Hlavní navigace

Anonymní surfování: na výběr máte z několika možností

 Autor: 74287
Lukáš Tomek

Anonymita na Internetu je často vyhledávaným „zbožím“. Přestože anonymizace pohybu v síti je mnohdy používána k nekalým účelům, může být někdy užitečná i z daleko prozaičtějších důvodů. Pokud se rozhodnete při surfování skrývat svou identitu, máte k dispozici hned několik dostupných technologií. Podívali jsme se na jejich přednosti i nedostatky.

K čemu je na Internetu vlastně anonymita dobrá? Tak například:

  • skrývání před diktátorským režimem, vyvíjení ilegální činnosti (v pozitivním smyslu), zajištění svobody
  • anonymní udání
  • otevřené anonymní odhalení tabuizovaných nebo embargovaných informací
  • anonymní účast na diskuzi
  • druhá „pseudoidentita“
  • zametání stop při nezákonné činnosti
  • zakrytí identity, která by jinak byla použita ke komerčním účelům
  • zajištění soukromí
  • anonymizovaný robot pro web fetching (když zdroj blokuje scrapovací pokusy jedné určité identity)

Stopařův průvodce po HTTP hlavičkách

Nejdříve si zopakujme známá fakta o tom, jaké stopy za sebou necháváme při běžném pohybu na Internetu. Mimo jiné je to samozřejmě IP adresa, hostname, ISP a operační systém. Spousta informací je uložených v globální proměnné $_SERVER – třeba takhle: $_SERVER[‚REMO­TE_ADDR‘] se dá zjistit ve skriptu na serveru, který jste navštívili, vaše IP adresa. Případně jsou ve skriptu k dispozici předdefinované proměnné prostředí (environment variables), pro IP adresu je to $REMOTE_ADDR.

Další hodnoty jsou součástí hlavičky HTTP, například proměnná prostředí $HTTP_X_FORWAR­DED_FOR, která v určitých případech připojení přes proxy server (tzv. transparent proxy) obsahuje IP adresu počítače, ze kterého přišel požadavek. V další HTTP hlavičce HTTP_ACCEPT_LAN­GUAGE se skrývá jazyk, který podporuje váš prohlížeč. Při anonymizaci se nevyplatí podceňovat ani takovéto drobnosti, protože ať už jsou ostatní předávané údaje anonymizované jakkoliv pečlivě, zapomenuté detaily můžou pravou identitu alespoň částečně odhalit. Již zmíněné jméno a verze prohlížeče a operačního systému lze najít v hlavičce $HTTP_USER_AGENT .

V prohlížeči se také vyplatí vypnout tzv. „odesílání refereru“ čímž se myslí vypnutí zasílání údaje v hlavičce $HTTP_REFERER, kde je uložená adresa stránky, ze které jste na aktuální stránky přišli. Skutečnou polohu počítače může odkrýt také čas nastavený v systému. Při anonymizaci není dobré mít zapnuté cookies, podpora technologie ActiveX a pomocí JavaScriptu lze v některých případech například nepozorovaně vytáhnout obsah z clipboardu.

Docela pěkný test najdete zde: http://analyze­.privacy.net/ Pokud chcete všechny odchozí informace někde po cestě anonymizovat (což většinou znamená pozměnit), jak to tedy provést?

Proxy – prostředník v komunikaci

Základní metodou schování IP adresy je do cesty k požadovanému serveru vložit ještě proxy server, důvěrně přezdívaný v ženském rodě jako „proxyna“. Ten funguje jako prostředník – pro cílový server pak nehraje úlohu klienta váš stroj, ale právě proxy server. Teoreticky by tak cílový server neměl znát vaší IP adresu, tedy IP adresu původního klienta, ale IP adresy proxy serveru, který stojí v cestě k vaší pravé identitě.

