.gif)
Анонимные сети: VPN, Tor и I2P
Конфиденциальность и анонимность в сети зависят от защиты коммуникационного контента или метаданных от просмотра вашим ИТ-провайдером и другими внутренними злоумышленниками, а также информации, касающейся ваших личных данных или местоположения. Первый шаг - это защита вашего Интернет-соединения. По сути, вы не подключаете устройства напрямую к Интернету. Сначала вы подключаете их через автономный модем/маршрутизатор с помощью Ethernet и устанавливаете аппаратный межсетевой экран между модемом/маршрутизатором и устройствами. Это поможет предотвратить утечку личных данных и информации о вашем местоположении, а также защищает ваши устройства от взлома внешними злоумышленниками.
Хотя это и типичная профессиональная установка для широкополосной связи, практически никто не делает это для смартфонов. Но теперь это возможно с и .
Однако ИТ-провайдер и другие внутренние злоумышленники по-прежнему могут видеть IP-адреса, к которым вы получаете доступ, а также весь коммуникационный контент и метаданные. А удаленные злоумышленники по-прежнему могут видеть контент и метаданные, а также IP-адрес, назначенный вам ИТ-провайдером. Хотя приложения со сквозным шифрованием будут скрывать контент и некоторые метаданные, но они не скрывают локальные или удаленные IP-адреса.
Хорошо, как именно мы можем полностью скрыть контент, метаданные и IP-адреса?
По сути, должен быть посредник. Он должен вырезать IP-адреса. И весь трафик между нашими устройствами и посредником должен быть надежно зашифрован. Шифрование защищает практически всё необходимое от внутренних злоумышленников, за исключением времени и модель трафика, и, конечно же, IP-адреса посредника.
Посредник также скрывает ваш IP-адрес, назначенный ИТ-провайдером, от удаленных злоумышленников. Однако они по-прежнему могут видеть контент и метаданные, если вы не используете приложения со сквозным шифрованием. Даже в этом случае метаданные, необходимые для адресации и передачи, не могут быть скрыты. Так что лучше избегать метаданных, которые создают ассоциации с личностью или местоположением в реальном мире. То есть мы должны отделить наши онлайн-персонажи от личности в реальном мире. Этот вопрос рассматривается .
VPN-сервисы и анонимные прокси
Таких посредников обычно называют «анонимными прокси». Теперь это VPN-сервисы. Некоторые по-прежнему используют прокси HTTPS и SOCKS, но это ненадежно, потому что они могут пропускать IP-адреса пользователей на сайты. И даже Cloudflare VPN Warp намеренно делает это, потому что его цель - защита от внутренних злоумышленников.
Некоторые VPN-сервисы предлагают многоскачковую маршрутизацию для защиты от анализа трафика и вскрытия инфраструктуры. То есть прокси - это не просто отдельный сервер. Трафик направляется через несколько серверов, зачастую с разных континентов. Таким образом, злоумышленник не сможет увидеть трафик, взломав только один центр обработки данных или ИТ-провайдера.
Некоторые подчеркивают, что весь трафик между серверами VPN надежно зашифрован. И Perfect Privacy также утверждает, что ее опция NeuroRouting минимизирует не защищенные трафиком пользователей данные из Интернета, выбирая входной сервер рядом с пользователем и выходной сервер рядом с сайтом, к которому осуществляется доступ, возможно, в том же центре обработки данных.
Но вот в чем проблема: вы не можете рассчитывать на анонимный прокси, чтобы по-настоящему что-то скрыть. Это связано с тем, что невозможно узнать, какую информацию хранит он или злоумышленник, имеющий доступ к его инфраструктуре. Или с кем он сотрудничает или кем скомпрометирован. Вы вынуждены доверять ему или, по крайней мере, верить в безопасность его инфраструктуры.
Распространение информации и доверие
Действительно, нет защиты от всеведущих и всемогущих противников. Однако вы можете снизить риск компрометации путем распространения информации и доверия. Насколько нам известно, именно Дэвид Чаум первым отметил это в статье «Неотслеживаемая электронная почта, обратные адреса и цифровые псевдонимы», опубликованной в 1981 году:
«В этой статье представлено решение проблемы анализа трафика, основанное на криптографических алгоритмах с открытым ключом. Баран решил проблему анализа трафика для сетей, но требует, чтобы каждый участник доверял общественной власти. Напротив, системы, основанные на предложенном здесь решении, могут быть скомпрометированы только подрывной деятельностью или заговором целого ряда органов власти».
Хотя его способы реализации в данном случае не имеют значения, все системы, обеспечивающие значительный уровень анонимности, опираются на распространение информации и доверие.
- смешанная сеть ремейлеров (анонимной рассылки почты)
- Tor
- I2P
- вложенные цепочки VPN
- возможности для смартфонов
Смешанные сети ремейлеров
Подход Чаума к «неотслеживаемой электронной почте» был впервые реализован в сетях ремейлеров Mixmaster и Cypherpunk. Деликатный подход, потенциально очень эффективный при анализе трафика. Узлы создают задержку за счет кэширования сообщений. И они создают неопределенность, смешивая сообщения перед перенаправлением.
