонимности и конфиденциальности при условии воздействия методов социальной инженерии или какого-либо давления на оператора сервера. Многоуровневое шифрование и распределённый характер анонимных сетей, устраняя единую точку отказа и единый вектор атак, позволяют сделать перехват трафика или даже взлом части узлов сети не фатальным событием. За анонимность пользователь расплачивается увеличением времени отклика, снижением скорости, а также большими объёмами сетевого трафика.

Первой относительно успешной анонимной сетью был коммерческий сервис Freedom, функционировавший с 1998 до 2001 года.[1] Компанией ZKS были установлены выделенные серверы, с которыми клиенты соединялись посредством криптографического протокола. Узел, на который приходили пакеты от пользователя Freedom, не мог идентифицировать настоящего отправителя. Сама сеть функционировала на уровне протокола IP. В это же время начали активно развиваться другие проекты.[2]

Децентрализованные анонимные сети[править | править вики-текст]

В децентрализованной сети любая машина может установить соединение с другой, а также послать ей запрос на предоставление ресурсов. Каждая машина обрабатывает запросы от других в качестве сервера, отсылая и принимая запросы, а также выполняя другие вспомогательные и административные функции. Любой участник такой сети не обязан гарантировать постоянного соединения и может разорвать его в любой момент времени. Но при достижении определённого размера сети в ней одновременно начинают существовать множество серверов с одинаковыми функциями.

ANts P2P[править | править вики-текст]

ANts P2P[3] — файлообменная сеть, анонимизирующая весь поток данных, используя систему маршрутизации, в которой, в отличие от BitTorrent, участники обмениваются трафиком не напрямую, а через несколько узлов. Каждому участнику известен только IP-адрес его непосредственного соседа. Таким образом, отправитель не знает, куда идет его файл, а получатель не знает, откуда он пришёл. Для большей безопасности данные между отдельными отправителями и получателями шифруются по симметричному алгоритму AES.[4]

Bitmessage[править | править вики-текст]

Bitmessage — децентрализованная P2P система обмена электронными сообщениями с открытым исходным кодом, которая позволяет пользователю Bitmessage отправлять зашифрованные сообщения другим пользователям системы, как альтернатива email. Bitmessage построена на архитектуре сходной с сетью Bitcoin, однако адаптированной для задачи пересылки сообщений, а не денежных транзакций. Сеть получила резкий всплеск популярности после разглашений Эдварда Сноудена о системе тайного слежения за интернет-пользователями PRISM.[5]

Filetopia[править | править вики-текст]

Filetopia[6] — многофункциональная файлообменая программа, главной особенностью которой является высокий уровень приватности и безопасности. Поддерживается зашифрованный чат, полноценный интернет-пейджер, работа с форумом. Благодаря технологии MS Agent при установке соответствующего голосового движка возможно голосовое воспроизведение получаемых сообщений. С целью повышения степени защищённости Filetopia скрывает IP-адрес пользователя, защищая его тем самым от возможных хакерских атак. В качестве алгоритма создания открытого ключа используются эллиптические кривые, а сообщения и файлы шифруются одним из десяти самостоятельно выбираемых пользователем алгоритмов.[7]

Freenet[править | править вики-текст]

Freenet[8] — это децентрализованная и полностью анонимная одноранговая сеть, работающая поверх интернета, включающая большое количество равноправных компьютеров и позволяющая публиковать любые материалы без возможности выйти на автора. Конфиденциальность данных гарантируется строгой криптографией: чтобы получить файл, в запросе требуется сообщить ассоциированный с ним ключ. Роль такого ключа выполняет хэш-код файла или DSA-ключ, что образует также механизм проверки целостности. В настоящее время Freenet начинает использовать принцип сетей Onion Routing.[9]

GNUnet[править | править вики-текст]

GNUnet[10] — это программный пакет для безопасного P2P-соединения, не нуждающийся в серверах. Сервис реализованный поверх сетевого уровня позволяет обмениваться файлами анонимно и без какой-либо сетевой цензуры. Анонимность обеспечивается за счет того, что исходящие от узла сети сообщения неотличимы от чужих сообщений, в передаче которых участвует узел. Все узлы действуют как маршрутизаторы, соединения между которыми шифруются, а уровень использования пропускной способности канала поддерживается постоянным. GNUnet использует простую, основанную на избытках экономическую модель для выделения ресурсов: узлы, которые больше дают сети, награждаются лучшим обслуживанием. Проект GNUnet возник в 2001 году и был вдохновлён целым рядом технических идей, призванных обеспечить безопасный файлообмен в пиринговых сетях. Основные технические вопросы работы GNUnet подробно описаны в ряде научных публикаций.[11] Среди них — улучшенное кодирование содержимого ECRS и новый анонимный протокол маршрутизации gap. Их особенности позволяют поощрять в GNUnet активных участников. В периоды высокой загрузки сети приоритет получают те участники, которые сделали больший вклад в прошлом. Кроме того, GNUnet расширяема и позволяет легко создавать новые приложения peer-to-peer на её основе или использовать альтернативные сетевые транспорты для передачи данных.[12]

