var SectionTitles=new Array( "Internetovß anonymita - je Φi nenφ?" );
var SectionURLs=new Array( "175" );
var BrothersNames = new Array("Reklama versus ochrana soukromφ v IE6","Creative obvin∞n ze sledovßnφ u₧ivatel∙","The Register o anonymit∞","Webtiming attack : dφra do webovΘho soukromφ?","Velkß dφra do soukromφ pomocφ Media Playeru ve Windows XP","BezpeΦnostnφ nedostatky i na presti₧nφch zpravodajsk²ch webech z oblasti ICT","Internetovß anonymita - je Φi nenφ?","Zero-knowledge proofs (I.)","");
var BrothersIDs = new Array("47","48","98","108","126","162","175","218","");
//=====INFO======
ItemName='Article175';
InIFrame='No';
TableNum=2;
ItemID=175;
ArticleType='4';
Action='articles'
ItemTitle='Internetovß anonymita - je Φi nenφ?';
ItemComment='Internetovß anonymita - je Φi nenφ?';
Intro('Frßzi \"anonymnφ prost°edφ internetu\" jist∞ slyÜel ka₧d². TakΘ se v masov²ch mΘdiφch obΦas objevujφ zprßvy o v²znamn²ch ·sp∞Üφch policie, kterΘ se poda°ilo rozbφt gang pedofil∙. Odpov∞∩ je, jako obvykle - anonymita zßvisφ na tom, kdo se sna₧φ b²t anonymnφ, a kdo se sna₧φ jeho identitu odkr²t. ');
Pohlφ₧ejme na v∞c nejprve z pohledu pronßsledovatele. Na poΦßtku je nap°φklad mrtvola, v podob∞ zneu₧itΘho serveru. Prvnφm krokem by mohlo b²t ohledßnφ stop na t∞le, zjiÜt∞nφ pou₧it²ch zp∙sobu ·toku, instalovan²ch backdoor∙, zm∞n v systΘmu a podobn∞. Tomu se v∞nuje forenznφ anal²za. M∞la by nßm poskytnout jednak obecnou p°edstavu o pronßsledovanΘm, jednak konkrΘtnφ p°φmΘ stopy. Jejich kvalita dost zßvisφ na pou₧φvanΘm auditnφm mechanismu.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> katastrofßlnφ je standardnφ unixov² syslog, pokud loguje pouze lokßln∞. Pronßsledovan² m∙₧e samoz°ejm∞ logy smazat. Ale m∙₧e je i pozm∞≥ovat. Chyt°ejÜφ pronßsledovan² tedy vytvo°φ pravd∞podobn∞ vyhlφ₧ejφcφ, ale faleÜnΘ stopy. </UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> lepÜφ lokßlnφ log by m∞l zajiÜ¥ovat alespo≥ nepodvr₧itelnost minul²ch zßznam∙ do okam₧iku, kdy je kompromitovßn samotn² logovacφ systΘm. Nepodv₧itelnosti se dß dosßhnout s pomocφ kryptografie.</UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> dobrΘ logovßnφ by m∞lo zajistit existenci a nepodvr₧itelnost zßznam∙ a₧ do okam₧iku zniΦenφ syslogu. Nejsnßze se asi dosßhne vzdßlen∞, uklßdßnφm logu na n∞jakΘm poΦφtaΦi, kter² se chovß jako Φernß dφra (je₧ ale na po₧ßdßni logy vyzß°φ).</UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Pokud auditnφ mechanismy zafungovaly, je v²sledkem v∞tÜinou pßr IP adresa X, a Φas. Ve stejnΘ situaci se m∙₧eme ocitnou takΘ p°i stopovßnφ p°φstupu na webovou strßnku, nahrßnφ webovΘ strßnky via ftp, ssh p°φstupu, °ßdek v hlaviΦce mailu a podobn∞.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
╚asto se tvrdφ, ₧e je to stejn∞ na nic, proto₧e IP adresy lze snadno podvrhnout. Nenφ to pravda. Klasick² IP spoofing zßvisφ na tom, zda je ·toΦnφk schopen navßzat TCP spojenφ s napaden²m, ani₧ by vid∞l jeho odpov∞di. A na tom, zda je schopen dodr₧et p°i komunikaci protokol, ani₧ by vid∞l odpov∞di. P°i komunikaci s prot∞jÜkem s rozumn²m operaΦnφm systΘmem je dnes odhadovßnφ odpov∞dφ dost obtφ₧nΘ (oblφbenΘ "TCP Sequence Prediction", poΦφtanΘ nmapem.) TΘm∞° nemo₧nΘ je "slepΘ" podvr₧enφ delÜφ session u prokol∙, kterΘ zßvisejφ na spoluprßci obou stran (ssh). Pokud mßme dobr² operaΦnφ systΘm, nebo slo₧it² protokol, plyne z toho, ₧e pronßsledovan² musel packety, odeslanΘ na X, p°eΦφst.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
NeuÜkodφ tedy podφvat se, kudy takovΘ packety putujφ. Poslou₧φ
<SPAN Class=CODE>traceroute</SPAN> nebo n∞kdy takΘ <SPAN Class=CODE>ping -R </SPAN> (ping s nastaven²m atributem RECORD_ROUTE). V mφstnφch podmφnkßch p°ipadajφ v ·vahu p°edevÜφm t°i mo₧nΘ v²sledky
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> krßtkß cesta do mφstnφ nebo blφzkΘ sφt∞</UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> cesta p°es NIX k jinΘmu providerovi v ╚R</UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
<UL STYLE="margin-right:50px;" Class=LinkItem><LI> cesta p°es mezinßrodnφ pßte°nφ sφt∞ "n∞kam", tam pak pßte°φ mφstnφho providera a₧ do n∞jakΘ lokßlnφ sφt∞.</UL>
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Jednu mo₧nost poslechu nabφzφ "sb∞rnicovß" mΘdiφ (ta, kde lze jednoduÜe sniffovat, "p°epnout se do promiskuitnφho m≤du"). Takovß topologie je pravd∞podobnß na "okrajφch" internetu. V p°φpad∞ krßtkΘ cesty to ne°φkß nic, jen, ₧e pronßsledovan² mohl b²t v mφstnφ sφti snadno s jinou adresou. V dalÜφch p°φpadech - pokud se mezi nßmi a n∞jak²m v∞tÜφm routerem vyskytuje odposlouchßvatelnß sφ¥, mohl b²t pronßsledovan² v nφ. Na pßte°nφch sφtφch by tento problΘm b²t nem∞l. Stejnß Üance se pronßsledovanΘmu nask²tß op∞t v okolφ X, pokud packety prochßzejφ p°es odposlouchßvatelnou sφ¥.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Druhou mo₧nostφ je odvedenφ provozu stranou na n∞kterΘm z router∙. M∙₧eme kontaktovat jejich sprßvce, zda nezaznamenali bezpeΦnostnφ problΘmy, "asertivn∞jÜφ" metodou by bylo zb∞₧n∞ si jejich bezpeΦnost odhadnout sami. Pokud si pronßsledovan² odroutoval packety n∞kam, a tuÜφme na kterΘm routeru se tu stalo, jsme na konci jednΘ iterace.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
T°etφ metodou je IP faking, podvr₧enφ adresy na ni₧Üφ vrstv∞, ethernetovΘ arp (MAC adresy). S mo₧n²m umφst∞nφm pronßsledovanΘho se to mß podobn∞ jako u odposlouchatelnΘho mΘdia. Na pßte°nφch sφtφch by chaos, vznikajφcφ touto metodou, snad upoutal pozornost.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
P°ibli₧nou p°edstavu, kde pronßsledovan² mohl b²t, mßme. Podstatn² je zßv∞r, ₧e i kdy₧ je adresa z druhΘho konce sv∞ta, mohl komunikovat "soused". Naopak, pokud adresa X ukazuje na souseda, asi to opravdu byl soused, i kdy₧ nenφ jasnΘ, kter².