Однако сети были сложными, поэтому их использовали немногие. И это сделало их слишком ограниченными для эффективного сопротивления анализу трафика. Но они все еще существуют.
Tor
Tor был разработан для предоставления пользователям доступа к Интернет-ресурсам с малым временем задержки. И поэтому он не проводил кэширование или микширование. Будучи несколько децентрализованным, не является P2P-сетью. В настоящее время он около 6300 серверов, известных как реле. Около 3000 являются доверенными в качестве защиты, а около 1000 - как в качестве выходных узлов. Небольшая группа доверенных реле совместно предоставляет различные сервисы каталогов и аутентификации. В настоящее время имеет более двух миллионов .
Итак, в основном, после получения информации о реле от серверов каталогов, клиенты Tor создают цепочки для доступа к материалам. Для каждой цепочки клиент выбирает три реле: защиту входных узлов, среднее реле и реле выходного узла. Каждый клиент выбирает несколько защит входных узлов для постоянного использования. Это помогает защитить клиентов от массового наблюдения и деанонимизирующих атак со стороны вредоносных реле.
Начиная с защиты входных узлов, клиент Tor расширяет каналы, последовательно согласовывая ключи прямого и обратного шифрования с каждым реле, опираясь на открытый ключ реле для аутентификации и шифрования. Итак, что в итоге:
- «Каждое реле удаляет слой шифрования, используя виртуальный ключ пересылки в одном направлении».
- «Каждое реле добавляет слой шифрования, используя виртуальный обратный ключ в обратном направлении».
- «Один и тот же путь (цепочка) используется как для одного, так и для обратного направления».
- Защита входного узла видит IP-адреса клиента и промежуточного реле, но только зашифрованный контент.
- Среднее реле видит IP-адреса защиты и выхода, но только зашифрованное содержимое.
- Реле выходного узла видит IP-адреса среднего реле и пункта назначения, а также содержимое открытого текста.
Чтобы инициировать соединения с onion-сервисом, клиент сначала изучает точки ввода из распределенной хэш-таблицы. Затем он выбирает точку встречи и строит к ней цепочку. А затем он создает цепочку к одной из точек внедрения onion-сервиса и запрашивает соединение через выбранную точку встречи. И, наконец, onion-сервис прокладывает цепочку до точки встречи. Таким образом, и клиент, и onion-сервис являются анонимными. Однако у onion-сервисов есть возможность отказаться от анонимности и подключиться напрямую к точкам ввода и встречи.
Для лучшей защиты от деанонимизирующих атак существует надстройка . В «двухскачковом» режиме используются две защиты входного узла вместо одной. Хотя надстройка предназначена в основном для onion-сервисов, она также работает для клиентов. В настоящее время не является частью самого Tor и применяется в Python.
Теоретически Tor - один из самых анонимных рабочих вариантов. Но есть и повод для недоверия. На самом деле существует множество вредоносных реле. По крайней мере, некоторые просто осторожно избегают обнаружения. Но есть основания подозревать, что правительство США и его друзья могут использовать вредоносные реле с молчаливого одобрения некоторых сотрудников проекта Tor. Или разработчики Tor могут отложить исправление уязвимостей из уважения к государственным интересам. И даже если сам Tor не под серьезной угрозой, АНБ и другие злоумышленники могут регистрировать соединения со всеми защитами входных узлов Tor и реле выходных узлов.
Тем не менее, на наш взгляд, теоретически степень анонимности Tor слишком высока, чтобы полностью игнорировать его. Считаем, что он обеспечивает более высокий уровень анонимности, чем случайный VPN-сервис. В противном случае злоумышленнику потребуется полный контроль над всем трафиком Tor. Он может обеспечить более высокий уровень анонимности, чем вложенные цепочки VPN (и, возможно, даже Orchid). Но подключение напрямую к сети Tor слишком рискованно. Мы всегда используем Tor через вложенные цепочки VPN.
Цитируем :
«В отличие от Tor, VPN создают нам отличную легенду, например, - «Я использовал его для просмотра видео на Hulu» - намного безобиднее, чем «Я лишь пытался купить наркотики в Интернете»
I2P
Мы не так хорошо знакомы с I2P. Это в основном потому, что I2P плохо работает без открытых портов, и эта ситуация усложняется при использовании VPN-сервисов. Подробнее об этом ниже.
I2P предназначена для анонимной одноранговой (P2P) передачи данных, а не для анонимного доступа в Интернет. Тем не менее, есть несколько .
Сеть I2P была запущена как , которая, возможно, была первой P2P-платформой для цензуроустойчивой коммуникации:
«Первоначально I2P была запущена в феврале 2003 года как предлагаемая модификация Freenet, позволяющая последней использовать альтернативную транспортировку»...
