Российский специалист лишил анонимности Anonymizer и SafeWeb

Author:

Российский программист Александр Ежов выявил уязвимость в двух самых известных сервисах, обеспечивающих анонимность пользователей в интернете. Одной строкой кода на JavaScript можно получить данные о пользователе, даже при использовании Anonimizer.com или SafeWeb.com.

На прошлой неделе специалист по IT-безопасности Александр Ежов рассказал о найденной уязвимости в популярном анонимайзере Anonymizer.com. Оказалось, что сервер, предоставляющий услуги анонимного серфинга, можно обойти при помощи одной строки кода на JavaScript. Похожую уязвимость Ежов обнаружил и в другом крупном сервисе — SafeWeb.

Простейший анонимайзер — это прокси-сервер, через который проходит весь трафик пользователя при посещении сайтов. В таком случае запрос идёт не с конкретного компьютера, а с промежуточного сервера, скрывая настоящий IP-адрес посетителя.

Однако есть и другие способы получения информации о пользователях — к ним относятся cookies, а также приложения, выполняемые на стороне клиента, такие как JavaScript, VBScript и ActiveX. Хороший анонимайзер должен блокировать и такие инструменты, но известные сервисы с этим не всегда справляются.

Московский специалист по безопасности Александр Ежов, обнаруживший уязвимость, является автором и разработчиком двух интернет-проектов, посвящённых защите личных данных — leader.ru и tools-on.net. В настоящее время он работает в компании Zenon N.S.P. Ранее он длительное время отвечал за безопасность и администрирование домена банка psb.ru в Промстройбанке России.

Ежов согласился ответить на вопросы, связанные с анонимностью в интернете.

— Расскажите, пожалуйста, о ваших проектах.

— В период работы в банке коллеги часто интересовались техническими вопросами и ссылками на финансовые ресурсы. Так начался проект, сначала размещённый на бесплатном хостинге с ограничениями. Позднее был куплен домен leader.ru и выбран хостинг в Zenon N.S.P., что позволило устранить ограничения бесплатных сервисов.
В ходе работы, исследуя атаки на серверы банка, были созданы различные утилиты, многие из которых размещены на leader.ru и стали популярными, например, who-сервис. (Это JavaScript-утилита, предоставляющая подробную информацию о пользователе: от операционной системы до IP-адреса.)

— Как появилась идея проекта Tools-On.net?

— Со временем стали поступать запросы от зарубежных пользователей, которым были непонятны страницы на русском. Сервер был адаптирован: большинство скриптов теперь автоматически подстраиваются под язык пользователя. Навигация изменилась, хотя основной контент leader.ru остался на русском. В ближайшем будущем планируется возобновить русскую навигацию и обновить сайт. Проект tools-on.net создан недавно для полного разделения русскоязычного и англоязычного контента.


— Как вы обнаружили уязвимость в Anonymizer.com?

— Готовя статью для leader.ru, я заинтересовался работой фильтров анонимизирующих сервисов. После серии экспериментов получил JavaScript-код, который функционировал даже при обработке анонимайзером (он не удалял JavaScript, а лишь обрамлял его комментариями). Данную информацию отправил владельцам сервиса. На этом первый этап завершился.
— Позже, разрабатывая новые версии скриптов Who и Whois для tools-on.net, я заметил, что модифицированный код выполняется независимо от того, проходит ли страница через анонимайзер. Эти данные были опубликованы в bugtraq. Возможно, предыдущий отчёт не достиг адресатов. Вскоре я получил отклик от президента компании Ленца Коттрела, и сотрудники оперативно устранили проблему.


— Как ситуация обстоит с сервисом SafeWeb?

— Аналогично. Получив множество вопросов касательно SafeWeb.com, я проверил этот сервис и выяснил, что достаточно добавить одну строку JavaScript и изменить команду, чтобы код там работал. Сообщение отправлено, но реакции пока не было.


— Как вы оцениваете перспективы создания подобных программ другими людьми?

— Представленный JavaScript продемонстрировал, что нельзя полностью полагаться на внешние средства защиты, не уделяя внимания собственной безопасности. Если отключить JavaScript при работе с анонимайзерами, такие скрипты перестанут функционировать. Не исключаю, что появятся и другие коды, которые сервисы не смогут отфильтровать. Для их создания нужны лишь знания и текстовый редактор.


— Как можно охарактеризовать ситуацию с конфиденциальностью личных данных в интернете в России и за рубежом?

— Ситуация далека от идеальной. Большинство пользователей не знают базовых мер безопасности и полностью полагаются на внешние средства, забывая, что техника без специалиста малоэффективна. Число сервисов, посвящённых безопасности и приватности, недостаточно, особенно в российском сегменте.
За рубежом пользователи более информированы, развивается соответствующая инфраструктура. В России же защита часто сводится к установке AtGuard, что уже неплохо. К сожалению, на форумах, посвящённых безопасности, мало активного и информативного трафика. Пока так.


— Какие ещё проекты можно выделить, помогающие в вопросах безопасности?

— Быструю реакцию демонстрирует ресурс void.ru, а также проект Евгения Ильченко — security.tsu.ru с англоязычной версией. Интересен проект «Частная жизнь в Интернете», однако его русская версия, похоже, больше не поддерживается.