4 февраля 2022

2 432

Время чтения ≈ 20 минут

Содержание:

Tor Browser
Tails OS
Whonix
Brave Browser
Qubes OS
Другие способы защиты приватности в Интернете
Бесплатные сервисы для проверки анонимности и конфиденциальности
Заключение

В нашу цифровую эпоху отслеживание пользовательских действий стало неотъемлемой частью функционирования Интернета. Такие компании, как Google и Microsoft, отслеживают каждый поисковый запрос, каждое нажатие клавиши и каждый щелчок мышью, чтобы потом продавать собранную информацию рекламодателям или использовать их для цензурирования контента.

Хотя подобный шаг логично объясняется необходимостью финансовой подпитки развития веб-технологий, сам факт постоянной слежки со стороны IT-гигантов стал серьезным раздражителем для массовой аудитории Сети. Кроме того, личные данные могут использовать не только официальные рекламодатели. Хакеры, мошенники и другие киберпреступники всегда ищут возможности применить подобную информацию для получения финансовой выгоды.

В этом руководстве мы расскажем о простых, но очень мощных инструментах на основе Linux, которые позволяют защитить анонимность и поддержать приватность в цифровом мире.

Tor Browser

Разговор об эффективных мерах соблюдения конфиденциальности и безопасности в Сети не может обойтись без упоминания Tor. Название этой технологии (The Onion Router — «Луковый маршрутизатор») служит яркой метафорой для описания многослойной системы шифрования данных, лежащей в основе ее работы.

Tor — это бесплатная сеть туннелей для анонимной маршрутизации веб-запросов и загрузки страниц. Хотя это ПО изначально было разработано «под крылом» ВМС США, позже оно с успехом использовалось независимыми журналистами, правозащитниками и борцами за свободу слова в Сети.

В отличие от VPN, Tor направляет сигналы не через одни и те же точки, а использует разные случайным образом выбранные узлы, шифруя сигнал при каждой передаче. Маршрут таких соединений меняется каждые 10 минут. В результате IP-адрес пользователя оказывается надёжно скрыт от возможной слежки.

Tor Browser — официальная браузерная сборка от Tor Project, созданная в 2008 году. Она автоматически запускает нужные фоновые процессы и направляет трафик через сеть Tor. По завершении сеанса браузер удаляет конфиденциальные данные, такие как файлы cookie, HTTP и историю просмотров.

Помимо самого прокси-сервера Tor, сборка состоит из модифицированного веб-браузера Mozilla Firefox ESR, расширений TorButton, TorLauncher, NoScript и HTTPS Everywhere для Firefox. Анонимный браузер Tor может работать под Linux, Windows и macOS.

Чтобы разрешить загрузку из мест, где доступ к Tor Project может быть заблокирован, поддерживается репозиторий GitHub со ссылками на выпуски, размещенные в других доменах.

Плюсы:

Браузер полностью блокирует отслеживание внешних IP-адресов.
Сеть Tor функционирует на основе распределенного принципа, поэтому ее невозможно запретить или заблокировать.
Доступен на 36 языках мира, включая русский.
Браузер использует встроенный поисковик DuckDuckGo, который не сохраняет персональные данные и историю запросов пользователей.
Пользователи могут запускать Tor Browser со съемных носителей.

Минусы:

Управлением узлами в Tor Project занимается сообщество добровольцев, имеющее доступ ко всем передаваемым данным. Поэтому нельзя говорить о 100% конфиденциальности этого инструмента.
Нет технической поддержки.
Из-за необходимости постоянной смены узлов, передача данных через Tor Browser может идти медленнее, чем через обычный браузер.
Пользователь не может сам менять свое виртуальное местоположение.
Установка дополнительных плагинов (например, AdBlock Plus или uBlock Origin) может отрицательно сказаться на приватности и безопасности.

Для чего подходит:

Доступ к регионально заблокированному контенту.
Анонимная работа в Интернете.
Обеспечение конфиденциального канала общения для работников социальных служб и журналистов.

Tails OS

Tails (The Amnesic Incognito Live System) — это дистрибутив Linux на основе Debian, прославленный легендарным экс-агентом ЦРУ и разоблачителем Эдвардом Сноуденом, как лучший способ обеспечить приватность в Сети. Благодаря минималистичному дизайну, он очень прост в использовании. К тому же Tails предлагает множество предустановленных функций безопасности, позволяющих обеспечить полную анонимность в Интернете.

