Текст книги "Анонимность и безопасность в Интернете. От «чайника» к пользователю"

Когда вы запускаете I2P на локальном компьютере, проблем с настройкой брандмауэра, как правило, не возникает, – это если брандмауэр способен обучаться – обучающий режим имеется во многих программных продуктах (Comodo Internet Security, Outpost Firewall Pro и др.). Совсем другое дело, если брандмауэр настроен на блокирование всего, что не разрешено. В этом случае вам понадобится в настройках брандмауэра разрешить следующие локальные порты:

✓ 1900 (UPnP SSDP UDP);

✓ 2827 (BOB-мост);

✓ 4444 (HTTP-прокси);

✓ 4445 (HTTPS-прокси);

✓ 6668 (IRC-прокси);

✓ 7652 (прослушка событий UPnP HTTP TCP);

✓ 7653 (прослушка ответов поиска UPnP SSDP UDP);

✓ 7654 (порт клиента I2P);

✓ 7655 (UDP для SAM-моста);

✓ 7656 (SAM-мост);

✓ 7657 (консоль управления);

✓ 7658 (ваш I2P-сайт);

✓ 7659 (исходящая почта к smtp.postman.i2p);

✓ 7660 (входящая почта от pop.postman.i2p);

✓ 8998 (нужен для mtn.i2p.i2p);

✓ 31000 и 32000 (управляющие порты).

Наверное, вам интересно, какую сеть использую я? Мой выбор – Tor. Но не потому, что она чем-то лучше I2P, просто больше подходит для моих задач. Сеть I2P удобна, когда нужно обеспечить полную анонимность обмена данными между участниками сети, но при условии, что все участники находятся в одной сети – в I2P.

Да, существуют шлюзы из I2P в Интернет. Вы даже сможете изменить свой IP-адрес, используя такой шлюз, – удаленный сайт будет видеть IP-адрес шлюза, но не ваш. Однако такие шлюзы имеют целый ряд ограничений: на объем передаваемых данных, на Cookies и т. д. Полноценной работы в Интернете, как в случае с Tor, не получится.

Но если желаете попробовать, произведите поиск так называемых outproxy[5]5
  Outproxy – специальные proxy-серверы, с помощью которых участники сети I2P могут посещать обычные веб-страницы.


[Закрыть]. По адресу http://forum.i2p2.de/viewtopic.php?t=5917&highlight=outproxy вы найдете советы по использованию outproxy для выхода за пределы I2P-сети. Вообще, на форуме http://forum.i2p2.de имеется много полезной информации, в том числе и на русском языке.

Там же вы найдете рекомендации по обеспечению полной анонимности. Суть заключается в следующем:

✓ для браузера вы устанавливаете в качестве прокси-сервера локальный сервер I2P, использующий порт 4444;

✓ далее в настройках маршрутизатора I2P вы создаете новый туннель и в качестве сервера указываете localhost, но порт, на котором запущена у вас Tor (9050 – напрямую к Tor, или 8118 – через Vidalia).

В результате внутри сети I2P вы станете работать как обычно, а при выходе за пределы сети вашу анонимность будет обеспечивать Tor, что очень удобно. Сразу скажу: скорость работы такой конфигурации оставляет желать лучшего, поэтому не надейтесь, что связка I2P – Tor будет у вас летать, как сверхзвуковой истребитель.

Ничего не понятно? Что ж, рассмотрим по шагам, как это организовать на практике.

1. Прежде всего настоятельно рекомендую прочитать главу 2. Затем убедитесь, что Tor запущена и работает. После этого откройте браузер и запустите консоль управления маршрутизатором I2P (см. рис. 3.12), набрав в адресной строке: http://127.0.0.1:7657.

2. Затем перейдите в менеджер туннелей – можно из панели управления консоли (левая область окна, ссылка Менеджер туннелей), а если не лень набирать символы на клавиатуре, то правильный адрес будет таков: http://127.0.0.1:7657/i2ptunnel/.

3. В окне менеджера туннелей нажмите кнопку Создать у надписи Новый серверный туннель. В открывшемся окне (рис. 3.17) в поле Точка доступа введите адрес: 127.0.0.1, в поле Порт – номер порта: 8118 (если нужен HTTP-прокси) или же 9050 (обращение напрямую к Tor).

