Pull to refresh

Comments 57

Неделя анонимности на Хабрахабре…
Предчувствую, что отнюдь не неделя
Ну так это же хорошо, ранее, я уже сравнивал технологии анонимности, возможно будет интересно habrahabr.ru/post/151934/
Это более, чем хорошо.
И ваша статья тоже интересна, только уже ряд данных подустарел.
Например я бы поспорил с такими «пятерками», которые получил Tor в вашей статье, как «доступ к полноценному интернету» и «трудность блокировки».
Мир меняется, согласен с вами, сейчас я бы туда добавил CJDNS
Вообще ничего хорошего.
Почему же? лучше встретить врага во все оружия
Аха, смотря под каким углом посмотреть.
Принудительное получение знаний, которыми необходимо овладевать из-за определенного тренда в направлении работы ряда государственных институтов в РФ?
Я правильно понял вашу реплику?)
Эммм, вы бы почитали вначале «параллельные» вашей статьи на хабре, хотя бы за последнюю неделю. Если сравнивать с ними (а там тоже всё далеко не идеально), то ваша статья является вообще никакой. Без обид пожалуйста, но у вас тут какой-то сумбурный неструктурированный поток отдельных тезисов из разных разделов безопасности. Причём ещё с какой-то непонятной системой оценок. Если бы я не был подробно знаком с данной темой, то я только больше запутался бы от вашего изложения.
У Вас там только пишут? Не читают? Хотя бы на банальные опечатки проверить, нет?

Регистрация через tor доступна?
Банально не хватает времени. Регистрация должна быть доступна, адреса никто не резал, но зеркала в onion и i2p пока нет.
(−) это дороже, так как требует выделения каждому клиенту отдельного IP-адреса
Есть такое волшебное слово NAT.
Только при этом будут проблемы с входящими соединениями (если только какой-нибудь костыль типа UPNP не использовать). А так же будут
проблемы с двунаправленными протоколами типа FTP (в active режиме), UDP connection tracking'ом и много еще с чем. Но это уже тема для отдельной статьи
Для защиты от XSS для Firefox можно пользоваться NoScript и RequestPolicy, а также Self-Destructing Cookie чтобы удалять лишние печеньки. В принципе этого набора плагинов вполне достаточно для качественного повышения анонимности I2P.
Аренда dedicated-сервера

Можно ведь VPS вместо целого сервера использовать. Останется только:
(−) хостер может отслеживать ваши IP-адреса, с которых вы делаете соединения на сервер