Все соединения проходят через анонимную сеть Tor. Этот механизм скрывает реальный IP-адрес пользователя, случайным образом пропуская данные через ряд прокси-узлов, прежде чем передать их на главный сервер.

ОС можно запустить с DVD или «загрузочного» USB в режиме реального времени. При этом Tails полностью загружается в системную оперативную память и не оставляет следов своей активности, удаляя все свои приложения встроенной программой Amnesia. Дистрибутив может использоваться в «постоянном» режиме, с сохранением кастомных настроек на зашифрованном USB-накопителе.

Приложения в Tails также были тщательно отобраны для повышения уровня защиты конфиденциальности. Например, есть менеджер паролей KeePassX и Paperkey, инструмент командной строки, используемый для экспорта секретных ключей OpenPGP для печати на бумаге. Существует также небольшое количество приложений для повышения производительности, таких как Mozilla Thunderbird и мощный пакет LibreOffice.

Дистрибутив со встроенным Tor также содержит «из коробки» ряд полезных настольных приложений, таких как LibreOffice, GIMP, Pidgin, Inkscape, Audacity и Thunderbird. Также можно использовать Synaptic Package Manager, чтобы дополнить дистрибутив рабочим столом на базе Gnome. Любые устанавливаемые пакеты будут недоступны при последующих перезагрузках, если предварительно не настроить постоянное (Persistent) хранилище.

Плюсы:

Дистрибутив полностью готов для быстрого старта.
Запускается в Live-режиме и не оставляет цифрового следа на жестком диске.
Нетребовательность к «железу».
Много встроенного ПО (автоочистка метаданных, работа с паролями, браузеры)
Официальный дистрибутив проекта Tor.

Минусы:

Tails на 100% посвящен конфиденциальности в Интернете и не подходит для игр, мультимедиа, офисной работы или использования в качестве постоянной ОС.
Сложности с установкой стороннего ПО.
Не подходит для хранения особо конфиденциальных данных.

Для чего подходит:

Быстрая и анонимная передача информации по Сети.
Общение по зашифрованному каналу.
Работа с кошельками криптовалюты.

Whonix

Whonix (экс TorBOX) — свободное ПО на основе Debian и сети Tor, ориентированное на сохранение конфиденциальности и повышенную безопасность. Это единственный дистрибутив Linux, в котором совмещены принцип виртуализации и «луковая маршрутизация» Tor.

Высокий уровень сетевой анонимности в Whonix обеспечивается благодаря тому, что все процессы проходят через виртуальную машину, а трафик пропускается через сеть Tor. В результате даже вредоносное ПО с привилегиями root не может обнаружить настоящий IP-адрес пользователя. Такой подход позволяет не только предотвращает утечки IP-адресов и DNS, но и избавляет от необходимости настраивать прокси для каждого приложения в отдельности.

Whonix работает на базе 2 виртуальных образов, последовательно запускаемых в среде VirtualBox:

Whonix-Gateway — шлюз, который направляет весь трафик процессов и приложений в «луковую сеть» Tor. Запускается первой.
Whonix-Workstation — изолированная виртуальная площадка для работы пользователя.

Позитивным отличием Whonix от Tails является возможность гибкой модификации и точной настройки операционной системы. В ней по умолчанию есть множество модулей и настроек для повышения степени анонимности и безопасности.

Плюсы:

Дистрибутив на основе ОС Kicksecure — производной Debian с продвинутой безопасностью.
Профилактика утечки IP и DNS — все соединения форсируются через сеть Tor.
Есть «живой режим» загрузки приложений на базе виртуальной машины (Host Live Mode).
Много предустановленного ПО, включая Tor Browser.
Возможность создавать гибкие связки VPN-TOR.
Встроенные модули безопасности для защиты от слежки в Интернете и предотвращения утечек информации.
Встроенный антивирус и защита от взлома аккаунта.

Минусы:

Требовательность к «железу».
Отсутствует портативность.
Из-за виртуализации запускается медленнее аналогичных ОС, а также сложнее работает с внешними носителями.
Привязка к VirtualBox снижает безопасность, в случае взлома базовой ОС виртуальной системы.

