Guide til online anonymitet (af https://anonymousplanet.org/)

Brug på eget ansvar. Tag ikke denne guide som en endegyldig sandhed for alt, for det er den ikke.

Spoiler: Indholdsfortegnelse

• Introduktion:
• Forståelse af det grundlæggende i, hvordan nogle oplysninger kan føre tilbage til dig, og hvordan du kan afbøde nogle af dem:
  • Dit netværk:
    • Din IP-adresse:
    • Dine DNS- og IP-anmodninger:
    • Dine RFID-aktiverede enheder:
    • Wi-Fi- og Bluetooth-enhederne omkring dig:
    • Ondsindede/robuste Wi-Fi-adgangspunkter:
    • Din anonymiserede Tor/VPN-trafik:
    • Nogle enheder kan spores, selv når de er offline:
  • Dine hardware-identifikatorer:
    • Din IMEI og IMSI (og dermed dit telefonnummer):
    • Din Wi-Fi- eller Ethernet-MAC-adresse:
    • Din Bluetooth MAC-adresse:
  • Din CPU:
  • Dine operativsystemer og app-telemetritjenester:
  • Dine smarte enheder generelt:
  • Dig selv:
    • Dine metadata, herunder din geo-lokation:
    • Dit digitale fingeraftryk, fodaftryk og onlineadfærd:
    • Dine ledetråde om dit virkelige liv og OSINT:
    • Dit ansigt, din stemme, din biometri og dine billeder:
    • Phishing og social engineering:
  • Malware, exploits og virus:
    • Malware i dine filer/dokumenter/e-mails:
    • Malware og exploits i dine apps og tjenester:
    • Ondsindede USB-enheder:
    • Malware og bagdøre i din hardware-firmware og dit operativsystem:
  • Dine filer, dokumenter, billeder og videoer:
    • Egenskaber og metadata:
    • Vandmærkning:
    • Pixeliserede eller slørede oplysninger:
  • Dine transaktioner med kryptovalutaer:
  • Dine cloud-backups/synkroniseringstjenester:
  • Dine browser- og enhedsfingeraftryk:
  • Lokale datalækager og kriminalteknik:
  • Dårlig kryptografi:
  • Ingen logning, men alligevel logningspolitikker:
  • Nogle avancerede målrettede teknikker:
  • Nogle bonusressourcer:
  • Noter:
• Generelle forberedelser:
  • Vælg din rute:
    • Begrænsninger i tid:
    • Begrænsninger i budget/materiale:
    • Færdigheder:
    • Modstandere (trusler):
  • Trin for alle ruter:
    • Få et anonymt telefonnummer:
    • Få fat i en USB-nøgle:
    • Find nogle sikre steder med god offentlig Wi-Fi:
  • TAILS-ruten:
    • Vedvarende plausibel benægtelse ved hjælp af Whonix i TAILS:
  • Trin til alle andre ruter:
    • Få en dedikeret laptop til dine følsomme aktiviteter:
    • Nogle anbefalinger til bærbare computere:
    • Bios/UEFI/Firmware-indstillinger på din bærbare computer:
    • Beskyt din bærbare computer fysisk mod manipulation:
  • Whonix-ruten:
    • Vælg dit Host OS (det OS, der er installeret på din bærbare):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox på dit Host OS:
    • Vælg din forbindelsesmetode:
    • Få en anonym VPN/Proxy:
    • Whonix:
    • Tor over VPN:
    • Whonix Virtuelle maskiner:
    • Vælg din virtuelle gæstearbejdsstation:
    • Linux virtuel maskine (Whonix eller Linux):
    • Windows 10 Virtuel maskine:
    • Android Virtuel maskine:
    • MacOS Virtuel maskine:
    • KeepassXC:
    • Installation af VPN-klient (kontant/Monero betalt):
    • (Valgfrit), der kun giver VM'erne adgang til internettet, mens Host OS afskæres for at forhindre enhver lækage:
    • Sidste trin:
  • Qubes-ruten:
    • Vælg din forbindelsesmetode:
    • Få en anonym VPN/Proxy:
    • Installation:
    • Adfærd ved lukning af låget:
    • Opret forbindelse til et offentligt wi-fi:
    • Opdater Qubes OS:
    • Hærdning af Qubes OS:
    • Opsætning af VPN ProxyVM:
    • Opsæt en sikker browser i Qube OS (valgfrit, men anbefalet):
    • Opsætning af en Android VM:
    • KeePassXC:
• Skab dine anonyme online-identiteter:
  • Forstå de metoder, der bruges til at forhindre anonymitet og verificere identitet:
    • Captchas:
    • Bekræftelse via telefon:
    • Bekræftelse af e-mail:
    • Kontrol af brugeroplysninger:
    • Bevis for ID-verifikation:
    • IP-filtre:
    • Browser- og enhedsfingeraftryk:
    • Menneskelig interaktion:
    • Brugermoderation:
    • Adfærdsanalyse:
    • Finansielle transaktioner:
    • Sign-in med en eller anden platform:
    • Live ansigtsgenkendelse og biometri (igen):
    • Manuelle anmeldelser:
  • At komme online:
    • Oprettelse af nye identiteter:
    • Systemet med rigtige navne:
    • Om betalte tjenester:
    • Oversigt:
    • Sådan deler du filer eller chatter anonymt:
    • Redigering af dokumenter/billeder/videoer/lyd på en sikker måde:
    • Kommunikation af følsomme oplysninger til forskellige kendte organisationer:
    • Vedligeholdelsesopgaver:
• Sikker sikkerhedskopiering af dit arbejde:
  • Offline-sikkerhedskopier:
    • Backups af udvalgte filer:
    • Fuld disk/system-backup:
  • Online sikkerhedskopier:
    • Filer:
    • Information:
  • Synkronisering af dine filer mellem enheder Online:
• Dæk dine spor:
  • Forståelse af HDD vs SSD:
    • Udjævning af slid.
    • Trim-operationer:
    • Skraldeindsamling:
    • Konklusion:
  • Sådan sletter du hele din bærbare computer/drev på en sikker måde, hvis du vil slette alt:
    • Linux (alle versioner inklusive Qubes OS):
    • Windows:
    • MacOS:
  • Sådan sletter du sikkert specifikke filer/mapper/data på din HDD/SSD og dine tommelfinger-drev:
    • Windows:
    • Linux (ikke Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Nogle yderligere foranstaltninger mod kriminalteknik:
    • Fjernelse af metadata fra filer/dokumenter/billeder:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (ikke-Qubes):
    • Windows:
  • Fjerner nogle spor af din identitet på søgemaskiner og forskellige platforme:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Nogle lavteknologiske tricks af den gamle skole:
  • Skjult kommunikation i almindeligt syn:
  • Sådan finder du ud af, om nogen har søgt i dine ting:
• Nogle sidste OPSEC-tanker:
• Hvis du tror, du har brændt dig:
  • Hvis du har lidt tid:
  • Hvis du ikke har tid:
• En lille afsluttende redaktionel note