4. Нажмите внизу страницы кнопку Сохранить. И попробуйте обратиться к сайту, лежащему за пределами I2P.

Ради справедливости нужно отметить, что через прокси на порту 4444 вы можете просматривать не только I2P-сайты, но и обычные интернет-страницы. Но при этом удаленные узлы увидят IP-адрес вашего out-прокси (в моем случае – это 85.31.186.70). Так что для обеспечения большей анонимности все же нужно связать I2P с Tor.

Рис. 3.17. Создание серверного туннеля к Tor

Я уже отмечал, что на наших просторах сеть I2P не очень популярна, поэтому толковой информации о ней на русском языке весьма немного. Приведу несколько ссылок, полезных при освоении I2P:

✓ http://forum.i2p2.de/viewtopic.php?t=3203 – перепись русскоязычного «населения» сети I2P. В этой ветке форума вы точно познакомитесь с единомышленниками;

✓ http://www.i2p2.de/faq.html – список часто задаваемых вопросов (правда, на английском языке);

✓ http://www.i2p2.de/index_ru.html – описание и принцип работы сети I2P на русском языке. В общих чертах вы уже знакомы с содержимым этой страницы, но дополнительная информация никогда не помешает;

✓ http://www.shpargalko.ru/2010/03/01/i2p-nastrojka/ – на сайте shpargalko.ru вы найдете серию статей, посвященных использованию I2P;

✓ http://www.shpargalko.ru/2010/04/14/kak-mozhno-poluchit-dostup-k-i2p-proshhe/ – подробное описание процесса установки, если что-то пошло не так;

✓ http://ru.wikipedia.org/wiki/I2P – очень много полезной информации, в том числе полезных ссылок;

✓ http://ugha.i2p/EepsiteIndex – список I2P-сайтов (ссылка доступна только через I2P);

✓ http://habrahabr.ru/blogs/linux/122835/ – прозрачное проксирование через I2P и Tor. Страничка будет полезна для опытных Linux-пользователей, обеспокоенных обеспечением собственной анонимности;

✓ www.xakep.ru/post/56161/ – создание анонимного хостинга в I2P-сети. Довольно полезная статья, из которой вы узнаете, как создать анонимный сайт и публиковать на нем все, что будет вам угодно. В этой же статье рассказано, как создать анонимный SSH-сервер.

Часть II
Защита электронной почты

Вся вторая часть посвящена защите электронной почты – популярнейшего механизма обмена информацией. Электронная почта появилась раньше Всемирной паутины и до сих пор остается востребованным средством как личной, так и деловой переписки. В главе 4 мы узнаем, как бороться с нежелательной корреспонденцией, а в главе 5 – как защитить свою переписку от посторонних глаз.

Глава 4. Борьба со спамом

Развитие Интернета имеет и негативные последствия. Одно из них – это спам. Спамом называется рассылка нежелательной корреспонденции, как правило, рекламного характера. Если быть более точным, то спамом считается:

✓ массовая рассылка сообщений с помощью электронной почты и других средств обмена информацией (ICQ, IRC, SMS и др.) без разрешения на то получателей;

✓ отправка электронных сообщений, которые содержат вложенные файлы, без предварительного разрешения получателя;

✓ рассылка писем рекламного, коммерческого или агитационного характера;

✓ рассылка писем, которые содержат грубые и оскорбительные выражения;

✓ отправка писем с просьбой переслать данное сообщение другим пользователям;

✓ размещение в конференции (на форуме) сообщений, которые не соответствуют тематике данной конференции (off-topic). Это, конечно, к электронной почте никакого отношения не имеет, но все же вы должны знать, что эти сообщения тоже являются спамом;

✓ рассылка информации получателю, явно выразившему нежелание получать данную информацию, информацию от данного отправителя или информацию данной тематики.

Теперь мы знаем, что такое спам, но легче нам от этого не стало. Иногда доходит до абсурда: получаешь утром 10 писем, из них 9 – спам. Хочешь или нет, а приходится принимать все эти письма, тратя свое время и деньги (иногда размер одного рекламного письма превышает 100 Кбайт, 10 писем – это уже 1 Мбайт).