Gnutella[править | править вики-текст]

Gnutella[13] — первая полностью децентрализованная файлообменная сеть, разработанная в 1999 году. При подключении клиент получает от узла, с которым ему удалось соединиться, список из пяти активных узлов, которым отсылается запрос на поиск ресурса по ключевому слову. Узлы ищут у себя соответствующие запросу ресурсы и, если не находят их, пересылают запрос активным узлам вверх по «дереву», пока не найдется ресурс или не будет превышено максимальное число шагов. Такой поиск называется размножением запросов (query flooding). Однако, подобная реализация ведет к экспоненциальному росту числа запросов и на верхних уровнях «дерева» может привести к отказу в обслуживании, что неоднократно наблюдалось на практике. Поэтому разработчики усовершенствовали алгоритм и ввели правила, в соответствии с которыми запросы могут пересылать вверх по «дереву» только выделенные (ultrapeers), а остальные (leaves) могут лишь делать запросы. Также была введена система кэширующих узлов. Запросы в сети Gnutella пересылаются по TCP или UDP, а копирование файлов осуществляется через протокол HTTP. В последнее время появились расширения для клиентских программ, позволяющие копировать файлы по UDP и делать XML-запросы метаинформации о файлах. Недостатки протокола Gnutella инициировали разработку принципиально новых алгоритмов поиска маршрутов и ресурсов, что привело к созданию группы протоколов DHT и, в частности, Kademlia, который широко используется в наиболее крупных сетях.[14]

Gnutella2[править | править вики-текст]

Gnutella2[15] — созданный в 2002 г. принципиально новый протокол и первые его клиенты, обладающие обратной совместимостью с клиентами Gnutella. В соответствии с ним часть узлов становятся концентраторами, остальные — обычными узлами (leaves). Каждый обычный узел имеет соединение с одним-двумя концентраторами, которые связаны с сотнями обычных узлов и десятками других концентраторов. Каждый узел периодически пересылает концентратору список идентификаторов ключевых слов, по которым можно найти публикуемые данным узлом ресурсы. Идентификаторы сохраняются в общей таблице на концентраторе. Когда узлу нужно найти ресурс, он посылает запрос по ключевому слову своему концентратору, который либо находит ресурс в своей таблице и возвращает id узла, обладающего ресурсом, либо возвращает список других концентраторов, которые узел вновь запрашивает по очереди случайным образом. Такой поиск называется поиском с помощью метода блужданий (random walk). Примечательной особенностью сети Gnutella2 является возможность размножения информации о файле в сети без копирования самого файла, что очень полезно с точки зрения отслеживания вирусов. Для передаваемых пакетов в сети разработан собственный формат, гибко реализующий возможность наращивания функциональности сети путем добавления дополнительной служебной информации. Запросы и списки id ключевых слов пересылаются на концентраторы по UDP.[16]

Invisible Internet Project (I2P)[править | править вики-текст]

I2P[17] — форк проекта Freenet, начатый в 2003 году с целью обеспечить анонимный доступ к защищённым ресурсам, среди которых блоги (Syndie), IRC (ircProxy), электронная почта (Susimail), сервисы передачи файлов и групп новостей, шлюзы Freenet и Mnet. Будучи основанной на SSU (Secure Semireliable UDP), имеющей функции аутентификации и управления потоком, I2P предлагает сетевой мост — т. н. I2PTunnel — обеспечивающий передачу TCP-пакетов по сети I2P, а следовательно — и средство создания защищённых туннелей к любым TCP-службам, в доступе к которым может возникнуть необходимость. При обмене данными по I2P выполняется их многоуровневое шифрование (сквозное, чесночное, туннельное и транспортного уровня), а также криптографическая аутентификация конечных узлов. Узлы сети I2P представлены идентификаторами, не имеющими логической связи с их реальными IP-адресами. Клиентское программное обеспечение функционирует как маршрутизатор, записывающий в таблицу данные узлов для передачи входящего и исходящего трафика. Передаваемый пакет проходит временные односторонние цепочки: маршрутизаторы исходящего трафика, построенные на узле-отправителе, и маршрутизаторы входящего трафика, построенные узлом-адресатом. Такие туннели перестраиваются каждые 10 минут. Управляя длиной цепочки маршрутизаторов в клиентском ПО, пользователь выбирает для себя нужное соотношение между степенью анонимности, латентностью и пропускной способностью сети. Передаваемое же сообщение проходит такой путь, который отвечает моделям угрозы отправителя и получателя.[18]