Для чего подходит:

Анонимизация интернет-трафика.
Безопасная передача данных по Сети.
Доступ к регионально заблокированному контенту.

Brave Browser

Это браузер с упором на конфиденциальность и блокировку трекинга, который позволяет своим пользователям зарабатывать криптовалюту за просмотр рекламных объявлений. Этот продукт стал детищем Брендана Эйха — сооснователя Mozilla и создателя языка JavaScript.

Как и многие современные браузеры (например, Google Chrome и Microsoft Edge), Brave использует модифицированною версию открытого движка Chromium. Это обеспечивает его высокую совместимость с разными веб-сайтами. Для защиты конфиденциальности в приватном браузере Brave были отключены или переработаны многие базовые настройки Chromium. В частности, все обращения к службам Google проксируются через собственные серверы. К тому же создатели браузера отказались от поискового движка Google, заменив его собственным приватным поиском Brave Search на базе независимого индекса.

Brave — первый браузер, в котором была реализованна поддержка однорангового сетевого протокола IPFS (InterPlanetary File System). Эта пиринговая технология позволяет заменить передачу информации через центральные сервера (как в HTTP), децентрализованным способом. Примерно так, как это реализовано в BitTorrent.

В базовой системе Brave Shields реализованы такие продвинутые средства безопасности и анонимности, как автоматическое обновление небезопасных запросов до HTTPS (HTTPSEverywhere), блокировка сторонних отслеживающих файлов cookie и рекламы (Cover Your Tracks от EFF), рандомизация «цифровых отпечатков» (Fingerprint Randomization), а также встроенный инструмент для приватной видеосвязи Brave Talk. Brave позволяет выбирать между стандартным и агрессивным режимом защиты от трекеров и блокировкой рекламы.

Чтобы зарабатывать криптовалютные вознаграждения с помощью Brave, нужно просматривать рекламные ролики, которые программа периодически отображает в поле за окном браузера. Эту функцию можно легко отключить. Микроплатежи производятся в собственной криптовалюте BAT (Basic Attention Token), созданной на базе Ethereum. Для работы с ней, а также другим криптоактивами в браузер встроен криптокошелек Brave Wallet, который позволяет подключаться к другим кошелькам и DApps Web3. Полученные токены можно обменять на бирже или потратить на поощрение создателей цифрового контента.

Плюсы:

Высокая скорость работы — в 3 раза больше, чем у Google Chrome.
Блокировка любого внешнего отслеживания, в том числе связанного с рекламой, скриптами и ресурсами.
Рандомизация «электронного отпечатка» при каждом перезапуске.
Система прямого материального поощрения пользователей и встроенный криптокошелек.
Продвинутые функции защиты личных данных в Интернете — поддержка Tor, блокировка контента соцсетей, региональные фильтры.
Возможен импорт настроек и закладок из старого браузера.

Кстати. Рассматривая основные плюсы и минусы браузера Brave, следует упомянуть, что в начале 2021 года у него была выявлена серьезная брешь в защите — утечка DNS (DNS Leak) в «режиме Tor». Данные об открываемых onion-сайтах попадали наружу через встроенный блокировщик рекламы. Представители компании заявили, что нашли способ устранения угрозы и добавили это обновление кодовой базы, начиная со следующей стабильной версии Brave 1.20.110.

Минусы:

У встроенного блокировщика рекламы присутствуют неприятные баги.
Нет возможности добавлять исключения.
Нет гладкой синхронизации с Chrome.
Небольшая сумма вознаграждений за просмотр рекламы.

Для чего подходит:

Анонимное общение по интернету.
Приватный поиск информации в Сети.
Работа с кошельками криптовалюты.

Qubes OS

Qubes зарекомендовал себя как один из лучших дистрибутивов Linux для анонимности и безопасности. Он основан на Fedora и использует среду рабочего стола Xfce. Этот инструмент работает по принципу «безопасность через изоляцию».

При помощи гипервизора Xen, Qubes полностью изолирует базовые элементы операционной системы внутри разных виртуальных машин, называемых «кубы» (qubes). Каждый qube обладает отдельным низкоуровневым сетевым доменом, подчиненным привилегированному административному домену нулевого уровня (dom0).

