Что это, как работает и сможет ли защитить вас от реальной слежки?
Во многих странах мира правительственные и частные организации зачастую используют высокотехнологичные шпионские программы, такие как Pegasus, против журналистов, активистов или представителей различных меньшинств.
Последние имеют крайне ограниченные возможности для самозащиты, однако один из методов обеспечения безопасности при помощи DNS-фильтрации может качественно защитить потенциальных жертв от слежки и шпионажа. Имя данному инструменту — Pi-Hole, и в этой статье мы рассмотрим принцип его работы, а также оценим реальную эффективность.
Для создания цифрового барьера на базе Pi-Hole понадобится микрокомпьютер Raspberry Pi 4 с любым объёмом оперативной памяти. Такие устройства можно приобрести как на AliExpress, так и на российских маркетплейсах с быстрой доставкой. Цена на октябрь 2023 колеблется от 7 до 13 тысяч рублей. Выгоднее покупать комплект с картой памяти microSD, адаптером питания и прочими сопутствующими аксессуарами.
Настройка Pi-Hole куда проще, чем кажется на первый взгляд, однако некоторые технические знания для установки операционной системы, использования командной строки для развёртывания программного обеспечения и настройки маршрутизатора — всё же потребуются.
В Интернете достаточно подробных руководств по настройке Pi-Hole, как на английском, так и на русском языке. Метод не является чем-то принципиально новым. В этой статье мы рассмотрим применение Pi-Hole больше с практической точки зрения.
Установка операционной системы на microSD обычно занимает всего несколько минут. Для загрузки и первичной настройки может потребоваться монитор с устройствами ввода, но подключиться можно и удалённо, через SSH.
В терминале установка Pi-Hole также состоит всего из нескольких скопированных команд с последующим нажатием «OK», и выбора некоторых параметров.
Реальные проблемы может вызвать, пожалуй, только настройка статического IP-адреса с последующей привязкой к нему DNS-запросов. Также нужно ответственно подойти к выбору надёжных паролей как к операционной системе Raspberry Pi, так и к самому Pi-Hole, чтобы риски любого внешнего вмешательства были сведены к минимуму.
После установки Pi-Hole зайти в его панель настройки можно через заданный ранее IP-адрес устройства в веб-браузере. Стоит отдельно отметить, что интерфейс Pi-Hole выглядит понятно, информативно и при этом весьма изящно.
Люди часто боятся, что подобный сетевой экран станет узким местом в быстродействии их домашней сети, однако это заблуждение в корне неверно. Даже Raspberry Pi 4 с двумя гигабайтами оперативной памяти вполне хватает, чтобы обеспечить высокую пропускную способность.
Что общего между «yellowwildtiger.com», «yummyfoodallover.com», «whereismyhand.com», и «mysuperheadphones.co»? Эти и многие другие домены использовались для работы эксплойтов нулевого дня или доставки прочей полезной нагрузки, включая шпионский софт от NSO Group. Эта широкая сеть доменов была обнаружена лабораторией безопасности Amnesty International в 2021 году.
Pi-Hole использует для блокировки рекламы сторонние списки, в основном содержащие сразу тысячи и десятки тысяч доменов. Один небольшой список блокировки уже включён в Pi-Hole «из коробки», однако не стоит рассчитывать на него, если хотите добиться эффективной защиты. Оптимальные списки нужно подбирать исходя из региона вашего проживания, специфики деятельности и т.п. А также регулярно обновлять уже выбранные списки.
Сообщество пользователей Pi-Hole разработало множество списков блокировки. Существует даже специальные списки для блокировки ПО Pegasus, который мы уже упоминали ранее. Однако злоумышленники часто создают новые домены для атак, поэтому устаревшие списки не защитят вас от будущих версий Pegasus или других шпионских программ.
Такие ресурсы, как, например, «firebog.net», предлагают пользователям Pi-Hole десятки обновляемых коллекций списков блокировок, хотя и могут быть направлены больше на иностранные ресурсы. В русскоязычном пространстве тоже можно отыскать обновляемые списки блокировок, хоть это задача и может вызвать трудности.
Включить можно сразу с десяток различных списков и фильтровать с их помощью сотни тысяч доменов, которые могут быть использованы для показа рекламы, распространения вредоносных программ, кражи паролей или онлайн-слежки.
Однако за приватность порой приходится платить. Так, некоторым веб-сайтам может не понравиться, что вы ограничиваете их возможности по показу рекламы, из-за чего они закидают вас навязчивыми уведомлениями или вовсе ограничат доступ к контенту. Впрочем, ситуация тут не сильно отличается от обычных блокировщиков рекламы в браузере, хоть и отключение правила для конкретного сайта может занять куда больше времени.
Несмотря на то, что защитить свою домашнюю сеть с помощью Pi-Hole можно довольно эффективно, когда вы выходите из дома, ваш смартфон вновь подключается к обычным сотовым сетям, а грамотно выстроенная защита бесследно пропадает.
Казалось бы, ситуация патовая, однако и для таких случаев есть решение — Pi-Hole можно настроить на доступ из Интернета и использовать полностью удалённо. Хотя это уже и правда может создать ощутимые задержки при доступе к сайтам, не говоря уже о том, что, если на вас нацелятся реальные хакеры, они будут только рады возможности удалённого доступа к вашему защитному экрану.
В любом случае, как бы вы не настроили Pi-Hole, стоит помнить, что DNS-фильтрация не является комплексным решением для обеспечения безопасности, поэтому не стоит слепо полагаться только на этот защитный метод.
Подведём же некий промежуточный итог, обозначив очевидные плюсы и минусы вышеописанной технологии DNS-фильтрации.
Плюсы
Минусы
Даже после всех настроек, включая многочисленные списки фильтров рекламы, конечный результат дал меньше фильтрации, чем при использовании простого блокировщика рекламы в браузере. Это связано с тем, что фильтрация на уровне браузера обеспечивает более глубокий уровень исключений, включая различные скрипты.
Однако такой инструмент всё же может быть полезен, потому что у вас наверняка нет блокировщиков рекламы для телевизора и умного холодильника, которые хоть и с натяжкой, но всё же могут выступить в качестве вектора атаки для решительно настроенного злоумышленника.
Хотя Pi-Hole может ограничить возможности отслеживания, он не предназначен, например, для блокировки сторонних cookie-файлов. С ними придётся иметь дело отдельно.
Для по-настоящему комплексной защиты вашей приватности и доступа к личным ресурсам, следует соблюдать все аспекты кибергигиены, такие как надёжные пароли, многофакторная аутентификация во всех критических аккаунтах, регулярные обновления безопасности, использования шифрования, брандмауэров, антивирусов, проверенного программного обеспечения, защищённых браузеров и VPN, не забывая также про безопасные каналы связи.
Вы также должны быть осторожны с подозрительными ссылками, электронными письмами или сообщениями и никогда не пользоваться общественными точками доступа Wi-Fi, зарядными станциями или прочими общедоступными устройствами.
И даже так вы не будете на 100% защищены, поскольку каждый день появляются новые уязвимости и методы для атак.
До тех пор, пока какая-нибудь уважаемая авторитетная компания в сфере кибербезопасности не предоставит по-настоящему комплексного решения, обеспечивающее все вышеперечисленные защитные методы в единой обёртке с гарантиями безопасности и регулярными обновлениями, вряд ли возможно придумать что-то более защищённое, чем комбинация всех озвученных ранее способов по отдельности.
Большой взрыв знаний каждый день в вашем телефоне