Ця стаття не містить . Ви можете допомогти поліпшити цю статтю, додавши посилання на . Матеріал без джерел може бути піддано сумніву та вилучено.(березень 2012)
Ця стаття містить текст, що не відповідає . Будь ласка, допоможіть удосконалити цю статтю, погодивши стиль викладу зі . Можливо, містить зауваження щодо потрібних змін.(березень 2012)
Анонімні мережі —це комп'ютерні мережі, створені для досягнення анонімності в Інтернеті і працюють поверх глобальної мережі. Специфіка таких мереж полягає в тому, що розробники змушені йти на компроміс між ступенем захисту та легкістю використання системи, її «прозорістю» для кінцевого користувача. Також важливий аспект збереження анонімності та конфіденційності за умови впливу методів соціальної інженерії або будь-якого тиску на оператора сервера. Багаторівневе шифрування і розподілений характер анонімних мереж, усуваючи єдину точку відмови і єдиний вектор атак, дозволяють зробити перехоплення трафіку або навіть злом частини вузлів мережі не фатальною подією. За анонімність користувач розплачується збільшенням часу відгуку, зниженням швидкості, а також великими обсягами мережевого трафіку. Першою відносно успішною анонімною мережею був комерційний сервіс Freedom, який функціонував з 1998 до 2001 року. Компанією ZKS були встановлені виділені сервери, з якими клієнти з'єднувалися за допомогою криптографічного протоколу. Вузол, на який приходили пакунки від користувача Freedom, не міг ідентифікувати цього відправника. Сама мережа функціонувала на рівні протоколу IP. У цей же час почали активно розвиватися інші проєкти.
Децентралізовані анонімні мережі
У децентралізованої мережі будь-яка машина може встановити з'єднання з іншою, а також надіслати їй запит на надання ресурсів. Кожна машина обробляє запити від інших як сервер, посилаючи і беручи запити, а також виконуючи інші допоміжні та адміністративні функції. Будь-який учасник такої мережі незобов'язаний гарантувати постійного з'єднання і може розірвати його в будь-який момент часу. Але при досягненні певного розміру мережі в ній одночасно починають існувати безліч серверів з однаковими функціями. ANts P2P ANts P2P [1] - файлообмінна мережа, анонімізіруюча весь потік даних, використовуючи систему маршрутизації, в якій, на відміну від BitTorrent, учасники обмінюються трафіком не безпосередньо, а через декілька вузлів. Кожному учаснику відомий тільки IP-адресу його безпосереднього сусіда. Таким чином, відправник не знає, куди йде його файл, а одержувач не знає, звідки він прийшов. Для більшої безпеки дані між окремими відправниками та одержувачами шифруються симетричним алгоритмом AES.
BitBlinder
BitBlinder - технологія, яка допомагає завантажувати дані з файлообмінних мереж повністю анонімно і без додаткових витрат. З її допомогою всі запити і дані передаються в зашифрованому вигляді через ланцюжок посередників, які нічого не знають про джерело і зміст запиту, забезпечуючи повний захист приватності і IP-адреси клієнтів. Фактично, модуль BitBlinder виступає у ролі особистого торент-трекера для анонімних даних, в якому кожен з бажаючих домогтися захищеності повинен анонімізувати певний обсяг даних для інших учасників мережі. Для захисту IP-адреси кожен запит користувача BitBlinder передає через кілька проміжних вузлів, перш ніж досягне потрібної адреси.Кожен проміжний вузол при цьому отримує тільки адреса наступного вузла в ланцюжку, але не адресу джерела запиту, причому відстежити потоки даних дуже важко для будь-якого учасника мережі. Технологія BitBlinder підходить не тільки для торент-мереж, але й для звичайного перегляду вебсторінок. Наприклад, з її допомогою можна приховувати історію переглянутих сторінок від зовнішніх спостерігачів, а також виходити на потрібні сайти через фільтри корпоративних мереж.
Filetopia
Filetopia - багатофункціональна файлообмінна програма, головною особливістю якої є високий рівень приватності та безпеки. Підтримується зашифрований чат, повноцінний інтернет-пейджер, робота з форумом. Завдяки технології MS Agent при установці відповідного голосового рушія можливо голосове відтворення одержуваних повідомлень. З метою підвищення ступеня захищеності Filetopia приховує IP-адресу користувача, захищаючи його тимсамим від можливих атак хакерів. Як алгоритм створення відкритого ключа використовуються еліптичні криві, а повідомлення і файли шифруються одним з десяти самостійно вибираних користувачем алгоритмів.
Freenet
Freenet - це децентралізована і повністю анонімна однорангова мережа, що працює поверх інтернету, що включає велику кількість рівноправних комп'ютерів і дозволяє публікувати будь-які матеріали без можливості вийти на автора. Конфіденційність даних гарантується суворої криптографією: щоб отримати файл, в запиті потрібно повідомити асоційований з ним ключ. Роль такого ключа виконує хеш-код файлу або DSA-ключ, що утворює також механізм перевірки цілісності. В наш час[] Freenet починає використовувати принцип мереж Onion Routing.
