Magánszféránk illetve altestünk védelme érdekében gyakran szükségünk lehet rá, hogy pl. proxyk mögé bújva rejtsük el IP címünket a kíváncsi szemek elől. Ez a feladat azonban nehezebb, mint aminek látszik!

A Metasploit Project legúabb "terméke" egy Decloaking Engine névre keresztelt, nyilvános API-n keresztül elérhető eszköz, amely megkísérli a lehető legtöbb információt kinyerni a weben közlekedő Anonymusok valódi tartózkodási helyével kapcsolatban. Lássuk milyen módszereket használ a motor mocskos kis titkaink leleplezésére:

• Az IFRAME-be töltött kémoldal kéréseket intéz egy, a decloak.net tartományába eső speciális subdomainre, amit természetesen a kliens névszerverének fel kell oldani. A decloak.net speciálisan elkésztett névkiszolgáló szoftvere, feljegyzi, hogy honnan érkeztek hozzá DNS kérések a különböző alcímekre, innen pedig következtetni lehet arra, hogy a kedves látogató milyen ISP-nél előfizető, vagy akár arra is, hogy az illető mely cégnél dolgozik.
• Ha egy Java applet megpróbál feloldani egy hoszt nevet a socket API-n keresztül és a hoszt név nem egyezik meg az appletet kiszolgáló webhelyével egy biztonsági kivétel dobódik. Ennek ellenére a DNS kérés ugyanúgy elküldésre kerül, az eredmény pedig megegyezik az első pontban tárgyaltakkal.
• Ha egy Java applet UDP üzeneteket küld vissza a kiindulási hosztjára, a csomagok általában nem a beállított proxyn keresztül közlekednek, ez pedig felfedheti a kliens valódi IP-jét. Hasonló módszerről már volt szó itt is.
• Ha a Java engedélyezve van, a webes kliens IP címe elérhető a socket API-n keresztül, ami a munkaállomás nevének és a számítógép belső hálós IP címének kiszivárgását is eredményezheti. 
• A Flash plugin lehetővé teszi direkt TCP kapcsolatok nyitását a kezdeményező hoszt felé, melyek kikerülhetik a proxy szervert, felfedve a valódi IP címet.
• Ha a Microsoft Office automatikusan megnyitja a hozzá rendelt, Internetről letöltött fájlokat, egy neten lévő képet letöltő dokumentum visszaadásával ki lehet kerülni a böngésző proxy beállításait, és kideríthető a kliens által használt DNS szerver címe is.
• A Quicktime pluginnek megadható olyan paraméter, ami direkt kapcsolatot eröltet a letöltendő médiához a böngésző beállításainak alkalmazása helyett.
• Az iTunes által regisztrált itms:// protokollkezelő olyan beállítások alkalmazásával  nyitja meg a médialejátszót, amely szintén direkt kapcsolat nyitására készteti azt. 

Végeztem néhány tesztet az igen gyakori Vidalia Boundle+Firefox+Torbutton összeállítással, a tapasztalatok a következők:

• NoScripttel a legtöbb próbálkozás elvérzik, de a DNS felismerés meglepően hatékonyan működik még így is!
• Az iTunes egy áruló mocsok, bár ha időben bezárom, nincs ideje beköpni. Az alapértelmezett Privoxy konfiguráció szűri a Flash tartalmakat. Nem véletlenül.
• Maga a teszt viszonylag sokáig tart, és a küldönböző felpattanó ablakok (pl. Letöltések, iTunes) elég árulkdóak lehetnek. Mindazonáltal az API lehetőséget ad a tesztelési eljárások megválogatására, így ezek a mellékhatások jelentősen csökkenthetők.

Most pedig mars vissza az asztalhoz bejglit zabálni!