Начнем с нашей старой доброй игры в представителя спецслужб и хакера, которого надо вычислить. Хакер, разумеется, умен и использует Tor. Вы, наверное, знаете, что спецслужбы для вычисления хакеров широко используют активную деанонимизацию, отправляя файл, который при открытии незаметно передает на сервера данные об IP-адресе. Мы научим и вас в рамках курса делать такие файлы.
Как это работает? Никакой магии, каждый файлик имеет свой ID и после открытия соединяется с сервером. В итоге на сервер приходят данные с ID файлика и все, а вот адрес, откуда данные приходят, и есть IP-адрес хакера. Если файлик всего один, не нужен даже ID.
Файлик не вызовет у жертвы подозрений, это будет самая обычная картинка, Word или pdf-документ. Разумеется, необходимо как-то смотивировать хакера открыть этот файл, но это уже вопрос навыков социальной инженерии.
Почему это работает? Эту функцию непросто отследить и блокировать, так как исходящие запросы к серверу абсолютно легитимны и не представляют угрозы простым пользователям... Простым пользователям, но не хакеру, личность которого хотят установить.
Итак, вы отправляете хакеру файл, он качает его через Tor браузер, проверяет на сайте Virustotal, открывает в виртуальной системе и ... для него игра окончена, он спалился. Разумеется, файлик тайно отправит данные в обход сети Тор, вероятно, хакер так никогда и не узнает, где он ошибся и как его вычислили. А нам останется только проверить по IP-адресу, где сейчас находится хакер.
Спасти хакера от такой участи может полная блокировка всех интернет-соединений в песочнице, ведь в таком случае файлик не сможет ничего отправить, "строгий" firewall с VPN или использование Whonix – виртуальной операционной системы, о которой пойдет речь в этой главе.
Правильно, наверное, говорить «виртуальные операционные системы», потому как Whonix состоит из двух виртуальных систем: Whonix-Workstation, рабочий стол, – система, из которой ведется работа, и Whonix-Gateway, шлюз, через который идет весь интернет-трафик. Их объединяет соединение типа «мост».
Немного сухой теории. Соединение типа «мост» ‒ это способ соединения двух и более сегментов сети на канальном уровне без использования протоколов высокого уровня, таких как IP-адреса. Пакеты передаются на основе ethernet-адресов, без использования IP.
Все работает очень просто: Whonix-Workstation не имеет прямого доступа в интернет, есть только соединение с Whonix-Gateway. Любой документ, программа или картинка, открытая на Whonix-Workstation, не сможет ничего отправить прямо на сервер агенту спецслужб, только через Gateway.
А вот Gateway имеет строго настроенный firewall и может направить интернет-трафик только в Тор, и никак иначе. Никакие входящие или исходящие соединения в обход Тор невозможны, по крайней мере при настройках Gateway по умолчанию.
Потому, если наш хакер использует Whonix, документ, отправленный ему для деанонимизации, пришлет ответ, где будет указан IP-адрес выходной ноды Тор, и по таким данным хакера, конечно, не вычислить.
При использовании Whonix вы должны учитывать один важный момент: если вы используете веб-сайты без HTTPS, данные могут быть перехвачены на выходных нодах сети Тор. Некоторые выходные ноды Тор размещаются нехорошими парнями для охоты за трафиком, особенно их интересует сбор данных (так называемого лога) для дальнейшего анализа и продажи.
Потому, если вы в Whonix будете открывать сайты обычного веба (.ru, .com, .org и др.), а не сайты Deep Web (.onion), проверяйте наличие HTTPS. Исключение можно сделать для сайтов, которые вы просто просматриваете и никаких действий на них не совершаете.
В следующих главах мы настроим Whonix для повседневной работы, научимся менять Tor на более быстрый VPN на уровне Gateway, а на Workstation’е неудобный Debian на привычный Linux Mint, Windows или macOS.