Регистрация06.07 // Veiled - анонимная сеть из браузера не требует установки ПО
Двое исследователей обнаружили способ использования современных браузеров для более лёгкого создания даркнетов — подпольных скрытых интернет-сообществ, в которых пользователи могут делиться контентом и идеями безопасно и анонимно.
Билли Хоффман, менеджер HP Security Labs at HP Software и Мэтт Вуд, старший исследователь безопасности в HP's Web Security Research Group, представят концепт-проект "Veiled", новый тип даркнета на конференции Black Hat USA в Лас-Вегасе в следующем месяце. Сами по себе даркнеты не являются чем-то новым: такие сети как Tor, FreeNet и Gnutella достаточно распространены. Исследователи из компании HP говорят, что Veiled использует ту же самую идею, только в значительно более простом исполнении: она не требует никакого программного обеспечения для участников, только HTML-браузер, поддерживающий протокол версии 5. "Мы выполнили новый простой даркнет в браузере", говорит Вуд, "Не требуется никаких программ".
В отличии от своих предшественников, Veiled не требует никаких технических познаний для присоединения. "Самая крутая вещь во всём этом – ничтожно низкий уровень вхождения в даркнет", говорит Хоффман, "Вы можете выполнять некоторые интересные приложения поверх этого. Это может быть путём тайного информирования и сброса информации (к примеру). Когда у вас есть что-то децентрализованное наподобие этого, никто не может это контролировать или остановить".
Veiled в основном – это сеть с "нулевыми следами", в которой мгновенно могут образовываться и исчезать любые группы, без возможности выслеживания. Он соединяет пользовательский HTML-5 браузер с единственным PHP-файлом, который загружает в браузер некоторый JavaScript-код. Части этого файла распределены между пользователями даркнета Veiled. Это не сеть "peer-to-peer", а скорее цепочка "повторителей" PHP-файла, говорят исследователи.
Исследователи встроили шифрование для обеспечения анонимности и безопасности пользователей.
Хоффман и Вуд хотят показать, что создание даркнетов, основанных на браузерах – реально. Но они не считают, что Veiled – это замена существующих даркнетов. "Мы не думаем, что это лучшее решение... Наш посыл состоит в том, чтобы технические барьеры для вхождения в эти безопасные анонимные сети не были столь высоки". "Мы пытаемся создать инфраструктуру такого типа коммуникаций и файлообмена, чтобы дать возможность другим решить, как им стоит проектировать"
Как отмечают разработчики в другом интервью, у них возникла идея создать средство защиты приватности, наподобие сети Tor — программного обеспечения, которое туннелирует трафик таким путём, что это повышает приватность и безопасность и делает анализ трафика более сложным делом. Однако, как заявляют исследователи безопасности из HP, в отличие от Tor и сходных технологий приватности, их идея более простая для пользователей, поскольку не включает использование специально сконфигурированного ПО или железа.
"Tor, с точки зрения анонимности, вероятно лучше и более стойкий, чем то, что мы предлагаем", говорит Хоффман. "То что мы создаём – намного легче в использовании".
Позднее, разработчики дали более подробное интервью, в котором ответили на ряд вопросов.
Как вы можете охарактеризовать Veiled?
Мэт Вуд: В конце 90-хх, начале 2000-хх технологии файлообмена начали выходить в свет, давая людям возможность обмениваться идеями без опасения надзора, и по существу дали людям возможность обмениваться различными материалами без страха за последствия. Наш даркнет — Veiled — позволяет нам эмулировать множество свойств обеих сетей — Freenet и Gnutella всего лишь внутри браузера. Браузер становится повсеместной платформой для приложений. Взгляните на такие штуки как Gmail или Facebook. Они посложнее некоторых приложений на вашем десктопе. Так что мы лишь приложили усилия к тому, чтобы браузер показал, на что он способен. Некоторые новые функциональные возможности JavaScript — скорость с которой теперь работает JavaScript движок — позволяет нам производить в реальности фантастические криптопреобразования и аналогичные вещи, так что мы только приложили усилия в верном направлении, чтобы в Veiled оказалось множество свойств из других даркнетов.
Veiled – это приложение (add-on) к браузеру или нечто, что будет загружаться?
Вуд: Veiled логически – всего лишь вэб-страница. Вы используете PHP-файл с вэбсайта, чтобы соединиться с другими клиентами даркнета. Вообразите, что целая куча серверов разместили PHP файл и эти файлы вместе создают инфраструктуру даркнета и у вас есть клиент, который может соединяться индивидуально с каждым узлом. PHP-файл выступает здесь в роли повторителя для каждого JavaScript клиента. JavaScript – это часть, осуществляющая все коммуникации даркнета.
Как будут начинаться и заканчиваться сессии? Если вы закроете сессию, она завершится навсегда?
Вуд: Во всех этих сетях: Freenet, Tor, Gnutella вы действительно устанавливаете программное обеспечение и производите множество конфигурационных настроек. Там вам действительно сложно подключиться и отключиться. Поскольку Veiled – это разновидность того же, но основанная на браузере, то людям очень легко собраться вместе и организовать даркнет. Как только вы закрыли свой браузер – вы вышли. Это основано на сессиях. Вы находитесь в даркнете только тогда, когда открыт ваш браузер. Ничто не инсталлируется на ваш компьютер, вы запускаете клиентскую часть кода на JavaScript. Кроме некоторых закэшированных HTTP-данных, на вашем компьютере ничего реально не сохраняется и нет никаких реальных следов, что вы были в это вовлечены. И самая восхитительная вещь, то что использование браузера делает реально низким барьер для вовлечения людей в даркнет.
Существуют ли специфические требования к сети?
Вуд: Нет. Единственно, что действительно нужно для даркнета, чтобы кто-то где-то разместил PHP-файл на сервере. Как только вы достигли этого, вы можете создать даркнет вокруг одного узла или вы можете соединить один узел с другим узлом, если предпочитаете использовать сервер, которому вы доверяете.
Существуют ли проверки логина для защиты узла?
Вуд: Это в основном тоже, что и нормальный вэб-сайт. Если вы хотите поставить на него парольную защиту, вам придётся создать некоторые дополнения к своему даркнету, чтобы не дать людям возможности им пользоваться без наличия доступа.
Как это всё маскирует IP-адрес и даёт людям реальную анонимность?
Вуд: В действительности вы не можете спрятать свой IP-адрес во время вашего первого сделанного соединения, так что вам придётся надеятся, что вы соединились с чем-то, чему вы доверяете. Как только вы соединились с этим сервером, другие части даркнета с этого сервера никогда не должны увидеть ваш IP-адрес. Никакая информация, которая могла бы вас идентифицировать, в даркнете не используется. Буквально, только одна точка знает ваш реальный IP-адрес. В этом состоит контраст с работой сети Tor, поскольку используя Tor вы также соединяетесь с входящим узлом, но реально анонимность в Tor исходит из факта, что ваши запросы проходят через сеть Tor и выходят в некотором исходящем узле, который вы не контролируете. Где-то в цепочке вы доверяете кому-то.
Какие типы интересных приложений можно разместить поверх Veiled?
Вуд: Есть множество применений. Подумайте о ящике предложений (расширенном варианте избирательной урны). Вы не хотите, чтобы кто-то входил со стороны с определёнными предложениями. Другой простой случай использования – анонимный форум, который существует только в даркнете. Вы можете осуществлять коммуникации со множеством людей внутри даркнета и это будет выглядеть как типичный интернет-форум.
Есть ли в этом потенциал для злоупотребления киберпреступниками?
Вуд: Неважно, принадлежите ли вы к хорошим парням или плохим, реально важно поддерживать свою приватность. Как только вы что-то помещаете в сеть, есть потенциал, что это останется там навсегда. Являются ли цели людей хорошими или плохими – это на самом деле не нам решать. Мы реально хотим выпустить в свет эту технологию и посмотреть, что люди смогут делать, дать людям способ делать реально хорошие приложения, работающие поверх даркнета.
Каковы ограничения Veiled?
Вуд: Пока-что не нужно устанавливать никакого программного обеспечения, не нужно и иметь безграничных запасов хранения данных. Но есть ограниченный объём данных, к которым браузер может получать доступ через JavaScript. Вы можете поставить нечто вроде Google Gears и это даст вам множество дискового пространства для работы. Также, поскольку вы соединены с оригинальным узлом, вы не можете действовать полностью в роли peer-to-peer сети. У вас нет бесконечной пропускной способности. Вы всё ещё ограничены пропускной сопособностью того способа, которым вы подключаетесь.
Источник: SecurityAsia.com
Хорошо начали но недоговорили. Что значит "контраст"? Типа, здесь не так? Т.е., есть узел, который всегда знает реальный IP? А чем это лучше чем обычная VPN сеть тогда? Только тем, что "низкий барьер"?