Freenet полностью связана с P2P-контентом, и здесь нет механизма для доступа в Интернет. Но о ней стоит упомянуть хотя бы для того, чтобы отличить ее от I2P и Tor, а также в качестве предостережения.
Как и многие ранние P2P-сети, Freenet опирается, прежде всего, на «правдоподобное отрицание», а не на анонимность. То есть все одноранговые узлы могут подключаться друг к другу напрямую. Учитывая это, вредоносные одноранговые узлы могут кэшировать нелегальный контент, а затем регистрировать IP-адреса одноранговых узлов, которые имеют к нему доступ.
Freenet использует сложную стратегию шифрования и пересылки, чтобы скрыть отправителей и получателей от невинных посредников. Таким образом, возможно, любой партнер может правдоподобно заявить, что он всего лишь посредник, обрабатывающий контент со сквозным шифрованием.
Однако, учитывая данные журналов от вредоносных одноранговых узлов, злоумышленники могут обнаружить одноранговые узлы, которые обрабатывают незаконный контент. Далее они могут попытаться отличить отправителей и получателей от невинных посредников с помощью статистического анализа трафика. А затем могут их арестовать и привлечь к ответственности.
Это не теория. Полиция использовала модифицированную версию клиента Freenet - . А проект Freenet называет ерундой:
«Документы, первоначально опубликованные отделением полиции штата Миссури, знакомят с их усилиями по отслеживанию использования Freenet. Используя простую схему, они заявляют о почти полном отсутствии ошибок при отслеживании ими инициатора загрузки. Хотя мы и приветствуем всю общедоступную документацию об атаках, должны отметить, что заявленная эффективность их атак основана исключительно на неверной математике. На самом деле уровень ошибочности их метода составляет не менее 83%, а при решении задач реальной сложности он близок к 100%».
Может быть и так, но установят это в суде или нет, зависит от эксперта, который сможет убедить присяжных в том, что обвинение основано на «неверной математике». Скорее всего, это не так просто и, безусловно, дорого. Гораздо лучше избегать внимания. Мы не рекомендуем использовать Freenet, кроме как на полностью анонимном VPS, управляемом и доступном через вложенные цепочки VPN и Tor. Общий подход описан в статье , но без упоминания Freenet.
В любом случае, I2P также является P2P-сетью и поэтому потенциально уязвима для обнаружения однорангового узла и восприимчива к бессмысленным заявлениям об анализе трафика.
Однако I2P обеспечивает анонимность за счет многоэтапной «чесночной» маршрутизации, которую Майкл Фридман определил как расширение «луковой» маршрутизации. Действительно, сеть I2P чем-то похожа на «луковые» сервисы Tor, хотя специфика совсем другая. Одно из ключевых отличий заключается в том, что многоскачковые туннели I2P являются однонаправленными, тогда как многоскачковые цепочки Tor являются двунаправленными.
Сообщения I2P проходят K переходы через исходящий туннель, другие K переходы - через входящий туннель, причем значение K не превышает 3. Каждый одноранговый узел может определить, какое количество переходов будут использовать его входящие и исходящие туннели. По сути, чем больше переходов, тем выше уровень анонимности:
- Туннели без переходов … простое правдоподобное отрицание
- Туннели с 1 переходом … правдоподобное отрицание и базовый уровень анонимности
- Туннели с 2 переходами … повышаются затраты на установку атаки анализа трафика
- Туннели с 3 переходами … рекомендуется для высшего уровня защиты
Ключевое отличие состоит в том, что около 95% пользователей I2P, как сообщается, маршрутизируют трафик друг друга, и это рекомендуется для «помощи сети». Таким образом, практически все узлы I2P потенциально могут быть обнаружены вредоносными одноранговыми узлами, как и в случае с Freenet. Но, наоборот, данный клиент Tor соединяется только с серверами каталогов и лишь с несколькими защитами входных узлов. Таким образом, массовое наблюдение за клиентами Tor провести сложнее.
При сравнении I2P и Tor - или «чесночной» и «луковой» маршрутизации - иногда отмечают, что «чесночная» маршрутизация поддерживает кэширование и смешивание, а «луковая» маршрутизация - нет. Это привело к решению сделать туннели I2P однонаправленными. Таким образом, нет необходимости согласовывать общие прямые и реверсивные ключи, а туннели могут объединять несколько сообщений, «каждое со своими собственными правилами доставки».
Однако I2P v9.44 на самом деле не кэширует и не смешивает содержимое сообщения:
«Двумя основными механизмами, позволяющими людям, нуждающимся в строгой анонимности, использовать сеть, однозначно являются, маршрутизируемые без задержек «чесночные» сообщения и более широкие туннели, включающие поддержку объединения и смешивания сообщений. В настоящее время они планируются к выпуску 3.0, но в настоящее время туннели FIFO [first in, first out] и маршрутизируемые «чесночные» сообщения работают без задержек. Кроме того, версия 2.0 позволит настраивать и работать с ограниченными маршрутами (возможно, с доверенными узлами), а также обеспечить более гибкую и анонимную транспортировку».