 

[HEISENBERG]

Phishing og social engineering.

Phishing er en type social engineering-angreb, hvor en modstander kan forsøge at få oplysninger ud af dig ved at foregive eller udgive sig for at være noget eller nogen andet.


Et typisk tilfælde er, at en modstander bruger et man-in-the-middle-angreb eller en falsk e-mail/opkald for at bede om dine legitimationsoplysninger til en tjeneste. Det kan f.eks. være via e-mail eller ved at udgive sig for at være en finansiel tjeneste.


Sådanne angreb kan også bruges til at afanonymisere nogen ved at narre dem til at downloade malware eller afsløre personlige oplysninger over tid.


De er blevet brugt utallige gange siden internettets tidlige dage, og det mest almindelige kaldes "419-svindel" (se https://en.wikipedia.org/wiki/Advance-fee_scam [Wikiless] [ Archive.org]).


Her er en god video, hvis du vil lære lidt mere om phishing-typer: Black Hat, Ichthyology: Phishing som videnskab

[ Invidious].

 

[HEISENBERG]

Malware, exploits og vira.

Malware i dine filer/dokumenter/e-mails.

Ved hjælp af steganografi eller andre teknikker er det nemt at indlejre malware i almindelige filformater som Office-dokumenter, billeder, videoer, PDF-dokumenter ...


Disse kan være så simple som HTML-sporingslinks eller kompleks målrettet malware.


Det kan være simple billeder i pixelstørrelse, der er skjult i dine e-mails, og som ringer til en ekstern server for at få din IP-adresse.


Det kan være udnyttelse af en sårbarhed i et forældet format eller en forældet læser. Sådanne exploits kan så bruges til at kompromittere dit system.


Se disse gode videoer for flere forklaringer om emnet:

• Hvad er et filformat?
  [Invidious].
• Ange Albertini: Funky filformater:
  [Invidious]

Du bør altid være yderst forsigtig. For at afbøde disse angreb vil denne vejledning senere anbefale brugen af virtualisering (se Appendiks W: Virtualisering) for at afbøde lækage af oplysninger, selv i tilfælde af åbning af en sådan ondsindet fil.