GNUnet
GNUnet - це програмний пакет для безпечного P2P-з'єднання, що не потребує серверу. Сервіс реалізований на основі мережевого рівня дозволяє обмінюватися файлами анонімно і без будь-якої мережевої цензури. Анонімність забезпечується за рахунок того, що повідомлення, які надходять від вузла мережі не відрізняються від чужих повідомлень, у передачі яких вузол бере безпосередню участь. Всі вузли діють як маршрутизатори, з'єднання між якими шифруються, а рівень використання пропускної здатності каналу підтримується постійним. GNUnet використовує просту, основану на надлишках економічну модель для виділення ресурсів: вузли, які більше дають мережі, нагороджуються кращим обслуговуванням. Проект GNUnet виник у 2001 році і був натхненний цілою низкою технічних ідей, покликаних забезпечити безпечний файлообмін у пірингових мережах. Основні технічні питання роботи GNUnet докладно описані в ряді наукових публікацій. [8] Серед них - покращуване кодування вмісту ECRS і новий анонімний протокол маршрутизації gap. Їх особливості дозволяють розвивати в GNUnet активних учасників. У періоди високої завантаження мережі пріоритет отримають ті учасники, які зробили більший внесок у минулому. Крім того, GNUnet розширювана і дозволяє легко створювати нові програми peer-to-peer на її основі або використовувати альтернативні мережеві транспорти для передачі даних.
Gnutella
Gnutella - перша повністю децентралізована файлообмінна мережа, розроблена в 1999 році. При підключенні клієнт отримує від вузла, з яким йому вдалося з'єднатися, список з п'яти активних вузлів, яким надсилається запит на пошук ресурсу за ключовим словом. Вузли шукають у себе відповідні запиту ресурси і, якщо не знаходять їх, пересилають запит активним вузлам вгору по «дереву», поки не знайдеться ресурс або не буде перевищено максимальну кількість кроків. Такий пошук називається розмноженням запитів (query flooding).Однак, подібна реалізація веде до експоненціального зростання кількості запитів і на верхніх рівнях «дерева» може призвести до відмови в обслуговуванні, що неодноразово спостерігалося на практиці. Тому розробники удосконалили алгоритм і ввели правила, відповідно до яких запити можуть пересилати вгору по «дереву» тільки виділені (ultrapeers), а решта (leaves) можуть лише робити запити. Також була введена система кешуючих вузлів.Запити в мережі Gnutella пересилаються по TCP або UDP, а копіювання файлів здійснюється через протокол HTTP. Останнім часом з'явилися розширення для клієнтських програм, що дозволяють копіювати файли по UDP і робити XML-запити метаінформації про файли. Недоліки протоколу Gnutella ініціювали розробку принципово нових алгоритмів пошуку маршрутів і ресурсів, що призвело до створення групи протоколів DHT і, зокрема, Kademlia, який широко використовується в найбільших мережах.
Invisible Internet Project
I2P — форк проекту Freenet, розпочатий у 2003 році з метою забезпечити анонімний доступ до захищених ресурсів, серед яких блоги (Syndie), IRC (ircProxy), електронна пошта (Susimail), сервіси передачі файлів і груп новин, шлюзи Freenet і Mnet. Будучи заснованою на SSU (), що має функції аутентифікації і управління потоком, I2P пропонує мережевий міст — т. зв. I2PTunnel — забезпечує передачу TCP-пакетів по мережі I2P, а отже — і засіб створення захищених тунелів до будь-яких TCP-службам, у доступі до яких може виникнути необхідність. При обміні даними по I2P виконується їх багаторівневе шифрування (наскрізне, тунельне і транспортного рівня), а також криптографічний аутентифікація кінцевих вузлів. Вузли мережі I2P представлені ідентифікаторами, що не мають логічного зв'язку з їх реальними IP-адресами. Клієнтське програмне забезпечення функціонує як маршрутизатор, який записує в таблицю дані вузлів для передачі вхідного і вихідного трафіку. Рухаючись пакет проходить тимчасові односторонні ланцюжки: маршрутизатори вихідного трафіка, побудовані на вузлі-відправника, і маршрутизатори вхідного трафіку, побудовані вузлом-адресатом. Такі тунелі перебудовуються кожні 10 хвилин. Керуючи довжиною ланцюжка маршрутизаторів в клієнтському ПЗ, користувач вибирає для себе потрібне співвідношення між ступенем анонімності, латентністю і пропускною спроможністю мережі. Передане ж повідомлення проходить такий шлях, який відповідає моделям загрози відправника і одержувача.
Гібридні анонімні мережі
У гібридних мережах існують сервери, що використовуються для координації роботи, пошуку або надання інформації про існуючі машини мережі і їх статус. Гібридні мережі поєднують швидкість централізованих мереж і надійність децентралізованих завдяки схемами з незалежними серверами індексації, що синхронізують дані між собою. При виході з ладу одного або декількох серверів, мережа продовжує функціонувати.
Psiphon
Psiphon - «Проект програмного забезпечення для захисту прав людини», розроблений в лабораторії Citizen Lab (англ.) університету Торонто при Центрі міжнародних досліджень Мунка, що входить до OpenNet Initiative (англ.). Система являє собою частину проекту CiviSec Project (англ.) тієї ж лабораторії і фінансується фондом «Відкрите суспільство». Його мета - забезпечити громадян різних країн доступом до інтернет-ресурсів, заблокованим мережевий цензурою. У мережі Psiphon жителі країн з вільним Інтернетом надають свої комп'ютери для хостингу проксі-серверів із зашифрованим з'єднанням, використовуваних громадянами країн з інтернет-цензурою. Доступ здійснюється через довірених учасників проекту. Для з'єднання з проксі-сервером використовуються унікальні вебадреса, логін і пароль, причому без внесення будь-яких змін в налаштування браузера. Однак, така процедура може здійснюватися тільки довіреними особами, так як адміністратор проксі-сервера володіє документованої інформацією про активність свого користувача.Програма попереджає адміністратора про зміни в його власній мережі, щоб він міг надати користувачам нові вебадреси. Psiphon підтримує анонімний вебсерфінг і блогінг, але не підходить для чатів та VoIP. Надалі планується розвинути проект в окрему соціальну мережу.
The Onion Router
TOR - найбільш відома і розвинена серед існуючих анонімних мереж, незважаючи на ранню стадію розробки. Коріння проекту ведуть в MIT, а список спонсорів включає DARPA, ONR (англ.) і Electronic Frontier Foundation. Мережа не є повністю децентралізованою - існують 3 центральних сервера каталогів, що зберігають підписаний актуальний список вузлів мережі Tor з їх реальними адресами і відбитками відкритих ключів (генерованими заново кожні 7 днів), тобто реєстрація серверів виробляється централізовано. Два з трьох серверів каталогів розміщені в США, де кількість серверів, піднятих ентузіастами, вище, ніж в будь-якій іншій країні. Сама ідея Onion Router з'явилася ще в середині 1990-х років, але перша практична реалізація мережі цього типу в рамках проекту Free Haven [32] почалася тільки в 2002 році. Так з'явилася перша мережа Onion Routing [33], що складалася всього лише з одного маршрутизатора, що працює на одному з комп'ютерів дослідної лабораторії ВМС США у Вашингтоні (англ.). Як результат розвитку, з'явилося друге покоління цієї мережі - проект Tor. Суть його в тому, що клієнтська сторона формує ланцюжок з трьох довільно вибраних вузлів мережі Tor. Серед них є вхідний (entry node) по відношенню до клієнта вузол і вихідний (exit node). Мережа Tor при цьому функціонує як шлюз між клієнтом і зовнішньою мережею. Кожен Tor-сервер «знає» про попереднє йому і наступному, але не більше того, а замикають вузли не знають, хто знаходиться на іншій стороні каналу і хто ініціював з'єднання. Відсутність логічного зв'язку між відправником і повідомленням і гарантує надійну анонімність. Крім того, така схема робить марним перехоплення трафіку на стороні ISP, оскільки провайдер «бачить» лише потік шіфротекста, що складається з пакетів постійної довжини. З кожним пересилаються пакетом, включаючи саму команду відкриття тунелю, асоціюється симетричний ключ шифрування та ідентифікатор наступного вузла тунелю. Ці дані зашифровуються послідовно відкритими ключами всіх вибраних серверів, починаючи з останнього, утворюючи структури, звані «цибулинами» (onions). Для межсерверних комунікацій використовується TLS. Освічені ланцюжка кожні 10 хвилин перебудовуються таким чином, що через кожен вузол мережі проходить обмежений обсяг даних від кожного клієнта. Для кожної новоутвореної ланцюжка серверів генерується новий сеансовий ключ, а для протидії атакам аналізу трафіку блок даних має постійний розмір в 512 байт. «Цибулина» може містити відомості, необхідні для встановлення зворотного каналу - двосторонніх сполук. Функціонуючи на рівні TCP і пересилаючи лише легітимні потоки, Tor надає надійний транспорт для прикладних програм за допомогою протоколу SOCKS. Якщо ж користувач підтримує власний сервер мережі Tor, то відрізнити породжуваний їм трафік від трафіку, що проходить через його сервер від інших клієнтів неможливо.Компрометація ж одного або декількох серверів ланцюга до втрати анонімності або конфіденційності не веде.
Virtual Private Network
VPN - віртуальні приватні мережі, організовані у вигляді зашифрованого тунелю, що йде поверх Інтернету. VPN-з'єднання складається з каналу типу точка-точка, що має на увазі зв'язок між двома комп'ютерами під назвою бенкети. Кожен бенкет відповідає за шифрування даних до входу в тунель і їх розшифровку при виході. Хоча VPN завжди встановлюється між двома точками, кожен бенкет може встановлювати додаткові тунелі з іншими вузлами, причому для них усіх бенкет на стороні сервера може бути одним і тим же. Це можливо завдяки тому, що вузол може шифрувати і розшифровувати дані від імені всієї мережі. У цьому випадку вузол VPN називається VPN-шлюзом, з яким користувач встановлює з'єднання і отримує доступ до мережі за ним, звану доменом шифрування. Кожен раз, коли з'єднання мереж обслуговують два VPN-шлюзу, використовується тунелювання. Це означає, що шифрується весь IP-пакет, після чого до нього додається новий заголовок, який містить IP-адреси двох VPN-шлюзів, які і побачить сніффер при перехопленні трафіку. Таким чином, неможливо визначити комп'ютер-джерело в першому домені шифрування і комп'ютер-отримувач у другому.
Атаки на анонімні мережі
У загальному випадку безпеку анонімної мережі прямо пропорційна кількості вузлів-учасників мережі. Поліпшення рівномірності статистичного розподілу вузлів також є дієвим заходом проти багатьох типів атак. Враховуючи аматорський характер анонімних мереж, головним каталізатором їх розвитку єступінь довіри і співпрацю користувачів. Довіра ж до систем такого класуможливо лише за умови відкритості вихідного коду, основоположних протоколів та проектної документації. Однак, дослідження показують, що навіть в ПЗ руху Open Source можуть протягом довгого часу залишатися непоміченими залишені професіоналами потаємні ходи, у зв'язку з чим надзвичайно висока роль досліджень експертів-аналітиків і криптологів.
Детальний опис цієї атаки було опубліковано дослідниками з Кембриджського університету. Її суть у тому, що в мережах з низьким часом очікування можлива кореляція часу проходження пакетів з метою встановлення реального джерела даних. Для здійснення даної атаки необхідно контролювати певні ділянки мережі - цікавлять виходи анонімних мереж і вузли, підозрювані в анонімній передачі даних, або тільки входи і виходи анонімних мереж. Шанси атакує на успіх при використанні даної атаки можуть бути збільшені, якщо у нього є доступ до сервера, до якого підключається анонімний користувач. Атакувальний може, наприклад, змусити вебсервер відправляти браузеру дані з певними затримками (наприклад, виставивши різні інтервали затримок для відповіді вебсервера на запити індексного сторінки, картинок і таблиць стилів). Це дозволить виявити в зашифрованому трафіку анонімної мережі «шаблони» затримок і, таким чином, з певною достовірністю відповісти на запитання про приналежність вихідного трафіку анонімної мережі «підозрюваному» користувачу. Методи захисту від таймінг-атаки включають внесення змінних затримок в характер інформаційного обміну, перемішування і об'єднання повідомлень, пересилання їх блоками фіксованого розміру.
Атака на відбитки
Атакувальний може створити велику базу даних популярних вебсайтів, яка буде містити в собі певні параметри індексних сторінок (наприклад, розмір головної сторінки в байтах). Це дозволить «вгадати» сайт, який відвідує користувач, шляхом аналізу кількості переданого на вхідний вузол анонімної мережі Асоціація анонімного і псевдонімного трафіку Атакувальний може асоціювати анонімний трафік з «підозрюваним» вузлом упевних випадках. Наприклад, Tor направляє всі з'єднання, встановлені впевному часовому проміжку, в один ланцюжок вузлів. Таким чином, можна асоціювати псевдонимне з'єднання з анонімними, якщо вони були встановлені практично одночасно. Наприклад, при одночасній відправці файлу по протоколу FTP c анонімним з'єднанням і ICQ з псевдонимним з'єднанням буде використано один ланцюжок серверів мережі Tor і єдиний вихідний вузол. У цьому випадку атакувальний може здогадатися, що обидва з'єднання були встановлені з одного комп'ютера і спробувати отримати додаткову інформацію про користувача, який передає файл, наприклад, за номером ICQ.
Атака на часову відмітку TCP
Атака полягає в тому, що значення часової відмітки TCP змінюється на фіксоване значення за одиницю часу і в більшості випадків розрізняється у двох різних комп'ютерів. Атакувальник може прослуховувати трафік VPN-сервісу і записувати передані значення часової відмітки TCP. Оскільки VPN здійснює передачу IP-пакетів, то система, яка встановила VPN-з'єднання, буде передавати часову відмітку TCP в інкапсульованих пакетах. Аналогічна атака можлива і на приховані сервіси мережі Tor. У цьому випадку в анонімній мережі передаються тільки TCP-дані, проте «досліджуваний» вузол може передавати відмітку часу TCP, наприклад, у з'єднаннях у локальній мережі. Атака полягає в тому, що можна викликати певні відхилення у значеннях лічильників часової відмітки TCP (наприклад, шляхом DoS-атаки). Придатність даної атаки на приховані сервіси Tor досі є під питанням.
Цю статтю треба для відповідності Вікіпедії. Будь ласка, допоможіть додаванням доречних внутрішніх посилань або .(грудень 2011)
Cya stattya ne mistit posilan na dzherela Vi mozhete dopomogti polipshiti cyu stattyu dodavshi posilannya na nadijni avtoritetni dzherela Material bez dzherel mozhe buti piddano sumnivu ta vilucheno berezen 2012 Cya stattya mistit tekst sho ne vidpovidaye enciklopedichnomu stilyu Bud laska dopomozhit udoskonaliti cyu stattyu pogodivshi stil vikladu zi stilistichnimi pravilami Vikipediyi Mozhlivo mistit zauvazhennya shodo potribnih zmin berezen 2012 Anonimni merezhi ce komp yuterni merezhi stvoreni dlya dosyagnennya anonimnosti v Interneti i pracyuyut poverh globalnoyi merezhi Specifika takih merezh polyagaye v tomu sho rozrobniki zmusheni jti na kompromis mizh stupenem zahistu ta legkistyu vikoristannya sistemi yiyi prozoristyu dlya kincevogo koristuvacha Takozh vazhlivij aspekt zberezhennya anonimnosti ta konfidencijnosti za umovi vplivu metodiv socialnoyi inzheneriyi abo bud yakogo tisku na operatora servera Bagatorivneve shifruvannya i rozpodilenij harakter anonimnih merezh usuvayuchi yedinu tochku vidmovi i yedinij vektor atak dozvolyayut zrobiti perehoplennya trafiku abo navit zlom chastini vuzliv merezhi ne fatalnoyu podiyeyu Za anonimnist koristuvach rozplachuyetsya zbilshennyam chasu vidguku znizhennyam shvidkosti a takozh velikimi obsyagami merezhevogo trafiku Pershoyu vidnosno uspishnoyu anonimnoyu merezheyu buv komercijnij servis Freedom yakij funkcionuvav z 1998 do 2001 roku Kompaniyeyu ZKS buli vstanovleni vidileni serveri z yakimi kliyenti z yednuvalisya za dopomogoyu kriptografichnogo protokolu Vuzol na yakij prihodili pakunki vid koristuvacha Freedom ne mig identifikuvati cogo vidpravnika Sama merezha funkcionuvala na rivni protokolu IP U cej zhe chas pochali aktivno rozvivatisya inshi proyekti Decentralizovani anonimni merezhiU decentralizovanoyi merezhi bud yaka mashina mozhe vstanoviti z yednannya z inshoyu a takozh nadislati yij zapit na nadannya resursiv Kozhna mashina obroblyaye zapiti vid inshih yak server posilayuchi i beruchi zapiti a takozh vikonuyuchi inshi dopomizhni ta administrativni funkciyi Bud yakij uchasnik takoyi merezhi nezobov yazanij garantuvati postijnogo z yednannya i mozhe rozirvati jogo v bud yakij moment chasu Ale pri dosyagnenni pevnogo rozmiru merezhi v nij odnochasno pochinayut isnuvati bezlich serveriv z odnakovimi funkciyami ANts P2P ANts P2P 1 fajloobminna merezha anonimiziruyucha ves potik danih vikoristovuyuchi sistemu marshrutizaciyi v yakij na vidminu vid BitTorrent uchasniki obminyuyutsya trafikom ne bezposeredno a cherez dekilka vuzliv Kozhnomu uchasniku vidomij tilki IP adresu jogo bezposerednogo susida Takim chinom vidpravnik ne znaye kudi jde jogo fajl a oderzhuvach ne znaye zvidki vin prijshov Dlya bilshoyi bezpeki dani mizh okremimi vidpravnikami ta oderzhuvachami shifruyutsya simetrichnim algoritmom AES BitBlinder princip diyi BitBlinder BitBlinder tehnologiya yaka dopomagaye zavantazhuvati dani z fajloobminnih merezh povnistyu anonimno i bez dodatkovih vitrat Z yiyi dopomogoyu vsi zapiti i dani peredayutsya v zashifrovanomu viglyadi cherez lancyuzhok poserednikiv yaki nichogo ne znayut pro dzherelo i zmist zapitu zabezpechuyuchi povnij zahist privatnosti i IP adresi kliyentiv Faktichno modul BitBlinder vistupaye u roli osobistogo torent trekera dlya anonimnih danih v yakomu kozhen z bazhayuchih domogtisya zahishenosti povinen anonimizuvati pevnij obsyag danih dlya inshih uchasnikiv merezhi Dlya zahistu IP adresi kozhen zapit koristuvacha BitBlinder peredaye cherez kilka promizhnih vuzliv persh nizh dosyagne potribnoyi adresi Kozhen promizhnij vuzol pri comu otrimuye tilki adresa nastupnogo vuzla v lancyuzhku ale ne adresu dzherela zapitu prichomu vidstezhiti potoki danih duzhe vazhko dlya bud yakogo uchasnika merezhi Tehnologiya BitBlinder pidhodit ne tilki dlya torent merezh ale j dlya zvichajnogo pereglyadu vebstorinok Napriklad z yiyi dopomogoyu mozhna prihovuvati istoriyu pereglyanutih storinok vid zovnishnih sposterigachiv a takozh vihoditi na potribni sajti cherez filtri korporativnih merezh Filetopia Filetopia bagatofunkcionalna fajloobminna programa golovnoyu osoblivistyu yakoyi ye visokij riven privatnosti ta bezpeki Pidtrimuyetsya zashifrovanij chat povnocinnij internet pejdzher robota z forumom Zavdyaki tehnologiyi MS Agent pri ustanovci vidpovidnogo golosovogo rushiya mozhlivo golosove vidtvorennya oderzhuvanih povidomlen Z metoyu pidvishennya stupenya zahishenosti Filetopia prihovuye IP adresu koristuvacha zahishayuchi jogo timsamim vid mozhlivih atak hakeriv Yak algoritm stvorennya vidkritogo klyucha vikoristovuyutsya eliptichni krivi a povidomlennya i fajli shifruyutsya odnim z desyati samostijno vibiranih koristuvachem algoritmiv Freenet Freenet ce decentralizovana i povnistyu anonimna odnorangova merezha sho pracyuye poverh internetu sho vklyuchaye veliku kilkist rivnopravnih komp yuteriv i dozvolyaye publikuvati bud yaki materiali bez mozhlivosti vijti na avtora Konfidencijnist danih garantuyetsya suvoroyi kriptografiyeyu shob otrimati fajl v zapiti potribno povidomiti asocijovanij z nim klyuch Rol takogo klyucha vikonuye hesh kod fajlu abo DSA klyuch sho utvoryuye takozh mehanizm perevirki cilisnosti V nash chas koli Freenet pochinaye vikoristovuvati princip merezh Onion Routing GNUnet GNUnet ce programnij paket dlya bezpechnogo P2P z yednannya sho ne potrebuye serveru Servis realizovanij na osnovi merezhevogo rivnya dozvolyaye obminyuvatisya fajlami anonimno i bez bud yakoyi merezhevoyi cenzuri Anonimnist zabezpechuyetsya za rahunok togo sho povidomlennya yaki nadhodyat vid vuzla merezhi ne vidriznyayutsya vid chuzhih povidomlen u peredachi yakih vuzol bere bezposerednyu uchast Vsi vuzli diyut yak marshrutizatori z yednannya mizh yakimi shifruyutsya a riven vikoristannya propusknoyi zdatnosti kanalu pidtrimuyetsya postijnim GNUnet vikoristovuye prostu osnovanu na nadlishkah ekonomichnu model dlya vidilennya resursiv vuzli yaki bilshe dayut merezhi nagorodzhuyutsya krashim obslugovuvannyam Proekt GNUnet vinik u 2001 roci i buv nathnennij ciloyu nizkoyu tehnichnih idej poklikanih zabezpechiti bezpechnij fajloobmin u piringovih merezhah Osnovni tehnichni pitannya roboti GNUnet dokladno opisani v ryadi naukovih publikacij 8 Sered nih pokrashuvane koduvannya vmistu ECRS i novij anonimnij protokol marshrutizaciyi gap Yih osoblivosti dozvolyayut rozvivati v GNUnet aktivnih uchasnikiv U periodi visokoyi zavantazhennya merezhi prioritet otrimayut ti uchasniki yaki zrobili bilshij vnesok u minulomu Krim togo GNUnet rozshiryuvana i dozvolyaye legko stvoryuvati novi programi peer to peer na yiyi osnovi abo vikoristovuvati alternativni merezhevi transporti dlya peredachi danih Gnutella Gnutella persha povnistyu decentralizovana fajloobminna merezha rozroblena v 1999 roci Pri pidklyuchenni kliyent otrimuye vid vuzla z yakim jomu vdalosya z yednatisya spisok z p yati aktivnih vuzliv yakim nadsilayetsya zapit na poshuk resursu za klyuchovim slovom Vuzli shukayut u sebe vidpovidni zapitu resursi i yaksho ne znahodyat yih peresilayut zapit aktivnim vuzlam vgoru po derevu poki ne znajdetsya resurs abo ne bude perevisheno maksimalnu kilkist krokiv Takij poshuk nazivayetsya rozmnozhennyam zapitiv query flooding Odnak podibna realizaciya vede do eksponencialnogo zrostannya kilkosti zapitiv i na verhnih rivnyah dereva mozhe prizvesti do vidmovi v obslugovuvanni sho neodnorazovo sposterigalosya na praktici Tomu rozrobniki udoskonalili algoritm i vveli pravila vidpovidno do yakih zapiti mozhut peresilati vgoru po derevu tilki vidileni ultrapeers a reshta leaves mozhut lishe robiti zapiti Takozh bula vvedena sistema keshuyuchih vuzliv Zapiti v merezhi Gnutella peresilayutsya po TCP abo UDP a kopiyuvannya fajliv zdijsnyuyetsya cherez protokol HTTP Ostannim chasom z yavilisya rozshirennya dlya kliyentskih program sho dozvolyayut kopiyuvati fajli po UDP i robiti XML zapiti metainformaciyi pro fajli Nedoliki protokolu Gnutella iniciyuvali rozrobku principovo novih algoritmiv poshuku marshrutiv i resursiv sho prizvelo do stvorennya grupi protokoliv DHT i zokrema Kademlia yakij shiroko vikoristovuyetsya v najbilshih merezhah Invisible Internet Project I2P fork proektu Freenet rozpochatij u 2003 roci z metoyu zabezpechiti anonimnij dostup do zahishenih resursiv sered yakih blogi Syndie IRC ircProxy elektronna poshta Susimail servisi peredachi fajliv i grup novin shlyuzi Freenet i Mnet Buduchi zasnovanoyu na SSU sho maye funkciyi autentifikaciyi i upravlinnya potokom I2P proponuye merezhevij mist t zv I2PTunnel zabezpechuye peredachu TCP paketiv po merezhi I2P a otzhe i zasib stvorennya zahishenih tuneliv do bud yakih TCP sluzhbam u dostupi do yakih mozhe viniknuti neobhidnist Pri obmini danimi po I2P vikonuyetsya yih bagatorivneve shifruvannya naskrizne tunelne i transportnogo rivnya a takozh kriptografichnij autentifikaciya kincevih vuzliv Vuzli merezhi I2P predstavleni identifikatorami sho ne mayut logichnogo zv yazku z yih realnimi IP adresami Kliyentske programne zabezpechennya funkcionuye yak marshrutizator yakij zapisuye v tablicyu dani vuzliv dlya peredachi vhidnogo i vihidnogo trafiku Ruhayuchis paket prohodit timchasovi odnostoronni lancyuzhki marshrutizatori vihidnogo trafika pobudovani na vuzli vidpravnika i marshrutizatori vhidnogo trafiku pobudovani vuzlom adresatom Taki tuneli perebudovuyutsya kozhni 10 hvilin Keruyuchi dovzhinoyu lancyuzhka marshrutizatoriv v kliyentskomu PZ koristuvach vibiraye dlya sebe potribne spivvidnoshennya mizh stupenem anonimnosti latentnistyu i propusknoyu spromozhnistyu merezhi Peredane zh povidomlennya prohodit takij shlyah yakij vidpovidaye modelyam zagrozi vidpravnika i oderzhuvacha Gibridni anonimni merezhiU gibridnih merezhah isnuyut serveri sho vikoristovuyutsya dlya koordinaciyi roboti poshuku abo nadannya informaciyi pro isnuyuchi mashini merezhi i yih status Gibridni merezhi poyednuyut shvidkist centralizovanih merezh i nadijnist decentralizovanih zavdyaki shemami z nezalezhnimi serverami indeksaciyi sho sinhronizuyut dani mizh soboyu Pri vihodi z ladu odnogo abo dekilkoh serveriv merezha prodovzhuye funkcionuvati Psiphon princip peredachi informaciyi Psiphon Psiphon Proekt programnogo zabezpechennya dlya zahistu prav lyudini rozroblenij v laboratoriyi Citizen Lab angl universitetu Toronto pri Centri mizhnarodnih doslidzhen Munka sho vhodit do OpenNet Initiative angl Sistema yavlyaye soboyu chastinu proektu CiviSec Project angl tiyeyi zh laboratoriyi i finansuyetsya fondom Vidkrite suspilstvo Jogo meta zabezpechiti gromadyan riznih krayin dostupom do internet resursiv zablokovanim merezhevij cenzuroyu U merezhi Psiphon zhiteli krayin z vilnim Internetom nadayut svoyi komp yuteri dlya hostingu proksi serveriv iz zashifrovanim z yednannyam vikoristovuvanih gromadyanami krayin z internet cenzuroyu Dostup zdijsnyuyetsya cherez dovirenih uchasnikiv proektu Dlya z yednannya z proksi serverom vikoristovuyutsya unikalni vebadresa login i parol prichomu bez vnesennya bud yakih zmin v nalashtuvannya brauzera Odnak taka procedura mozhe zdijsnyuvatisya tilki dovirenimi osobami tak yak administrator proksi servera volodiye dokumentovanoyi informaciyeyu pro aktivnist svogo koristuvacha Programa poperedzhaye administratora pro zmini v jogo vlasnij merezhi shob vin mig nadati koristuvacham novi vebadresi Psiphon pidtrimuye anonimnij vebserfing i bloging ale ne pidhodit dlya chativ ta VoIP Nadali planuyetsya rozvinuti proekt v okremu socialnu merezhu The Onion Router TOR najbilsh vidoma i rozvinena sered isnuyuchih anonimnih merezh nezvazhayuchi na rannyu stadiyu rozrobki Korinnya proektu vedut v MIT a spisok sponsoriv vklyuchaye DARPA ONR angl i Electronic Frontier Foundation Merezha ne ye povnistyu decentralizovanoyu isnuyut 3 centralnih servera katalogiv sho zberigayut pidpisanij aktualnij spisok vuzliv merezhi Tor z yih realnimi adresami i vidbitkami vidkritih klyuchiv generovanimi zanovo kozhni 7 dniv tobto reyestraciya serveriv viroblyayetsya centralizovano Dva z troh serveriv katalogiv rozmisheni v SShA de kilkist serveriv pidnyatih entuziastami vishe nizh v bud yakij inshij krayini Sama ideya Onion Router z yavilasya she v seredini 1990 h rokiv ale persha praktichna realizaciya merezhi cogo tipu v ramkah proektu Free Haven 32 pochalasya tilki v 2002 roci Tak z yavilasya persha merezha Onion Routing 33 sho skladalasya vsogo lishe z odnogo marshrutizatora sho pracyuye na odnomu z komp yuteriv doslidnoyi laboratoriyi VMS SShA u Vashingtoni angl Yak rezultat rozvitku z yavilosya druge pokolinnya ciyeyi merezhi proekt Tor Sut jogo v tomu sho kliyentska storona formuye lancyuzhok z troh dovilno vibranih vuzliv merezhi Tor Sered nih ye vhidnij entry node po vidnoshennyu do kliyenta vuzol i vihidnij exit node Merezha Tor pri comu funkcionuye yak shlyuz mizh kliyentom i zovnishnoyu merezheyu Kozhen Tor server znaye pro poperednye jomu i nastupnomu ale ne bilshe togo a zamikayut vuzli ne znayut hto znahoditsya na inshij storoni kanalu i hto iniciyuvav z yednannya Vidsutnist logichnogo zv yazku mizh vidpravnikom i povidomlennyam i garantuye nadijnu anonimnist Krim togo taka shema robit marnim perehoplennya trafiku na storoni ISP oskilki provajder bachit lishe potik shifroteksta sho skladayetsya z paketiv postijnoyi dovzhini Z kozhnim peresilayutsya paketom vklyuchayuchi samu komandu vidkrittya tunelyu asociyuyetsya simetrichnij klyuch shifruvannya ta identifikator nastupnogo vuzla tunelyu Ci dani zashifrovuyutsya poslidovno vidkritimi klyuchami vsih vibranih serveriv pochinayuchi z ostannogo utvoryuyuchi strukturi zvani cibulinami onions Dlya mezhservernih komunikacij vikoristovuyetsya TLS Osvicheni lancyuzhka kozhni 10 hvilin perebudovuyutsya takim chinom sho cherez kozhen vuzol merezhi prohodit obmezhenij obsyag danih vid kozhnogo kliyenta Dlya kozhnoyi novoutvorenoyi lancyuzhka serveriv generuyetsya novij seansovij klyuch a dlya protidiyi atakam analizu trafiku blok danih maye postijnij rozmir v 512 bajt Cibulina mozhe mistiti vidomosti neobhidni dlya vstanovlennya zvorotnogo kanalu dvostoronnih spoluk Funkcionuyuchi na rivni TCP i peresilayuchi lishe legitimni potoki Tor nadaye nadijnij transport dlya prikladnih program za dopomogoyu protokolu SOCKS Yaksho zh koristuvach pidtrimuye vlasnij server merezhi Tor to vidrizniti porodzhuvanij yim trafik vid trafiku sho prohodit cherez jogo server vid inshih kliyentiv nemozhlivo Komprometaciya zh odnogo abo dekilkoh serveriv lancyuga do vtrati anonimnosti abo konfidencijnosti ne vede Virtual Private Network VPN virtualni privatni merezhi organizovani u viglyadi zashifrovanogo tunelyu sho jde poverh Internetu VPN z yednannya skladayetsya z kanalu tipu tochka tochka sho maye na uvazi zv yazok mizh dvoma komp yuterami pid nazvoyu benketi Kozhen benket vidpovidaye za shifruvannya danih do vhodu v tunel i yih rozshifrovku pri vihodi Hocha VPN zavzhdi vstanovlyuyetsya mizh dvoma tochkami kozhen benket mozhe vstanovlyuvati dodatkovi tuneli z inshimi vuzlami prichomu dlya nih usih benket na storoni servera mozhe buti odnim i tim zhe Ce mozhlivo zavdyaki tomu sho vuzol mozhe shifruvati i rozshifrovuvati dani vid imeni vsiyeyi merezhi U comu vipadku vuzol VPN nazivayetsya VPN shlyuzom z yakim koristuvach vstanovlyuye z yednannya i otrimuye dostup do merezhi za nim zvanu domenom shifruvannya