Manolito[править | править вики-текст]

Manolito[19] — это система распределения файлов, которая использует пиринговую сеть с новым приватным протоколом MP2P, который работает без центрального сервера. Особенностью протокола является использование UDP вместо TCP, что по заявлению производителя, гарантирует анонимность. Manolito не собирает данные о пользователях, поисках или файлах. Поддерживается децентрализированный список друзей, интегрированный чат, работа с файлами и брандмауэром.

MUTE[править | править вики-текст]

MUTE[20] — это файлообменная система с децентрализованным поиском и загрузкой. Для маршрутизации всех сообщений, включая передачу файлов через сеть смежных соединений, MUTE использует алгоритмы, заимствованные из поведения муравьёв.

Networked Electronic Technician Skilled in Ultimate Killing, Utility and Kamikaze Uplinking[править | править вики-текст]

Netsukuku[21] — проект итальянской компании FreakNet Medialab по созданию глобальной распределённой сети, которая будет существовать параллельно интернету без централизации, корневых серверов и контроля со стороны провайдеров. Вместо DNS в сети Netsukuku используется доменная система ANDNA (A Netsukuku Domain Name Architecture ), в которой каждый узел представляет собой самостоятельный маршрутизатор трафика, работающий под GNU/Linux. Этот протокол очень экономно потребляет ресурсы, поэтому в каждом узле для поддержки коммуникации требуется максимум 355 КБ оперативной памяти и минимальная вычислительная мощность, которой хватит даже у современных мобильных телефонов. Новый метаалгоритм QSPN (Quantum Shortest Path Netsukuku) с использованием фракталов позволяет уместить карту всей сети в файл размером менее 2 КБ. Разработан также специальный протокол Npv7_HT для динамической маршрутизации внутри сети с неограниченным количеством узлов. Netsukuku представляет собой реальную физическую сеть, которая будет существовать с Интернетом параллельно, а не в виде надстройки. Узлы в в ней будут осуществлять соединение друг с другом в обход прямых каналов.[22][23]

Nodezilla[править | править вики-текст]

Nodezilla[24] — распределённая и отказоустойчивая система маршрутизации (см. GRID), поддерживающая анонимный файлообмен, чат, передачу потокового видео и хранение данных. Благодаря функции кэширования с равноправными серверами, каждый из участников может создать локальную копию имеющихся данных. Подобная модель обеспечивают быстрый доступ и надежность, а также уменьшает заторы на участках сети. Для защиты данных используются криптоалгоритмы с избыточным кодированием.

OneSwarm[править | править вики-текст]

OneSwarm[25] — полностью децентрализованная пиринговая сеть, предназначенная для файлообмена между доверенными пользователями. Безопасность трафика обеспечивается тем, что он проходит только через тех участников сети, которые были отмечены пользователем, как дружественные. Через них скачивание файлов происходит напрямую. Если же нужная информация находится не у доверенного участника, то передача данных происходит по цепочке друг к другу. Таким образом, инициатор скачивания не знает изначального местоположения файла, а разместивший его не имеет сведений о конечной точке назначения[26].

RShare[править | править вики-текст]

RShare[27] — анонимная P2P-файлообменная сеть третьего поколения с открытым исходным кодом.

StealthNet[28] — альтернативный клиент RShare с расширенными возможностями. Отличается от аналогов удобством и простотой в использовании, а также рядом таких дополнительных функций, как докачка, Фильтр поиска (SearchFilter) по расширению имени файла и многоязычность.[29]

SKad (OpenKAD)[править | править вики-текст]

Perfect Dark[30] — клиент для анонимной файлообменной сети SKad (OpenKAD) — модификации протокола Kademlia — разработанный в Японии для замены предшествующих Winny (англ.) и Share (англ.). По своей структуре схож с Freenet, но использует DHT с большим распределением. Данные хранятся в виде зашифрованных блоков и передаются отдельно от ключей. Для шифрования используются алгоритмы RSA и AES, причем ключи кэшируются для ускорения файлообмена. Для цифровой подписи файлов используется ECDSA.

