книги хакеры / Искусство_быть_невидимым_Как_сохранить

браузера Chrome или Firefox. На устройствах под управлением операционной системы Android последних моделей по умолчанию установлен браузер Chrome. Все мобильные браузеры как минимум поддерживают приватный режим.

Если вы пользуетесь планшетом Kindle Fire, то установить Firefox или Chrome будет не так легко, потому что их нет в магазине Amazon. Вам придется пойти обходным путем и установить Firefox или Chrome через браузер Amazon Silk. Чтобы установить мобильную версию программы Firefox на планшет Kindle Fire, необходимо выполнить следующие действия: откройте браузер Silk и перейдите на FTP-сервер Mozilla, затем нажмите кнопку Go (Перейти). Выберите файл с расширением .apk.

В режиме инкогнито не создаются временные файлы, поэтому ни в ноутбуке, ни в смартфоне не будет информации о вашей активности в Интернете. Может ли кто-то посторонний посмотреть, что вы делали на том или ином сайте? Да, если взаимодействие с сайтом не было зашифрованным. Здесь необходимо пояснить, что Фонд электронных рубежей (англ. Electronic Frontier Foundation, EFF) создал расширение для браузеров под названием HTTPS Everywhere.83 Это расширение подходит для настольных версий браузеров Firefox и Chrome и даже для браузера Firefox для Android. В настоящий момент отсутствует версия для iOS. Расширение HTTPS Everywhere приносит ощутимую пользу: первые несколько секунд соединения браузер и сайт обмениваются информацией о том, какой вид защиты будет применяться. Идеальным вариантом будет Perfect Forward Secrecy (PFS), мы уже

говорили об этом свойстве в предыдущей главе. Однако не все сайты поддерживают PFS. И согласование вида защиты не всегда завершается выбором PFS — даже когда есть такая возможность. Расширение HTTPS Everywhere способно заставить сайт использовать HTTPS всегда, когда только возможно, даже если нет поддержки PFS.

Поговорим еще об одном факторе, влияющем на безопасность соединения: у каждого веб-сайта должен быть сертификат — независимая гарантия того, что, устанавливая соединение с сайтом, к примеру компании Bank of America, вы действительно будете обмениваться данными с сайтом Bank of America, а не с мошеннической страницей, имитирующей его. Современные браузеры сотрудничают со сторонними организациями, известными как удостоверяющие центры, которые составляют актуальные списки. Каждый раз при соединении с сайтом, который не получил доверенный сертификат, браузер будет выдавать ошибку с предупреждением, что продолжать работу с сайтом вы можете на свой страх и риск. Если вы доверяете содержимому сайта, то можете сделать исключение. В общем, если вы не знакомы с конкретным сайтом, не делайте исключений.

Кроме того, в Интернете используется не один тип сертификатов, а несколько. Самый известный из них, который вы встречаете практически повсеместно, подтверждает только то, что доменное имя принадлежит тому, кто запросил сертификат, пройдя верификацию по электронной почте. Это может быть кто угодно, но это совершенно неважно — у сайта есть сертификат, знакомый вашему браузеру. То же самое можно сказать и про второй вид сертификатов — подтверждающих подлинность

организации в целом. Это означает, что у всех сайтов на данном домене один сертификат с остальными — т. е. у всех поддоменов на сайте mitnicksecurity.com будет один и тот же сертификат.

Однако лучшими считаются сертификаты с расширенной проверкой. Все браузеры при входе на сайт с таким сертификатом в адресной строке отмечают часть доменного имени зеленым цветом (во всех других случаях весь URL-адрес показан серым цветом). Кроме того, при наведении курсора мыши на адрес — https://www. mitnicksecurity.com — отобразится дополнительная информация о сертификате и его владельце (как правило, для США это город и штат, где размещен сервер). Прохождение реальной проверки указывает на то, что компания, которой принадлежит данный URL-адрес, легитимна и этот факт подтвержден независимым центром сертификации.

Возможно, вы догадываетесь, что браузер на смартфоне отслеживает ваше местонахождение, но, вероятно, вы удивитесь, узнав, что браузер на компьютере делает то же самое. Да, это так. Но как именно это происходит?

Помните, я рассказывал, что в метаданных электронного письма содержатся IP-адреса всех серверов, через которые прошло письмо по пути к получателю? Что ж, снова напомню вам, что IP-адрес, который можно узнать через ваш браузер, может подсказать заинтересованному лицу, какой у вас интернет-провайдер, и сузить область поиска вашего местоположения на карте.

При первом посещении сайта, который специально запрашивает, где вы находитесь (например, сайт

с прогнозом погоды), браузер должен спросить у вас, готовы ли вы делиться своим местонахождением с данным сайтом. Если вы согласитесь, то сайт будет автоматически под вас подстраиваться, что очень удобно. Например, сайт WashingtonPost.com будет показывать рекламу компаний, расположенных в вашем городе, а не в округе Колумбия*.