Hvis du vil vide, hvordan du prøver at opdage sådan malware, kan du se Appendiks T: Kontrol af filer for malware

 

[HEISENBERG]

Malware og Exploits i dine apps og tjenester.

Så du bruger Tor Browser eller Brave Browser over Tor. Du kan bruge dem via en VPN for at få ekstra sikkerhed. Men du skal huske på, at der er exploits (hacks), som kan være kendt af en modstander (men ukendt for app-/browserudbyderen). Sådanne exploits kan bruges til at kompromittere dit system og afsløre detaljer for at afanonymisere dig, f.eks. din IP-adresse eller andre detaljer.


Et konkret eksempel på denne teknik var Freedom Hosting-sagen i 2013, hvor FBI indsatte malware på et Tor-websted ved hjælp af en Firefox-browser-exploit. Denne udnyttelse gjorde det muligt for dem at afsløre detaljer om nogle brugere. For nylig var der det bemærkelsesværdige SolarWinds-hack, der brød ind i flere amerikanske regeringsinstitutioner ved at indsætte malware i en officiel softwareopdateringsserver.


I nogle lande er malware ligefrem obligatorisk og/eller distribueret af staten selv. Det er f.eks. tilfældet i Kina med WeChat, som derefter kan bruges i kombination med andre data til statslig overvågning.


Der er utallige eksempler på ondsindede browserudvidelser, smartphone-apps og forskellige apps, der er blevet infiltreret med malware i årenes løb.


Her er nogle trin til at afbøde denne type angreb:

• Du bør aldrig have 100 % tillid til de apps, du bruger.
• Du bør altid kontrollere, at du bruger den opdaterede version af sådanne apps før brug, og ideelt set validere hver download ved hjælp af deres signatur, hvis den er tilgængelig.
• Du bør ikke bruge sådanne apps direkte fra et hardwaresystem, men i stedet bruge en virtuel maskine til opsplitning.

For at afspejle disse anbefalinger vil denne vejledning derfor senere vejlede dig i brugen af virtualisering (se bilag W: Virtualisering), så selv hvis din browser/apps bliver kompromitteret af en dygtig modstander, vil denne modstander sidde fast i en sandkasse uden at kunne få adgang til identificerende oplysninger eller kompromittere dit system.

 

[HEISENBERG]

Ondsindede USB-enheder.

Der findes lettilgængelige kommercielle og billige "badUSB"-enheder, som kan installere malware, logge dine indtastninger, geolokalisere dig, lytte til dig eller få kontrol over din bærbare computer blot ved at sætte dem i stikkontakten. Her er nogle eksempler, som du allerede kan købe selv.

• Hak5, USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe [Archive.org]
• Hak5, O.MG-kabel
  [Invidious]
• Keelog https://www.keelog.com/ [Archive. org]
• AliExpress https://www.aliexpress.com/i/4000710369016.html [Archive. org]

Sådanne enheder kan implanteres hvor som helst (opladerkabel, mus, tastatur, USB-nøgle ...) af en modstander og kan bruges til at spore dig eller kompromittere din computer eller smartphone. Det mest bemærkelsesværdige eksempel på sådanne angreb er nok Stuxnet i 2005.


Selvom du kan undersøge en USB-nøgle fysisk, scanne den med forskellige værktøjer og tjekke de forskellige komponenter for at se, om de er ægte, vil du sandsynligvis aldrig kunne opdage kompleks malware, der er indlejret i ægte dele af en ægte USB-nøgle af en dygtig modstander uden avanceret kriminalteknisk udstyr.


For at afbøde dette bør du aldrig stole på sådanne enheder og tilslutte dem til følsomt udstyr. Hvis du bruger en opladningsenhed, bør du overveje at bruge en USB-datablokeringsenhed, der kun tillader opladning, men ikke dataoverførsel. Sådanne datablokerende enheder er nu let tilgængelige i mange onlinebutikker. Du bør også overveje at deaktivere USB-porte helt i computerens BIOS, medmindre du har brug for dem (hvis du kan).

 

[HEISENBERG]

Malware og bagdøre i din hardware-firmware og dit operativsystem.

Dette lyder måske lidt bekendt, da det allerede blev delvist dækket tidligere i afsnittet Din CPU.


Malware og bagdøre kan indlejres direkte i dine hardwarekomponenter. Nogle gange er disse bagdøre implementeret af producenten selv, f.eks. IME i tilfælde af Intel CPU'er. Og i andre tilfælde kan sådanne bagdøre implementeres af en tredjepart, der placerer sig mellem ordrer på ny hardware og kundelevering.


Sådan malware og bagdøre kan også implementeres af en modstander ved hjælp af software-exploits. Mange af dem kaldes rootkits i teknologiverdenen. Normalt er disse typer malwares sværere at opdage og afbøde, da de er implementeret på et lavere niveau end userspace og ofte i selve hardwarekomponenternes firmware.