Кому и зачем это нужно? Как всем известно, реклама – двигатель торговли. Рекламу можно встретить везде: на страницах газет и журналов, на телевидении, на улице. Реклама есть и в Интернете. Существуют два основных вида интернет-рекламы: баннеры и спам. Для успешной борьбы с баннерами достаточно установить "баннерорезку" – таких программ в Интернете очень много. Например, мне больше всего понравилась программа Ad Muncher (http://www.admuncher.com/). А вот со спамом труднее. Вся эта глава посвящена борьбе со спамом. Надеюсь, мы его победим!

Как вы думаете, откуда спамеры узнали ваш электронный адрес? Скорее всего, из открытого источника. Другими словами, вы указали где-нибудь свой e-mail (на сайте, в газете и т. д.), спамеры увидели его и внесли в свою базу данных. Есть у спамеров и специальные программы-роботы, которые переходят с одной веб-странички на другую в поисках адресов электронной почты. Потом все эти адреса вносятся в список рассылки. Ну, а что происходит дальше, догадаться не сложно.

Иногда бывает и так. Вы создали почтовый ящик, сообщили его адрес лишь двум-трем друзьям, но кроме писем от друзей стали получать спам. Откуда спамеры в этом случае смогли узнать ваш электронный адрес? И если ваши друзья сами не являются спамерами, то ваш e-mail мог оказаться в базе данных спамеров или потому, что кто-то из друзей указал ваш e-mail на каком-либо сайте (например, отправив вам открытку), или же на его компьютере поселилась программа-шпион, отправившая третьему лицу (спамеру) всю его адресную книгу.

Как видите, полностью уберечься от спама не получится даже при минимальном использовании почтового ящика. Чтобы абсолютно оградить себя от спама, нужно вовсе отказаться от электронной почты. Сами понимаете, это не выход из положения.

Однако вы можете существенно сократить поток спама в свой почтовый ящик. Для этого создайте дополнительный почтовый ящик. Один ящик (основной) вы будете использовать для переписки с друзьями и коллегами. А второй (дополнительный) – для всех остальных целей. Например, при регистрации на форумах, в интернет-магазинах, для отправки поздравительных открыток. Другими словами, когда вы сообщаете свой e-mail не конкретному человеку, а какой-нибудь системе (сайту, магазину, форуму), указывайте адрес дополнительного почтоящика.

Просматривать дополнительный ящик нужно через веб-интерфейс – так вы увидите сначала только заголовки писем, а не весь их текст, поэтому сэкономите на трафике, если такая экономия для вас актуальна. Впрочем, в последнее время наиболее популярны так называемые безлимитные пакеты, поэтому трафик практически никто уже не считает.

Рекомендую создавать почтовый ящик в той почтовой системе, где установлены спам-фильтры и есть возможность создания черных списков.

Например, довольно мощный спам-фильтр установлен на почтовом сервисе Mail.ru. Всю сомнительную (похожую на спам) корреспонденцию он помещает в папку Спам (рис. 4.1). Раньше она так и называлась – Сомнительные. Бывает, что этот фильтр иногда ошибается и нормальные письма (не являющиеся спамом) помещает в папку Спам, а нежелательную корреспонденцию – в папку Входящие.

Для быстрой очистки папки Спам (удаления ее содержимого без возможности восстановления удаленных сообщений) предусмотрена ссылка очистить (см. рис. 4.1). Однако, имея в виду возможность ошибки спам-фильтра, рекомендую все же перед очисткой папки Спам хотя бы просмотреть заголовки помещенных в нее сообщений.

Рис. 4.1. Виртуальные папки веб-интерфейса Mail.ru

Нежелательную корреспонденцию, оказавшуюся по ошибке фильтра в папке Входящие, нужно выбрать (установив флажки слева от имени отправителя) и нажать кнопку Это спам (рис. 4.2). Ничего сверхъестественного не произойдет – письмо будет перемещено в папку Спам, а фильтр возьмет его себе на заметку, – больше такое письмо (с такого адреса, с такой темой) в папку Входящие не попадет. Свойство спам-фильтра запоминать реквизиты нежелательных писем весьма важно – спам ведь рассылается регулярно. Кнопка Это спам находится как выше списка сообщений, так и ниже, – какую нажать, значения не имеет.