Сравнивать Tor и I2P не совсем правильно. У Tor действительно в 200 раз больше пользователей: более двух миллионов у против «десятков тысяч» у I2P. Однако, как сообщается, 95% пользователей I2P маршрутизируют трафик друг друга, а у Tor всего около 6300 . Кроме того, хотя Tor возможно и больше, но нарушить секретность I2P сложнее, поскольку туннели I2P являются однонаправленными и маршрутизируются самостоятельно, тогда как каналы Tor - двунаправленные.
Другая проблема заключается в том, что разработчики I2P в основном , а Tor - нет. Это, возможно, снизит риск оказываемого на них давления. Но это также означает, что мы понятия не имеем, кто они. Так что нет никаких оснований доверять им больше, чем доверять Tor. И программное обеспечение I2P, и Tor имеют открытый исходный код.
Подведем итог. Как и в случае с Tor, подключение напрямую к сети I2P может быть слишком рискованным. Как и в случае с Tor, разумно подключаться через вложенные цепочки VPN.
Но вот в чем дело: с I2P это сделать сложнее.
I2P работает лучше всего тогда, когда одноранговые узлы могут подключаться к вашему узлу, потому что в этом случае вы не просто используете туннели, которые ваш узел создает для одноранговых узлов. А для этого необходимо разрешить входящие TCP и UDP-соединения на порт вашего узла с выходом в Интернет. Когда вы просто подключаетесь через широкополосный маршрутизатор, вы можете легко настроить переадресацию портов через его интерфейс WebGUI.
Когда вы подключаетесь через VPN-сервис, порт I2P должен быть открыт на сервере VPN и перенаправлен на ваш компьютер. Однако многие VPN-сервисы настраивают переадресацию портов для своих пользователей.
Чтобы узел I2P (маршрутизатор) мог подключаться к одноранговым узлам, он должен знать (среди прочих данных) их IP-адреса. Маршрутизаторы загружают свою контактную информацию в распределенную базу данных (netDb), которая делает ее доступной для других маршрутизаторов. И они также могут обновлять netDb по мере необходимости и отмечать свою контактную информацию как измененную.
Однако не всегда маршрутизаторы проверяют наличие обновлений nedDb. Они часто проверяют обновления при запуске, но только до тех пор, пока не получат информацию о достаточном количестве доступных маршрутизаторов.
Пока у вас один IP-адрес выхода VPN-узла, всё должно работать хорошо. Но если он меняется слишком часто, доступность узла для одноранговых узлов может быть затруднена.
Вложенные цепочки VPN
Как отмечалось выше, вы не можете рассчитывать на отдельные VPN-сервисы, чтобы по-настоящему что-то скрыть. Многоскачковая маршрутизация помогает защитить от злоумышленников. Но суть в том, что вы по-прежнему доверяете провайдеру, как и доверяли бы своему ИТ-провайдеру.
И будет не лучше, если вы создадите собственный VPN. Вы по-прежнему бы продолжали доверять центру обработки данных, в котором размещен ваш VPS или сервер, и ИТ-провайдеру. Кроме того, вы, вероятно, будете единственным пользователем VPN, а это значительно упростит анализ трафика.
Однако, как и в случае с Tor и I2P, вы можете снизить риск угрозы, распределяя информацию и доверие между несколькими VPN-сервисами. То есть можно использовать вложенные цепочки. Как и в случае цепочек Tor и туннелей I2P, каждый VPN в цепочке видит только то, откуда и куда идет трафик. Таким образом, чтобы найти и идентифицировать вас, а также связать вашу личность с вашей онлайн-активностью, злоумышленникам потребуются данные от большинства или всех VPN в вашей сети. По опыту, вложенные цепочки с 4-5 VPN-сервисами работают надежно. А деанонимизация таких вложенных цепочек VPN, скорее всего, потребует значительных усилий.
Для этого необходимы виртуальные машины (ВМ), потому что вы можете создавать изолированные среды для различных целей. Это еще один аспект разделения, о котором можно прочитать . , пожалуй, самый безопасный вариант разделения. Однако существуют строгие требования к оборудованию, и это, вероятно, уже чересчур, если только вы не станете мишенью изобретательных противников.
С помощью VirtualBox вы можете создавать виртуальные машины маршрутизатора для Tor, I2P и VPN-сервисов. А путем последовательного подключения виртуальных машин маршрутизатора вы можете направлять трафик через Интернет удобным вам способом. Вы также можете создать несколько виртуальных машин рабочей станции. Таким образом, у каждого из ваших персонажей будет своя собственная виртуальная машина. И у каждой из этих ВМ будет выход в Интернет через свою собственную цепочку маршрутизации.
