Про блокировки, анонимность и VPNы. Скромный ликбез в понятных словах.
Комментарии к одному из постов в сегодняшнем "Горячем" натолкнули меня на написание сего опуса. Я считаю, что информационная грамотность любого пользователя сети это не менее важно, чем экономическая или правовая грамотность гражданина, позволяющая понимать некоторые механизмы, которые используются для того, чтобы его, этого гражданина, когда надо поиметь.
Поэтому, я постараюсь максимально понятно и "на пальцах" рассказать как идентифицируют в сети пользователей и почему анонимность это не столько программное обеспечение, но в первую очередь - комплекс мер, а так же как все это работает и как поднять уровень безопасности своего пребывания в сети.
*Дисклеймер для IT-специалистов - я знаю что такое СОРМ, DPI и прочие страшные слова, так же повествование не охватывает граничные ситуации, но все это выходит за рамки этого поста и интересно только нам, коллеги.*
Итак, начнем с самого популярного в народе и известного - "по IP". Как раз для отсечения этого способа контроля используются различные "анонимайзеры" и VPNы.
IP - это логический адрес в сети, который позволяет адресовать данные конкретному устройству. Он не обязательно уникален, но большинство провайдеров в России все-таки выдают адрес, который в конкретный момент времени принадлежит конкретному пользователю и является уникальным в масштабах интернета.
Для облегчения понимания, можно представить такой уникальный адрес как адрес частного дома в поселке, где один адрес принадлежит одной семье, без всяких уточнений. В этом случае, найти хозяина по адресу проблемы не представляет. Даже если адреса менялись, это делается достаточно редко (при каждом подключении к сети) они остаются в реестре адресов (логах) и при необходимости всегда можно восстановить его хозяина на конкретный момент времени.
Тем не менее, до сих пор провайдеры достаточно часто используются технологии, позволяющие на один адрес адресовать множество устройств. Это экономит адресную емкость, которая конечна и стоит денег. О ней вы возможно слышали как о NAT.
В таком случае, вам выдается адрес, уникальный только для вашей локальной сети, а вышестоящий сервер обеспечивает адресацию от вашего имени в общую сеть. Продолжая абстракцию с домами, это многоквартирный дом, а у вас в нем - квартира. У него есть общегородской уникальный адрес, номера квартир уникальны только в рамках одного дома. В каждом или почти каждом доме есть квартира №2, но в каждом доме в ней живут разные люди. Причем отправить данные можете только вы, тогда за вами на некоторое время "почтовый ящик" с условным номером, не совпадающим с номером квартиры и постоянно разным, который и будет вашем адресом в конкретный момент.
В таком варианте отследить вас уже немного тяжелее, т.к. в общем случае получить можно только адрес дома, потому что тайна адресации внутри этого дома (соответствие ящикам и квартирам) - прерогатива самого дома и он никому об этом напрямую не рассказывает.
С помощью различных тоннелей и сетей анонимизации можно изменить свой адрес в сети. Фактически это работает следующим образом - между вашим и удаленным компьютером устанавливается соединение и все данные от вас начинают идти через удаленный компьютер, который, в свою очередь, уже пересылает эти данные в сеть, получает ответы и пересылает обратно вам. Продолжая аналогию, вы со своего дома начинаете слать всю почту только на один адрес (и непонятными словами, потому что соединение обычно зашифровано) и вам отвечают только с этого адреса.
Со стороны тех, кто смотрит на ваши соединения, ситуация выглядит, откровенно говоря, очень по-дурацки. В жизни ведь такого не бывает? То есть, самое использование тоннеля, через который идут все данные уже выдает в вас человека, который хочет представиться другим. Мастерство же маскировки в том, чтобы быть незаметным в толпе.
Итак, в подобной ситуации, если взять контроль над двумя точками - вашей точкой входа в сеть и точкой входа в сеть удаленного компьютера, можно понять куда вы идете. Для анонимизации этого недостаточно, но для того, чтобы обеспечить невозможность выборочного контроля мест, куда вы можете ходить - этого достаточно, потому что по зашифрованным данным непонятно, куда перешлет их ваш адресат, а любой шифрованный трафик можно контролировать только по адресу назначения, а адресат этот, того самого дома-пересыльщика, разрешен.
Любые VPN сервисы, плагины для браузера вроде freegate и подобные приложения используют как раз этот способ. Но, тут не стоит забывать, что ваш адресат-пересыльщик знает все адреса куда вы ходите, знает ваш настоящий адрес и может заглядывать в ваши данные (если вы, конечно, не используете дополнительное шифрование).
Итак, идем дальше. Цепочки тоннелей. Этот способ использует сеть Tor, весьма известная с свете последних событий. В этом случае, составляется цепочка из узлов (не меньше 3), через которые пересылаются ваши данные. Причем данный шифруются так, чтобы расшифровать их мог только последний узел в цепочке.
Получается, что ваш компьютер отправляет данные с несколькими слоями шифрования. Каждый из узлов может прочитать только свою часть. Первый узел может прочитать только адрес второго узла, второй узел - только адрес третьего, и только третий может узнать, куда на самом деле нужно отправить данные. Такой способ не позволяет узнать адресата при компрометации одного из узлов сети, нужно контролировать все 3.
Так как выбираются они случайным (ну почти) образом и их много (тысячи) на всех концах света, очень сложно обеспечить одновременный доступ ко всем, что и позволяет сохранить адрес отправителя в тайне. По причине слоистости, этот способ называется "луковая маршрутизация", потому что данные упаковываются по принципу слоев луковицы.
По аналогии с реальной жизнью, это как пересылать почту в 3 конвертах, запечатанных один в другой, при условии что получатель может снять только первый конверт и узнать только адрес следующего получателя. Кстати, общее количество конвертов он тоже посчитать не может. То есть, при условии, что вы ничем другим себя не выдаете, это достаточный способ, чтобы скрыть себя практически ото всех заинтересованных лиц.
По большому счету, это все распространенные способы опознавания по адресу в сети и способы маскировки. Пост что-то раздулся, поэтому видимо придется делить тему на несколько.
В следующем посте (завтра, а может даже и сегодня) - как за нами следят корпорации, почему анонимно читать свою почту - занятие совершенно бесполезное и какие технологии используются для контроля доступа (иными словами, как работают блокировки). Ну и наверно еще чего нибудь по теме.
Если есть вопросы - добро пожаловать в комментарии.
