Co nam grozi w Sieci?

Choćby tak podstawowa dla Internetu i niezbędna do nawiązania jakiegokolwiek połączenia informacja, jak adres IP naszego komputera. Parametr, wydawałoby się, czysto techniczny; a jednak i on może okazać się zdradliwy. Jest bowiem zapisany w nagłówkach każdego wysłanego przez nas listu: korzystając z usługi whois i programów takich jak np. VisualRoute można po adresie IP, jak po nitce do kłębka, bez trudu dotrzeć do naszego dostawcy Internetu. Ten zaś dysponuje wszelkimi informacjami niezbędnymi do stwierdzenia, kto danego dnia i o danej godzinie korzystał z określonego adresu IP - nawet gdy jest to adres przydzielany dynamicznie połączeniom modemowym. Wprawdzie teoretycznie dane te są tajne i operator nikomu ich nie ujawni bez nakazu prokuratury lub sądu, można jednak wątpić, czy ta tajemnica oprze się uzbrojonemu bandycie, który nabierze ochoty na nasze dane osobowe po tym, jak w grupie dyskusyjnej anonimowo pochwaliliśmy się posiadaniem dużej sumy pieniędzy... No chyba, że list ten wysłaliśmy z kawiarni internetowej położonej w okolicy, gdzie nikt nas nie zna, daleko od miejsca naszego zamieszkania...

Tak drastyczne przypadki są oczywiście raczej rzadkie; niemniej jednak znając nasz adres IP złośliwy użytkownik Sieci może - szczególnie w przypadku, gdy mamy stałe łącze (co dotyczy np. coraz liczniejszej grupy abonentów usługi SDI) - przysporzyć nam innych kłopotów, poprzez np. próby blokowania naszego komputera (ataki DoS), czy włamywania się do niego i wykradania, bądź uszkadzania danych.

Jednak gdy nie korzystamy z Internetu aktywnie, a tylko oglądamy strony WWW, mogłoby się wydawać, że jesteśmy bezpieczni. Wprawdzie serwery, które odwiedzamy, znają nasz adres IP, ale nic poza tym: zaś sam adres, bez powiązania z innymi informacjami (jak np. treść wypowiedzi w grupie dyskusyjnej) jest tylko bezużytecznym numerem, nie różniącym się od tysięcy innych. Jednak nie do końca: wykorzystując technikę "ciastek" (cookies), serwer może odróżniać nas od innych użytkowników i śledzić trasę naszej wędrówki po witrynie; potrafi nas także rozpoznać, gdy w przyszłości ponownie odwiedzimy tę samą stronę, nawet z innym adresem IP - choć nadal nie wie kim jesteśmy. Jeżeli jednak skorzystanie z pewnych usług oferowanych przez witrynę wymaga zarejestrowania się (np. w celu tzw. "personalizacji" serwisu), zgromadzone dotychczas informacje na nasz temat mogą zostać bez problemu skojarzone z danymi wpisanymi w formularzu - i okazuje się, że w rzeczywistości ujawniliśmy firmie prowadzącej serwis więcej wiadomości o sobie, niż chcieliśmy... Wie ona bowiem teraz już nie tylko, kim jesteśmy, ale także, które strony na serwerze lubimy najczęściej oglądać, co w przypadku dużych, wielotematycznych serwisów, takich jak portale, może sporo mówić o naszym charakterze i osobowości...

