вторник, 9 ноября 2010 г.

Подземные сети

Чаще всего применение цензуры в Интернет более затратно, чем её преодоление.

Заинтересоваться сабжем, вынесенным в заголовок, меня побудило вот это явление. Которое является причиной того, почему я не могу попасть на собственный блог уже достаточно долгое время без использования вот этой вещи.

Честно говоря, меня, как IT-специалиста глубоко забавляют потуги на указанное явление, так как я согласен с автором статьи в Википедии в утверждении, вынесенном в эпиграф.

Вопрос заинтересовал меня с двух точек зрения. Как имеющего некоторое отношение к информбезопасности специалиста и как имеющего физическую возможность заглянуть внутрь некоторых из этих самых сетей на предмет - а есть ли мальчик?

Прежде всего, собственно подземных сетей - пиринговых зашифрованных структур, по принципу распределенных анонимных хранилищ сейчас достаточно много. Есть целая классификация подобных инструментов, которую я не стану повторять. Мы к ней вернемся, когда будем говорить о безопасности.

Одну из таких сетей удалось рассмотреть достаточно пристально. Это Freenet. И первый и второй взгляд (возможно, достаточно выборочный, но тем не менее достаточно репрезентативный) на содержание этой сети (контент) показало, что с любой точки зрения она не менее, а, пожалуй, даже более невинна, чем обычный интернет.

Никакой CP. То, что там лежит, даже с большими натяжками квалифицировать как CP невозможно. По большей части это даже на эротику не тянет. Пара -тройка книг, которые без особого труда находятся в обычной библиотеке или интернете. Зеркала нескольких популярных сайтов. Немного контрафакта. Немного заурядной политики. Никаких волшебных дверок папы Карло, по меткому выражению одного моего знакомого. То есть ничего такого, что оправдывало бы какие либо запретительные действия, ну кроме, разве что, перерасхода интернет-трафика.

Системы анонимизирующих прокси-серверов среди незнающей публики (даже приближенной к IT) почему-то вызывают несравненно больший священный трепет.

Как мне однажды довелось услышать от одного "руководителя" IT-компании (!): Тор перебирает IP-адреса, это троян, нельзя его использовать! (Стыдно, барышни! У Тор открытый код и любой, считающий себя специалистом, способен его прочитать, проанализировать и убедиться лично, что в коде есть а чего нет и не было).

Впрочем, пусть это заявление останется на совести того, кто его произнес. Надо отдать Тору должное - он позволяет ходить туда, куда надо, а не куда разрешат; как и про любой инструмент можно сказать - убивает не оружие, убивает человек. Именно благодаря Тору стало возможным написать данную статью.

Кстати говоря, заблокировать доступ через сеть Тор достаточно просто на уровне файрвола, при желании - как я писал здесь. Я бы даже сказал - тривиально.

Заблокировать доступ в саму сеть тор (точки входа) значительно трудней (хотя, как уверяют, всемогущий Китай заблокировал 80% сети Тор - настоящий подвиг, я считаю, состояние сети и ее состав меняется каждые 5 минут), хотя и не абсолютно невозможно.

Вторая сеть подобного же рода, I2P, является существенно менее развитой, в частности, пройти с ее помощью логин-страницу данной службы оказалось физически невозможно в текущей версии клиента. Дорабатывать и дорабатывать. Хотя до параноидальности Freenet I2P реально далеко.

По поводу веб-прокси стоит заметить, что практически все они (в случае предоставления бесплатного сервиса) кормят рекламой (что вызывает сильные сомнения в реальной анонимности) и имеют большое количество функциональных ограничений, редко позволяющих полноценный онлайн. Как правило, редко больше чтения закрытых ресурсов. К тому же, списки подобных серверов легкодоступны и позволяют заблокировать их еще на уровне корпоративных прокси-серверов.

Итак, возвращаясь к нашим баранам. По моему личному мнению, подземные сети не содержат предосудительного контента. Так что причина такой нелюбви к анонимусам - вовсе не та, что декларируется желающими профильтровать контент. Отставить политику, религию и мораль. Кому не нравится контент - тот его игнорирует. По моему же скромному ИМХО цитата старшего поколения - "У наших детей уши золотом завешены" и "Свинья грязи найдет". Если это вдруг не так - это проблемы исключительно детей и их родителей, никак не их учителей, наставников и начальников.

Как замечательно сказано на сайте Freenet:

The true test of someone who claims to believe in Freedom of Speech is whether they tolerate speech which they disagree with, or even find disgusting. If this is not acceptable to you, you should not run a Freenet node.

Отставить. Нас, как администраторов, интересует, как нам с нашими скромными силами не допустить перерасхода корпоративного трафика нашими любимыми пользователями (моральный облик мы оставим на их совести и совести домашнего Интернета - там все, что угодно, можно качать, смотреть, читать и писать).

Итак, технические возможности. 

Можно ли блокировать использование сабжа?

Теоретически - да. Если выключить весь интернет :).

На практике - можно блокировать доступ из некоторых сетей к нашему ресурсу и то, с оговорками.

Блокирование веб-прокси - одна из самых простых задач. Настраиваем наш корпоративный прокси на блокирование списка, да не забываем обновлять его почаще.Можно автоматизировать задачу скриптами.

Касательно анонимизирующих прокси - тут похуже. Для некоторых сетей можно заблокировать выходные ноды. Точки входа заблокировать практически нереально - их миллионы. Один плюс - как правило, все они требуют установки клиента на локальные машины.

Это означает, что единственной возможностью заблокировать использование подземных сетей будет административный запрет на установку неутвержденного софта на клиентские машины. В рамках предприятия это реализуется сравнительно очевидно - запрет работать под административными аккаунтами или их эквивалентами и фильтрация остального трафикоемкого и злонамеренного (выделено мной - имеется в виду лишь одно:  malware. То есть контента, нарушающего политики информбезопасности. И ничего более!) контента средствами прокси-сервера. В глобальных рамках это теоретически возможно при чрезвычайно большой концентрации ресурсов - но бессмысленно. Практика сухого закона, к сожалению, людей ничему не научила (и, похоже, неспособна научить по самой природе большинства людей. Крайней глупости.) - попытка загнать выпущенного джинна обратно в бутылку вызывает обычно гораздо более серьезные проблемы, чем выпущенный на волю джинн.

Говоря простым языком, предприятия могут определять какую угодно политику безопасности (с оговорками, касающимися конституционных норм, здравого смысла и регулирующего законодательства). И реализовывать ее техническими средствами.

На более высоком уровне подобные действия бессмысленны. Хотя бы с точки зрения здравого смысла.

Меч всегда побеждает щит.