а для этого ещё один VPS
Возможно вопрос наивный, я в детали реализации биткоина не вникал, но, насколько я помню, в каждой транзакции биткоина хранится история предыдущих. Таким образом, если биржа, на которой вы купили биткоины заплатив обычной кредиткой находится под контролем спец.служб, то они запросто могут сопоставить вашу кредитку номеру транзакции; после чего затребовав у провайдера VPS информацию по данным биткоинов которыми платили за конкретный VPS они смогут легко определить, что предыдущая транзакция с этими биткоинами была на их бирже и таким образом привязать конкретный VPS к конкретной кредитке.
Что мешает проводить обмены? «Ты мне 100 — я тебе 100, друг друга мы не знаем» через специальный сервис?
Ничего. Теоретически можно даже ограничиться передачей на другой свой же счёт (но при регулярных платежах этот вариант может быть вычислен). Но суть в том, что это нужно не забывать делать.
> но при регулярных платежах этот вариант может быть вычислен
Насколько я знаю, кошельки можно генерировать в любых количествах.
Я о том, что если во всех платежах за VPN/VPS будет прослеживаться одна и та же цепочка: известно кто за кредику купил биткоины -> один и тот же неизвестный кошелёк биткоинов -> ежемесячный платёж за VPN/VPS, то будет несложно предположить, что этот «неизвестный кошелёк» принадлежит тому же юзеру, который и купил биткоины по кредитке.
В пору открывать обменник наличных на биткоины.
запретят скоро весь трансграничный шифрованный трафик и «аля-улю». Обяжут провайдеров DPI внедрять и приплыли.
Приватная режим браузера + flashblock + vpn дают практически полную анонимность, когда это внезапно оказывается нужно.
UFO landed and left these words here
Видимо, у каждого есть такой знакомый) И у меня тоже)))
Справедливости ради стоит отметить, что бывает разного рода анонимность, одно дело, когда ты, будучи рядовым обывателем Васей Пупкиным, зависающим вконтактике и постящим котиков в инстаграм, скрываешь свою личность и местоположение, что выглядит, естественно, глупо, другое дело, когда ты защищаешь свои финансовые и бизнес интересы, критичную и конкурентную информацию от шпионажа и утечек, а зная в каком «прихватизированном» государстве мы живем и какую, зачастую, роль играет, условное, ЗАО «ФСБ» в «развитии предпринимательства и малого бизнеса», то это вполне обоснованно… В конце концов, это как с бэкапами, одно дело, когда у обывателя слетел винт с единственной копией фотоархива котяток, другое дело, когда в твой офис врываются традиционные маски-шоу, нанятые конкурентами, и разносят всю технику со всеми документами и проектами в щепки… Другими словами — есть ситуации, когда такие меры обоснованны, а в нашей стране — особенно.
А как вам вариант того, что я «шифруюсь» (хотя никому и не нужен) просто потому, что если мне вдруг ДЕЙСТВИТЕЛЬНО понадобится что-то скрыть — это не будет выглядеть подозрительным? А также для того, чтобы помочь нуждающимся в защите потеряться на фоне «параноиков».
На самом деле всё ещё банальнее — никогда не знаешь заранее, что именно стоило бы скрыть в своём прошлом. Ну, типа, ты только что кого-то случайно убил, а 10 минут назад твой телефон залил фоточку в соц.сети, в которой прошиты твои координаты рядом с местом убийства, и теперь хрен получится организовать себе алиби. ;-)
Только ты затвитил «го на главную площадь, босса мочить!», а через 5 минут на Красной площади собирается несанкционированный митинг.
За 8 лет существования одноклассников, вконтактов, фейсбуков и твиттеров так и не понял их предназначение для простого пользователя, потому и не зарегистрирован там до сих пор. Видимо в проставлении лайков и ретвитах есть какой-то глубинный смысл…
UFO landed and left these words here
Это называется «социализация». У каждого человека есть потребность ощущать одобрение общества. Не понимание таких вещей, кстати говоря, не говорит в вашу пользу.
Ага, конечно. Раз его нет в фейсбуке, значит он социопат и потенциальный маньяк-убийца.

Интересно, а как эта «потребность ощущать одобрение общества» удовлетворялась до появления соц.сетей? Знаете, есть разница между человеком, у которого нет друзей, и человеком, у которого достаточно высокий IQ чтобы понять насколько вредно использовать соц.сети (начиная от пустой траты времени и заканчивая предоставлением кучи личных данных неизвестным третьим лицам).
Есть некоторая разница между отсутствием в социальных сетях(на то может быть уйма разных причин) и непониманием того, зачем они нужны. Да и ответ на ваш вопрос несколько очевиден — живым общением.
Вы сильно преувеличиваете IQ человека, который «понимает на сколько вредно использовать соц сети». Если IQ достаточно высок, то он достаточен для того что бы понимать что это инструмент. И как любой инструмент он несет большую пользу только тогда, когда используется так, как нужно, и когда нужно.
Если вы также не понимаете того, что и автор, рекомендую к гуглению: теория поглаживаний Эрик Берн
В том, что Вы говорите, безусловно есть смысл. Но по-моему дело не в этом. Вы говорите о непонимании зачем нужны соц.сети вообще, а я (и, возможно, pollitruk) говорю о непонимании зачем они нужны лично мне.

Более того, вопрос даже не в том, какая мне от них может быть польза, а о том, что вред от них пока что эту пользу с лихвой перевешивает. Я зарегистрирован в тех соц.сетях, от которых мне больше пользы, чем вреда (хабр, линкедин, одеск), и не зарегистрирован в остальных (твиттер, фейсбук, гуглплюс, вконтакт, одноклассники, etc.). Такой выбор определяется необходимостью публично обсуждать информацию относящуюся к работе, и отсутствием желания публично обсуждать личную информацию (как свою, так и чужую). Что касается твиттера, то мне просто не нравится его формат — я предпочитаю получать и передавать новости/информацию реже и бóльшими блоками, например в виде статей на хабре.
У вас неверные представления о социализации. Это лишь отказ от сомнительных современных публичных документируемых методов самовыражения. Но видимо нынешнему поколению «цифровой молодежи», которые называют теперь друзьями подписчиков в социальных сетях, не понять.
«Это лишь отказ». Это — что? Если вы о том, почему автор отказался от социальных сетей, то это не то, к чему относился мой комментарий. Он относится лишь к части «Видимо в проставлении лайков и ретвитах есть какой-то глубинный смысл… „
Это не мои неверные представления о социализации, это ваша неверная трактовка моего комментария. Это уже обсуждалось двумя комментариями выше.
Так же как и вас неверное понимание моего первоначального поста и неумение различать сарказм, раз вы предположили, что у меня тотальное непонимание для чего вообще нужны социальные сети.
так и не понял их предназначение