Bardziej skutecznie, bo nie ograniczając się do pojedynczej witryny, mogą nas śledzić bannery reklamowe, wszechobecne na stronach WWW. Większość profesjonalnych serwisów internetowych, przynajmniej w USA, nie zajmuje się sama wyświetlaniem bannerów, lecz odwołuje się do zewnętrznych serwerów reklam (tzw. ad-servers). Serwery te są własnością wyspecjalizowanych firm zajmujących się reklamą w Internecie i obsługują zwykle wiele różnych witryn WWW naraz. Firma taka może zatem obserwować nas na wszystkich witrynach, na których ma swoje bannery reklamowe... Uzyskane w ten sposób dane są bardzo cenione np. w marketingu, gdyż dokładnie precyzują, jakich produktów reklamy najlepiej nam przysyłać, aby mieć największą szansę, że je kupimy... I znowu, tak jak w przypadku ujawniania swojego nazwiska w Sieci, jedni nie przejmują się, że serwery gromadzą dane o ich upodobaniach; inni się tego panicznie boją, twierdząc iż "nie wiadomo, do czego takie dane mogą być wykorzystane"; jeszcze inni natomiast chcieliby móc dokładnie decydować, jakie informacje i komu będą ujawniać. Właśnie dla tych ostatnich jest Freedom.

Surfowanie w masce

Każdy nym ma swój własny, niepowtarzalny adres e-mailowy w domenie freedom.net. Wirtualne tożsamości nie są jednak zwykłymi pseudo-anonimowymi kontami pocztowymi, jakie można założyć na darmowych serwerach. Nie są też czymś "więcej"; są czymś zupełnie innym...

Podstawowym sposobem, jakiego używa Freedom, aby zapobiec zidentyfikowaniu użytkownika, jest ukrycie jego rzeczywistego adresu IP. Służy do tego celu cała sieć serwerów prowadzonych przez firmę Zero Knowledge i współpracujące z nią firmy i organizacje (tzw. Freedom Network). Każde połączenie internetowe inicjowane przez użytkownika korzystającego z Freedom kierowane jest najpierw do tej sieci, gdzie przy użyciu specjalnych technik kryptograficznych, opisanych niżej, ukrywana jest droga jego przesyłania. Dane opuszczają sieć Freedom w przypadkowo wybranym punkcie i właśnie adres tego "wyjściowego" serwera jest widoczny dla komputera, z którym nawiązujemy połączenie.

Elementem łączącym komputer użytkownika z siecią Freedom jest klient Freedom - niewielki program pracujący w systemie Windows 95/98 (program nie działa w systemie Windows NT, 2000 ani Millenium; wersje dla tych systemów znajdują się w przygotowaniu, podobnie jak dla Macintosha i Linuxa). Przechwytuje on wszystkie wychodzące z naszego komputera połączenia internetowe i kieruje - po odpowiedniej "obróbce" - do sieci Freedom. Aby jednak tak się działo, musimy mieć zdefiniowany przynajmniej jeden nym - jeżeli mamy ich więcej, specjalne pole w okienku klienta Freedom pozwala zmienić tożsamość w dowolnym momencie. Przy każdorazowej zmianie tożsamości zmienia się również trasa, którą nasze dane wędrują poprzez sieć Freedom, a więc i inny będzie adres IP serwera, z którego "wychodzi" nasze połączenie. W każdej chwili możemy też w ogóle wyłączyć wirtualną tożsamość i korzystać z Internetu "normalnie", bez żadnego maskowania (np. przy dokonywaniu zakupów w sklepie internetowym, gdzie i tak musimy podać nasze prawdziwe dane).

Proces aktywacji klienta Freedom, czyli tworzenia pierwszej wirtualnej tożsamości, jest dosyć skomplikowany. Po pobraniu z witryny WWW i zainstalowaniu na swoim komputerze klienta (sam program jest bezpłatny), musimy zakupić na serwerze firmy Zero Knowledge numer seryjny (numery seryjne generowane są losowo i służą do jednorazowego wykorzystania). Następnie otrzymany numer seryjny wpisujemy w odpowiednim okienku klienta, dokonując tym samym "wymiany" numeru (zostaje on w tym momencie unieważniony) na pięć tzw. żetonów (tokens). Żetony pełnią rolę elektronicznych pieniędzy systemu Freedom - można za nie kupować wirtualne tożsamości. Utworzenie każdej tożsamości zmniejsza nasz zapas żetonów o jeden. Nym ważny jest przez rok; po upływie tego terminu przedłużenie jego ważności wymaga wydania następnego żetonu. Nie musimy wykorzystywać wszystkich żetonów od razu; nowe tożsamości możemy tworzyć w miarę potrzeby.