Рис. 4.2. Кнопка Это спам у списка сообщений папки Входящие

Рис. 4.3. Кнопка Не спам у списка сообщений папки Спам

Рис. 4.4. Параметры папок

Если наоборот, нормальные письма были по ошибке помечены как спам, зайдите в папку Спам, выделите их и нажмите кнопку Не спам (рис. 4.3).

В настройках веб-интерфейса Mail.Ru (меню Настройки находится в нижней части экрана) имеется очень полезный раздел Папки. Выбрав его, вы попадете в окно Список папок (рис. 4.4). Там можно выбрать, какие папки веб-интерфейса будут доступны по протоколу POP3, который используется почтовой программой-клиентом, установленной на вашем домашнем компьютере. Посмотрите на рис. 4.4 – папка Входящие доступна по протоколу POP3, а папка Спам – нет. Это означает, что если письмо попало в папку Спам (то есть определено спам-фильтром как нежелательная корреспонденция), то его почтовая программа загрузить не сможет. Прочитать такие письма можно будет только с помощью веб-интерфейса.

Чтобы изменить настройки папки, нажмите ссылку редактировать у названия папки. Если вы желаете получать на свой домашний компьютер все письма, в открывшемся окне (рис. 4.5) для папки Спам снимите флажок Сделать недоступной для почтовых программ (POP3).

Рис. 4.5. Параметры папки Спам

Рис. 4.6. Выберите нежелательные сообщения и нажмите кнопку Спам

Рис. 4.8. Кнопка Не спам

Рис. 4.7. Доступ к папке Спам

Аналогичные возможности предоставляет и веб-интерфейс почтового сервиса Gmail.com. Чтобы пометить сообщение как спам, выберите (установкой флажков) нежелательные сообщения и нажмите кнопку Спам (рис. 4.6). Чтобы получить доступ к папке Спам, в левой части окна разверните список еще (рис. 4.7).

Имеется в папке Спам от Gmail.com и кнопка Не спам на случай, если спам-фильтр GMail.com ошибся (рис. 4.8). В отличие от сервиса Mail.ru, в Gmail.com нежелательная корреспонденция (содержимое папки Спам) хранится один месяц (30 дней), после чего сообщения, которые пролежали в этой папке указанное время, будут безвозвратно удалены. Так что периодически просматривайте эту папку, вдруг там затеряется важное письмо.

Иногда возникает ситуация, когда вы не хотите больше получать письма от кого-либо из отправителей. Речь не о спаме, просто испортились отношения. Тогда можно добавить этого отправителя в черный список. Рассмотрим, как это сделать в веб-интерфейсе сервиса Mail.Ru. Просто отметьте в папке Входящие флажком письмо, полученное от нежелательного отправителя, и из списка Еще выберите В черный список (рис. 4.9). В открывшемся окне (рис. 4.10) вы увидите e-mail отправителя, и если решение добавить его в черный список окончательное, нажмите кнопку Добавить. В черный список можно добавить как отдельный электронный адрес, так и целый домен, например *@domain.ru. Письмо с такого адреса (или домена) будет удалено (вас даже не проинформируют об этом), а отправитель получит сообщение, что ящик получателя (т. е. ваш ящик) недоступен.

Чтобы начать снова получать письма от отправителя, занесенного в черный список, выберите его в текущем черном списке и нажмите кнопку Удалить (рис. 4.11). Открыть черный список без добавления в него адреса можно через меню Настройки | Черный список.

Рис. 4.9. Добавляем отправителя в черный список

Рис. 4.10. Черный список

Рис. 4.11. Удаление адреса из черного списка

Преимущество черного списка почтовой системы заключается в том, что нежелательное письмо удаляется еще до загрузки его на ваш компьютер. Понятно, что вы не тратите ни время, ни трафик на загрузку этого письма.

Тем не менее, можно создать собственный черный список и с помощью почтовой программы-клиента, установленной на домашнем компьютере пользователя, например Windows Live Mail или The Bat! Причем в почтовой программе The Bat! имеется одно очень полезное средство – Диспетчер писем (рис. 4.12). Он позволяет просмотреть заголовки писем (электронный адрес отправителя, тему письма), находящихся в почтовом ящике на сервере, и отметить для удаления нежелательные письма до загрузки их на компьютер, что очень удобно.