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Pokud p°edpoklßdßme, ₧e pronßsledovan² adresu podvrhnul, m∙₧eme p°i pßtrßnφ pokraΦovat v mφstnφ sφti. Ve switchovanΘ sφti mohou b²t pr∙vodnφm jevem kradenφ adres zm∞ny v arp tabulce (zprßvy typu "arp: IP moved from MAC1 to MAC2 on fxp0"), zm∞ny MAC na jednotliv²ch portech switche, v²skyt problΘm∙ s duplicitnφmi MAC a IP, a podobn∞. Vhodnou prevencφ u inteligentnφch switch∙ by bylo natvrdo nastavit povolenΘ MAC na jednotliv²ch portech. Ideßlnφm v²sledkem pßtrßnφ by bylo nalezenφ poΦφtaΦe, kter² spoofing provßd∞l. Op∞t bychom byli na konci iterace.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
╚asto podvr₧enφ adresy nep°edpoklßdßme, vzhledem k odhadu "celkovΘho chovßnφ" pronßsledovanΘho. Informace o provozovateli IP adresy poskytne <SPAN Class=CODE>whois X</SPAN>, zkusit lze reverznφ p°eklad ip adresy na jmΘno <SPAN Class=CODE>dig 4.3.2.1.in-addr.arpa</SPAN> (adresa je zapsßna v obrßcenΘm po°adφ, uveden² dotaz odpovφdß nap°. ip 1.2.3.4), nameservery pro danou sφ¥ <SPAN Class=CODE>dig NS 3.2.1.in-addr.arpa</SPAN>. Pak jsou dv∞ mo₧nosti - ip je na "okraji" internetu, a pronßsledovan² ji skuteΦn∞ v danΘm Φase pou₧φval, internetovß Φßst stopovßnφ konΦφ. (Vlastn∞ mohla b²t velmi krßtkß - m∞li jsme IP a Φas a usoudili, ₧e nebyla podvr₧enß, a ₧e je "koneΦnou" ip) Pak nastßvß problΘm, jak p°i°adit IP+Φas ke konkrΘtnφmu Φlov∞ku, pokud mo₧no s adresou. Obtφ₧nost a pou₧itelnΘ postupy se pochopiteln∞ liÜφ podle druhu p°ipojenφ - dialup, pevnß linka, poΦφtaΦ v internetovΘ kavßrn∞, poΦφtaΦ v sφti kablovΘ televize. Vrßtφme se k nim p°φÜt∞.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
Adresa, ke kterΘ jsme dosp∞li, m∙₧e b²t pouze p°estupnφ stanice. Z°ejmΘ je to t°eba u webov²ch proxy, je ale mo₧nΘ p°edßvat jakΘkoli spojenφ, a pro zakrytφ stop je to ideßlnφ metoda. Utilitky pro p°esm∞rovßnφ jsou snadno dostupnΘ a trivißln∞ pou₧itelnΘ. Zamaskovßnφ stop je oblφben²m vyu₧itφm napaden²ch "jinak nezajφmav²ch" poΦφtaΦ∙. Pokud je tomu tak, nezb²vß ne₧ kontaktovat osobu zodpov∞dnou za danou ip (a ideßln∞ i za poΦφtaΦ), kontakty by nßm m∞lo poskytnout whois, u reverzn∞ resolvovan²ch jmen m∙₧eme zkusit najφt v domΘn∞ n∞jakΘ www strßnky, kontakt na firu atp. V nejlepÜφm p°φpad∞ narazφme na kooperativnφho sprßvce, poΦφtaΦ a sφ¥ s dob°e veden²mi zßznamy, rozumn²m operaΦnφm systΘmem, rozumn²mi routery. A jsme zase na zaΦßtku, mßme novou IP+Φas, proces se m∙₧e opakovat. ╚astß je jinß situace - na zve°ejn∞n²ch emailech nikdo neodpovφdß, kdy₧ ano, logy jsou nepou₧itelnΘ. Alespo≥ mo₧nß n∞kdo zjistφ, ₧e mß "hacknut² poΦφtaΦ", my jsme ale v koncφch, alespo≥ s touto metodou.
</DIV></FONT></b></i>
<FONT Size=2><DIV Align=Justify Class=Paragraph>
P°φst∞ o nep°φm²ch metodßch a p°i°azenφ IP+Φas k Φlov∞ku.
</DIV></FONT></b></i>
</DIV>
<SCRIPT>
TextEnd('')
</SCRIPT><OL Class=None Type=Disc></OL><SCRIPT>
nie('<br>');AdditionalTablesBegin();
CommentsBegin('Internetovß anonymita - je Φi nenφ?',0);