Hvad er firmware? Firmware er et operativsystem på lavt niveau til enheder. Hver komponent i din computer har sandsynligvis firmware, herunder f.eks. dine diskdrev. BIOS/UEFI-systemet på din maskine er f.eks. en type firmware.


De kan give mulighed for fjernstyring og er i stand til at give fuld kontrol over et målsystem stille og roligt.


Som tidligere nævnt er disse sværere at opdage for brugerne, men der er alligevel nogle begrænsede skridt, der kan tages for at afbøde nogle af dem ved at beskytte din enhed mod manipulation og bruge nogle foranstaltninger (som f.eks. at re-flashe bios). Hvis en sådan malware eller bagdør er implementeret af producenten selv, bliver det desværre ekstremt vanskeligt at opdage og deaktivere dem.

 

[HEISENBERG]

Dine filer, dokumenter, billeder og videoer.

Egenskaber og metadata.

Dette kan være indlysende for mange, men ikke for alle. De fleste filer har metadata knyttet til sig. Et godt eksempel er billeder, som gemmer EXIF-oplysninger, der kan indeholde en masse information som GPS-koordinater, hvilket kamera/telefonmodel, der tog det, og hvornår det blev taget præcist. Selvom disse oplysninger måske ikke direkte afslører, hvem du er, kan de fortælle præcis, hvor du var på et bestemt tidspunkt, hvilket kan give andre mulighed for at bruge forskellige kilder til at finde dig (CCTV eller andre optagelser, der er taget samme sted på samme tidspunkt under en demonstration, for eksempel). Det er vigtigt, at du kontrollerer enhver fil, du lægger ud på disse platforme, for egenskaber, der kan indeholde oplysninger, som kan føre tilbage til dig.


Her er et eksempel på EXIF-data, der kan være på et billede:

Det gælder i øvrigt også for videoer. Ja, videoer har også geo-tagging, og mange er meget uvidende om det. Her er f.eks. et meget praktisk værktøj til at geolokalisere YouTube-videoer: https: //mattw.io/youtube-geofind/location [Archive.org]


Derfor skal du altid være meget forsigtig, når du uploader filer ved hjælp af dine anonyme identiteter, og tjekke metadataene for disse filer.


Selv hvis du udgiver en simpel tekstfil, bør du altid dobbelttjekke eller tredobbelttjekke den for eventuelle informationslækager, før du udgiver den. Du kan finde vejledning om dette i afsnittet Nogle yderligere foranstaltninger mod retsmedicin i slutningen af vejledningen.

 

[HEISENBERG]

Vandmærkning.

Billeder/videoer/lyd.

Billeder/videoer indeholder ofte synlige vandmærker, der angiver, hvem der er ejer/skaber, men der findes også usynlige vandmærker i forskellige produkter, der har til formål at identificere seeren selv.


Så hvis du er whistleblower og overvejer at lække en billed-/lyd-/videofil, så tænk dig om en ekstra gang. Tænk dig om en ekstra gang. Der er risiko for, at de indeholder usynlige vandmærker, som indeholder oplysninger om dig som seer. Sådanne vandmærker kan aktiveres med en simpel switch i f.eks. zoom (video eller lyd) eller med udvidelser til populære apps som Adobe Premiere Pro. De kan indsættes af forskellige indholdsstyringssystemer.


Et nyligt eksempel, hvor en person, der lækkede en Zoom-mødeoptagelse, blev fanget, fordi den var vandmærket: https: //theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org]


Sådanne vandmærker kan indsættes af forskellige produkter ved hjælp af steganografi og kan modstå komprimering og genkodning.


Disse vandmærker er ikke lette at opdage og kan gøre det muligt at identificere kilden på trods af alle anstrengelser.


Ud over vandmærker kan det kamera, der bruges til at filme (og dermed den enhed, der bruges til at filme) en video, også identificeres ved hjælp af forskellige teknikker som f.eks. linseidentifikation, hvilket kan føre til afanonymisering.


Vær yderst forsigtig, når du udgiver videoer/billeder/lydfiler fra kendte kommercielle platforme, da de kan indeholde sådanne usynlige vandmærker ud over detaljer i selve billederne.

Vandmærkning af udskrifter.

Vidste du, at din printer højst sandsynligt også udspionerer dig? Selv hvis den ikke er forbundet til noget netværk? Det er normalt et kendt faktum for mange mennesker i IT-samfundet, men kun få udenfor.


Ja ... Dine printere kan også bruges til at afanonymisere dig, som EFF har forklaret her https://www.eff.org/issues/printers [Archive.org].