Посмотрите на рис. 4.12 – диспетчер писем сообщает, что получено одно новое сообщение. Установлены флажки: Прочитанное, Получить и Удалить. Это означает, что после нажатия кнопки Начать передачу (самая первая кнопка на панели инструментов) данное сообщение будет отмечено как прочитанное (на сервере), затем оно будет загружено (флажокПолучить), а после чего – удалено с сервера (флажок Удалить). Вы можете, например, отметить сообщение как прочитанное, но не удалять с сервера, то есть оставить флажки Прочитанное и Получить и снять флажок Удалить.

Рис. 4.12. Диспетчер писем

Можно удалить сообщения и без их получения. Обычно это нужно для спама, а определить, спам это или нет, можно безо всякого фильтра – достаточно взглянуть на тему сообщения, и все станет понятно. Вы выиграли в лотерею (в которой не участвовали)? Получили огромное наследство? Все ясно – спам. Для таких сообщений оставляется только флажок Удалить – для удаления сообщений с сервера. Они не будут загружены на локальный компьютер, и вы больше их не увидите (если, конечно, спамер не отправит их повторно).

Флажок Открыть позволяет открыть письмо для редактирования без его загрузки на жесткий диск. Соответственно, в колонке Размер выводится размер сообщения в байтах, в колонках: От – отправитель сообщения, Кому – получатель сообщения (ваш e-mail), Тема – тема сообщения, Написано – дата создания сообщения.

При работе с диспетчером писем The Bat! вы можете использовать клавиатурные комбинации, представленные в табл. 4.1. Действия осуществляются над всеми письмами в списке диспетчера.

Таблица 4.1. Клавиатурные комбинации диспетчера писем

В этой главе мы разобрались с защитой своего почтового ящика от спама. Надеюсь, что теперь спама у вас станет существенно меньше. В следующей главе мы поговорим о том, как защитить вашу переписку от посторонних глаз.

Глава 5. Защищаем переписку от перехвата

В главе 4 было показано, как защитить электронную почту от спама. Здесь мы рассмотрим защиту почты от перехвата. Вы же не хотите, чтобы кто-то прочитал вашу корреспонденцию?

Существуют несколько способов защиты, каждый по-своему хорош. Вам, исходя из ожидаемых угроз, нужно выбрать один из них. Впрочем, вы можете комбинировать все эти способы для обеспечения полной безопасности, что наверняка пригодится при отправке сообщений, содержащих государственную или коммерческую тайну. Вы уловили нотку сарказма? Так и есть. Ведь в большинстве случаев обычным пользователям вполне достаточно одного какого-то метода. Тем не менее, я все же расскажу, как реализовать и полную защиту, так что можете рассматривать эту главу в качестве "руководства для параноика".

Самый простой способ защиты электронной почты заключается в использовании безопасных соединений. Наверняка вы знаете, что существует HTTPS – безопасная версия протокола HTTP. Данные, передаваемые по протоколу HTTPS, шифруются с помощью протокола SSL или TLS.

Для безопасной передачи почты также можно использовать протокол шифрования TLS. В результате вы защитите свою почту по крайней мере от «внутреннего врага», то есть от злого администратора или иного злоумышленника, находящегося в одной с вами сети и желающего перехватить вашу почту.

Из личного опыта

Такая угроза более чем реальна. Примерно лет семь назад я работал на одном крупном предприятии администратором. Передо мной была поставлена задача "мониторить" все сайты, посещаемые пользователями, все загружаемые файлы, всю переписку по ICQ и электронной почте. Для этого даже был выделен отдельный компьютер, т. к. мой компьютер не справлялся с нагрузкой. Получается, я и был тем самым "злым админом", так что, поверьте, перехват вашей корреспонденции вполне возможен.

Используя безопасные соединения, вы усложняете задачу злоумышленнику. Ведь, чтобы добраться до вашего сообщения, ему нужно его расшифровать. А это сделать очень и очень непросто, тем более что на просторах бывшего СНГ нет ограничения на длину ключа, как, скажем, в США.

Примечание

В США максимальная длина ключа – 512 битов, и этому требованию должно соответствовать все программное обеспечение, использующее функции криптографии и применяющееся в США. Видимо, компьютеры спецслужб США настолько слабы, что с более длинными ключами попросту не справляются… За пределами США длина ключа не ограничивается.

