Hlavní navigace

Anonymní surfování: na výběr máte z několika možností

19. 3. 2010
Doba čtení: 6 minut

Sdílet

 Autor: 74287
Anonymita na Internetu je často vyhledávaným „zbožím“. Přestože anonymizace pohybu v síti je mnohdy používána k nekalým účelům, může být někdy užitečná i z daleko prozaičtějších důvodů. Pokud se rozhodnete při surfování skrývat svou identitu, máte k dispozici hned několik dostupných technologií. Podívali jsme se na jejich přednosti i nedostatky.

K čemu je na Internetu vlastně anonymita dobrá? Tak například:

  • skrývání před diktátorským režimem, vyvíjení ilegální činnosti (v pozitivním smyslu), zajištění svobody
  • anonymní udání
  • otevřené anonymní odhalení tabuizovaných nebo embargovaných informací
  • anonymní účast na diskuzi
  • druhá „pseudoidentita“
  • zametání stop při nezákonné činnosti
  • zakrytí identity, která by jinak byla použita ke komerčním účelům
  • zajištění soukromí
  • anonymizovaný robot pro web fetching (když zdroj blokuje scrapovací pokusy jedné určité identity)

Stopařův průvodce po HTTP hlavičkách

Nejdříve si zopakujme známá fakta o tom, jaké stopy za sebou necháváme při běžném pohybu na Internetu. Mimo jiné je to samozřejmě IP adresa, hostname, ISP a operační systém. Spousta informací je uložených v globální proměnné $_SERVER – třeba takhle: $_SERVER[‚REMO­TE_ADDR‘] se dá zjistit ve skriptu na serveru, který jste navštívili, vaše IP adresa. Případně jsou ve skriptu k dispozici předdefinované proměnné prostředí (environment variables), pro IP adresu je to $REMOTE_ADDR.

Další hodnoty jsou součástí hlavičky HTTP, například proměnná prostředí $HTTP_X_FORWAR­DED_FOR, která v určitých případech připojení přes proxy server (tzv. transparent proxy) obsahuje IP adresu počítače, ze kterého přišel požadavek. V další HTTP hlavičce HTTP_ACCEPT_LAN­GUAGE se skrývá jazyk, který podporuje váš prohlížeč. Při anonymizaci se nevyplatí podceňovat ani takovéto drobnosti, protože ať už jsou ostatní předávané údaje anonymizované jakkoliv pečlivě, zapomenuté detaily můžou pravou identitu alespoň částečně odhalit. Již zmíněné jméno a verze prohlížeče a operačního systému lze najít v hlavičce $HTTP_USER_AGENT .

V prohlížeči se také vyplatí vypnout tzv. „odesílání refereru“ čímž se myslí vypnutí zasílání údaje v hlavičce $HTTP_REFERER, kde je uložená adresa stránky, ze které jste na aktuální stránky přišli. Skutečnou polohu počítače může odkrýt také čas nastavený v systému. Při anonymizaci není dobré mít zapnuté cookies, podpora technologie ActiveX a pomocí JavaScriptu lze v některých případech například nepozorovaně vytáhnout obsah z clipboardu.

Docela pěkný test najdete zde: http://analyze­.privacy.net/ Pokud chcete všechny odchozí informace někde po cestě anonymizovat (což většinou znamená pozměnit), jak to tedy provést?

Proxy – prostředník v komunikaci

Základní metodou schování IP adresy je do cesty k požadovanému serveru vložit ještě proxy server, důvěrně přezdívaný v ženském rodě jako „proxyna“. Ten funguje jako prostředník – pro cílový server pak nehraje úlohu klienta váš stroj, ale právě proxy server. Teoreticky by tak cílový server neměl znát vaší IP adresu, tedy IP adresu původního klienta, ale IP adresy proxy serveru, který stojí v cestě k vaší pravé identitě.

Celý proces má ovšem několik háčků. Za prvé, vaši IP adresu možná nezná cílový server, ale prostředník ano. Pro provoz této služby je tedy nezbytná vzájemná důvěra. Za druhé, některé proxy servery posílají HTTP hlavičky jako HTTP_VIA nebo HTTP_PROXY a další. Tyto hlavičky sice neodhalí přímo vaší identitu, ale ukazují na použití proxy serveru. Takové hlavičky ovšem neodesílají proxy servery označené jako „high anonymity“ nebo „elite“. Do třetice všeho dobrého a zde spíše zlého tzv. transparent proxy servery pouští do světa http hlavičky HTTP_X_FORWAR­DED_FOR, nebo HTTP_FORWARDED případně ORIGINAL_REMO­TE_ADDR či další. Ty můžou IP adresu původního klienta odkrýt. Proxy servery s označením „anonymous“ uvádějí svoji vlastní IP adresu a „distorting“ údaj o IP adrese podvrhnou.

Kde se k proxy serveru dostat? Nejjednodušší je najít si nějaký „open proxy“. Zde je několik známých seznamů takových serverů:

www.samair.ru
www.publicpro­xyservers.com
http://alivepro­xy.com
www.checker.fre­eproxy.ru
http://hidemy­ass.com

Největším problémem těchto serverů je jednak různá rychlost a jednak často omezená životnost. Mnoho proxy serverů totiž funguje na napadených počítačích bez vědomí jejich majitelů. Když někdo takovou „zombii“ objeví a zlikviduje, proxy server jednoduše zmizí ze světa. Konkrétně proxy servery z ruských seznamů (například ze SamAiru) jsou nechvalně známé svým pochybným původem. Někdy se aktuální seznamy funkčních zombíků prodávají.