Помимо всего прочего, для меня соц.сети — это еще один очень широкий канал донесения и получения знаний.
Ну и конечно же в текущих реалиях — это очень хороший канал массового (или точечного, целевого, группового и т.д.) оповещения, как о текущих событиях и мероприятиях, так и о срочных известиях/действиях.
Это как минимум. Еще много чего, что может быть полезным
А «лайки и ретвиты» — это так, вспомогательная (но в отдельных случаях и крайне полезная) опция.
у FB есть одно интересное применение

некоторые программные e-book ридеры умеют шарить цитаты в Faсebook но не умеют шарить куда то еще вовне
если нужно иметь способ эти цитаты из них вытащить… авторизуем эту программу так что ее посты видно только себе(область видимости «только я»/«близкие друзья»(если есть и нормальный аккаунт зачем то) и шарим цитаты, затем через сервис типа IFTTT/Zapier эти цитаты отправляем туда где их им самое место

ну недостаток то понятен — заодно мы их шарим и с теми кто может из Facebook их получить + есть риск ошибки в настройках и все на публику + надо все таки этот аккаунт иметь, пусть с фейковыми данными

альтернатива правда — использовать читалку где такое не надо просто:
— Kindle(все, и подразуемевается что мы с разных устройств читаем) — все цитаты из книг Kindle Store на kindle.amazon.com/your_highlights (но к сожалению _только_ из книг Kindle Store, из загруженных в Kindle Personal Documents — надо чуть по другому)
— Marvin for iOS — да хоть Evernote прикрутить (или любой другой сервис — там это можно), либо просто после чтения экспортировать цитаты из книги(там можно и удобно)

можно и в других аналогичных случаях…
с академической точки зрения интересно, на практике — даже не знаю начерта оно надо. как показал мой опыт — найти, если нужно, можно любого человека, тем более государству, и анонимность ваша в сети этому не помеха.
а так, если надо что-то в сети сделать так, чтоб вас найти было сложнее, то левая симка, левый телефон (можно конечно халявным вайфаем ограничиться по нынешним временам), левый бук, левая машина, делать дело и все сжечь ) p.s. сарказм на основе шпионских кинолент и книг )
Вот вы смеётесь, а я знаю человека которому действительно это надо. Он очень парится на счёт собственной анонимности. Занимается чем-то мутным и с сомнительной законностью.
И я таких людей тоже знаю, хотя бОльшая часть из них просто в гангстеров и хакеров играет, но те, кому реально надо, используют по большей части описанный мной способ, а не работают из дома в надежде, что их не найдут.
(−) DNS запросы от имени клиента (firefox)


Настраиваемо. Я, например, в FF сразу же ставлю плагин Foxy Proxy. Он DNS запросы так же заворачивает на прокси.

Аренда dedicated-сервера


VDS\VPS вполне достаточно. Дедик для одного пользователя избыточен.

(−) сайт должен быть доступен в интернете. То есть анонимен только клиент, но не сервер.


Нет. См. .onion.

Честно говоря, уже поднадоели однотипные статьи в стиле «Я тут погуглил по инету на тему анонимности, вот резюме по нагугленному, сам не разбирался, но паццаны пишут, что...». Складывается впечатление, что вы (конкретно Вы и авторы подобных статей) просто пытаетесь набрать карму на волне общественного интереса к анонимизации.
Так позвольте дать Вам совет. Объединитесь с другими авторами, пишущими подобные статьи, соберите материал, проверьте его по мере возможности (ну ладно уязвимости криптоалгоритмов в исходниках выискивать, но самостоятельно померить скорости и не допускать фактологических ошибок в статье — вполне же реально) и выложите сообща одну статью\цикл статей со списком авторов внизу. Вот тогда будет толк. А то которая статья упоминает про ужасные штампы броузера, но ни в одной я не прочитал слово privoxy.
Я готов технически поддержать данное начинание и также вычитать перед публикацией.
(−) сильно дороже и в некоторых странах требует деанонимизации (паспорт, использование кредитной карты и т.д.)