Отдельный экземпляр пользовательского приложения ограничен собственным «кубом», работающим в легковесном контейнере (AppVM) по принципу «песочницы». Подобное использование виртуализации гарантирует, что вредоносное ПО, даже при худшем сценарии не поразит всю систему.

Например, пользователь может запускать Firefox в одном «кубе» для посещения ненадежных веб-сайтов, а другой экземпляр браузера, запущенный в другом кубе использовать для онлайн-транзакций. Веб-сайт, зараженный вредоносным ПО, затронет только первый экземпляр Firefox в изолированном кубе и никак не повлияет на банковский сеанс.

Благодаря радикально иному подходу к архитектуре файловой системы, освоение Qubes может вызвать некоторые затруднения у новичка. Ведь вместо обычного списка приложений в его меню перечислены классы «кубов» — например, «рабочие», «личные», «финансы», «ненадежные». Каждый из таких разделов включает в себя отдельные приложения.

Плюсы:

Высокие показатели сетевой безопасности.
Надежное разделение сетевых процессов и пользовательских приложений с помощью виртуализации.
Возможность запускать несколько ОС, включая Fedora, Debian и Windows.
Простота отладки разных взаимосвязанных приложений.
Повышенная отказоустойчивость.
Хорошая документированность.
Можно использовать вместе с Whonix для лучшей конфиденциальности.

Минусы:

Хуже производительность.
Высокие требования к оперативной памяти.
Сложно в эксплуатации для неопытного пользователя.
Нет Live-режима. Устанавливается только на внутренний накопитель.
Есть сложности с запуском на VPS.

Для чего подходит:

Безопасная работа в Сети.
Контроль своей цифровой среды.
Параллельная работа с несколькими независимыми приложениями.

Другие способы обеспечить анонимность и безопасность на Linux

Альтернативные анонимные распределенные сети

Хотя Tor является самой популярной децентрализованной сетью прокси-серверов в мире, это далеко не единственный сервис подобного рода.

В число ближайших конкурентов «Луковой сети» входит полностью распределенная самоорганизующаяся сетевая структура I2P (Invisible Internet Project), созданная на базе модифицированной хеш-таблицы DHT Kademlia. Хотя «Невидимый интернет» и не имеет такого внушительного финансирования как Tor, считается, что I2P лучше оптимизирован под скрытые сервисы и работает быстрее своего «лукового» собрата.

В категорию аналогов Tor также входят такие полезные инструменты защиты конфиденциальности в Интернете, как распределенные сетевые файлохранилища Freenet и Tahoe-LAFS (Tahoe Least-Authority File Store), а также платформа для шифрованного обмена данными RetroShare.

Собственная сеть VPN

Виртуальная частная сеть (VPN) — один их самых эффективных способов поддерживать конфиденциальность в Интернете. Эта технология позволяет перенаправить трафик через сеть сторонних серверов, защищая передаваемую приватную информацию от посторонних глаз. Серверы VPN также шифруют данные о действиях пользователя в сети и скрывают его реальный IP-адрес.

Подробнее об устройстве Виртуальной частной сети, а также о том, как практически связаны VPN и анонимность можно узнать из этой статьи.

Виртуальные сервера Eternalhost — проверенное решение для создания собственной сети VPN! Оперативная техподдержка 24/7 и бесплатная защита от DDoS.

Шифрование DNS-трафика

Как показывает практика (и конкретно кейс с Brave Browser), чтобы надежно защитить свои персональные данные в Интернете, недостаточно простого шифрования сетевого трафика. Перехваченные запросы к «телефонной книге Интернета» — серверам DNS могут дать не меньше информации о пользователе, чем фильтрация передаваемого контента. Незашифрованный DNS-трафик также является распространенной уязвимостью, которая позволяет хакерам проводить атаки методом DNS-спуфинга или отравления кэша DNS.

Защититься от «утечки DNS» можно с помощью протокола и бесплатной опенсорсной утилиты DNSCrypt, которая шифрует на канальном уровне весь DNS-трафик, проходящий между устройством пользователя и промежуточными DNS-серверами (резолверами). Этот инструмент позволяет не только уйти от слежки в Интернете, но и обойти некоторые блокировки на уровне DNS-запросов.