Kozhen raz koli z yednannya merezh obslugovuyut dva VPN shlyuzu vikoristovuyetsya tunelyuvannya Ce oznachaye sho shifruyetsya ves IP paket pislya chogo do nogo dodayetsya novij zagolovok yakij mistit IP adresi dvoh VPN shlyuziv yaki i pobachit sniffer pri perehoplenni trafiku Takim chinom nemozhlivo viznachiti komp yuter dzherelo v pershomu domeni shifruvannya i komp yuter otrimuvach u drugomu Ataki na anonimni merezhiU zagalnomu vipadku bezpeku anonimnoyi merezhi pryamo proporcijna kilkosti vuzliv uchasnikiv merezhi Polipshennya rivnomirnosti statistichnogo rozpodilu vuzliv takozh ye diyevim zahodom proti bagatoh tipiv atak Vrahovuyuchi amatorskij harakter anonimnih merezh golovnim katalizatorom yih rozvitku yestupin doviri i spivpracyu koristuvachiv Dovira zh do sistem takogo klasumozhlivo lishe za umovi vidkritosti vihidnogo kodu osnovopolozhnih protokoliv ta proektnoyi dokumentaciyi Odnak doslidzhennya pokazuyut sho navit v PZ ruhu Open Source mozhut protyagom dovgogo chasu zalishatisya nepomichenimi zalisheni profesionalami potayemni hodi u zv yazku z chim nadzvichajno visoka rol doslidzhen ekspertiv analitikiv i kriptologiv Tajming ataka Dokladnishe Ataka po chasu algoritm tajming ataki Detalnij opis ciyeyi ataki bulo opublikovano doslidnikami z Kembridzhskogo universitetu Yiyi sut u tomu sho v merezhah z nizkim chasom ochikuvannya mozhliva korelyaciya chasu prohodzhennya paketiv z metoyu vstanovlennya realnogo dzherela danih Dlya zdijsnennya danoyi ataki neobhidno kontrolyuvati pevni dilyanki merezhi cikavlyat vihodi anonimnih merezh i vuzli pidozryuvani v anonimnij peredachi danih abo tilki vhodi i vihodi anonimnih merezh Shansi atakuye na uspih pri vikoristanni danoyi ataki mozhut buti zbilsheni yaksho u nogo ye dostup do servera do yakogo pidklyuchayetsya anonimnij koristuvach Atakuvalnij mozhe napriklad zmusiti vebserver vidpravlyati brauzeru dani z pevnimi zatrimkami napriklad vistavivshi rizni intervali zatrimok dlya vidpovidi vebservera na zapiti indeksnogo storinki kartinok i tablic stiliv Ce dozvolit viyaviti v zashifrovanomu trafiku anonimnoyi merezhi shabloni zatrimok i takim chinom z pevnoyu dostovirnistyu vidpovisti na zapitannya pro prinalezhnist vihidnogo trafiku anonimnoyi merezhi pidozryuvanomu koristuvachu Metodi zahistu vid tajming ataki vklyuchayut vnesennya zminnih zatrimok v harakter informacijnogo obminu peremishuvannya i ob yednannya povidomlen peresilannya yih blokami fiksovanogo rozmiru Ataka na vidbitki Atakuvalnij mozhe stvoriti veliku bazu danih populyarnih vebsajtiv yaka bude mistiti v sobi pevni parametri indeksnih storinok napriklad rozmir golovnoyi storinki v bajtah Ce dozvolit vgadati sajt yakij vidviduye koristuvach shlyahom analizu kilkosti peredanogo na vhidnij vuzol anonimnoyi merezhi Asociaciya anonimnogo i psevdonimnogo trafiku Atakuvalnij mozhe asociyuvati anonimnij trafik z pidozryuvanim vuzlom upevnih vipadkah Napriklad Tor napravlyaye vsi z yednannya vstanovleni vpevnomu chasovomu promizhku v odin lancyuzhok vuzliv Takim chinom mozhna asociyuvati psevdonimne z yednannya z anonimnimi yaksho voni buli vstanovleni praktichno odnochasno Napriklad pri odnochasnij vidpravci fajlu po protokolu FTP c anonimnim z yednannyam i ICQ z psevdonimnim z yednannyam bude vikoristano odin lancyuzhok serveriv merezhi Tor i yedinij vihidnij vuzol U comu vipadku atakuvalnij mozhe zdogadatisya sho obidva z yednannya buli vstanovleni z odnogo komp yutera i sprobuvati otrimati dodatkovu informaciyu pro koristuvacha yakij peredaye fajl napriklad za nomerom ICQ Ataka na chasovu vidmitku TCP Ataka polyagaye v tomu sho znachennya chasovoyi vidmitki TCP zminyuyetsya na fiksovane znachennya za odinicyu chasu i v bilshosti vipadkiv rozriznyayetsya u dvoh riznih komp yuteriv Atakuvalnik mozhe prosluhovuvati trafik VPN servisu i zapisuvati peredani znachennya chasovoyi vidmitki TCP Oskilki VPN zdijsnyuye peredachu IP paketiv to sistema yaka vstanovila VPN z yednannya bude peredavati chasovu vidmitku TCP v inkapsulovanih paketah Analogichna ataka mozhliva i na prihovani servisi merezhi Tor U comu vipadku v anonimnij merezhi peredayutsya tilki TCP dani prote doslidzhuvanij vuzol mozhe peredavati vidmitku chasu TCP napriklad u z yednannyah u lokalnij merezhi Ataka polyagaye v tomu sho mozhna viklikati pevni vidhilennya u znachennyah lichilnikiv chasovoyi vidmitki TCP napriklad shlyahom DoS ataki Pridatnist danoyi ataki na prihovani servisi Tor dosi ye pid pitannyam Cyu stattyu treba vikifikuvati dlya vidpovidnosti standartam yakosti Vikipediyi Bud laska dopomozhit dodavannyam dorechnih vnutrishnih posilan abo vdoskonalennyam rozmitki statti gruden 2011