Taka komplikacja procesu tworzenia tożsamości podyktowana jest chęcią utrudnienia powiązania rzeczywistych danych użytkownika z nazwami tworzonych przez niego tożsamości, tak, aby nawet firma Zero Knowledge nie wiedziała, kogo naprawdę kryje dany nym. Jako że zakup numeru seryjnego odbywa się przy użyciu karty kredytowej, wymaga on podania danych osobowych użytkownika. Gdyby aktywacja wirtualnej tożsamości następowała od razu w tym momencie, związek między nią a rzeczywistymi danymi użytkownika byłby zbyt oczywisty. Rozłożenie tego procesu w czasie i wprowadzenie anonimowej elektronicznej gotówki w postaci żetonów zrywa ten związek i nie pozwala na identyfikację osoby wydającej dany żeton na kolejny (a może pierwszy?) nym.

A teraz dokładnie: jak to działa?

Gdy przeglądarka WWW bądź jakakolwiek inna aplikacja internetowa nawiązuje połączenie, pierwszą czynością, jaką wykonuje klient przed przekazaniem danych dalej, jest usunięcie z pakietów TCP/IP informacji o adresie IP naszego komputera. Następnie klient dokonuje wielokrotnego, "zagnieżdżonego" szyfrowania danych kluczami właściwymi dla kolejnych serwerów, przez które pakiet będzie przechodził (w całej sieci Freedom stosowana jest zaawansowana struktura zarządzania kluczami publicznymi w celu wzajemnego uwiarygodnienia wszystkich klientów i serwerów). Dane szyfrowane są najpierw kluczem ostatniego serwera na ustalonej wcześniej trasie; tak zaszyfrowane dane szyfrowane są kluczem serwera środkowego w łańcuchu; wreszcie podwójnie zaszyfrowany pakiet szyfrowany jest po raz trzeci - kluczem pierwszego serwera. Przypomina to włożenie trzech kopert jedna w drugą, przy czym na każdej "kopercie" znajduje się tylko informacja, od kogo została ona otrzymana i komu należy ją dalej przekazać. W ten sposób żaden z serwerów na trasie przesyłania danych nie zna naraz obydwu końców tej trasy.

Tak zaszyfrowane dane zostają wysłane do pierwszego serwera na ustalonej trasie. Ten otwiera pierwszą "kopertę", otrzymując pakiet adresowany do kolejnego serwera (i zaszyfrowany jego kluczem). Ten odszyfrowuje kolejną warstwę i powtarza czynność. Ostatni serwer po odszyfrowaniu danych uzyskuje oryginalny pakiet, zawierający adres odbiorcy, ale pozbawiony adresu nadawcy; serwer wypełnia lukę własnym adresem IP i przesyła pakiet już w "normalny" sposób do jego miejsca przeznaczenia w Internecie. Odpowiedzi na wysłane pakiety przebywają analogiczną drogę w odwrotnym kierunku - tym razem kolejne serwery na trasie dodają kolejne warstwy szyfrowania, które są na końcu rozszyfrowywane przez klienta. Niezależnie od opisywanego tu szyfrowania, kanały połączeniowe między serwerami Freedom oraz między klientem i pierwszym serwerem są jeszcze dodatkowo "zewnętrznie" szyfrowane.

W ten sposób zapewniana jest anonimowość prostych połączeń internetowych "punkt-punkt", jak na przykład zapytań do serwerów DNS (te także muszą być chronione, aby uniknąć identyfikacji odwiedzanych przez nas adresów poprzez monitorowanie serwerów DNS), sesji telnetowych, SSH czy IRC. Pewne usługi wymagają jednak nieco innego traktowania i dodatkowych działań ze strony czy to klienta, czy to sieci Freedom.