Med denne (gamle, men stadig relevante) video, der også forklarer hvordan fra EFF:

[Invidious]


Grundlæggende udskriver mange printere et usynligt vandmærke, der gør det muligt at identificere printeren på hver udskrevet side. Der er ingen rigtig måde at afbøde dette på, udover at informere dig selv om din printer og sørge for, at den ikke udskriver noget usynligt vandmærke. Det er naturligvis vigtigt, hvis du vil printe anonymt.


Her er en (gammel, men stadig relevant) liste over printere og mærker, der ikke udskriver sådanne sporingsprikker, fra EFF https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org].


Her er også nogle tips fra Whonix-dokumentationen (https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]):


Udskriv aldrig i farver, da vandmærkerne normalt ikke er til stede uden farvetonere/-patroner.

 

[HEISENBERG]

Pixeliserede eller slørede oplysninger.

Har du nogensinde set et dokument med sløret tekst? Har du nogensinde gjort grin med de film/serier, hvor de "forbedrer" et billede for at genskabe oplysninger, der tilsyneladende er umulige at læse?


Der findes teknikker til at genskabe information fra sådanne dokumenter, videoer og billeder.


Her er f.eks. et open source-projekt, som du selv kan bruge til at gendanne tekst fra nogle slørede billeder: https://github.com/beurtschipper/Depix [Archive.org]

Dette er selvfølgelig et open source-projekt, som alle kan bruge. Men du kan sikkert forestille dig, at sådanne teknikker sikkert er blevet brugt før af andre modstandere. De kan bruges til at afsløre slørede oplysninger fra offentliggjorte dokumenter, som derefter kan bruges til at afanonymisere dig.


Der er også vejledninger i at bruge sådanne teknikker ved hjælp af fotoredigeringsværktøjer som GIMP, f.eks. https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [Archive.org] efterfulgt af https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org].

Endelig kan du finde masser af ressourcer til deblurring her: https: //github.com/subeeshvasu/Awesome-Deblurring [Archive.org]


Nogle onlinetjenester kan endda hjælpe dig med at gøre det automatisk til en vis grad, f.eks. forbedringsværktøjet på MyHeritage.com:


https://www.myheritage.com/photo-enhancer [Archive.org]


Her er resultatet af ovenstående billede:

Dette værktøj er selvfølgelig mere et "gæt" end en egentlig deblurring på dette tidspunkt, men det kan være nok til at finde dig ved hjælp af forskellige tjenester til omvendt billedsøgning.


Derfor er det altid ekstremt vigtigt, at du redigerer og kuraterer ethvert dokument, du måtte ønske at offentliggøre, korrekt. Sløring er ikke nok, og du bør altid sværte/fjerne alle følsomme data helt for at undgå ethvert forsøg på at gendanne data fra en modstander.

 

[HEISENBERG]

Dine transaktioner med kryptovalutaer.

I modsætning til hvad mange tror, er kryptotransaktioner (som Bitcoin og Ethereum) ikke anonyme. De fleste kryptovalutaer kan spores nøjagtigt ved hjælp af forskellige metoder


Husk, hvad de siger på deres egen side: https: //bitcoin.org/en/you-need-to-know [Archive. org] og https://bitcoin.org/en/protect-your-privacy [Archive.org]:


"Bitcoin er ikke anonym"


Hovedproblemet er ikke at oprette en tilfældig krypto-tegnebog for at modtage noget valuta bag en VPN/Tor-adresse (på dette tidspunkt er tegnebogen anonym). Problemet er hovedsageligt, når du vil konvertere Fiat-penge (euro, dollar ...) til krypto, og når du derefter vil indløse din krypto. Du har ikke mange andre realistiske muligheder end at overføre dem til en børs (såsom Coinbase/Kraken/Bitstamp/Binance). Disse børser har kendte wallet-adresser og vil føre detaljerede logs (på grund af KYC finansielle regler) og kan derefter spore disse kryptotransaktioner tilbage til dig ved hjælp af det finansielle system.


Der er nogle kryptovalutaer med privatlivets fred/anonymitet i tankerne som Monero, men selv de har nogle advarsler, man skal overveje.


Selv hvis du bruger Mixers eller Tumblers (tjenester, der specialiserer sig i at "anonymisere" kryptovalutaer ved at "blande dem"), skal du huske, at det kun er tilsløring og ikke egentlig anonymitet. Ikke alene er de kun tilsløring, men de kan også sætte dig i problemer, da du kan ende med at veksle din krypto mod "beskidt" krypto, der er blevet brugt i forskellige tvivlsomme sammenhænge.