Turtle[править | править вики-текст]

Turtle[31] — проект свободной анонимной пиринговой сети, разрабатываемый в Амстердаме. Turtle не позволяет неизвестным узлам подключаться к сети и обмениваться информацией. Вместо этого узел устанавливает ограниченное количество безопасных соединений с другими узлами, которые находятся под управлением доверенных пользователей. Запросы и результаты поиска последовательно передаются от узла к узлу и только в зашифрованном виде. Благодаря такой архитектуре, атакующие не могут определить, какой именно информацией обмениваются участники сети и кто является её источником.[32] Анонимность этой сети подтверждается исследованиями Applied Public Key Infrastructure: 4th International Workshop: Iwap 2005 (англ.) и 11th International Conference on Parallel and Distributed Systems (ICPADS’05) (англ.).

RetroShare[править | править вики-текст]

RetroShare [33]свободная программа бессерверного обмена письмами, мгновенными сообщениями и файлами с помощью шифрованной F2F (и опционально P2P) сети, построенной на GPG. Относится к т. н. Darknet (file sharing), так как пиры могут обмениваться сертификатами и IP-адресами со своими друзьями. Использует Turtle F2F для файлообмена и DHT Kademlia для поиска.[34]

WASTE[править | править вики-текст]

WASTE[35] — файлообменная программа для использования внутри доверенных групп пользователей. Включает в себя IM, чат и базу данных участников в онлайне. Поддерживает раздачу файлов как на отдельных компьютерах с поддержкой аутентификации, так и во всей сети. Все соединения внутри сети зашифрованы алгоритмом RSA, обеспечивающим свободный и безопасный файлообмен без риска прослушивания.[36]

Гибридные анонимные сети[править | править вики-текст]

В гибридных сетях существуют серверы, используемые для координации работы, поиска или предоставления информации о существующих машинах сети и их статусе. Гибридные сети сочетают скорость централизованных сетей и надёжность децентрализованных благодаря схемам с независимыми серверами индексации, синхронизирующими данные между собой. При выходе из строя одного или нескольких серверов, сеть продолжает функционировать.

Hyperboria[править | править вики-текст]

Hyperboria — гибридная защищённая самоорганизующаяся децентрализованная сеть, разработанная на протоколе Cjdns. Может работать через обычный интернет создавая оверлейную сеть, или напрямую между роутерами, образуя Mesh-сеть. Находится в стадии тестирования. Заявляется приватный трафик, высокая скорость работы (в 10-ки раз больше чем у Tor), децентрализованный DNS, индивидуальный IPv6 адрес каждому пользователю.

Psiphon[править | править вики-текст]

Psiphon[37] — «Проект программного обеспечения для защиты прав человека», разработанный в лаборатории Citizen Lab (англ.) университета Торонто при Центре международных исследований Мунка, входящей в OpenNet Initiative (англ.). Система представляет собой часть проекта CiviSec Project (англ.) той же лаборатории и финансируется фондом «Открытое общество». Его цель — обеспечить граждан разных стран доступом к интернет-ресурсам, заблокированным сетевой цензурой. В сети Psiphon жители стран со свободным Интернетом предоставляют свои компьютеры для хостинга прокси-серверов с зашифрованным соединением, используемых гражданами стран с интернет-цензурой. Доступ осуществляется через доверенных участников проекта. Для соединения с прокси-сервером используются уникальные веб-адрес, логин и пароль, причём без внесения каких-либо изменений в настройки браузера. Однако, такая процедура может осуществляться только доверенными лицами, так как администратор прокси-сервера владеет документированной информацией об активности своего пользователя. Программа предупреждает администратора об изменениях в его собственной сети, чтобы он мог предоставить пользователям новые веб-адреса. Psiphon поддерживает анонимный веб-серфинг и блоггинг, но не подходит для чатов и VoIP. В дальнейшем планируется развить проект в отдельную социальную сеть.[38]

Tor (The Onion Router)[править | править вики-текст]

Tor[39] — наиболее известная и развитая среди существующих анонимных сетей. Корни проекта ведут в MIT, а список спонсоров включает DARPA[40], ONR (англ.)[41] и Electronic Frontier Foundation[42]. Сеть не является полностью децентрализованной — существуют 3 центральных сервера каталогов, хранящие подписанный актуальный список узлов сети Tor с их реальными адресами и отпечатками открытых ключей (генерируемыми заново каждые 7 дней), то есть регистрация серверов производится централизованно. Два из трёх серверов каталогов размещены в США, где число серверов, запущеных энтузиастами, выше, чем в любой другой стране.