Anonimowe WWW

Największe niebezpieczeństwo dla naszej prywatności, jakie grozi nam ze strony stron WWW, to jednak nie "ciastka", a umieszczana na stronach tzw. "aktywna zawartość", czyli różnego rodzaju skrypty, aplety Javy i kontrolki ActiveX, które wykonywane są przez przeglądarkę (szczególnie dotyczy to Internet Explorera). Kontrolki ActiveX mogą "wyciągnąć" z naszego komputera dowolną informację i przesłać ją na dowolny serwer. Mogą też szkodzić nam bardziej czynnie - w Internecie znajdują się np. strony WWW zawierające kontrolki ActiveX, które resetują komputer, formatują dysk (!), zmieniają rejestr systemu Windows w taki sposób, że normalna praca staje się niemożliwa, czy umieszczają nam na dysku wirusy. Kontrolki ActiveX mogą nas nawet zrujnować - hackerska grupa Chaos Computer Club z Hamburga zademonstrowała swego czasu publicznie kontrolkę ActiveX, która modyfikowała pliki transakcji jednego z najpopularniejszych w USA i zachodniej Europie programów do home-bankingu - Quicken (jeżeli użytkownik miał go zainstalowany w swoim komputerze), powodując przy najbliższym połączeniu z bankiem wykonanie określonej przez autorów strony operacji przelewu bez wiedzy użytkownika...

Nie istnieje wiarygodna metoda zabezpieczenia się przed tego typu działaniami. Firma Zero Knowledge lojalnie uprzedza o tym użytkowników, zalecając całkowite wyłączenie w opcjach używanej przeglądarki WWW możliwości uruchamiania "aktywnej zawartości". Niestety, niektóre strony oparte są całkowicie na "aktywnej zawartości" i po jej wyłączeniu po prostu nic na nich nie widać (zazwyczaj nie świadczy to zbyt dobrze o webmasterskich umiejętnościach autora strony). Sami musimy wówczas zdecydować, czy chcemy wystawiać się na ryzyko...

Anonimowa poczta i newsy

Wysyłanie poczty odbywa się prosto: klient Freedom przechwytuje połączenie do serwera SMTP, analizuje nagłówek listu zastępując rzeczywisty adres e-mailowy użytkownika w polu "From:" adresem aktywnej w danym momencie tożsamości ( ), i w opisany powyżej anonimowy sposób przesyła treść listu do bramki pocztowej sieci Freedom (Freedom Mail Gateway, FMG), a ta - do odbiorcy. List będzie pozbawiony danych identyfikujących użytkownika, o ile tylko użytkownik zachowa elementarną ostrożność i sam ich tam nieświadomie nie wstawi. Należy pamiętać, aby wysyłając pocztę anonimowo wyłączyć w programie pocztowym używanie sygnatur (a tym bardziej podpisów elektronicznych, którą to możliwość mają niektóre programy pocztowe) - cóż przyjdzie z "oczyszczenia" nagłówków listu z danych mogących zidentyfikować użytkownika, jeżeli w standardowo dołączanej do listu sygnaturze znajdzie się imię i nazwisko wraz z numerem telefonu? Z podobnych przyczyn nie należy mając aktywny nym odpowiadać na pocztę adresowaną do innej tożsamości (bądź wysłaną na nasz "rzeczywisty" adres).

Odbiór poczty przychodzącej jest bardziej skomplikowany. Przy tworzeniu każdej wirtualnej tożsamości definiowane są dla niej tzw. bloki odpowiedzi (zwykle jest ich trzy), zawierające informację o tym, które serwery sieci Freedom mają obsługiwać pocztę przychodzącą. Wszystkie listy adresowane do domeny freedom.net odbierane są przez FMG i przekazywane serwerom określonym w blokach odpowiedzi (w ten sposób powstaje kilka kopii listu). Każdy z tych serwerów przekazuje następnie pocztę dalej ustaloną w blokach odpowiedzi drogą, stosując opracowany przez Zero Knowledge protokół anonimowego transportu poczty (AMTP). Protokół AMTP stosuje podobny sposób wielowarstwowego szyfrowania danych, jak opisany uprzednio dla wychodzących połączeń TCP/IP, z tym, że w tym przypadku szyfrowaniu podlegają nie poszczególne pakiety, lecz cała treść listu, która po zaszyfrowaniu umieszczana jest jako załącznik w liście kierowanym do kolejnego serwera. Ostatni z serwerów przesyła zaszyfrowany list na rzeczywisty adres e-mail użytkownika (w tym momencie zaszyfrowany jest zarówno nadawca listu, jak i nym, do którego list jest adresowany).