Celý proces má ovšem několik háčků. Za prvé, vaši IP adresu možná nezná cílový server, ale prostředník ano. Pro provoz této služby je tedy nezbytná vzájemná důvěra. Za druhé, některé proxy servery posílají HTTP hlavičky jako HTTP_VIA nebo HTTP_PROXY a další. Tyto hlavičky sice neodhalí přímo vaší identitu, ale ukazují na použití proxy serveru. Takové hlavičky ovšem neodesílají proxy servery označené jako „high anonymity“ nebo „elite“. Do třetice všeho dobrého a zde spíše zlého tzv. transparent proxy servery pouští do světa http hlavičky HTTP_X_FORWAR­DED_FOR, nebo HTTP_FORWARDED případně ORIGINAL_REMO­TE_ADDR či další. Ty můžou IP adresu původního klienta odkrýt. Proxy servery s označením „anonymous“ uvádějí svoji vlastní IP adresu a „distorting“ údaj o IP adrese podvrhnou.

Kde se k proxy serveru dostat? Nejjednodušší je najít si nějaký „open proxy“. Zde je několik známých seznamů takových serverů:

www.samair.ru
www.publicpro­xyservers.com
http://alivepro­xy.com
www.checker.fre­eproxy.ru
http://hidemy­ass.com

Největším problémem těchto serverů je jednak různá rychlost a jednak často omezená životnost. Mnoho proxy serverů totiž funguje na napadených počítačích bez vědomí jejich majitelů. Když někdo takovou „zombii“ objeví a zlikviduje, proxy server jednoduše zmizí ze světa. Konkrétně proxy servery z ruských seznamů (například ze SamAiru) jsou nechvalně známé svým pochybným původem. Někdy se aktuální seznamy funkčních zombíků prodávají.

K všeobecnému zmatku přispívají „honey pots“ neboli servery, které se nabízejí k využití jako „open proxy“ a jejichž účelem je ve skutečnosti schraňovat citlivá data.

Existují ale také uzavřené „closed proxy“, některé z nich používají anonymizační softwary, jiné se používají v rámci například akademických institucí (například CoDeeN). Closed proxy vždy vyžadují nějakou autentizaci.

Proxy chains a TOR

Lze si jednoduše představit, že by proxy serverů mohlo být více v řadě a komunikace by procházela řetězem (chain) proxy serverů. Tím by se samozřejmě znesnadnila identifikace klienta, který stojí na začátku dotazu. K použití potřebujete software, který vytvoří cestu skládající se z několika proxy serverů k cílovému serveru (např. SocksChain). Zatím ovšem mluvíme hlavně o HTTP proxy serverech. Kromě nich existují také SSL proxy a SOCKS proxy servery (dle patřičných protokolů, které umí zpracovat) a ještě další. Ty lze v různých kombinacích namíchat do řetězu.

Dalším trikem je onion routing. Tento velmi sofistikovaný způsob používá síť TOR (zkratka od The Onion Router). Jde o síť routerů, která má řadu příjemných vlastností. Jednou z nich je to, že každý router ví pouze, od koho data přišla a kam je poslat (jeden krok zpět a jeden krok dopředu v síti uzlů). Uzly pak mezi sebou sdílejí veřejné šifrovací klíče celé sítě. Když se ustaví spojení, uzly si „povyměňují“ dynamicky generované sdílené klíče pro dané spojení. V konečném důsledku je dotaz zaslán přes několik uzlů, které se jednak neustále mění (po určitém čase, typicky minutách, nebo po stanoveném přeneseném objemu dat) a jednak dotaz přešifrovávají v každé stanici. Každý onion router v řetězci navíc umí přeposílat data se zpožděním nebo přeházet jejich pořadí (zde jde však spíš o teorii). V řetězu routerů kromě legitimních dat také putuje šum paketů, kterým síť dál znepřehledňuje komunikaci.

Celý systém je velmi robustně řešený, jedinou mezerou by mohlo být, že poslední router v řetězu zná obsah přenášených dat, nezná však vaší identitu. V praxi pak uživatelé mohou narazit na pomalost celé sítě. Obecně však platí, že čím dokonalejší anonymizace a čím horší možnost odposlechnout komunikaci a vystopovat původce dat, tím pomalejší spojení. Pomalost je tedy daní za kvalitu.