Не помните, что вы выбрали в прошлый раз? Попробуйте зайти на страницу benwerd.com/lab/geo.php. Это один из множества сайтов, позволяющих проверить, сообщает ли ваш браузер геолокационные данные. Если сообщает, а вы хотите быть невидимым, отключите эту опцию. К счастью, в браузере можно отключить отслеживание местоположения. В адресной строке браузера Firefox нужно набрать about: config. Выполните поиск, найдите пункт geo.enabled и присвойте ему значение false. Закройте вкладку. В браузере Chrome нажмите кнопку и выберите команду Настройки (Options). Щелкните мышью по строке Дополнительные (Under the Hood) и выберите пункт Настройки контента → Геоданные (Content Settings → Location). На этой вкладке вы найдете переключатель Спрашивать разрешение на доступ (Do not allow any site to track my physical location). Установите переключатель в неактивное положение, чтобы отключить геолокацию. В других браузерах присутствует аналогичная возможность.

Также вы, возможно, захотите сфальсифицировать данные о своем местоположении — разумеется, исключительно ради забавы. Если вы хотите предоставить

* Там находится столица США, город Вашингтон.

ложные координаты — например, Белого дома — браузеру Firefox, можно скачать и установить расширение под названием Change Geolocation. В браузере Google Chrome существует встроенная функция изменения геоданных. Откройте Chrome и нажмите сочетание клавиш Ctrl+Shift+I (Windows) или ++I (macOS), чтобы открыть окно Инструменты разработчика (Developer Tools). Нажмите кнопку в верхнем правом углу появившейся панели, чтобы открыть меню (не основное меню браузера, а меню панели с инструментами разработчика!). В открывшемся меню выберите пункт More Tools → Sensors. Перейдите на открывшуюся вкладку Sensors и найдите раскрывающийся список Geolocation. Выполнив эти действия, можно указать точную широту и долготу. Можно взять известную географическую точку или выбрать координаты посреди океана. В любом случае сайт не узнает, где вы на самом деле находитесь.

Можно скрывать не только физическое местонахождение, но и IP-адрес. Ранее я говорил про программу Tor Browser, которая меняет IP-адрес, передаваемый просматриваемому сайту. Но не все сайты можно посетить через Tor. До недавних пор нельзя было зайти на Facebook. Если вы хотите скрыть свой IP-адрес от сайтов, не поддерживающих соединения через Tor, воспользуйтесь прокси-сервером.

Открытый прокси-сервер — это посредник между вами и Интернетом. В главе 2 я рассказывал о том, что прокси-сервер похож на переводчика с иностранного языка — вы разговариваете с переводчиком, а тот в свою очередь разговаривает с иностранцем, — с той лишь разницей, что ваше сообщение никак не меняется.

Я упоминал прокси-сервер, объясняя, как некий злоумышленник из враждебной страны может попытаться отправить вам электронное письмо, притворяясь сотрудником компании-партнера.

С помощью прокси-сервера также можно заходить на веб-сайты, запрещенные на той или иной территории: например, если вы живете в стране, где запрещен поисковый сайт Google. Или если вы хотите скрыть свою личность, скачивая через пиринговые сети незаконный или защищенный авторским правом контент.

Однако прокси-сервер не обеспечивает стопроцентной защиты. Каждый браузер необходимо вручную настроить на обращение к прокси-серверу. Разработчики даже лучших прокси признаются, что с помощью определенных трюков, использующих Flash или JavaScript, можно вычислить реальный IP-адрес — т. е. тот, с которого вы подключаетесь к прокси-серверу. Чтобы избежать этого, можно заблокировать или ограничить поддержку Flash и JavaScript в браузере. Лучший способ помешать JavaScript-сценарию отследить вас через браузер — пользоваться расширением HTTPS Everywhere (см. выше).

Существует множество платных прокси-серверов. Но необходимо внимательно читать политику конфиденциальности любого сервиса, на котором вы регистрируетесь. Обращайте внимание, как сервис шифрует передаваемые данные и насколько скрупулезно соблюдает законы и выполняет государственные требования, связанные с предоставлением информации.

Можно найти бесплатные прокси-серверы, но вам придется иметь дело с лавиной бесполезной рекламы.

Что касается меня, то я советую вам избегать бесплатных прокси. В ходе своей презентации на конференции DEF CON20 мой друг и специалист по безопасности Чема Алонсо создал собственный прокси-сервер, чтобы наглядно продемонстрировать, как он может пригодиться злоумышленникам, и прорекламировал его адрес на форуме http://www.xroxy.com. Через несколько дней этим бесплатным «анонимным» прокси пользовались уже свыше 5000 человек. К сожалению, большинство из них были мошенниками.

Мораль этой истории — когда сервис бесплатен, вы получаете ровно то, за что заплатили.

