В статье “Анономность в Сети: отличить настоящее от мнимого” анонимный комментатор оставил свой комментарий под № 11 с предложениями, касающимися безопасности наших читателей и комментаторов при работе с “Нави”. Мы попросили нашего системного программиста Алекса Шатловского прокомментировать эти предложения. Текст комментарора № 11 набран курсивом, текст А.Шатловского – полужирным.
***
\»Заинтересованная\» сторона может узнать не только Ваш IP, но другую информацию (например, на каких сайтах Вы бываете) и без обращения к г-ну Мизинову. Достаточно им обратиться в Казахтелеком и установить \»прослушивающее\» устройство с фильтрацией на ключевые слова или на выбранные сайты (ничего сложного в этом нет). Ну а потом, как говорится дело техники. Кто даст гарантии, что казахстанский вариант российской системы СОРМ-2 (поищите в Интернете об этой системе) или американской ECHELON не реализован в стране?
В целом, так оно и есть. Установить программу для анализа посещения пользователем ресурсов не составляет труда.
Все в дело в том, что трафик (обмен данными) от Вашего компьютера до посещаемого сервера обычно передается в открытом виде. Сюда входят электронные адреса, пароли к почтовым ящикам и т.д. и т.п. Так что, если г-н Мизинов и \»порядочный\» человек, а его \»система\» надежная , то это еще ничего не значит в отношении компьютерной безопасности, которая Вас беспокоит.
1) Если трафик передается в незашифрованном виде (а так оно обычно и бывает), то перехватить его не составляет труда.
2) Если трафик зашифрован, то, по крайней мере, можно выяснить к какому ресурсу обращался данный пользователь в данное время и какой объем данных был передан. Также существует возможность прослушки типа \»хакер между\», когда шифрованное соединение перехватывается на этапе соединения. Таким образом шифрация теряет свой смысл.
100% анонимности в сети не бывает, но есть средства, с помощью которых можно стремиться к этой величине… Например, Мизинов мог бы сделать возможность подключения посетителей к его сайту по соединению SSL. Может быть, Вы уже сталкивались с таким соединением. Это когда вместо http:// Вам приходилось набирать https://. Как правило, все системы \»интернетовских\» платежей проходят по данному протоколу. При применении подключения по SSL весь трафик будет шифроваться, и тогда любителям подслушивать достанется только \»абракадабра\» из набора символов. Вот только тогда и встанет вопрос \»порядочности\» и \»надежности\» Мизинова, который все же будет знать Ваш IP.
SSL не спасет от перехвата IP пользователей, поскольку обращение к сайту фиксируется по факту установления соединения между IP пользователя и IP сервера. Как было замечено, это соединение используется при проведении платежей. Делается это не для повышения анонимности юзера, а для защиты его персональных данных от сторонних наблюдателей (номера кредиток и т.п.).
Один из советов — применять прокси-сервера с SSL-соединением. В таком случае ни Мизинов, ни кто-либо другой не будет знать о Ваших интернет-пристрастиях. При использовании же обычного прокси трафик до прокси \»проходит\» не защищенным со всеми вытекающими отсюда последствиями и с помощью него можно будет только скрыть свой IP (кстати не все прокси реально скрывают IP-адрес). Но для Интернет-провайдера ничего не мешает перехватывать трафик (т.е. всю информацию, которую компьютер посылает и принимает) на участке компьютер — прокси-сервер.
Да, теоретически это должно обеспечить некоторое увеличение анонимности. Но, вместе с тем, серьезно увеличится нагрузка на наш сервер. Более точные данные можно получить экспериментально.
Есть, конечно, и другие способы защититься… В современном \»злом\» мире не лишне защищаться не только от вирусов, но и от тех, кто любит заглядывать в замочную щелку. Кстати, если Вы пользуетесь эл. почтой и отсылаемая/получаемая информация very sensitive, то выбирайте почтовые ящики, которые позволяют работать с SSL-соединением. Например, gmail.com. А письма пишите, используя программу шифрования PGP…
Тут хочу лишь заметить, что излишняя шифрация скорее привлечет внимание органов, нежели посещение нежелательных ресурсов. Более того, насколько мне известно, в РФ например применение несертифицированных средств шифрации запрещено законом (PGP, разумеется, в число разрешенных не входит). Однако, этот вопрос лучше задать юристам.
Такие дела.
С уважением,
А.Н.Шатловский
***
От редакции. Следует отметить, что существуют также и “организационные” методы защиты, которые могут быть весьма эффективны. Но здесь говорить об этом мы не будем.