Det betyder ikke, at du slet ikke kan bruge Bitcoin anonymt. Du kan faktisk bruge Bitcoin anonymt, så længe du ikke konverterer den til egentlig valuta og bruger en Bitcoin-tegnebog fra et sikkert anonymt netværk. Det betyder, at du skal undgå KYC/AML-regler fra forskellige børser og undgå at bruge Bitcoin-netværket fra en kendt IP-adresse. Se bilag Z: Anonym betaling online med BTC.


Alt i alt er Monero IMHO stadig den bedste mulighed for at bruge krypto med rimelig anonymitet og privatliv, og du bør helst ikke bruge andre til følsomme transaktioner, medmindre du er klar over de begrænsninger og risici, der er involveret. Læs venligst denne Monero-ansvarsfraskrivelse.

 

[HEISENBERG]

Dine cloud-backup/synkroniseringstjenester.

Alle virksomheder reklamerer med deres brug af end-to-end-kryptering (E2EE). Det gælder for næsten alle messaging-apps og hjemmesider (HTTPS). Apple og Google reklamerer for deres brug af kryptering på deres Android-enheder og deres iPhones.


Men hvad med dine sikkerhedskopier? De automatiserede iCloud/google-drev-sikkerhedskopier, du har?


Du bør nok vide, at de fleste af disse sikkerhedskopier ikke er fuldt krypterede fra ende til anden og vil indeholde nogle af dine oplysninger, som er let tilgængelige for en tredjepart. Du vil se deres påstande om, at data er krypteret i hvile og sikre for alle ... Bortset fra, at de normalt beholder en nøgle til at få adgang til nogle af dataene selv. Disse nøgler bruges til at indeksere dit indhold, gendanne din konto og indsamle forskellige analyser.


Der findes specialiserede kommercielle retsmedicinske løsninger (Magnet Axiom, Cellebrite Cloud), som nemt kan hjælpe en modstander med at analysere dine cloud-data.


Bemærkelsesværdige eksempler:

• Apple iCloud: https://support.apple.com/en-us/HT202303 [Archive.org]: "Beskeder i iCloud bruger også ende-til-ende-kryptering. Hvis du har slået iCloud Backup til, indeholder din backup en kopi af den nøgle, der beskytter dine beskeder. Det sikrer, at du kan gendanne dine beskeder, hvis du mister adgangen til iCloud-nøglering og dine betroede enheder. ".
• Google Drive og WhatsApp: https: //faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Medier og beskeder, som du tager backup af, er ikke beskyttet af WhatsApps ende-til-ende-kryptering, når de ligger i Google Drive. ".
• Dropbox: https: //www.dropbox.com/privacy#terms [Archive. org] "For at kunne levere disse og andre funktioner får Dropbox adgang til, gemmer og scanner dine ting. Du giver os tilladelse til at gøre disse ting, og denne tilladelse gælder også for vores tilknyttede virksomheder og betroede tredjeparter, som vi samarbejder med".
• Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Produktivitets- og kommunikationsprodukter, "Når du bruger OneDrive, indsamler vi data om din brug af tjenesten samt det indhold, du gemmer, for at levere, forbedre og beskytte tjenesterne. Eksempler omfatter indeksering af indholdet af dine OneDrive-dokumenter, så du kan søge efter dem senere, og brug af placeringsoplysninger, så du kan søge efter billeder baseret på, hvor billedet blev taget".

Du bør ikke stole på cloud-udbydere med dine (ikke tidligere og lokalt krypterede) følsomme data, og du bør være på vagt over for deres påstande om privatlivets fred. I de fleste tilfælde kan de få adgang til dine data og give dem til en tredjepart, hvis de vil.


Den eneste måde at afbøde dette på er ved selv at kryptere dine data på din side og derefter kun uploade dem til sådanne tjenester.

 

[HEISENBERG]

Din browsers og enheds fingeraftryk.

Din browsers og enheds fingeraftryk er et sæt egenskaber/funktioner i dit system/din browser. De bruges på de fleste websites til usynlig brugersporing, men også til at tilpasse websitets brugeroplevelse afhængigt af deres browser. For eksempel vil hjemmesider kunne give en "mobiloplevelse", hvis du bruger en mobilbrowser, eller foreslå en bestemt sproglig/geografisk version afhængigt af dit fingeraftryk. De fleste af disse teknikker fungerer med nyere browsere som Chromium-baserede browsere (f.eks. Chrome) eller Firefox, medmindre der træffes særlige foranstaltninger.


