Ale czy aktualnie dostępne anonimizatory rzeczywiście zapewniają nam prywatność? Odpowiedź znajdziecie w wynikach naszego testu.
Technika: Tak działają popularne anonimizatory
Niezależnie od wykorzystywanej metody jedno pozostaje niezmienne: aby móc korzystać z sieci anonimowo, trzeba ukryć swój numer IP. Możemy wybrać jedną z trzech technik: VPN (Virtual Private Network – wirtualna sieć prywatna), onion routing (ruting warstwowy) oraz tzw. system mix cascade (szczegóły na schemacie po prawej stronie).
W przypadku VPN użytkownik musi najpierw zainstalować program kliencki, który zagnieżdża się w systemie i automatycznie przechwytuje wszystkie pakiety informacji wysyłane do sieci. Są one najpierw kierowane zaszyfrowanym tunelem do serwera, który przydziela użytkownikowi nowy numer IP, a dopiero potem przesyłane do właściwego celu. Adres URL strony, którą chcemy otworzyć, jest ukrywany przed operatorem usługi VPN, z kolei właściciel strony zamiast naszego prawdziwego IP otrzymuje podmieniony numer.
Serwery VPN są z reguły bardzo szybkie, ale mają jedną poważną wadę: klient musi mieć zaufanie do operatora. Użytkownik jest przecież anonimowy jedynie “na zewnątrz” – na serwerze VPN znajdują się wszystkie jego dane. Gdyby hakerowi udało się włamać na taki serwer, poznałby adresy IP użytkowników, a przy odrobinie szczęścia również ich hasła logowania do klienta VPN. Teoretycznie nasze dane łatwo mogą zdobyć również urzędnicy – prawo obliguje operatorów do gromadzenia numerów IP swoich klientów. Brak jednak precedensów, które pokazałyby, w jakich przypadkach urzędy faktycznie mogą uzyskać wgląd w zgromadzone dane.
Zupełnie inaczej niż VPN działa onion routing, technika, którą wykorzystuje na przykład sieć Tor. W tym przypadku użytkownik nie korzysta z jednego serwera określonego usługodawcy, ale z wielu ogólnodostępnych serwerów proxy. Z takich serwerów korzystać może każdy – każdy może również sam założyć taki serwer. Nasze połączenie z dowolną stroną internetową jest kierowane kolejno przez 3 regularnie zmieniające się serwery, a dodatkowo na każdym z nich jest na nowo szyfrowane. Odkrycie pierwotnego adresu, z którego zostały wysłane dane, jest praktycznie niemożliwe. A z drugiej strony użytkownik nie wie, kto jest administratorem poszczególnych serwerów. Haker może odszyfrować informacje, jeżeli uzyska dostęp do pierwszego i ostatniego punktu pośredniego. Co prawda, nie da się w ten sposób dowiedzieć więcej, niż tylko co użytkownik robi w danym momencie, gdyż wykorzystywane serwery zmieniają się co 10 minut, jednak nawet tak krótki czas wystarczy, by przechwycić poufne dane.
Podobna do techniki onion routing jest metoda mix cascade, stosowana na przykład przez serwis JonDo. Użytkownik łączy się z serwerem (mix), który szyfruje strumień danych i kieruje go do kolejnego serwera (mix cascade). W tym przypadku jednak węzły nie są ogólnodostępne, ale należą do zarejestrowanych firm. Jednocześnie wszystkie pakiety użytkowników korzystających z określonej usługi mix cascade przechodzą przez te same serwery, a więc jest możliwe mieszanie ich między sobą, by dodatkowo utrudnić namierzenie konkretnej osoby.
Zasadniczo prawo zobowiązuje również operatorów usług mix cascade do zbierania informacji o użytkownikach, istnieje jednak sposób na ciekawskich urzędników: jeżeli tylko możemy sami wybrać właścicieli i lokalizację serwerów, przez które mają być przesyłane nasze dane, skorzystajmy z serwerów trzech różnych firm. Dzięki temu podążanie naszymi śladami będzie utrudnione. Jeśli do tego serwery będą w różnych krajach, szanse powodzenia spadną szpiegom praktycznie do zera.