комментариев: 11558 документов: 1036 редакций: 4118
... И построит ботнет :) Благо и материал из конвенциональных браузеров и скриптовых возможностей современных веб-стандартов позволяет.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Скорее всего, основное отличие в том, что если в программе Tor зашит заверенный разработчиками список доверенных адресов узлов статистики сети по умолчанию, то тут этого по определению быть не может, так как нет самой программы.
Следовательно, важно как-то подключиться к первому узлу, чтобы он был доверенным, иначе он может искажать картину сети или будет MITM. Например, это может быть какой-то сайт с поддержкой https, может в будущем от того же Хьюлет Паккарда, сделают какую нибудь социальную сеть и рекламы своей напихают :)
Или это может быть свой доверенный сайт на https сообщества любителей анонимности – как pgpru.com, например.
Дальше или цепочки как в Tor (onion routing) или нечто иное с участием нескольких узлов, которые можно выбирать по тому как они соединены с данным сайтом, но это явно не простой аналог VPN, иначе бы хватило простого https-вэб-анонимайзера.
Ну и да, скорее всего протокол послабее чем Tor в плане устойчивости к разного рода атакам на анонимность. И реализация явно будет менее безопасной – из-за возможно очень большого числа уязвимостей в браузерах и самих сайтах (да и ещё из-за реализации серверного движка на PHP).
Зато массовость – теоретически каждый желающий на хостинге сможет поставить такой скрипт, который скорее позиционирется как прикольная фича для таких безбашенных малолетних чуваков или далёких от компьютерных тонкостей пользователей (блондинок и домохозяек, которых они будут в даркнет заманивать), которые сидят в социальных сетях на протрояненных окошках. Им настоящая суперанонимность сложных сетей не нужна на и так дырявых машинах и браузерах, зато хоть как то можно кому-то доносить информацию и до них и получать от них тоже, плюс за счёт гипотетической массовости с них будет хоть какая-то польза – много покрывающего трафика нагенерят, чтобы глобального наблюдателя загрузить лишней работой. А затем глядишь кто-то из них более продвинутыми даркнетами заинтересуется. Или этот во что-то вполне неплохое разовьётся при всех своих концептуальных ограничениях.
Как файл php может распределиться между клиентами на JS?
комментариев: 9796 документов: 488 редакций: 5664
Позднее сверюсь со статьями и попробую ещё раз уточнить корректность перевода.
комментариев: 9796 документов: 488 редакций: 5664
Исправлено на:
Он соединяет пользовательский HTML-5 браузер с единственным PHP-файлом, который загружает в браузер некоторый JavaScript-код.
Спасибо за внимательность к аккуратности перевода. Правда это всё равно не даёт ответа на вопрос – как оно на самом деле работает.
Спасибо за перевод )
Возможно дело в новой возможности HTML-5 "Хранение данных в браузере"? Не очень понятно, что понимается под этой возможностью – предполагает ли HTML-5 хранение в браузере произвольных файлов? Могут ли эти файлы быть загружены сервером или подгружаться с локального компьютера? (как известно сейчас браузеры с локальной файловой системой не работают. плагины, add-оны не в счет)
Как выяснилось, некоторые современные браузеры уже поддерживают локальное хранение в базе данных SQLite. Ну и про Google Gears в новости тоже есть упоминание –
Let web applications interact naturally with your desktop
Store data locally in a fully-searchable database
комментариев: 9796 документов: 488 редакций: 5664
Интересно, на чём там основана асимметричная криптография? Наверное крипто на эллиптических кривых может эффективно работать и на JavaScript.
Т.е. обычная цепочка прокси? В чем тогда новшество, в том что трафик от клиента до первого узла шифруется с помощью JS?
Вот если клиенты могли бы файлы выкладывать в сеть только с помощью браузера. Например я загружаю в браузер при помощи Google Gears фотографию. Иду на этот самый PHP-файл, который загружает мне JS-скрипт. Скрипт этот регулярно опрашивает сервер не понадобился ли кому мой файл, и если кто-то его запрашивает начинает его передавать.
При этом никто со стороны не знает что именно я передаю, а тот кто получает не знает от кого он это получает.
Правда особой анонимности это не прибавляет – сервер знает кто кому и что передает.
А может можно идею развить?
(с Google Gears не работал, не знаю его возможностей)
комментариев: 9796 документов: 488 редакций: 5664
ну наверое и до последнего (исходящего). Сложно гадать, у проекта пока нет ни документации, ни кода, ни демо-версии, ни даже своей страницы в инете. Может авторы помелькают на конференции и идею забросят.