Du kan finde mange detaljerede oplysninger og publikationer om dette på disse ressourcer:

• https://amiunique.org/links [Archive.org]
• https://brave.com/brave-fingerprinting-and-privacy-budgets/ [Archive. org]

Det meste af tiden vil disse fingeraftryk desværre være unikke eller næsten unikke for din browser/dit system. Det betyder, at selv hvis du logger ud af en hjemmeside og derefter logger ind igen med et andet brugernavn, kan dit fingeraftryk forblive det samme, hvis du ikke har taget dine forholdsregler.


En modstander kan så bruge sådanne fingeraftryk til at spore dig på tværs af flere tjenester, selv om du ikke har nogen konto på nogen af dem og bruger annonceblokering. Disse fingeraftryk kan igen bruges til at afanonymisere dig, hvis du beholder det samme fingeraftryk mellem tjenesterne.


Det skal også bemærkes, at selvom nogle browsere og udvidelser tilbyder modstand mod fingeraftryk, kan denne modstand i sig selv også bruges til at lave fingeraftryk af dig som forklaret her https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org].


Denne vejledning vil afbøde disse problemer ved at afbøde, tilsløre og randomisere mange af disse fingeraftryksidentifikatorer ved at bruge virtualisering (se bilag W: Virtualisering) og ved at bruge browsere, der er modstandsdygtige over for fingeraftryk.

 

[HEISENBERG]

Lokale datalækager og retsmedicin.

De fleste af jer har sikkert set nok krimidramaer på Netflix eller tv til at vide, hvad kriminalteknikere er. Det er teknikere (der som regel arbejder for politiet), som udfører forskellige analyser af bevismateriale. Det kan selvfølgelig også være din smartphone eller bærbare computer.


De kan blive udført af en modstander, når du allerede er blevet "brændt", men de kan også blive udført tilfældigt under en rutinekontrol eller en grænsekontrol. Disse ikke-relaterede kontroller kan afsløre hemmelige oplysninger for modstandere, der ikke på forhånd havde kendskab til sådanne aktiviteter.


Retsmedicinske teknikker er nu meget avancerede og kan afsløre en svimlende mængde oplysninger fra dine enheder, selv om de er krypterede. Disse teknikker bruges i vid udstrækning af retshåndhævende myndigheder over hele verden og bør overvejes.


Her er nogle af de seneste ressourcer, du bør læse om din smartphone:

• UpTurn, The Widespread Power of U.S. Law Enforcement to Search Mobile Phones https://www.upturn.org/reports/2020/mass-extraction/ [Archive.org].
• New-York Times, The Police Can Probably Break Into Your Phone https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html [Archive.org]
• Vice, Cops Around the Country Can Now Unlock iPhones, Records Show https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police [Archive.org]

Jeg kan også varmt anbefale, at du læser nogle dokumenter fra et retsmedicinsk perspektiv som f.eks:

• EnCase Forensic User Guide, http://encase-docs.opentext.com/doc...al Files/EnCase Forensic v8.07 User Guide.pdf [Archive.org]
• FTK Forensic Toolkit, https://accessdata.com/products-services/forensic-toolkit-ftk [Archive.org]
• SANS Digital Forensics and Incident Response Videos, https://www.youtube.com/c/SANSDigitalForensics/videos

Og endelig er der dette meget lærerige og detaljerede dokument om den aktuelle status for IOS/Android-sikkerhed fra John Hopkins University: https://securephones.io/main.html.


Når det gælder din bærbare computer, er de retsmedicinske teknikker mange og udbredte. Mange af disse problemer kan afhjælpes ved at bruge fuld diskkryptering, virtualisering (se appendiks W: Virtualisering) og opdeling. Denne vejledning vil senere beskrive sådanne trusler og teknikker til at afbøde dem.

 

[HEISENBERG]

Dårlig kryptografi.

Der er et hyppigt ordsprog i infosec-samfundet: "Lad være med at lave din egen krypto!".


Og det er der gode grunde til:


Personligt vil jeg ikke have, at folk afskrækkes fra at studere og innovere inden for kryptofeltet på grund af det ordsprog. Så i stedet vil jeg anbefale folk at være forsigtige med "Rul din egen krypto", for det er ikke nødvendigvis god krypto.

• God kryptografi er ikke let, og det tager normalt mange års forskning at udvikle og finjustere den.
• God kryptografi er gennemsigtig og ikke proprietær/lukket kilde, så den kan gennemgås af fagfæller.
• God kryptografi udvikles omhyggeligt, langsomt og sjældent alene.
• God kryptografi præsenteres og diskuteres normalt på konferencer og udgives i forskellige tidsskrifter.
• God kryptografi bliver grundigt fagfællebedømt, før den frigives til brug i naturen.
• At bruge og implementere eksisterende god kryptografi korrekt er allerede en udfordring.