AWS. Требуется только номер телефона, на который приходит звонок, и кредитная карта. Номер телефона создается при помощи левой симки, а карта создается при помощи qiwi через Tor с той же левой симки. Сразу после активации телефон и симка выбрасываются.

в некоторых странах

Вас же никто не заставляет в этих странах покупать сервер. И просят скан паспорта, а не сам паспорт. А скан паспорта изготавливается при помощи программы. (Вопрос к юристам: является ли такая хитрость преступлением с точки зрения законов РФ?)

(−) хостер может отслеживать ваши IP-адреса, с которых вы делаете соединения на сервер

Не может, если подключаться к серверу через Tor.

Итого, почти идеальная анонимность и обладание IP, не внесённым в черные списки, на самом деле почти бесплатна: бесплатный VPN (vpngate подойдет) + Tor + AWS. Во внешний интернет выход происходит только с AWS. Думаю, ресурсы, необходимые для слома такой анонимности, огромны. Чтобы кто-то стал этим заниматься (с неизвестным успехом), нужно сделать в Интернете что-то очень плохое (чего никто из нас не хочет сделать, разумеется). Повторюсь, для пользователя данная схема почти бесплатна.
>сделать в Интернете что-то очень плохое
Или что-то очень неприятное кому-нибудь достаточно влиятельному.
Я думаю, именно первый вариант. Чтобы раскрутить вышеописанную схему, нужно действовать официально, для чего нужна ситуация, когда кому-то нанесли ощутимый вред или собираются нанести. К примеру, преступник похитил человека и требует выкуп, а видео с места удержания транслирует через onion-сайт (хм, перед ним бы ещё поставить обычный сайт с обратным прокси на onion-сайт, чтобы полиции удобней было смотреть). Тогда есть минимальный шанс, что сами владельцы нод будут сотрудничать. Есть шанс, что глобальный наблюдатель «раскроет карты» по такому поводу и поможет выяснить расположение onion-сайта. Других способов сделать это нет (если преступник сработал чисто). Но вот представить, что владельцы нод или глобальный наблюдатель пошли навстречу из-за личных амбиций кого-то влиятельного — сомневаюсь. Если и могут, они могут сделать это только 1 раз, после чего их репутация будет испорчена и люди начнут пользоваться другими способами. Впрочем, кто-то влиятельный может убедить общественность в приоритете своих амбиций перед благом общества и тогда уже провернуть эту схему.

В общем, если не совершать преступлений, то и бояться нечего.
Смотря что называть преступлениями.
Из 1640 проголосовавших самый популярный ответ — «Никак. Я никому не интересен» — 67% (1105). Прекрасно понимать, что параноиков все же не так много даже на Хабре.
Спасибо за опрос.
А по-моему наоборот, 33% озабоченных в той или иной мере своей анонимностью это громадный процент.
Поставил галочку и там (кроме прочих ) подразумевая «…хотя я никому и не интересен».
Как верно подметил fossdev «преступление — понятие растяжимое, сегодня запретят одно, завтра запретят другое, сами не заметите как станете преступником». habrahabr.ru/post/190136
> Например, челюсти отвисали при виде закрытия за «наркотики» популярного сайта про игру EVE Online (на котором всего лишь описывалось применение вымышленных химических веществ к вымышленным персонажам) — а теперь законопроект запретит и информацию о способах использования «веществ, обладающих схожим с наркотическими средствами и психотропными веществами воздействием на организм человека».
Представляете, как такой закон может «прекрасно» сочетаться вот с этим habrahabr.ru/post/178773?

Ну или например отправили вы пару лет назад патчик разработчикам Tor или i2p и тут внезапно подпадаете под статью: habrahabr.ru/post/182150. И так далее.

> Прекрасно понимать, что параноиков все же не так много даже на Хабре.
Ну и что же тут прекрасного?
Only those users with full accounts are able to leave comments. Log in, please.