Test: Kilka kliknięć do niewidzialności
O ile stosowane techniki różnią się między sobą, kryteria naszego testu są takie same dla wszystkich anonimizatorów: klient powinien skutecznie ukrywać adres IP, integrować się z przeglądarką i być prosty w obsłudze. Szczególną uwagę zwróciliśmy na szybkość działania usługi – nawet najskuteczniejsza ochrona na niewiele się zda, jeśli dane będą przesyłane w żółwim tempie.
Steganos, S.A.D. i ArchiCrypt działają całkowicie automatycznie – wystarczy zainstalować klienta i ponownie uruchomić komputer, by poruszać się po Sieci anonimowo. Chcąc z kolei korzystać z usługi JonDo lub sieci Tor, musimy ręcznie zmienić ustawienia proxy w przeglądarce. By ułatwić nam to zadanie, podczas pierwszego uruchomienia klienta JonDo jest wyświetlana instrukcja wprowadzania tych modyfikacji. Ponadto możemy pobrać z Internetu darmowy pakiet JonDoFox. To rozszerzenie przeglądarki Firefox składa się z aplikacji zwiększających bezpieczeństwo, takich jak Adblock Plus, NoScript i CS Lite. Dzięki niemu zablokujemy banery reklamowe i pliki cookie oraz wyłączymy wykonywanie skryptów JavaScript. Poza tym JonDoFox tworzy nowe konto użytkownika przeglądarki – po jej uruchomieniu będziemy mogli wybrać albo standardową konfigurację, albo bezpieczne przeglądanie z wykorzystaniem usługi JonDo.
Jak widać, instalacja wszystkich narzędzi jest bardzo prosta. Ale czy dzięki nim rzeczywiście stajemy się anonimowi? Wynik testu rozczarowuje – co prawda, każdy program skutecznie ukrywa adres IP, jednak pozostałe dane nie są w żaden sposób chronione. Nagłówki przesyłanych pakietów zdradzają informacje na temat naszej przeglądarki i systemu operacyjnego oraz ustawionego języka. Również zainstalowane pliki cookie nie są usuwane – mało tego, nowe są bez przeszkód akceptowane, umożliwiając szpiegom poznanie wielu szczegółów naszych działań w Internecie. Jeżeli chcemy surfować incognito, musimy ręcznie skonfigurować przeglądarkę. O tym jednak operatorzy usług anonimizujących nas nie informują – nie ma też co liczyć na ich pomoc. Jedynym wyjątkiem jest JonDo: dzięki wtyczce JonDoFox możemy surfować anonimowo i bez pozostawiania śladów, jednak pod warunkiem że korzystamy z przeglądarki Firefox.
Ale przeglądarka to niejedyna furtka dla ciekawskich. Informacje o użytkownikach mogą zdradzać też inne programy korzystające z połączenia z Internetem, takie jak choćby aplikacje do pobierania plików poprzez sieć BitTorrent oraz komunikatory. Skuteczną ochronę gwarantują usługi VPN – klienty Steganos, ArchiCrypt i S.A.S. zagnieżdżają się w systemie i przekierowują na serwer anonimizujący pakiety wysyłane przez wszystkie programy. Tor i JonDo oferują podobną ochronę, jednak musimy ręcznie wprowadzić ustawienia dla każdego narzędzia korzystającego z Sieci, co dla początkujących użytkowników może być zbyt skomplikowane.
Słabym punktem większości usług anonimizujących jest ochrona poczty elektronicznej. Korzystając z klienta email, musimy wyłączyć klienta VPN lub skonfigurować go tak, żeby automatycznie ignorował połączenia z serwerem poczty (należy w polu »wyjątki« podać adres URL serwera pocztowego) – w przeciwnym razie wysyłanie wiadomości nie będzie możliwe. Wynika to z faktu, że operatorzy poczty, chcąc chronić się przed spamerami, blokują anonimowe emaile. Jedynie Tor poprawnie współpracuje z programami pocztowymi. Mimo to możemy chronić naszą korespondencję przed elektronicznymi szpiegami (szczegóły w ramce po lewej stronie).
