Открытый прокси-сервер — это посредник между вами и Интернетом. В главе 2 я рассказывал о том, что прокси-сервер похож на переводчика с иностранного языка — вы разговариваете с переводчиком, а тот в свою очередь разговаривает с иностранцем, — с той лишь разницей, что ваше сообщение никак не меняется.
Я упоминал прокси-сервер, объясняя, как некий злоумышленник из враждебной страны может попытаться отправить вам электронное письмо, притворяясь сотрудником компании-партнера.
С помощью прокси-сервера также можно заходить на веб-сайты, запрещенные на той или иной территории: например, если вы живете в стране, где запрещен поисковый сайт Google. Или если вы хотите скрыть свою личность, скачивая через пиринговые сети незаконный или защищенный авторским правом контент.
Однако прокси-сервер не обеспечивает стопроцентной защиты. Каждый браузер необходимо вручную настроить на обращение к прокси-серверу. Разработчики даже лучших прокси признаются, что с помощью определенных трюков, использующих Flash или JavaScript, можно вычислить реальный IP-адрес — т. е. тот, с которого вы подключаетесь к прокси-серверу. Чтобы избежать этого, можно заблокировать или ограничить поддержку Flash и JavaScript в браузере. Лучший способ помешать JavaScript-сценарию отследить вас через браузер — пользоваться расширением HTTPS Everywhere (см. выше).
Существует множество платных прокси-серверов. Но необходимо внимательно читать политику конфиденциальности любого сервиса, на котором вы регистрируетесь. Обращайте внимание, как сервис шифрует передаваемые данные и насколько скрупулезно соблюдает законы и выполняет государственные требования, связанные с предоставлением информации.
Можно найти бесплатные прокси-серверы, но вам придется иметь дело с лавиной бесполезной рекламы.
Что касается меня, то я советую вам избегать бесплатных прокси. В ходе своей презентации на конференции DEF CON20 мой друг и специалист по безопасности Чема Алонсо создал собственный прокси-сервер, чтобы наглядно продемонстрировать, как он может пригодиться злоумышленникам, и прорекламировал его адрес на форуме http://www.xroxy.com. Через несколько дней этим бесплатным «анонимным» прокси пользовались уже свыше 5000 человек. К сожалению, большинство из них были мошенниками.
Мораль этой истории — когда сервис бесплатен, вы получаете ровно то, за что заплатили.
Алонсо же, в свою очередь, с помощью этого прокси-сервера также мог без труда внедрить вредоносное ПО в браузер злоумышленника и отслеживать его действия. Так он и поступил, применив метод захвата с помощью BeEF, фреймворка, эксплуатирующего уязвимости браузеров. Кроме того, Алонсо записал в пользовательском соглашении, что оставляет за собой право это сделать. Пользователи были вынуждены