Российский программист Александр Ежов нашел "дыру" в двух самых известных сервисах по сохранению анонимности интернет-пользователей. Строчка кода на JavaScript позволяет получить данные о пользователе, даже если он пришел через Anonimizer.com или SafeWeb.com.
На прошлой неделе российский программист Александр Ежов сообщил, что нашел "дыру" в самом известном из анонимайзеров - Anonymizer.com. Сервер, предоставляющий услуги по сохранению анонимности интернет-пользователей, оказалось легко обмануть с помощью строчки кода на JavaScript. Аналогично "ломается" и другой известный сервис такого рода - SafeWeb.
Простейший вариант анонимайзера представляет собой прокси-сервер, то есть дополнительный удаленный компьютер, через который идет весь трафик пользователя во время его блужданий по сайтам. В этом случае запрос к сайту приходит не с персонального компьютера пользователя, а с промежуточного компьютера, что не позволяет получить на "той стороне" реальный IP-адрес пользователя, который заходит на сайт.
Существуют, однако, и другие способы получать данные об обитателях Сети. Сюда относятся cookies, а также некоторые приложения, исполняющиеся на стороне клиента - такие, как JavaScript, VBScript и ActiveX. Вполне очевидно, что хороший анонимайзер должен отсекать и такие возможности. Но как выяснилось, даже известные и широко разрекламированные анонимайзеры не делают этого.
Москвич Александр Ежов, специалист в области компьютерной безопасности, обнаруживший вышеупомянутую "дыру", является автором и разработчиком двух сетевых проектов, полностью посвященных вопросам безопасности личных данных в Сети - leader.ru и tools-on.net. В настоящее время Ежов работает в компании Zenon N.S.P. До этого долгое время работал в Промстройбанке России, где создавал и администрировал домен банка - psb.ru, а также занимался вопросами безопасности.
Александр согласился ответить на несколько вопросов "Нетоскопа", связанных с проблемами сохранения анонимности в Сети.
- Расскажите, пожалуйста, о Ваших проектах.
- Во время работы в банке коллеги периодически интересовались различными техническими вопросами, ссылками на финансовые ресурсы и тому подобное. Собственно, так все и началось - с пары страниц на корейском севере, раздававшем свободное место с шелл-доступом и CGI/SSI. Проект потихоньку рос, и в конце
концов недостатки "халявного" хостинга стали подталкивать к мысли о переходе на нормальный. Был выбран и оплачен домен leader.ru, а также подходящий хостинг-план в Zenon N.S.P. Так проект стал существовать на новом месте, с запоминаемым адресом и без свойственных многим free-сервисам недостатков.
Позже, когда по ходу работы приходилось расследовать попытки атак на серверы банка, некоторые написанные для этих целей утилиты были размещены на сервере leader.ru и стали пользоваться популярностью у посетителей. Например, who-сервис. (Речь идет об утилите, использующей JavaScript и дающей подробную информацию о пользователе, от его операционной системы до IP-адреса. - Ред.)
- А как появился Tools-On.net?
- Через некоторое время стали приходить письма от зарубежных посетителей, которым было трудно разобраться в страницах на русском языке. Сервер был модифицирован. Теперь большинство популярных скриптов автоматически настраиваются на язык клиента. Также было изменено навигационное меню, хотя сам контент leader.ru остался проектом на русском языке. Вскоре на leader.ru будет возвращено и русское меню - это запланированный процесс, наряду с общим обновлением. Что касается tools-on.net, то этот проект стартовал совсем недавно, когда пришло время полностью разделить русский и английский контент.
- Как Вы обнаружили дыру в Anonymizer.com?
- Достаточно давно, еще работая над очередной статьей для посетителей своего сайта leader.ru, я заинтересовался вопросом корректности фильтрации контента анонимизирующими сервисами. После нескольких экспериментов был получен JavaScript-код, который выполнялся при его комментировании анонимайзером (анонимайзер не отсекает JavaScript, а лишь "снабжает их комментариями"). Письмо было отправлено хозяевам анонимайзера. На этом данная часть истории заканчивается.
- Недавно, работая над новыми версиями скриптов Who и Whois для сайта
tools-on.net, я обнаружил, что фактически тот же код (несколько измененный, чтобы не вызывать ошибки вне зависимости от того, загружена страница через анонимайзер или нет) нормально выполняется. Об этом и было опубликовано сообщение в bugtraq. Возможно, предыдущий репорт был утерян. Практически сразу было получено сообщение от президента компании Лэнца Коттрела, и сотрудники анонимайзера достаточно оперативно устранили проблему.
- Существует схожий сервис SafeWeb. Как обстоят дела с ним?
- Так же. Так как я получил достаточно много вопросов относительно SafeWeb.com, то уже 14 июня я проверил его функциональность и выяснил, что достаточно добавления одной строки JavaScript-кода и изменения одной инструкции, чтобы получился код, работающий и для SafeWeb. Письмо в компанию было отправлено, однако пока никакой реакции не последовало.
- Как Вы оцениваете дальнейшие перспективы написания подобных же программ кем бы то ни было еще?
- Представленный JavaScript-код еще раз показал, что нельзя полностью полагаться на внешние средства защиты, не заботясь о безопасности самостоятельно. Достаточно отключить поддержку JavaScript перед использованием анонимизирующих сервисов, чтобы подобный код перестал выполняться. Я не исключаю возможности того, что может быть составлен и другой код, который не будет отфильтрован каким-либо сервисом. Все, что нужно для его написания - знания и текстовый редактор.
- Как Вы оцениваете состояние дел с конфиденциальностью частной информации в Сети? У нас, за рубежом?
- Как не слишком хорошее. Многие не осведомлены об элементарных мерах безопасности. Многие целиком полагаются на внешние средства, забывая, что техника без специалиста часто не стоит вложенных в нее денег. В любом случае, количество сервисов, дающих информацию о безопасности и конфиденциальности в Сети, не так велико, как хотелось бы (особенно в российской части Сети).
На Западе пользователи более осведомлены в этих вопросах, развиваются соответствующие сервисы. В России пока все иначе. У многих пользователей защита сводится к установке AtGuard (хотя и это уже неплохо). К сожалению, можно наблюдать, насколько трафик в Usenet/Fido, посвященный вопросам безопасности, мал по объему и информативности. Во всяком случае, пока.
- Какие Вы еще можете назвать проекты, помогающие пользователям в этом вопросе?
- Достаточно оперативно реагирует void.ru, а также проект Евгения Ильченко security.tsu.ru, который имеет и английский вариант. Интересен проект "Частная жизнь в Интернете", однако, его русский вариант, похоже, более не поддерживается.