Wysoka szybkość: stabilne połączenie
Nic tak nie drażni, jak wolno ładujące się strony internetowe. Czy usługa anonimizująca nie sprawi, że poczujemy się, jakbyśmy wrócili do czasów powolnych modemów telefonicznych? By sprawdzić wpływ testowanych narzędzi na szybkość ładowania stron, w przypadku każdej usługi zmierzyliśmy czas otwierania w przeglądarce trzech rozbudowanych witryn i uśredniliśmy otrzymane wyniki. Rezultaty znów zaskakują – ale tym razem pozytywnie: wszystkie płatne usługi wykorzystują tak szybkie serwery, że jakiekolwiek spowolnienie łącza (w porównaniu z szybkością przy wyłączonym ukrywaniu adresu IP) nie jest odczuwalne. W prawdziwie żółwim tempie działa za to darmowa sieć Tor: na załadowanie strony trzeba czasem poczekać nawet kilka minut. To nie do zaakceptowania nawet dla osób, które z Internetu korzystają sporadycznie.
Widać wyraźną zmianę na lepsze – o ile w przeszłości wiele klientów miało problemy z nawiązywaniem połączenia, obecnie tego rodzaju trudności już nie napotykamy. Wszystkie przetestowane narzędzia działają sprawnie i stabilnie.
Obsługa: znaczne różnice
Niewiele zmieniła się za to funkcjonalność – instalowane na komputerze programy nadal są wyposażone po spartańsku. Narzędzie S.A.D. pokazuje tylko najważniejsze informacje, takie jak adres IP i status połączenia, a jedyne ustawienia dotyczą automatycznego logowania i wyświetlania komunikatów o przerwaniu połączenia. Jeszcze prostszy interfejs mają klienty Steganos i Archicrypt – użytkownik może dowiedzieć się dzięki nim tylko, jaki jest adres IP i wykorzystanie limitu transferu danych. Oba te narzędzia są praktycznie identyczne i dzielą nie tylko interfejs, ale również wykorzystywane serwery. Powodem, dla którego w teście występują osobno, są różnice w ilości danych, które możemy przesłać w ciągu miesiąca, oraz drobna różnica w osiąganej szybkości.
Na pochwałę zasługuje JonDo. Co prawda, interfejs klienta jest nieco nieczytelny, ale możemy dowolnie wybierać wykorzystywane serwery, korzystając z informacji o ich lokalizacji. W podjęciu decyzji pomogą nam różne filtry, na przykład określający minimalną szybkość transferu.
Chcąc pozostać tak anonimowym, jak to tylko możliwe, wykupmy pakiet Premium w serwisie JonDo i zainstalujmy wtyczkę JonDoFox. Żaden inny klient nie jest równie wygodny i nie oferuje tylu możliwości konfiguracji. Kolejnym plusem jest wykorzystanie technologii mix cascade, umożliwiającej przekierowanie połączenia na serwery w różnych krajach. Jednak JonDo ma również wady: instalacja nie przebiega automatycznie, interfejs klienta mógłby być bardziej uporządkowany, a limit transferu danych jest w porównaniu z konkurencją bardzo niski.
Pozostałe płatne usługi różnią się między sobą jedynie szczegółami. Klienty Steganos, S.A.D. i ArchiCrypt działają sprawnie, automatycznie się konfigurują i szyfrują cały strumień danych, jednak nie wprowadzają bezpiecznych ustawień przeglądarki. Jeśli zdecydujemy się na jeden z tych serwisów, koniecznie skorzystajmy z wtyczek takich jak JonDoFox – zmienione IP nie wystarczy, byśmy mogli skutecznie chronić się przed złodziejami danych.
Tak przebiega ukrywanie numeru IP
Użytkownik łączy się z serwerem proxy, który odbiera i przekierowuje strumień danych adresowany do strony internetowej, a przez to ukrywa nasz numer IP.
1. Użytkownik
Gdy użytkownik wysyła żądanie do strony internetowej, klient szyfruje przesyłane dane.
2. Operator
Provider nie sprawdza, z jaką stroną łączy się użytkownik.
3. Serwer proxy
Serwer proxy przydziela użytkownikowi zmieniony adres i kieruje połączenie dalej.
Onion routing
Ta technika polega na przekierowywaniu strumienia danych na kolejne, losowo wybrane serwery.
Serwer VPN
Serwer należący do operatora przekierowuje dane z wykorzystaniem szyfrowanego protokołu VPN.
Mix cascade
Użytkownik przesyła dane do określonego serwera, który następnie przesyła je przez inne serwery (tzw. mix).
Szyfrowanie i bezpieczne wysyłanie emaili
Jeśli nie zapewnimy im dodatkowej ochrony, nasze emaile mogą zostać bez problemu odczytane przez każdego, kto będzie miał na to ochotę. Aby upewnić się, że bezpiecznie dotrą do celu, powinniśmy szyfrować każdą wysyłaną wiadomość. Dzięki pakietowi Gpg4win to żaden problem!
Aby zabezpieczyć wiadomości przed obcymi, musimy wygenerować dwa klucze: publiczny i prywatny. W tym celu wykorzystamy wchodzące w skład pakietu narzędzie WinPT. Po jego uruchomieniu klikamy opcję »Klucz | Nowy« i podajemy nasze imię i nazwisko oraz adres elektroniczny. Następnie wpisujemy hasło i zaznaczamy twierdzącą odpowiedź na pytanie, czy WinPT ma utworzyć kopię zapasową.
Konfiguracja Thunderbirda
By wykorzystać przygotowane klucze w programie pocztowym Thunderbird, posłużmy się narzędziem Enigmail. Zainstalujmy je w kliencie poczty, wybierając polecenie »Narzędzia | Dodatki | Zainstaluj«. Po ponownym uruchomieniu programu w menu zobaczymy pozycję »OpenPGP«. Aby zainstalować klucz, kliknijmy »Narzędzia | Konfiguracja kont | Zabezpieczenia OpenPGP«. Zaznaczmy pola wyboru »Aktywuj obsługę OpenPGP dla tej tożsamości« i »Wykorzystaj adres e-mail tego konta do identyfikacji klucza OpenPGP«. Od teraz wiadomości będą szyfrowane. By odbiorca mógł je odczytać, musimy wysłać mu nasz klucz publiczny. W tym celu w oknie programu Thunderbird wybierzmy polecenie »OpenPGP | Zarządzanie kluczami«, a następnie kliknijmy »Plik | Wyślij klucz publiczny przez e-mail«. Jeżeli sami otrzymamy do kogoś klucz, kliknijmy na nim prawym przyciskiem myszy i z menu kontekstowego wybierzmy polecenie »Importuj klucz OpenPGP«.
Zabezpieczanie Outlooka
Niestety, nie ma możliwości zintegrowania OpenPGP z klientami Outlook i Pocztą systemu Windows. Jedynie Outlook 2003 SP2 współpracuje z należącym do pakietu Gpg4win narzędziem GpgOL, jednak tylko w ograniczonym zakresie. Zamiast tego wykorzystajmy pełną wersję programu Steganos Privacy Suite: włączmy go i kliknijmy opcję »Szyfrowanie poczty e-mail«. Pojawi się pole tekstowe, w którym należy wpisać treść wiadomości. Następnie klikamy »Zaszyfruj i wyślij« i podajemy hasło. Wiadomość zostanie przesłana do programu Outlook i wysłana w formie załącznika. By ją odczytać, adresat potrzebuje naszego klucza. Alternatywnie możemy skorzystać z narzędzia GPGrelay. Przechwytuje ono komunikację między klientem poczty a serwerem, jest jednak trudne w konfiguracji.