Для более высокого уровня конфиденциальности вы, скорее всего, использовали бы Linux или BSD на своих ВМ рабочей станции. Но вы также можете использовать Windows, Android или даже (с некоторой натяжкой) MacOS. Разнообразие также защищает от опасной уязвимости: снятия отпечатков пальцев WebGL.
По сути, отпечатки пальцев WebGL зависит от графического оборудования хоста, а также от графического драйвера ВМ. Поэтому, если у вас есть ВМ Debian и Ubuntu, работающие на одном хосте, браузеры в обоих случаях будут иметь одинаковый отпечаток пальцев WebGL. Это потому, что они используют один и тот же драйвер виртуальной графики и одно и то же графическое оборудование.
По тем же причинам это верно и для двух ВМ Centos, двух ВМ TrueOS (FreeBSD), двух ВМ Windows, двух ВМ MacOS и т.д. Однако для любого из этих типов операционной системы ВМ на разных хостах будут иметь разные отпечатки WebGL. И на данном хосте каждый тип ОС также будет иметь свой отпечаток WebGL. Даже в этом случае запуск нескольких ВМ с данным типом ОС достаточно безопасен, если отключите WebGL в браузерах.
Важно помнить, что хост-машине всегда доверяют больше всего. ВМ (они же «гости») вообще не защищены от хост-машин. Это всего лишь программное обеспечение. И наоборот, хост-машины относительно хорошо защищены от ВМ. Таким образом, хост-машины должны быть защищены от Интернета. И использовать их для чего-либо, кроме запуска ВМ, рискованно.
Как и в случае с машинами в целом, добавление ВМ межсетевого экрана/маршрутизатора снижает доверие к ВМ рабочего пространства, создавая DMZ (обособленный сегмент сети) между ней и Интернетом. Но даже в этом случае уровень доверия ВМ ниже, чем хост-машинам.
Кроме того, существуют эксплойты для выхода с виртуальных машин на хост. Поэтому, если вы делаете что-то особенно сомнительное, например, пользуетесь вредоносными программами или взаимодействуете с людьми, которые пользуются вредоносными программами, лучше всего изолировать эти виртуальные машины на другом хосте.
Принцип динамических вложенных цепочек VPN, возможно, обеспечивает более высокий уровень анонимности, чем принцип использования ВМ pfSense в качестве шлюзов VPN. Потому что цепочка периодически меняется, возможно, каждые несколько минут, а не статична. И с Whonix это работает так же легко. Кроме того, хотя для этого требуется утомительное копирование файлов конфигурации OpenVPN, в целом это менее сложно, чем настройка нескольких ВМ pfSense. Поскольку каждый клиент OpenVPN не разделен на отдельную ВМ, вы можете последовательно подключить несколько ВМ маршрутизатора Debian, каждая из которых имеет короткую динамическую цепочку VPN.
Как и в случае с pfSense, вы должны использовать разные VPN-сервисы для каждого уровня вложенной цепочки. Если хотите, вы можете постоянно использовать одни и те же, первый и последний VPN-серверы в своих цепочках, потому что это, скорее всего, привлечет меньше внимания. И вы можете выбрать VPN с выходными узлами, которые сайты обычно не блокируют.
Вы даже можете включить Perfect Privacy с активированной функцией NeuroRouting, например, используя ВМ шлюза pfSense. И, возможно, даже в сочетании с локальными динамическими вложенными цепочками VPN. Таким образом, вы сможете использовать хитро меняющуюся маршрутизацию в Интернете.
Независимо от того, как вы маршрутизируете свой трафик, важно помнить, что злоумышленники с возможностью повсеместного перехвата могут идентифицировать и определять местонахождение конечных точек трафика. Пока злоумышленник контролирует одно место соединения - например, сайт, к которому вы подключаетесь, или устройство, которое подключается к вашему сайту, - он может создавать уникальные шаблоны трафика. И затем он может искать доступные перехваты в поисках этих шаблонов.
Перехваты обычно захватывают трафик между различными сетями, образующими Интернет. Таким образом, как только злоумышленник идентифицирует крупномасштабную сеть источника и/или назначения для вашего трафика, он может искать перехваченный трафик среди участков этой сети. В иерархической системе маршрутизации он может в конечном итоге вычислить вашего ИТ-провайдера. И если он может осуществлять внутренние перехваты от этого провайдера, то в конечном итоге может найти вас. Рекомендуем получить необходимые данные у ИТ-провайдера.
Однако вряд ли АНБ будет заниматься этим в отношении каждого анонимного труса.
Возможности для смартфонов
Многие VPN-сервисы предоставляют клиентов для Android и iOS. И наконец-то доступен для Android. Этого никогда не случится с iOS, потому что он поддерживает только код Safari.
В качестве альтернативы есть долгожданное приложение для Android (возможно, скоро появится для iOS). Это сеть VPN с несколькими провайдерами, с динамической многоскачковой маршрутизацией и выбором маршрута на основании репутации. У пользователей есть возможность купить пропускную способность анонимной (как заявлено) криптовалютой на базе Etherium.