Kvůli hladkému provozu v síti TOR její uživatelé považují za neetické, používat síť pro stahování torrentů a podobné aktivity náročné na objem dat. Jak se do sítě TOR dostat? Vše potřebné najdete na stránce http://www.tor­project.org/, kde si lze také stáhnout instalační balík, který připojení do sítě umožňuje.

VPN a „kaskádový mix“

Na rozdíl od TORu, který je zdarma, existují také typické komerční řešení jako například VPN služby. Ty vynikají rychlostí. U VPN se typicky musí zaplatit poplatek za měsíc (často pevná složka + cena za přenesený objem dat), na PC se pak nainstaluje klient, který všechny pakety odeslané do sítě posílá šifrovaným tunelem na VPN server. Silné šifrování a rychlost jsou nicméně vyvážené důvěrou, kterou musíte v poskytovatele služby mít. Ten vás má totiž doslova „v hrsti“.

Existují ještě další méně známé metody anonymizace. Jednou z nich je například „kaskádový mix“ serverů, ke kterému se připojuje program JonDonym. Jde v podstatě o určitý kompromis mezi sítí TOR a prostým řetězem proxy serverů. Data šifrovaně probíhají tříčlánkovým řetězem skupin serverů a komunikace se promíchává tak, že je velmi složité (nemožné) vysledovat, který paket patří konkrétnímu počítači. Poslední server je společný a všichni uživatelé tohoto systému tak mají ve výsledku stejnou IP adresu. Provozovatel služby tvrdí, že proxy servery na cestě jsou spolehlivé a jejich provozovatelé jsou „certifikováni“.

Lze také připomenout projekt JAP, který je rovněž postaven na „kaskádovém mixu“. Tento systém vznikl na Technické universitě v Drážďanech. Kaskádu tvoří samostatné sítě uzlů, které jsou spravovány nezávislými organizacemi. Uživatel si pak může zvolit, jak bude jeho kaskáda namíchána (na základě důvěry v provozovatele serverů). Základní funkce jsou zdarma, některé uzly v kaskádě můžou být ale zpoplatněny. Klient je napsán v Javě a je multiplatformní.

Anketa

Potřebovali jste někdy dokonale skrýt svou identitu na webu?

Našli jste v článku chybu?

19. 3. 2010 7:17

pepak (neregistrovaný)
Tak za prvé - HTTP hlavičky nejsou uloženy v "globální proměnné $_SERVER", ani v "předdefinovaných proměnných prostředí" typu $REMOTE_ADDR - to je jen případ jednoho konkrétního prostředí, které takto zpřístupňuje hlavičky. Když už chci psát obecně, tak píšu o hlavičkách protokolů (IP, TCP, HTTP) a ne že směšuju hlavičky všech protokolů do jedné unifikované formy, kterou zpřístupňuje jedno z mnoha možných prostředí.

Za druhé - ačkoliv článek začíná nadějně s HTTP hlavičkami,…

19. 3. 2010 11:00

polygon (neregistrovaný)
HTTP - ok rozumím. $cosi nechápu, je to PHP?
Dále se mluví o anonymizaci přes TOR. To je ale dost povrchní. Když si pustím IE6 v režimu vše povoleno přes TOR, tak o mě cílový stroj ví v zásadě totéž, jako když jej nepoužiju. Něco jiného je, když jsem v u providera/zemi, která mi přístup na cílový stroj blokuje. Ale je třeba si nejprve ujasnit před kým a co skrývám, než jen suše konstatovat, že TOR poskytuje anonymitu, nebo že zakázání cookies, nebo javascriptu dělá totéž.
Lupa.cz: Brněnský radní chce zničit kartel operátorů. Uspěje?

Brněnský radní chce zničit kartel operátorů. Uspěje?

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Banky mlží o nákladech na předčasnou splátku hypotéky

Banky mlží o nákladech na předčasnou splátku hypotéky

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny