LINUXZONE






 >> Hlavní stránka

(1751/28.09.2010)


 >> Administrace

(161/05.08.2010)


 >> Literatura

(312/14.09.2010)


 >> Bezpečnost

(347/17.09.2010)


 >> Programování

(307/19.04.2010)


 >> Distribuce

(98/16.09.2010)


 >> Síťování

(86/03.06.2010)


 >> Lokalizace

(10/15.09.2004)


 >> Aplikace

(176/12.08.2010)


 >> Multimedia

(32/31.03.2006)


 >> Hardware

(45/02.03.2007)


 >> Začínáme

(229/09.09.2010)


 >> Aktuálně

(564/20.09.2010)


 >> RELAX

(213/28.09.2010)


 >> Jinde vyšlo

přehled ostatních serverů




 Coolhousing




Coolhousing - Vas poskytovatel dedikovanych serveru




 Přihlášení




Login:
Heslo:
 uložit v prohlížeči


Nejste-li ješte zaregistrováni, můžete tak učinit zde.





 Vyhledávání




Hledaný výraz:
v klíčových slovech
v titulku
v anotaci
v textu








 Reklama









 Servis




*   Vaše náměty a připomínky
Máte k Linuxzone.cz nějaké připomínky nebo náměty? Našli jste na stránkách chybu? Dejte nám o tom vědět pomocí formuláře nebo v diskuzi.
Komentářů: 60
*   Podpořte Linuxzone.cz
Chcete podpořit náš server umístěním odkazu nebo zveřejněním backendu? Zde najdete vše potřebné.
*   Pište pro Linuxzone.cz
Máte zájem podílet se na obsahu Linuxzone.cz ať už jako redaktoři nebo i jinak? Dejte nám o sobě vědět!





 Aktuálně z bezpečnosti




-- 
6.12.2005, 19:01
Na serveru informit.com vyšla ukázková kapitola týkající se práce s řetězci z knihy Secure Coding in C and C++. (lz)

-- 
3.12.2005, 12:34
Bugtraq: Format String Vulnerabilities in Perl Programs. (lz)

-- 
3.12.2005, 12:32
Linux Advisory Watch December 2nd 2005. (lz)

-- 
23.10.2005, 13:28
Rozhovor na téma klasické zálohování versus CDP. (lz)

-- 
23.10.2005, 13:24
Linux Advisory Watch October 21st 2005. (lz)

další >>





 Aktuálně o software




-- 
6.12.2005, 19:07
Potřebujete-li pod linuxem rozchodit bezdrát založený na čipsetech Broadcom 43xx, konečně existuje linuxový ovladač. (lz)

-- 
6.12.2005, 19:04
Byla uvolněna verze Xen 3.0.0 virtualizační technologie XEN. (lz)

-- 
6.12.2005, 18:59
Byla uvolněna verze X11R6.9/X11R7 RC 3 grafickérho rozhraní X Window System. (lz)

-- 
3.12.2005, 12:45
Co je nového okolo projektu Amanda (open source zálohovací software)? Více na osnews.com. (lz)

-- 
3.12.2005, 12:40
Jak to akuálně v linuxu vypadá s podporou SATA.. (lz)

další >>





 Aktuálně z IT




-- 
3.12.2005, 12:51
Novellu se daří prodej linuxových produktů, oproti loňskému roku se Novell dočkal výrazného nárůstu. (lz)

-- 
3.12.2005, 12:48
Třetí verzi licence GPL by měla být publikována během jara 2007. (lz)

-- 
23.10.2005, 13:20
V Peru nyní mají zákon, který umožňuje nasazení open source software ve vládní správě. (lz)

-- 
23.10.2005, 13:14
Proč se Microsoft bojí Google? (lz)

-- 
27.9.2005, 22:01
Peru má zákon podporující free software. (lz)

další >>





 Nejčtenější články









 Nejlepší články









 Anketa




Používáte nějaké rozšíření bezpečnostního modelu linuxového jádra?

Openwall (17%)

LIDS (11%)

Pax/Grsecurity (3%)

SELinux (6%)

RSBAC (1%)

jiné (1%)

používám standardní jádro (62%)







Linuxzone.cz - server o Linuxu pro programátory, administrátory a fanoušky.
Provozuje společnost Impossible.
ISSN: 1213-8738





JAP: anonymita a soukromí na Internetu

V dnešní době si běžní konzumenti služeb spojených s Internetem mohou o anonymitě nebo ochraně soukromí jenom nechat zdát. Je to dílem tím, že řada protokolů, na kterých služby stojí, aspekty jako je anonymita nebo ochrana soukromí nijak neřeší a sledování komunikace tak může být velice snadné (při jejich vzniku toto ani nebylo na pořadu dne), ale také tím, že běžní uživatelé, kteří do problematiky nevidí, si ani dobře nevědomují, co vše a jak snadno lze sledovat...

...To so dobře hodí těm, kteří bezbrannosti uživatelů využívají k tomu, aby si na základě nasbíraných informací vybudovali byznys a možnosti sledování samozřejmě mohou lákat i státní instituce, neboť Internet dnes představuje běžné komunikační médium. Ti, kteří jsou si těchto rizik vědomi a hodlají se invazi do soukromí bránit, jsou pak často předem paušálně označováni za nekalé živly s tím, že když se slušnější míry anonymity nebo ochrany soukromí dožadují, dělají to určitě jen proto, aby mohli páchat nějakou pokud možno nezákonnou činnost. Doby, kdy bylo možné bez problémů provozovat různé anonymizéry ať už třeba pro odesílání pošty nebo brouzdání po Internetu jsou pryč, protože legislativa obvykle má možnost vyžadovat informace o využívání služeb, zpřístupnění logů atd. a anonymizéry jsou trnem v oku...

K čemu je dobrý anonymizér

Představte si na chvíli, že poměry ve vašem zaměstnání nejsou zrovna dvakrát povzbudivé a vy si jen tak namátkou chcete ověřit, zda byste v případě potřeby nenašli uplatnění i někde jinde. Můžete se rozhodnout zkusit štěstí na některém ze serverů, které se věnují poptávce a nabídce volných míst nebo zprostředkování zaměstnání. Některý takový server navštívíte a třeba pošlete i e-mail. Na druhý den zjistíte, že váš nadřízený o vašich zaječích úmyslech ví, protože váš zaměstnavatel nechává pravidelně analyzovat logy firemní http proxy a sleduje elektronickou poštu zaměstnanců. Můžete pak zkusit vysvětlovat, že zatím opravdu nemáte v úmyslu odcházet - o nepříjemnosti máte postaráno. Podobných příkladů vás jistě napadnou spousty. Jedním ze způsobů, jak se podobným problémům vyhnout je použití anonymizéru, tedy zjednodušeně řečeno systému, který např. požadavky vašeho webového prohlížeče předá dále a vyřídí takovým způsobem, že není možné určit odkud onen požadavek přišel.

JAP anon proxy

Jedním takovým řešením pro službu http je projekt JAP. Celý projekt je implementován v Javě a klient je k dispozici pro řadu operačních systémů, Linux a Unixové systémy nevyjímaje (kromě toho jsou podporovány systémy Windows 95/98/ME/NT/2000/XP, OS/2 a systémy Apple Macintosh). K dispozici jsou samozřejmě i zdrojové kódy projektu, takže uživatelům nic nebrání v tom, aby si ověřili, zda vše funguje tak, jak má (ono není občas na škodu se na zdrojáky podívat, ale k tomu se ještě dostaneme).

Zázemí projektu

JAP je vyvíjen v rámci projektu "Project Anonymity in the Internet", který sponzoruje German Research Foundation spolu s německým ministerstvem ekonomiky a technologií. V současnosti je infrastruktura projektu provozována zejména zůčastněnými univerzitami a služba je dostupná volně bez poplatků, což se minimálně po dobu trvání projektu nezmění.

Jak to funguje

V rámci JAPu každý požadavek klienta postupně projde kaskádou proxy serverů, kde se smísí s provozem ostatních uživatelů a teprve poté je předán cílovému webovému serveru. Na cílovém serveru se pak v logu objeví IP adresa posledního JAP proxy, přes kterou požadavek putoval, namísto IP adresy počítače uživatele. Navíc během putování kaskádou serverů je požadavek zašifrován a samotný JAP klient funguje jako první http proxy, takže celá komunikace v rámci JAPu probíhá šifrovaně.

Uživatel si tedy v praxi nainstaluje klientskou část, nakonfiguruje svůj webový prohlížeč tak, aby JAP klienta na lokálním počítači používal jako http proxy (JAP standardně používá port 4001) a může fungovat.



schéma architektury JAPu

Detailně to vypadá takto:

Data jsou několinásobně zašifrována - dejme tomu, že kaskáda (neboli "mix", abychom se přidrželi terminologie autorů projektu), kterou bude požadavek k cílovému webovému serveru putovat, je tvořena třemi servery. Pro šifrování se použije asymetrická šifra (tedy taková metoda, kdy existuje dvojice klíčů pro zašifrování/dešifrování obsahu) s tím, že každý server v rámci kaskády má samozřejmě svou dvojici klíčů - jeden veřejný a druhý privátní. JAP klient instalovaný na lokálním počítači před předáním zašifruje požadavek třikrát po sobě, postupně s jednotlivými veřejnými klíči serverů dané kaskády (začne s veřejným klíčem posledního serveru kaskády a skončí s veřejným klíčem prvního serveru kaskády). Takto zašifrovaná data předá prvnímu serveru kaskády, ten je rozšifruje první vrstvu, data předá druhému serveru kaskády, který odstraní další vrstvu a třetí, poslední server po rozšifrování obdrží požadavek v původní podobě a předá jej již cílovému webovému serveru. Konkrétně se v rámci JAPu používá algoritmus RSA s délkou klíče 1024 bitů.

Používá se hybridní šifrování - protože šifrování je věc stojící čas procesoru a asymetrické šifrování s dostatečnou délkou klíče je relativně náročné, ve skutečnosti se vlastní požadavek šifruje pomocí symetrické šifry - konkrétně AES s délkou klíče 128 bitů - a teprve tento klíč se pak zašifruje pomocí asymetrické šifry RSA.

Zpáteční cesta - použití hybridního šifrování kromě úspory procesorového času umožňuje elegantně zašifrovat i odpověď web serveru při cestě kaskádou na zpátek k uživateli - a to právě s uplatněním uložených klíčů použitých pro symetrickou šifru cestou tam.



průběh komunikace uživatele s cílovým serverem
(komunikace uvnitř červeně ohraničené oblasti je šifrovaná)

Je potřeba si ale uvědomit, že šifrování dat se týká pouze přenosů v rámci JAPu a nikoliv už komunikace mezi JAPem a cílovým serverem - nelze jej tedy zaměňovat s mechanisemem pro zajištění bezpečného přenosu dat (jako je SSL/TSL). Šifrování přenosu zde v rámci JAPu slouží k tomu, aby požadavek na trase mezi jednotlivými servery kaskády vypadal navenek pokaždé jinak a nebylo možné usoudit na identitu odesílatele požadavku porovnáním příchozích/odchozích požadavků a současně zajišťuje, že požadavek musí projít kaskádou a být dešifrován ve správném pořadí.

Instalace

Instalace je triviální, z domovské stránky JAPu je třeba stáhnout klienta, pro bezproblémové fungování se vyžaduje pokud možno recentní verze Javy, nejlépe 1.4.2, pak stačí nakonfigurovat ve webovém prohlížeči použití JAP klienta coby http proxy na lokálním počítači (127.0.0.1 / port 4001, pokud JAP nenakonfigurujeme jinak) a můžeme JAP spustit a zatrhnutím "Activate anonymous web access..." JAP napojit na zvolenou kaskádu (mix). Pokud nemáte v oblibě grafická rozhraní, můžete alternativně použít jako JAP klienta pro příkazovou řádku přímo serverovou část JAPu.



grafické rozhraní klienta JAP

Závěrem

Tento sympatický projekt je stále ve stádiu vývoje, ale je dobře použitelný. Praktickou nevýhodou je pomalost (což je dáno jednak omezenou kapacitou infrastruktury projektu a také samozřejmě režií systému - spotřebou procesorového času při šifrování dat), ale na druhou stranu anonymita není zadarmo :-)

Na závěr ještě zmíním pikantní epizodu, díky které se JAP nedávno dostal do popředí zájmu médií. Anonymizéry samozřejmě bohužel lákají i takové uživatele, kteří je chtějí využít - nebo lépe řečeno zneužít - k nelegálním aktivitám. V měsíci srpnu bylo provozovatelům služby AN.ON (JAPu) v Německu soudně nařízeno, aby umožnili v rámci vyšetřování logování přístupů k jedné specifické IP adrese. Provozovatelé neměli jinou možnost, než příkazu soudu dočasně vyhovět a současně o tom nesměli informovat veřejnost. Zvolili tedy kulantní řešení - logování přístupu k oné IP adrese umožnili, ale ve zdrojových kódech, které jsou volně dostupné, se objevily velmi nápadné řetězce typu "Loading Crime Detection Data" nebo "Crime detected". To neušlo pozornosti všímavých uživatelů a kauza byla venku. Kromě toho se provozovatelé JAPu proti požadavku soudu odvolali a momentálně už systém žádné přístupy neloguje, současně to ale jasně dokumentuje postavení provozovovatelů podobných systémů, které se snaží chránit anonymitu a soukromí uživatelů - na 100% anonymitu se v dnešní době samozřejmě spoléhat nemůžete nikde...

Odkazy

Autor: David Häring, 02. 09. 2003, 03:00
Sekce Aplikace, Komentářů: 1
Průměrné hodnocení: 0,21

o Poslat e-mailem
o Tisk článku
o Uložit do profilu


 Přispějte nám




Líbil se Vám tento článek? Můžete ho ocenit zavoláním na tel. číslo 906 460 134.
Cena hovoru za 1 minutu je 46 Kč.





 Hodnocení článku




Článek hodnotím jako:  [1] výborný   [2] dobrý   [3] průměr   [4] špatný   [5] hrůza  





 Komentáře




--

Dave Lister, 09. 09. 2003 01:51
Inspirace?















PŘIDAT KOMENTÁŘ ZOBRAZ VŠE >>










2002 © Impossible, s.r.o.   >> Kontaktujte redakci >> Právní upozornění >> Reklama