Orchid может обеспечить конфиденциальность и анонимность, которые, по крайней мере, сопоставимы с самодельными вложенными цепочками VPN, и, возможно, с Tor. Тем самым вы распространяете информацию и доверяете нескольким провайдерам, анонимно получающим оплату. И очевидно, что это намного меньше работы, чем вложенные цепочки VPN. Но, как и в случае с Tor, есть обратная сторона доверия сложной системе, которую вы, вероятно, до конца и не поймете.
Однако уровень безопасности современных смартфонов настолько низок, что использование таких инструментов, возможно, создает лишь иллюзию безопасности, конфиденциальности и анонимности. Но есть надежда. С помощью или вы можете запустить мобильный дистрибутив Linux и защитить интернет-соединение. По сути, вы заглушаете сотовую связь и Wi-Fi устройства и используете привязанный к Ethernet Wi-Fi-маршрутизатор или даже LTE модем.
Имея Linux на защищенном оборудовании, вы можете использовать некоторые из рассмотренных выше принципов обеспечения надежной конфиденциальности и анонимности. Однако вы не можете просто установить какой-либо дистрибутив Linux на смартфоны. Это связано с тем, что Linux был разработан для процессоров x86-64 от Intel и AMD, тогда как SoC для смартфонов имеют ядра процессора ARM. SoC Librem 5 и PinePhone имеют четыре 64-битных ядра Cortex A53.
И поэтому все должно быть скомпилировано для ARM после настройки исходного кода. Это большая работа, а разработчики пока еще только работают над основными параметрами. Хотя многие одноплатные компьютеры (например, Raspberry Pi) также имеют ядра ARM, существуют и особенности, поэтому нельзя просто использовать созданные для них приложения. Но, по крайней мере, мы знаем, что это осуществимо.
Одно ограничение очевидно: эти ARM SoC не поддерживают виртуализацию. Поэтому, если вы хотите отделить шлюзы VPN и Tor от своего рабочего места, вам нужно будет использовать маршрутизаторы, привязанные к Ethernet. Но придется таскать с собой тяжести. Хотя если маршрутизаторы небольшие и помещаются в чехол, у вас просто будет более толстый телефон.
Кроме того, вы можете выполнить двойную загрузку PinePhone, переключив SD-карту. Таким образом, вы можете разделить персонажей на разные SD-карты и использовать разные настройки анонимности для каждого.
Пока нет достоверной информации о смартфонах с процессорами ARM. Поэтому пока что поделимся своими соображениями. Если удастся что-либо узнать без разоблачения, в будущем появится полное руководство по данному вопросу.
Похоже, что система Ubuntu Touch включает OpenVPN, который вы можете настроить в терминале. Однако неудивительно, что в ней также есть и сетевой менеджер. И это, вероятно, будет проблема, если совершать необычные действия при помощи VPN-сервисов. Так что возможно придется отключить программу управления сетью.
Многие пользователи задаются вопросом о взаимодействии браузера Tor и Ubuntu Touch. Но разработчики говорят, что это «не рассматривается как основная цель». Поскольку однажды удалось скомпилировать браузер Tor для Raspberry Pi, мы уверены, что это выполнимо. В конце концов, проект Tor управляет им для Android на ARM SoCs.
Для PinePhone в разработке находится, по крайней мере, 25 мобильных дистрибутивов Linux и BSD.
Если ваш мобильный дистрибутив Linux включает OpenVPN, вы можете использовать любой VPN-сервис на основе OpenVPN: односкачковый, многоскачковый или Perfect Privacy с функцией NeuroRouting. Вы даже можете использовать Orchid, как только они выпустят приложение для Linux на 64-битных ядрах Cortex A53.
Крайне важно иметь правила iptables, не позволяющие трафику обходить VPN-туннель. Если ваш мобильный дистрибутив Linux включает пакет iptables-persistent, это самый простой подход. Сначала установите его:
# apt -y install iptables-persistent
Если вам не нужен IPv6, лучше просто заблокировать его. Вы редактируете набор правил IPv6 следующим образом:
# nano /etc/iptables/rules.v6
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
COMMIT
Затем перезагрузите его:
# ip6tables-restore < /etc/iptables/rules.v6
Интерфейс туннеля VPN, скорее всего, будет tun0. И в старых версиях интерфейс LAN, скорее всего, будет enp0s3 или eth0. Но проверьте:
# ip a
Также получите IP-адрес VPN-сервера:
# netstat -natp | grep -e "Proto" -e "openvpn"
Затем создайте набор правил iptables, который разрешает вывод через интерфейс LAN только на сервер VPN (w.x.y.z), а все остальное - через туннель VPN:
# nano /etc/iptables/vpn-rules.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -o enp0s3 -d w.x.y.z -j ACCEPT
-A OUTPUT -o tun0 -j ACCEPT
-A OUTPUT -j DROP
COMMIT
Затем загрузите набор правил VPN:
# iptables-restore < /etc/iptables/vpn-rules.v4
Каждый раз, когда вы перезагружаете устройство, будут загружены правила iptables по умолчанию (rules.v4 и rules.v6). Итак, вам нужно загрузить набор правил VPN.