Bloków odpowiedzi jest kilka, na wypadek, gdyby któryś z serwerów znajdujących się na trasie przesyłania listu miał awarię i nie mógł przekazać przesyłki dalej (ubocznym efektem takiego sposobu przesyłania poczty jest niestety fakt, że bramka pocztowa sieci Freedom nie zwraca nadawcy komunikatu o ewentualnym niepowodzeniu dostarczenia listu do adresata). Do skrzynki POP3 użytkownika dochodzi więc zwykle kilka kopii tego samego zaszyfrowanego listu. Podczas pobierania poczty z serwera POP3 należy mieć włączonego klienta Freedom. Przechwytuje on połączenie z programu pocztowego do serwera POP3, sam łączy się z serwerem (jest to zwykłe połączenie TCP, nie odbywa się ono przez sieć Freedom, jako że łączymy się z naszym "jawnym" kontem pocztowym), pobiera znajdujące się tam listy, usuwa duplikaty i odszyfrowuje listy adresowane do wszystkich tożsamości, po czym dopiero przekazuje pocztę programowi pocztowemu (możemy w nim zdefiniować sobie osobne foldery dla każdej tożsamości).

Korzystanie z Usenetu z włączoną wirtualną tożsamością stanowi pewien problem, jako że serwery news "wpuszczają" zazwyczaj tylko połączenia z określonych zakresów adresów IP - a adres ten jest zmieniany przez Freedom. Zero Knowledge proponuje użytkownikom korzystanie z usług współpracującej firmy, która udostępnia możliwość odczytywania newsów poprzez WWW (oczywiście połączenie z serwerem WWW jest realizowane anonimowo w sposób opisany powyżej).

Jeżeli nie niepokoi nas myśl, że operator naszego serwera news może rejestrować, jakie grupy i jakie wiadomości czytamy, możemy skorzystać ze zwykłego czytnika news. Klient Freedom w tym przypadku nie ingeruje w połączenie i "przepuszcza" je do naszego standardowego serwera. Nieco inaczej dzieje się natomiast w przypadku wysyłania wiadomości na grupę dyskusyjną. Wiadomość jest przechwytywana przez klienta i traktowana analogicznie jak przesyłka e-mailowa: adres w nagłówku zamieniany jest na adres bieżącej tożsamości i list przekazywany jest anonimowo do bramki mail-news.

Słabości i ograniczenia Freedom

Warto też zauważyć, że Freedom chroni naszą prywatność, ale nie nasz komputer! Komputer jest przecież cały czas "normalnie" podłączony do Internetu i wystawiony na ewentualne ataki z zewnątrz: skanowanie portów, nawiązywanie połączeń z ewentualnymi końmi trojańskimi itp. Freedom nie jest firewallem! Aczkolwiek częściowo zabezpiecza nas przed działalnością niektórych koni trojańskich - tych, które same próbują nawiązywać połączenia z serwerami na zewnątrz - to zupełnie nie "interesuje się" programami-serwerami, które tylko "siedzą" na naszym komputerze, czekając, aż ktoś z zewnątrz się z nimi połączy. Freedom nie zabezpieczy nas też przed np. otrzymaniem wirusa lub konia trojańskiego drogą e-mailową.

Cały system jest interesujący przede wszystkim od strony technicznej, a zwłaszcza oryginalnej realizacji anonimowych połączeń. Natomiast czy faktycznie nasza prywatność ma aż taką wartość, która by uzasadniała korzystanie z Freedom - każdy musi ocenić sam. Niewątpliwie dobrze jednak, że dla tych, którzy na to pytanie odpowiedzą "tak", taka możliwość istnieje...