Алонсо же, в свою очередь, с помощью этого проксисервера также мог без труда внедрить вредоносное ПО в браузер злоумышленника и отслеживать его действия. Так он и поступил, применив метод захвата с помощью BeEF, фреймворка, эксплуатирующего уязвимости браузеров. Кроме того, Алонсо записал в пользовательском соглашении, что оставляет за собой право это сделать. Пользователи были вынуждены принять условия соглашения, иначе не смогли бы пользоваться сервисом. Именно благодаря этому Алонсо смог читать электронные письма, пересылаемые через его прокси, и просматривать весь остальной трафик, связанный с преступной деятельностью пользователей. Мораль этой истории — когда сервис бесплатен, вы получаете ровно то, за что заплатили.

Есливыприменяетепрокси-сервервсочетаниисHTTPS, правоохранительные органы и спецслужбы смогут увидеть только IP-адрес прокси-сервера, но не ваши действия на сайте — эта информация будет зашифрована. Как уже говорилось, обычный HTTP-трафик не зашифрован, поэтому следует всегда пользоваться HTTPS Everywhere (да, это мой ответ на большинство вопросов, связанных с уязвимостями браузера).

Для удобства люди часто синхронизируют настройки браузеров на разных устройствах. Например, когда вы входите в Chrome (авторизовавшись через аккаунт Google) или включаете хромбук, ваши закладки, вкладки, история и остальные настройки браузера синхронизируются через аккаунт Google. Эти настройки автоматически загружаются каждый раз, когда вы запускаете Chrome на обычном компьютере или на мобильном устройстве. Чтобы выбрать, какие данные необходимо синхронизировать с аккаунтом, или настроить шифрование, перейдите в раздел настроек в Chrome. Личный кабинет Google предоставляет полный доступ к управлению информацией, если вы вдруг решите отказаться от синхронизации. Проверьте, чтобы была отключена автоматическая синхронизация конфиденциальных сведений. У браузера Mozilla Firefox также есть возможность синхронизации.

Подвох в том, что хакеру нужно всего лишь заставить вас авторизоваться в аккаунте Google в браузере Chrome или Firefox, после чего вся ваша история поиска будет загружена на его устройство. Представьте себе, что за вашим компьютером посидел ваш друг, который вошел в свой аккаунт. История поиска, закладки и другие

данные вашего друга будут синхронизированы. Другими словами, вся эта информация теперь будет видна на вашем компьютере. Кроме того, если вы войдете в синхронизированный аккаунт на компьютере и забудете выйти, все ваши закладки и история браузера будут видны следующему пользователю. Когда вы входите в Google Chrome, отображается информация из абсолютно всех сервисов Google, включая Google Календарь, YouTube и другие. Если вам пришлось выйти в Интернет с такого компьютера, обязательно выйдите из своего аккаунта по завершении работы.

Еще один недостаток синхронизации заключается в том, что на всех связанных друг с другом устройствах будет отображаться один и тот же контент. Если вы живете один, в этом нет ничего страшного. Но если у вас общий с кем-то аккаунт iCloud, может случиться неприятность. Например, родители, которые разрешают детям пользоваться своим планшетом iPad, могут ненароком познакомить их с контентом для взрослых.84

Эллиот Родригес, делопроизводитель из Денвера, штат Колорадо, купив себе новый планшет в магазине Apple, подключил его к своему старому аккаунту iCloud. Все фотографии, сообщения, музыка и видео со старого планшета тут же загрузились на новый. Он сэкономил массу времени, поскольку ему не пришлось вручную переносить все данные на новое устройство. И у него всегда был доступ ко всем материалам, каким бы устройством он ни пользовался.

Через какое-то время Эллиот решил отдать старый планшет своей восьмилетней дочери. Устройства Эллиота и его дочки были подключены к одному и тому же

аккаунту iCloud, что было довольно удобно. Время от времени Эллиот замечал новые приложения, установленные дочкой на свой планшет. Иногда они даже отправляли друг другу семейные фотографии. Затем Эллиот поехал в очередную командировку в Нью-Йорк.

Без задней мысли Эллиот снял на свой iPhone несколько фотографий со своей нью-йоркской любовницей, некоторые из которых были довольно… интимными. Фотографии с его iPhone автоматически синхронизировались с планшетом iPad его дочери в Колорадо. И, конечно же, дочка спросила у мамы, что это за женщина с папой. Нужно ли говорить, что Эллиота дома ждало серьезное разбирательство?

Также всплывает проблема подарков ко дню рождения. Если у вас общее устройство или синхронизированные аккаунты, история вашего поиска и просмотренные сайты могут подсказать человеку, что он получит на день рождения. Или, хуже того, мог бы получить. Опять же общий компьютер или планшет в семье может нарушить личное пространство человека.

Один из способов этого избежать — разграничить пользователей, что довольно просто сделать в Windows. Оставьте за собой права администратора, чтобы вы могли управлять параметрами системы, и настройте отдельные дополнительные учетные записи для членов семьи. Каждый будет входить под собственным паролем, и у каждого будет доступ только к собственному контенту, закладкам и истории в браузере.

Операционная система macOS компании Apple также позволяет произвести подобное разграничение. Однако лишь немногие вспоминают о том, что надо бы разделить