Každý během svého putování Internetem občas touží po takové míře soukromí, aby jeho kroky byly co možná nejméně vystopovatelné. Cest, kterými toho lze dosáhnout, existuje hned několik. Řádky tohoto dvoudílného článku se zaměří na představení a test následujících technik:
- Specializované aplikace – povětšinou jednoúčelové programy, které se instalují na klientský počítač a dovolují maskovat surfařovu identitu.
- Veřejné proxy brány – volně dostupné servery, jichž lze využít pro surfování Internetem a které pomáhají při utajení.
- Webové anonymizéry – takové stránky WWW, které zprostředkovávají anonymní přístup na cílový server.
Podíváme-li se na oblast anonymního surfování z pohledu přenášených dat, pak soukromí může být chráněno zejména blokováním některých HTTP hlaviček. Díky nim lze totiž poměrně snadno zjistit některé podstatné informace o vašem prohlížeči, IP adrese, použitém proxy serveru apod. Zde jsou příklady těch hlaviček, které nás budou při dalším zkoumání anonymního surfování obzvláště zajímat:
- REMOTE_ADDR – udává IP adresu počítače, který se připojil. Při běžném surfování tak webový server získá přesnou identifikaci vašeho stroje, anonymní surfování by mělo zajistit změnu originální hodnoty.
- REMOTE_HOST – název připojivšího se počítače. V případě anonymního surfování by se také zde měla objevit jiná hodnota, než která odpovídá vašemu stroji. Jak u REMOTE_ADDR, tak REMOTE_HOST samozřejmě závisí na typu připojení – zda k Internetu přistupujete přímo, nebo prostřednictvím některého poskytovatele (tedy například nemáte vlastní veřejnou adresu).
- REFERER – udává adresu předchozí stránky, z níž uživatel přišel. Typickým příkladem mohou být webové vyhledávače.
- USER_AGENT – dovoluje webovému serveru zjistit, který internetový prohlížeč používáte, navíc připojuje také některé další podrobné informace. Příklad prozrazených informací v případě nepříliš anonymního surfování může vypadat například takto:
Mozilla/5.0 (Windows; U; Windows NT 5.1; cs-CZ; rv:1.7.12) Gecko/20050919 Firefox/1.0.7.
Následující kategorie HTTP hlaviček souvisí zejména s přístupem na web prostřednictvím proxy serveru, v případě skutečně anonymního surfování by neměly být předávány hodnoty:
- HTTP_VIA – poskytuje informace o použité proxy bráně, textový řetězec může obsahovat například název odpovídajícího serveru, IP adresu, na které naslouchá apod. Ukázková hlavička jednoho z transparentních proxy serverů:
1.0 sq2.hartcom.net:3128 (squid/2.5.STABLE3). - X_FORWARDED_FOR – skutečná IP adresa klienta, může obsahovat hodnotu privátní adresy v lokální síti.
Pokud si chcete sami ověřit, co o vás druhá strana ví, můžete využít služeb některého z řady online testů soukromí. Za všechny jmenujme například PC Privacy Test na serveru 2Privacy.com či Proxy Judge Test ze stejného umístění. Druhá kontrola poskytuje výstup přímo v podobě jednotlivých, výše představených HTTP hlaviček – podobně tomu je také v případě testu na Tools.rosinstrument.com.
V rámci našeho testování jsme se nejprve zaměřili na skupinu specializovaných aplikací, jmenovitě utility Steganos Internet Anonym 2006, ArchiCrypt Stealth, WinSweep a GhostSurf. Přístup k jednotlivým HTTP hlavičkám jsme získali díky využití logů jednoho ze serverů vydavatelství Internet Info. V případě neanonymního přístupu z neveřejné IP adresy linkou Karnevalu záznam vypadal následovně:
proxy1.karneval.cz - - [10/Jan/2006:16:18:40 +0100] "GET /akce.phtml?ukaz=autori HTTP/1.0" 200 11598 "Mozilla/5.0 (Windows; U; Windows NT 5.1; cs-CZ; rv:1.7.12) Gecko/20050919 Firefox/1.0.7" X-Forwarded-for="10.76.131.100" Accept-Language="cs,en-us;q=0.7,en;q=0.3" Remote-Addr=81.27.192.18
Předán tedy byl název počítače proxy1.karneval.cz, detailní informace o použitém prohlížeči, hlavička X_FORWARDED_FOR odhalila privátní IP adresu a ušetřena nebyla ani položka REMOTE_ADDR. Díky názvu počítače s jeho IP adresou je možné snadno zjistit, že uživatel je klientem Karnevalu. To není zase tak špatný výsledek, z pohledu anonymity na tom jsou totiž nejhůře majitelé veřejných IP registrovaných na svou osobu – na každém webovém serveru pak zanechají prakticky svůj podpis. Hlavička obsahující popis použitého prohlížeče a operačního systému sama o sobě přímé riziko nepředstavuje, potenciálně však může dobře posloužit při bližší identifikaci uživatelova stroje, případně cíleném zneužití zranitelnosti v odpovídajícím softwaru. Každé odhalení privátní IP adresy v hlavičce X_FORWARDED_FOR napovídá o struktuře vnitřní sítě a IP je vázáno přímo na konkrétního uživatele (jako v tomto případě fyzického zákazníka Karnevalu).
Steganos Internet Anonym 2006
Homepage: Steganos.com
Screenshoty:
Tato zajímavá a snadno použitelná utilita od renomované společnosti Steganos využívá sítě anonymních proxy serverů, které dovoluje střídat dokonce po jedné vteřině. Ve výpisu webového logu se pak objeví pouze název použitého proxy serveru spolu s odpovídající IP adresou.