Сама идея Onion Router появилась ещё в середине 1990-х годов, но первая практическая реализация сети этого типа в рамках проекта Free Haven началась только в 2002 году. Так появилась первая сеть Onion Routing[43], состоявшая всего лишь из одного маршрутизатора, работающего на одном из компьютеров исследовательской лаборатории ВМС США в Вашингтоне (англ.). Как результат развития, появилось второе поколение этой сети — проект Tor. Суть его в том, что клиентская сторона формирует цепочку из трёх произвольно выбранных узлов сети Tor[44]. Среди них есть входной (entry node) по отношению к клиенту узел и выходной (exit node). Сеть Tor при этом функционирует как шлюз между клиентом и внешней сетью. Каждый Tor-сервер «знает» о предшествующем ему и последующем, но не более того, а замыкающие узлы не знают, кто находится на другой стороне канала и кто инициировал соединение. Отсутствие логической связи между отправителем и сообщением и гарантирует надёжную анонимность. Кроме того, такая схема делает бесполезным перехват трафика[45] на стороне ISP, поскольку провайдер «видит» лишь поток шифротекста, состоящий из пакетов постоянной длины. С каждым пересылаемым пакетом, включая саму команду открытия туннеля, ассоциируется симметричный ключ шифрования и идентификатор следующего узла туннеля. Эти данные зашифровываются последовательно открытыми ключами всех выбранных серверов, начиная с последнего, образовывая структуры, называемые «луковицами» (onions). Для межсерверных коммуникаций используется TLS. Образованные цепочки каждые 10 минут перестраиваются таким образом, что через каждый узел сети проходит ограниченный объём данных от каждого клиента. Для каждой вновь образованной цепочки серверов генерируется новый сеансовый ключ, а для противодействия атакам анализа трафика блок данных имеет постоянный размер в 512 байт[46]. «Луковица» может содержать сведения, необходимые для установки обратного канала — двусторонних соединений. Функционируя на уровне TCP и пересылая лишь легитимные потоки, Tor предоставляет надёжный транспорт для прикладных программ посредством протокола SOCKS[47]. Если же пользователь поддерживает собственный сервер сети Tor, то отличить порождаемый им трафик от трафика, проходящего через его сервер от других клиентов невозможно[48]. Компрометация же одного или нескольких серверов цепи к потере анонимности или конфиденциальности не ведёт.

Virtual Private Network[править | править вики-текст]

VPN — виртуальные частные сети, организованные в виде зашифрованного туннеля, идущего поверх Интернета. VPN-соединение состоит из канала типа точка-точка, которое подразумевает связь между двумя компьютерами под названием пиры. Каждый пир отвечает за шифрование данных до входа в туннель и их расшифровку при выходе. Хотя VPN всегда устанавливается между двумя точками, каждый пир может устанавливать дополнительные туннели с другими узлами, причём для них всех пир на стороне сервера может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети. В этом случае узел VPN называется VPN-шлюзом, с которым пользователь устанавливает соединение и получает доступ в сеть за ним, называемую доменом шифрования. Каждый раз, когда соединение сетей обслуживают два VPN-шлюза, используется туннелирование. Это означает, что шифруется весь IP-пакет, после чего к нему добавляется новый заголовок, который содержит IP-адреса двух VPN-шлюзов, которые и увидит сниффер при перехвате трафика. Таким образом, невозможно определить компьютер-источник в первом домене шифрования и компьютер-получатель во втором.[49]

Узкоспециализированные анонимные сети[править | править вики-текст]

Java Anonymous Proxy[править | править вики-текст]