K všeobecnému zmatku přispívají „honey pots“ neboli servery, které se nabízejí k využití jako „open proxy“ a jejichž účelem je ve skutečnosti schraňovat citlivá data.

Existují ale také uzavřené „closed proxy“, některé z nich používají anonymizační softwary, jiné se používají v rámci například akademických institucí (například CoDeeN). Closed proxy vždy vyžadují nějakou autentizaci.

Proxy chains a TOR

Lze si jednoduše představit, že by proxy serverů mohlo být více v řadě a komunikace by procházela řetězem (chain) proxy serverů. Tím by se samozřejmě znesnadnila identifikace klienta, který stojí na začátku dotazu. K použití potřebujete software, který vytvoří cestu skládající se z několika proxy serverů k cílovému serveru (např. SocksChain). Zatím ovšem mluvíme hlavně o HTTP proxy serverech. Kromě nich existují také SSL proxy a SOCKS proxy servery (dle patřičných protokolů, které umí zpracovat) a ještě další. Ty lze v různých kombinacích namíchat do řetězu.

Dalším trikem je onion routing. Tento velmi sofistikovaný způsob používá síť TOR (zkratka od The Onion Router). Jde o síť routerů, která má řadu příjemných vlastností. Jednou z nich je to, že každý router ví pouze, od koho data přišla a kam je poslat (jeden krok zpět a jeden krok dopředu v síti uzlů). Uzly pak mezi sebou sdílejí veřejné šifrovací klíče celé sítě. Když se ustaví spojení, uzly si „povyměňují“ dynamicky generované sdílené klíče pro dané spojení. V konečném důsledku je dotaz zaslán přes několik uzlů, které se jednak neustále mění (po určitém čase, typicky minutách, nebo po stanoveném přeneseném objemu dat) a jednak dotaz přešifrovávají v každé stanici. Každý onion router v řetězci navíc umí přeposílat data se zpožděním nebo přeházet jejich pořadí (zde jde však spíš o teorii). V řetězu routerů kromě legitimních dat také putuje šum paketů, kterým síť dál znepřehledňuje komunikaci.

Celý systém je velmi robustně řešený, jedinou mezerou by mohlo být, že poslední router v řetězu zná obsah přenášených dat, nezná však vaší identitu. V praxi pak uživatelé mohou narazit na pomalost celé sítě. Obecně však platí, že čím dokonalejší anonymizace a čím horší možnost odposlechnout komunikaci a vystopovat původce dat, tím pomalejší spojení. Pomalost je tedy daní za kvalitu.

Kvůli hladkému provozu v síti TOR její uživatelé považují za neetické, používat síť pro stahování torrentů a podobné aktivity náročné na objem dat. Jak se do sítě TOR dostat? Vše potřebné najdete na stránce http://www.tor­project.org/, kde si lze také stáhnout instalační balík, který připojení do sítě umožňuje.

VPN a „kaskádový mix“

Na rozdíl od TORu, který je zdarma, existují také typické komerční řešení jako například VPN služby. Ty vynikají rychlostí. U VPN se typicky musí zaplatit poplatek za měsíc (často pevná složka + cena za přenesený objem dat), na PC se pak nainstaluje klient, který všechny pakety odeslané do sítě posílá šifrovaným tunelem na VPN server. Silné šifrování a rychlost jsou nicméně vyvážené důvěrou, kterou musíte v poskytovatele služby mít. Ten vás má totiž doslova „v hrsti“.

BRAND24

Existují ještě další méně známé metody anonymizace. Jednou z nich je například „kaskádový mix“ serverů, ke kterému se připojuje program JonDonym. Jde v podstatě o určitý kompromis mezi sítí TOR a prostým řetězem proxy serverů. Data šifrovaně probíhají tříčlánkovým řetězem skupin serverů a komunikace se promíchává tak, že je velmi složité (nemožné) vysledovat, který paket patří konkrétnímu počítači. Poslední server je společný a všichni uživatelé tohoto systému tak mají ve výsledku stejnou IP adresu. Provozovatel služby tvrdí, že proxy servery na cestě jsou spolehlivé a jejich provozovatelé jsou „certifikováni“.

Lze také připomenout projekt JAP, který je rovněž postaven na „kaskádovém mixu“. Tento systém vznikl na Technické universitě v Drážďanech. Kaskádu tvoří samostatné sítě uzlů, které jsou spravovány nezávislými organizacemi. Uživatel si pak může zvolit, jak bude jeho kaskáda namíchána (na základě důvěry v provozovatele serverů). Základní funkce jsou zdarma, některé uzly v kaskádě můžou být ale zpoplatněny. Klient je napsán v Javě a je multiplatformní.

Potřebovali jste někdy dokonale skrýt svou identitu na webu?

Byl pro vás článek přínosný?

Autor článku

Autor je publicista, pracoval jako redaktor Lidových novin. Jeho články najdete v Respektu, Lidových novinách a řadě dalších tištěných i internetových periodik.
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).