Вложенные цепочки VPN
В случае с OpenVpn вы также можете внедрить статические, динамические или . Вы можете сделать это в самом телефоне или в отдельном маршрутизаторе, что более безопасно. Таким образом, взломанные приложения не смогут легко обойти цепочку VPN и позвонить домой.
Перед внедрением вложенных цепочек VPN в телефон вам, вероятно, потребуется программа управления сетью, иначе он будет мешать. Также нужно будет установить утилиту iptables-persistent и заблокировать трафик IPv6, как описано выше для VPN-сервисов.
Также необходимо удалить правила переадресации из vpn-rules-base.v4. Для сетей с двумя VPN-сервисами нужно использовать это:
# nano /etc/iptables/vpn-rules-base.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -o enp0s3 -d VPN0 -j ACCEPT
-A OUTPUT -o tun0 -d VPN1 -j ACCEPT
-A OUTPUT -o tun1 -j ACCEPT
-A OUTPUT -j DROP
COMMIT
Обратите внимание, что VPN0 и VPN1 являются обычными плейсхолдерами. Сценарии используют файл для создания фактического набора правил iptables для данной комбинации серверов VPN. Мы тестировали это на ВМ Debian, поэтому он должен работать в мобильных дистрибутивах Linux, которые включают OpenVpn.
Браузер Tor
Если ваш мобильный дистрибутив Linux включает браузер Tor, то установка очень проста. Вы просто скачиваете и распаковываете архив куда хотите. Затем открываете терминал в папке tor-browser_ [locale] и запускаете ./start-tor-browser.desktop --register-app, чтобы добавить браузер Tor в меню приложений.
Если браузер Tor недоступен, вы можете собрать его из исходного кода.
В любом случае есть ограничения и уязвимости:
- клиент Tor работает только при запущенном браузере Tor
- другие приложения не настроены для использования Tor
- нет защиты от приложений в обход Tor
Обычно можно использовать iptables для блокировки всего исходящего трафика, кроме трафика от клиента Tor. Для этого требуется, чтобы клиент Tor был запущен от имени собственного пользователя, такого как debian-tor. И браузер Tor запускает клиент Tor как пользователь, зарегистрированный в системе.
Но если ваш мобильный дистрибутив Linux включает пакет iptables-persistent, есть обходной путь, хотя и несколько недоработанный. Сначала установите iptables-persistent и заблокируйте трафик IPv6, как описано выше для сервисов VPN.
Затем, после установки и запуска браузера Tor, проверьте, к каким реле подключается клиент Tor:
# netstat -natp | grep -e "Proto" -e "tor" | grep -v "127.0.0.1"
Возможно, вы увидите до шести внешних IP-адресов (a.b.c.d, e.f.g.h и т.д.), которые являются реле Tor. Затем создайте набор правил iptables IPv4, который разрешает вывод только на эти реле Tor:
# nano /etc/iptables/tor-rules.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -d a.b.c.d -j ACCEPT
-A OUTPUT -d e.f.g.h -j ACCEPT
...
-A OUTPUT -j DROP
COMMIT
Затем загрузите правила Tor:
# iptables-restore < /etc/iptables/tor-rules.v4
Браузер Tor должен по-прежнему работать, но никакие другие приложения не должны выходить в Интернет.
Каждый раз, когда вы перезагружаете устройство, будут загружаться наборы правил iptables по умолчанию (rules.v4 и rules.v6). Итак, вам нужно загрузить tor-rules.v4 перед использованием браузера Tor. Если защита входа, выбранная браузером Tor, становится недоступной, вам необходимо добавить новую защиту в свой набор правил Tor. Просто загрузите набор правил IPv4 по умолчанию:
# iptables-restore < /etc/iptables/rules.v4
При открытом браузере Tor посмотрите, к каким реле подключается клиент Tor:
# netstat -natp | grep -e "Proto" -e "tor" | grep -v "127.0.0.1"
Затем добавьте любые новые в свой набор правил Tor.
VPN + браузер Tor
Также довольно легко маршрутизировать браузер Tor через VPN. Если вы используете только один клиент VPN, интерфейс туннеля VPN, скорее всего, будет tun0. И интерфейс LAN, скорее всего, будет enp0s3 или eth0 в старых версиях. Но проверьте:
# ip a
Также получите IP-адрес VPN-сервера:
# netstat -natp | grep -e "Proto" -e "openvpn"
Сначала установите iptables-persistent, заблокируйте трафик IPv6 и запустите VPN-сервис, как описано выше. Затем, после установки и запуска браузера Tor, определите, к каким реле подключается клиент Tor, как описано выше.