JAP[50] — он же AN.ON и JonDonym — предназначен для анонимизации только HTTP, то есть веб-трафика. Хотя само ПО поддерживает и SOCKS, разработчики аргументируют поддержку своими серверами лишь HTTP с высоким риском злоупотреблений. Пересылка трафика производится в зашифрованном виде через фиксированный каскад микс-серверов: пользователь не имеет возможности составить произвольную цепочку серверов. Преимущество данного подхода в том, что так проще достичь той «критической массы» пользователей, которая гарантирует высокую степень анонимности, а также более высокой скорости серфинга, которая у JAP намного выше, чем у полностью распределённых сетей. Кроме того, поскольку пользователь не служит в данном случае конечным звеном цепи, то он защищен от посягательств со стороны лиц, желающих завладеть данными. Компрометация анонимности клиента JAP невозможна без перехвата всего входящего и исходящего трафика всех узлов каскада и их содействия с целью расшифровывания пакетов. С мая 2005 года JAP умеет использовать узлы сети Tor в качестве каскада для анонимизации HTTP-трафика. Это происходит автоматически в том случае, если в настройках браузера выбран SOCKS, а не HTTP-прокси. JAP гарантирует шифрование трафика от клиента до каскада JAP-серверов, но не выполняет дополнение пакетов до постоянного размера, чего заведомо недостаточно для противостояния атакам, основанным на анализе трафика. Полная конфиденциальность передаваемых данных достигается лишь в случае дополнительного шифрования на верхних уровнях с помощью таких протоколов, как SSL. Со второй половины 2006 года в рамках JAP решено предоставлять платный премиум-сервис, так как проект лишился прежнего источника финансирования. Программа разработана в Германии, каскад JAP-серверов расположен там же. Известен случай компрометации сети немецкой спецслужбой Бундескриминаламт (BKA). По её требованию в реализацию JAP разработчиками был встроен бэкдор, а пользователям настоятельно рекомендовали провести обновление ПО. Вскоре суд признал действия BKA нелегитимными и потайной ход из кода JAP был устранён.

Mixminion[править | править вики-текст]

Mixminion[51] — разработанная в университете Беркли система анонимной электронной переписки. Эта сеть со времени своего образования уже пережила смену нескольких поколений. Так, реализация первого поколения (type 0) состояла из одного почтового прокси-сервера, который удалял из заголовков информацию, позволявшую идентифицировать отправителя. Сегодня используются сети второго поколения (type 2) — Mixmaster[52] — и идёт активное развитие третьего (type 3) — Mixminion. В сети type 3 каждое сообщение разбивается на несколько фрагментов постоянной длины и для каждого из них выбирается своя цепочка серверов. Срок жизни ключа ограничен, с отправителем ассоциирован зашифрованный псевдоним, по которому он может получить ответ.[53]

Прекращённые проекты анонимных сетей[править | править вики-текст]

Emerging Network To Reduce Orwellian Potency Yield[править | править вики-текст]

ENTROPY[54] — анонимная файлообменная сеть, устойчивая к интернет-цензуре. Представляет собой распределённое хранилище данных, схожее по своей структуре с Freenet. Разработка была прекращена 9 июля 2004 года из-за сомнений в эффективности используемых алгоритмов.

Invisible IRC Project[править | править вики-текст]

IIP[55] — проект анонимизации IRC, широко использовавшийся в качестве дополнения для онлайнового общения во Freenet. Закрыт в 2004 году после выхода из строя аппаратного обеспечения сети.

Peek-A-Booty[править | править вики-текст]

Peekabooty[56] — разработанная двумя энтузиастами из Cult of the Dead Cow (англ.) и представленная в 2002 г. на конференции CodeCon (англ.) анонимная пиринговая сеть. Проект рассчитывал на поддержку «глобально мыслящих и локально действующих» добровольцев, которым нужно было скачать и устанавить клиентскую программу, работающую в фоновом режиме как скринсейвер. Для использования сети пользователям в странах с интернет-цензурой требовалось лишь указать вход в Peekabooty как прокси для своего браузера. Запросы на запрещённые сайты проходили через машины добровольцев, причем машины каждый раз выбирались случайным образом. Анонимность обеспечивалась благодаря запросу данных без указания сетевого адреса источника запроса, который компьютеры передают по цепочке, сохраняя лишь адрес предыдущей машины. Для защиты от прослушивания Peekabooty шифровал данные, маскируя их под операцию электронной коммерции с применением протокола HTTPS. Проект так и не вышел из стадии бета-тестирования.[57]

BitBlinder[править | править вики-текст]

BitBlinder[58] — технология, которая помогала загружать данные из файлообменных сетей полностью анонимно и без дополнительных расходов. С её помощью все запросы и данные передавались в зашифрованном виде через цепочку посредников, которые ничего не знали об источнике и содержании запроса, обеспечивая полную защиту приватности и IP-адреса клиентов. Фактически, модуль BitBlinder выступал в роли личного торрент-трекера для анонимных данных, в котором каждый из желающих добиться защищённости должен был анонимизировать определённый объём данных для других участников сети. Для защиты IP-адреса каждый запрос пользователя BitBlinder передавался через несколько промежуточных узлов, прежде чем достигал нужного адреса. Каждый промежуточный узел при этом получал только адрес следующего узла в цепочке, но не адрес источника запроса, причём отследить потоки данных было очень трудно для любого участника сети. Технология BitBlinder подходила не только для торрент-сетей, но и для обычного просмотра веб-страниц. Например, с её помощью можно было скрывать историю просмотренных страниц от внешних наблюдателей, а также выходить на нужные сайты через фильтры корпоративных сетей.

Технология BitBlinder являлась кроссплатформенной (программа написана на Python). Для включения в сеть анонимизации требовалась регистрация.[59] Проект прекратил свое существование в 2012 году.

Veiled[править | править вики-текст]

Veiled[60] — технология для защищённого обмена данными с использованием одного только браузера с поддержкой стандарта HTML 5. Её основная цель — анонимный просмотр веб-страниц и безопасное общение в онлайне без какой-либо цензуры или мониторинга. Система не требует установки — клиент просто открывает специальный PHP-файл на веб-сервере, загружает определённый набор сценариев на JavaScript, а затем технология скрывает всю работу пользователя от средств контроля. Технология Veiled использует стандартные веб-серверы, на которых размещаются фрагменты файлов, поддерживающих работу системы. Другими словами, вместо прямого взаимодействия между участниками сети используется цепочка повторителей запроса — браузер одного пользователя передает свой запрос на сайт с поддержкой Veiled, этот сайт передает запрос далее по цепочке, пока не достигнет нужной страницы, а эта страница поступит пользователю обратно через цепочку загрузивших её веб-страниц Veiled.[61] Проект так и не получил практического воплощения.

Атаки на анонимные сети[править | править вики-текст]

В общем случае безопасность анонимной сети прямо пропорциональна количеству узлов-участников сети. Улучшение равномерности статистического распределения узлов также является действенной мерой против многих типов атак. Учитывая любительский характер анонимных сетей, главным катализатором их развития являются степень доверия и сотрудничество пользователей. Доверие же к системам такого класса возможно лишь при условии открытости исходного кода, основополагающих протоколов и проектной документации. Однако, исследования показывают, что даже в ПО движения Open Source могут в течение долгого времени оставаться незамеченными оставленные профессионалами потайные ходы,[62] в связи с чем чрезвычайно высока роль исследований экспертов-аналитиков и криптологов.

Тайминг-атака[править | править вики-текст]

Подробное описание этой атаки было опубликовано исследователями из Кембриджского университета. Её суть в том, что в сетях с низким временем ожидания возможна корреляция времени прохождения пакетов с целью установления реального источника данных. Для осуществления данной атаки необходимо контролировать определённые участки сети — интересующие выходы анонимных сетей и узлы, подозреваемые в анонимной передаче данных, либо только входы и выходы анонимных сетей. Шансы атакующего на успех при использовании данной атаки могут быть увеличены, если у него есть доступ к серверу, к которому подключается анонимный пользователь. Атакующий может, например, заставить веб-сервер отправлять браузеру данные с определёнными задержками (к примеру, выставив разные интервалы задержек для ответа веб-сервера на запросы индексной страницы, картинок и таблиц стилей). Это позволит обнаружить в зашифрованном трафике анонимной сети «шаблоны» задержек и, таким образом, с определённой вероятностью ответить на вопрос о принадлежности выходного трафика анонимной сети «подозреваемому» пользователю. Методы защиты от тайминг-атаки включают внесение переменных задержек в характер информационного обмена, перемешивание и объединение сообщений, пересылку их блоками фиксированного размера.

Атака на отпечатки[править | править вики-текст]

Атакующий может создать большую базу данных популярных веб-сайтов, которая будет содержать в себе определённые параметры индексных страниц (например, размер главной страницы в байтах). Это позволит «угадать» сайт, который посещает пользователь, путем анализа количества переданного на входной узел анонимной сети зашифрованного трафика.

Ассоциация анонимного и псевдонимного трафика[править | править вики-текст]

Атакующий может ассоциировать анонимный трафик с «подозреваемым» узлом в определённых случаях. Например, Tor направляет все соединения, установленные в определённом временном промежутке, в одну цепочку узлов. Таким образом, можно ассоциировать псевдонимные соединения с анонимными, если они были установлены практически одновременно. Например, при одновременной отправке файла по протоколу FTP c анонимным соединением и ICQ с псевдонимным[неизвестный термин] соединением будет использована одна цепочка серверов сети Tor и единственный выходной узел. В этом случае атакующий может догадаться, что оба соединения были установлены с одного компьютера и попытаться получить дополнительную информацию о пользователе, который передает файл, например, по номеру ICQ.

Атака на TCP timestamp[править | править вики-текст]

Атака заключается в том, что значение TCP timestamp изменяется на фиксированное значение в единицу времени и в большинстве случаев различается у двух разных компьютеров. Атакующий может прослушивать трафик VPN-сервиса и записывать переданные значения TCP timestamp. Поскольку VPN осуществляет передачу IP-пакетов, то система, установившая VPN-соединение, будет передавать TCP timestamp в инкапсулированных пакетах. Аналогичная атака возможна и на скрытые сервисы сети Tor. В этом случае в анонимной сети передаются только TCP данные, однако «исследуемый» узел может передавать TCP timestamp, например, в соединениях по локальной сети. Атака заключается в том, что можно вызвать определённые отклонения в значениях счетчиков TCP timestamp (например, путем DoS-атаки). Применимость данной атаки на скрытые сервисы Tor до сих пор стоит под вопросом.

Другие атаки[править | править вики-текст]

Существует множество других атак, которые направлены на конкретные приложения, использующие анонимную сеть. Например:

См. также[править | править вики-текст]

П: Портал «Анархизм»
П: Портал «Криптография»
П: Портал «Компьютерные технологии»
П: Портал «Компьютерные сети»
П: Портал «Свободное программное обеспечение»

Примечания[править | править вики-текст]

  1. Zero-Knowledge закрывает лучший в мире анонимайзер
  2. Onion Routing History (1998)
  3. ANts P2P
  4. ANts P2P
  5. Описание протокола BitMessage
  6. Filetopia: Your secure file sharing and communications tool
  7. Filetopia
  8. The Freenet Project
  9. [freenet-dev] Expensive onion routing is okay for small payloads
  10. GNUnet — GNU’s framework for secure P2P networking
  11. GNUnet papers and related work
  12. Gnunet
  13. Gnutella Protocol Specification
  14. Файлообменные сети P2P: основные принципы, протоколы, безопасность
  15. Gnutella2
  16. Популярные файлообменные сети P2P — Gnutella, Gnutella2
  17. I2P Anonymous Network
  18. Обзор анонимной сети I2P
  19. Manolito P2P — Secure File Sharing
  20. MUTE: Simple, Anonymous File Sharing
  21. Netsukuku
  22. Netsukuku_FAQ_(ru)
  23. NETSUKUKU : ПАРАЛЛЕЛЬНЫЙ ИНТЕРНЕТ В СТИЛЕ КИБЕРПАНК
  24. Nodezilla Grid Network
  25. OneSwarm — Private P2P Data Sharing
  26. OneSwarm — friend-to-friend сеть
  27. regensburger.name — RShare
  28. StealthNet — Anonymes Filesharing
  29. RShare — Planet Peer Wiki
  30. Perfect Dark @ ウィキ — トップページ
  31. Turtle F2F Homepage
  32. Petr Matejka’s master thesis on Turtle F2F
  33. RetroShare
  34. RetroShare Frequently Asked Questions (TECHNICAL)
  35. waste :: home
  36. Waste. Защищенный пиринговый клиент от NullSoft
  37. Psiphon | delivering the net
  38. Psiphon 3
  39. Tor: anonymity online
  40. Internet anonymity: Tor and onion routing
  41. NRL Onion Routing Archives, Test Data, Specs
  42. The EFF Tor Challenge
  43. Onion Routing
  44. Какой длины цепочки у Tor? И почему? Достаточно ли этой длины для анонимности?
  45. Onion Routing for Resistance to Traffic Analysis
  46. Tor Protocol Specification (Перевод)
  47. Tor’s extensions to the SOCKS protocol
  48. Способен ли запуск собственного сервера Tor повысить анонимность пользователя, если он также будет использовать его в качестве клиента?
  49. VPNs and IPSec Demystified
  50. JAP — ANONYMITY & PRIVACY
  51. Mixminion: A Type III Anonymous Remailer
  52. Mixmaster
  53. Mixminion: ремейлер третьего типа
  54. Entropy Homepage (WWW) (Архив Интернета на 4 июля 2008)
  55. Invisible IRC Project
  56. Peekabooty (Архив Интернета на 25 апреля 2006)
  57. P2P-система поможет китайцам обойти интернет-цензуру
  58. bitblinder
  59. Технология BitBlinder
  60. Researchers Build Anonymous, Browser-Based 'Darknet'
  61. Researchers to Debut "Veiled, " the Darknet Powered by a Web Browser
  62. Обнаружена опасная уязвимость в ядре Linux

Научные работы[править | править вики-текст]

Ссылки[править | править вики-текст]