Steganos Internet Anonym dále nedává příliš šancí ani informacím hlavičky REFERER, zamezit lze také předávání informací USER_AGENT – kamufláž referuje pouze řetězec Anonymized by Steganos Internet Anonym 2006. Kompletní struktura logovaných údajů na našem serveru vypadala následovně:
ce7305-or-mde.orbitel.net.co - - [11/Jan/2006:09:49:50 +0100] "GET / HTTP/1.0" 302 0 "-" "Anonymized by Steganos Internet Anonym 2006" X-Forwarded-for="-" Accept-Language="cs" Remote-Addr=200.30.79.126
Bližším zkoumáním lze zkritizovat i vložení řetězce Anonymized by Steganos Internet Anonym 2006 – nikdo přece nemusí být explicitně upozorňován na to, že se skrýváme… Naopak z uvedené IP adresy cizího serveru štoural o naší osobě příliš nezjistí. O něco horší je to v případě neodstraněné hlavičky ACCEPT_LANGUAGE, kde alespoň přibližnou lokaci napovídá označení „cs“. Rychlost surfování dosahovala i při jednovteřinové rotaci proxy serverů slušných výsledků. Steganos Internet Anonym 2006 podporuje funkci optimalizace použití proxy serverů, kdy v předem stanovených časových intervalech kontroluje jejich rychlost.
ArchiCrypt Stealth
Homepage: Archicrypt-shop.com
Screenshoty:
Anonymizér ArchiCrypt Stealth zpočátku potěší především snadností obsluhy, posléze také schopnostmi skrýt uživatelovu identitu. Pro korektní funkčnost je zapotřebí změnit nastavení webového prohlížeče na surfování skrze proxy na localhostu (127.0.0.1) a implicitním portu 8080 (lze změnit). ArchiCrypt pak již sám přesměruje komunikace trasou přes vhodný anonymní proxy server.
Příjemná je možnost úmyslné modifikace některých hlaviček, viz například ukázka z testovacího logu:
210.91.119.199 - - [10/Jan/2006:16:52:28 +0100] "GET /style.css HTTP/1.1" 200 1021 "http://www.woko.cz/akce.phtml?ukaz=autori" "prohlizec" X-Forwarded-for="yahoo.com, microsoft.com, netscape.com, aol.com" Accept-Language="ak" Remote-Addr=210.91.119.199
Název i IP adresa počítače jsou opět pozměněny ku prospěchu anonymity surfaře, úspěšně dopadlo také podvržení hlaviček USER_AGENT (prohlizec), X_FORWARDED_FOR či ACCEPT_LANGUAGE. Díky možnosti změny těchto údajů dokáže být surfování nejen anonymní, ale také méně nápadné na první pohled – například v kontrastu s výše uvedeným upozorňováním Anonymized by Steganos Internet Anonym 2006. Surfování bohužel nebylo natolik svižné jako v případě Steganos Internet Anonym 2006 (alespoň s automaticky použitým proxy serverem během testu).
WinSweep
Homepage: Winsweep.net
Screenshoty:
Aplikace WinSweep slouží pro komplexnější úklid počítače a blokování reklam, mezi jeho funkcemi však nechybí ani možnost anonymního surfování skrze automaticky použité proxy servery. Pro nastavení webových prohlížečů si vytvoří skript automatické konfigurace a námi získané hlavičky vypadaly následovně:
83.175.203.222 - - [10/Jan/2006:17:23:10 +0100] "GET /akce.phtml?ukaz=autori HTTP/1.0" 200 11598 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; cs-CZ; rv:1.7.12) Gecko/20050919 Firefox/1.0.7" X-Forwarded-for="-" Accept-Language="cs,en-us;q=0.7,en;q=0.3" Remote-Addr=83.175.203.222
S odstraněním hlavičky o použitém prohlížeči si WinSweep problémy nedělá, přímo z programu přitom uživatele nečekají prakticky žádné možnosti nastavení anonymního surfování a výjimkou nejsou ani trable s funkčností používaných proxy serverů. WinSweep tedy naplňuje označení multifunkčního programu, kdy si širší nabídka možností vybrala svou daň právě na síle utajení – ze záznamu lze bohužel vyčíst použitý operační systém, odtušit přibližnou lokaci uživatele a získat přesné označení použitého prohlížeče…
GhostSurf 2005 Standard
Homepage: Tenebril.com
Screenshoty:
Tato utilita začínající uživatele dostatečně ochrání s pomocí implicitní konfigurace anonymního surfování, záznam našeho testovací web logu neodhalil prakticky žádné informace:
ev1s-66-98-226-42.ev1servers.net - - [10/Jan/2006:17:11:16 +0100] "GET /akce.phtml?ukaz=autori HTTP/1.0" 200 11598 "-" "-" X-Forwarded-for="-" Accept-Language="-" Remote-Addr=66.98.226.42
Jediné, co lze ze záznamu vyčíst, jsou název a IP adresa použitého serveru, zbytek hlaviček byl úspěšně odstraněn. Pokročilí uživatelé mohou přímo specifikovat libovolné hlavičky, které chtějí blokovat. GhostSurf se jeví jako univerzální řešení pro anonymní surfování, jelikož jak ve svém standardním nastavení, tak zejména s pokročilým blokováním libovolných hlaviček neprozradí o uživateli zhola nic.
Všechny testované aplikace si ohledně anonymizace uživatele vedly relativně dobře, do určité míry pokulhával pouze program WinSweep. Snadností použití se vytáhl Steganos Internet Anonym 2006, dvojice GhostSurf 2005 Standard a ArchiCrypt Stealth zase potěší možností ruční modifikace či blokování jednotlivých HTTP hlaviček. Příští díl se zaměří na možnosti anonymizace připojení bez nutnosti instalace specializovaných aplikací a zároveň shrne získané výsledky v podobě žebříčku.