Существуют и альтернативные решения по защите DNS-трафика, основанные на других протоколах шифрования — DNS по TLS (DoT) и DNS по HTTPS (DoH). Например, клиент Stubby на базе DoT, входящий в инструментарий DNS Privacy Project.

Смена DNS-сервера

Каждый поставщик услуг Интернета и мобильной связи предоставляет своим клиентам DNS-серверы, которые могут стать источником уязвимости для сетевой конфиденциальности. Чтобы надежнее защититься от вероятной слежки со стороны интернет-провайдера, можно дополнить шифрование DNS-трафика заменой дефолтных серверов на сторонние DNS-службы (например, общедоступные Google DNS, OpenDNS или Cloudflare 1.1.1.1).

Замену сервера доменных имен можно сделать самостоятельно — в настройках сетевого подключения браузера, операционной системы или роутера. Например, в большинстве дистрибутивов Linux смена DNS производится командами:

sudo nano /etc/resolv.conf
nameserver 8.8.8.8
nameserver 8.8.4.4

В приведенном примере «nano» — название редактора кода, «8.8.8.8» и «8.8.4.4» — первичный и вторичный сервер Google DNS.

Для замены DNS-сервера также можно воспользоваться специализированной программой DNS-чейнджером. Например, утилитой Namebench для Linux или мобильным приложением TrustDNS.

Замена MAC-адреса

В отличие от IP-адреса, MAC-адрес (или аппаратный адрес) относится не к сетевой инфраструктуре, а к самому устройству. MAC-адреса физически встроены в сетевое оборудование и не могут быть изменены, что облегчает сбор первичной информации о пользователях Интернета.

Однако реальный MAC-адрес можно достаточно надёжно замаскировать под другой методом MAC-спуфинга (от англ. spoof, «мистификация»). Подобный функционал встроен в ряд популярных инструментов для онлайн-анонимности, вроде упомянутой ранее Tails OS. Для автоматической подмены MAC-адреса можно также использовать специальный инструмент macchanger (GNU MAC Changer), который входит в официальные репозитории многих дистрибутивов Linux или легко устанавливается командой: sudo apt-get install macchanger.

Полное или частичное шифрование диска

Шифрование диска или FDE (Full Disk Encryption) — метод защиты информации, который исключает физический доступ к жесткому диску без ввода пароля. Он служит скорее не для предотвращения угроз приватности и безопасности, а помогает избежать самых тяжелых последствий потери пользователям контроля над своими данными.

Самый простой способ подключить шифрование диска — задать этот параметр во время установки ОС Linux. Например, в Ubuntu или Linux Mint эта возможность подключается через пункт «Использовать LVM» (Use LVM (Logical Volume Management) в настройках безопасности. Для шифрования отдельных папок на диске удобно применять специальные бесплатные утилиты (например, TrueCrypt, VeraCrypt, EncFS и XKCD).

Как проверить анонимность в Сети

При использовании различных инструментов кибербезопасности, следует помнить, что ни одно из них не может гарантировать максимальную анонимность в Сети просто по факту использования. Каждое подобное решение требует индивидуального подхода и тщательной практической проверки на эффективность.

Один из самых легких способов протестировать степень открытости своего присутствия в Сети — воспользоваться специализированными сервисами проверки анонимности. Помимо самого измерения уровня своей приватности в Интернете, здесь можно получить ценную дополнительную информацию о безопасности используемого браузера. Например, уровне защищенности от утечек информации и отслеживания данных пользователя третьими лицами.

Заключение

Независимо от того, какие программы или инструменты используются при работе в Интернете, добиться абсолютной анонимности там очень сложно. Например, при посещении веб-сайта с помощью собственных учетных данных, нельзя помешать собирать личные данные. Ведь в данном случае пользователь добровольно предоставляет электронной службе доступ к этим данным.

Конечно, сайт не может «узнать» ряд важнейших сведений, например реальное местоположение посетителя. Однако значительный массив информации, вроде пользовательского IP-адреса, всё равно останется в распоряжении третьих лиц. В такой ситуации инструменты конфиденциальности из этого обзора — отличный способ вернуть «обитателям» цифрового ландшафта конфиденциальность и позволить любому человеку обрести право стать невидимым в Интернете.

Оцените материал:

[Всего голосов: 0 Средний: 0/5]