Как можно обойти защиту, организованную с помощью безопасных соединений? Существуют несколько способов:

✓ получить физический доступ к вашему компьютеру – тут, однако, можно подстраховаться, установив почтовый клиент на зашифрованный раздел (или просто хранить почтовую базу на зашифрованном разделе). Некоторые клиенты также позволяют установить пароль на доступ к почтоящику, но этот способ менее эффективен, чем хранение почтовой базы на зашифрованном разделе, поскольку почтовый клиент не шифрует почтовую базу на основании пароля, а лишь ограничивает доступ к своим функциям. Другими словами, если почтовая база будет храниться на незашифрованном разделе, никто не помешает ее открыть и с помощью специальных программ прочитать все ваши сообщения. В главе 10 мы поговорим о шифровании данных на жестком диске;

✓ подобрать пароль к вашему почтовому ящику – данный вид угрозы актуален, если вы храните все письма на сервере и не удаляете их при загрузке на ваш компьютер. С одной стороны, хранить письма на сервере – удобно. Ведь если что-то случится с жестким диском (они нередко выходят из строя), то вы всегда сможете получить доступ к своей корреспонденции на сервере. С другой стороны, если кто-то завладеет вашим паролем, он сможет прочитать все ваши письма (кроме, разве что отправленных). Обезопаситься можно так – или удалять письма при загрузке (так по умолчанию работает большинство почтовых программ), или создать сложный пароль на доступ к вашему почтовому ящику. О создании сложного пароля мы поговорим в главе 8;

✓ получить доступ к почтовому серверу – все письма проходят через почтовый сервер. Следовательно, если у кого-то есть к нему доступ, он может прочитать любое письмо. Понятное дело, безопасные соединения нет смысла использовать при работе с корпоративным сервером – администратор вашу корреспонденцию сможет прочесть в любом случае, ведь у него есть полный доступ к серверу. С другой стороны, злоумышленником может оказаться и не администратор, а ваш коллега, – тогда, если вы станете использовать безопасные соединения, у него ничего не получится.

У безопасных соединений, как способа защиты почты, есть свои преимущества и недостатки. К преимуществам можно отнести только простоту использования. Изменил несколько параметров в своем почтовом клиенте, и ты уже защищен. Не нужно ничего устанавливать, настраивать, разбираться с тонкостями криптографии.

Также нужно отметить, что если сервер поддерживает и обычные, и безопасные соединения (как, например, Mail.Ru), то, как правило, безопасные соединения оказываются менее загруженными и сервер меньше «тормозит». Объясняется это явление довольно просто – далеко не все пользователи знают о наличии безопасных соединений, поэтому используют обычные, в результате нагрузка на обычные порты: 25 (отправка почты, SMTP) и 110 (получение почты, POP) – возрастает прямо пропорционально количеству пользователей, не знающих о наличии безопасных соединений.

Понятно, что, настраивая безопасные соединения, вы должны указать параметры как для получения, так и для отправки почты. Толку не будет, если вы выберете безопасное соединение для отправки почты, а вся входящая корреспонденция будет на ваш компьютер передаваться без шифрования.

Недостатки у безопасных соединений тоже имеются. Так, если ваш почтовый сервер не поддерживает безопасные соединения, придется или искать другой сервер (а это означает смену электронного адреса, что не всегда удобно), или же использовать другой способ защиты.

Кроме того, отмечены первые удачные попытки атаки на SSL/TLS, что свидетельствует об уязвимости этого способа защиты. То есть, хотя бы теоретически, но при особом желании расшифровать содержимое TLS-соединения можно. Конечно, расшифровка TLS-соединения – задача непростая, поэтому в большинстве случаев, если вы выбрали этот метод, беспокоиться рано, но на всякий случай рекомендую прочитать следующую статью: http://www.pgpru.com/novosti/2011/predstavlenpervyjjuspeshnyjjsposobatakinassltls.

Заметьте: эта информация появилась совсем недавно (всего через 9 дней с момента написания этих строк), а до сего времени SSL/TLS считался абсолютно безопасным. Впрочем, не следует сразу отбрасывать этот метод защиты – ведь проблеме подвержены не все версии SSL/TLS, а пока только самые ранние.