Затем создайте набор правил iptables, который разрешает вывод только на сервер VPN (w.x.y.z) через интерфейс LAN и только на реле Tor (a.b.c.d, e.f.g.h и т.д.) через туннель VPN:
# nano /etc/iptables/vpn-tor-rules.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -o enp0s3 -d w.x.y.z -j ACCEPT
-A OUTPUT -o tun0 -d a.b.c.d -j ACCEPT
-A OUTPUT -o tun0 -d e.f.g.h -j ACCEPT
...
-A OUTPUT -j DROP
COMMIT
Затем загрузите набор правил VPN+Tor:
# iptables-restore < /etc/iptables/vpn-tor-rules.v4
Каждый раз, когда вы перезагружаете устройство, будут загружены правила iptables по умолчанию (rules.v4 и rules.v6). Итак, вам нужно загрузить набор правил VPN+Tor. Если защита входа, выбранная браузером Tor, становится недоступной, вам необходимо добавить новую защиту в набор правил VPN+Tor. Просто загрузите набор правил IPv4 по умолчанию:
# iptables-restore < /etc/iptables/rules.v4
При открытом браузере Tor посмотрите, к каким реле подключается клиент Tor:
# netstat -natp | grep -e "Proto" -e "tor" | grep -v "127.0.0.1"
Затем добавьте любые новые в набор правил VPN+Tor и загрузите его:
# iptables-restore < /etc/iptables/vpn-tor-rules.v4
Вложенные цепочки VPN + браузер Tor
Вы также можете маршрутизировать браузер Tor через . Если вы используете отдельный маршрутизатор (который более безопасен), вы можете просто настроить его, как указано.
Если вы хотите, чтобы в телефоне было все, сначала включите в телефоне вложенные цепочки VPN, как указано выше. После установки и запуска браузера Tor определите, к каким реле подключается клиент Tor, используя информацию выше.
Затем остановите браузер Tor и вложенные цепочки VPN, настройте vpn-rules-base.v4, чтобы разрешить вывод только на реле Tor (a.b.c.d, e.f.g.h и т.д.) через tun1:
# nano /etc/iptables/vpn-rules-base.v4
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A INPUT -j DROP
-A FORWARD -j DROP
-A OUTPUT -s 127.0.0.1/32 -d 127.0.0.1/32 -j ACCEPT
-A OUTPUT -m conntrack --ctstate ESTABLISHED -j ACCEPT
-A OUTPUT -o enp0s3 -d VPN0 -j ACCEPT
-A OUTPUT -o tun0 -d VPN1 -j ACCEPT
-A OUTPUT -o tun1 -d a.b.c.d -j ACCEPT
-A OUTPUT -o tun1 -d e.f.g.h -j ACCEPT
...
-A OUTPUT -j DROP
COMMIT
Обратите внимание, что VPN0 и VPN1 являются плейсхолдерами. Сценарии используют файл для создания фактического набора правил iptables для данной комбинации серверов VPN.
Запустите вложенные цепочки VPN, затем, как только они заработают, - браузер Tor.
Whonix
Теоретически вы можете настроить промежуточный маршрутизатор (между модемом и телефоном) как шлюз Whonix, а смартфон как рабочую станцию Whonix. В настройке переадресация между шлюзом Tor и рабочей станцией по каналу Ethernet запрещена. Шлюз просто предоставляет Tor SocksPorts для рабочей станции. Это не просто прозрачный прокси-сервер Tor. Он заставляет приложения на рабочей станции правильно использовать Tor и не позволяет им обходить Tor. Кроме того, если рабочая станция находится под угрозой вредоносного ПО, она не сможет легко проверить файловую систему с помощью клиента Tor.
Разработчики Whonix предоставляют инструкции по установке шлюза Whonix на Raspberry Pi 3B. Что-то подобное, скорее всего, подойдет для маленьких маршрутизаторов на базе ARM. Или вы можете просто использовать Pi 3B.
В качестве альтернативы можно использовать два промежуточных маршрутизатора, первый из которых подключается через вложенные цепочки VPN, а второй в качестве шлюза Whonix. В этом случае у вас будет три маленьких коробочки, помимо смартфона (модем и два роутера). Можно также взять обычный чехол на липучке и прикрепить его к телефону.
Предположительно, тот же работает и для рабочей станции Whonix, поэтому вполне можно установить её на свой смартфон. Однако сложилось впечатление, что SoC ARM для смартфонов отличаются от произвольных систем ARM, поэтому здесь мало шансов на успех.
Рабочая станция Whonix намного проще в использовании и, возможно, гораздо более безопасна, чем случайный дистрибутив Linux с браузером Tor и другими скомпилированными приложениями, который просто настроен на использование отдельного шлюза Tor.
Разработчики Whonix рекомендуют не устанавливать рабочую станцию Whonix непосредственно на оборудование, поскольку «серийные номера оборудования будут видны» системе. Однако непонятно, чем это может быть хуже, чем просто открыть браузер Tor в телефоне.