Men det forhindrer ikke nogle i at gøre det alligevel og udgive forskellige produktionsapps/-tjenester ved hjælp af deres egen hjemmelavede kryptografi eller proprietære closed source-metoder.

• Du bør være forsigtig, når du bruger apps/tjenester, der bruger closed source eller proprietære krypteringsmetoder. Alle de gode kryptostandarder er offentlige og peer reviewed, og det burde ikke være noget problem at afsløre den, du bruger.
• Du bør være på vagt over for apps/tjenester, der bruger en "modificeret" eller proprietær kryptografisk metode.
• Som standard bør du ikke stole på nogen "Roll your own crypto", før den er blevet revideret, fagfællebedømt, kontrolleret og accepteret af kryptografisamfundet.
• Der findes ikke noget, der hedder "military grade crypto".

Kryptografi er et komplekst emne, og dårlig kryptografi kan nemt føre til, at du bliver af-anonymiseret.


I forbindelse med denne vejledning anbefaler jeg, at man holder sig til apps/tjenester, der bruger veletablerede, offentliggjorte og fagfællebedømte metoder.


Så hvad skal man foretrække, og hvad skal man undgå fra 2021? Du bliver nødt til selv at slå op for at få de tekniske detaljer om hver app og se, om de bruger "dårlig krypto" eller "god krypto". Når du har fået de tekniske detaljer, kan du tjekke denne side for at se, hvad den er værd: https: //latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org]


Her er nogle eksempler:

• Hashes:
  
  • Foretrækker: SHA256 (meget brugt), SHA512 (foretrukket) eller SHA-3
  • Undgå: SHA-1, SHA-2, MD5 (desværre stadig meget brugt), CRC, MD6 (sjældent brugt)
• Fil/disk-kryptering:
  
  • Foretrækker:
    
    • Hardwareaccelereret: AES 256 Bits med HMAC-SHA-2 eller HMAC-SHA-3 (dette er, hvad Veracrypt, Bitlocker, Filevault 2, KeepassXC og LUKS bruger)
    • Ikke-hardwareaccelereret: Samme som accelereret ovenfor, eller hvis det er tilgængeligt, foretrækker du ChaCha20 eller XChaCha20 (du kan bruge ChaCha20 med Kryptor https://www.kryptor.co.uk, men det er desværre ikke tilgængeligt med Veracrypt).
  • Undgå at bruge: Stort set alt andet
• Opbevaring af adgangskoder:
  
  • Foretrækker: argon2, scrypt, bcrypt, SHA-3 eller, hvis det ikke er muligt, i det mindste PBKDF2 (kun som en sidste udvej)
  • Undgå: nøgen SHA-2, SHA-1, MD5
• Browsersikkerhed (HTTPS):
  
  • Foretrækker: TLS 1.3 (ideelt set TLS 1.3 med ECH/eSNI-understøttelse) eller som minimum TLS 1.2 (meget udbredt)
  • Undgå alt andet: Alt andet (TLS =<1.1, SSL =<3)
• Signering med PGP/GPG:
  
  • Foretrækker ECDSA (ed25519)+ECDH (ec25519) eller RSA 4096 Bits*.
  • Undgå dette: RSA 2048 bits
• SSH-nøgler:
  
  • ED25519 (foretrukket) eller RSA 4096 bit*
  • Undgå at bruge: RSA 2048 bits
• Advarsel: RSAog ED25519 anses desværre ikke for at være "kvante-resistente", og selvom de ikke er blevet brudt endnu, vil de sandsynligvis blive brudt en dag i fremtiden. Det er nok bare et spørgsmål om hvornår, snarere end om RSA nogensinde bliver brudt. Så de foretrækkes i disse sammenhænge på grund af manglen på en bedre løsning.

Her er nogle virkelige eksempler på dårlig kryptografi:

• Telegram: https: //buttondown.email/cryptograp...ography-dispatches-the-most-backdoor-looking/ [Archive.org]
• Cryptocat: https: //web.archive.org/web/2013070...-critical-vulnerability-in-cryptocat-details/
• Nogle andre eksempler kan findes her: https: //www.cryptofails.com/ [Archive. org]

 

[HEISENBERG]

Ingen logning, men alligevel logningspolitikker.

Mange mennesker tror, at privatlivsorienterede tjenester som VPN- eller e-mailudbydere er sikre på grund af deres politikker om ingen logning eller deres krypteringsordninger. Desværre glemmer mange af de samme mennesker, at alle disse udbydere er lovlige kommercielle enheder, der er underlagt lovene i de lande, hvor de opererer.


Enhver af disse udbydere kan tvinges til i stilhed (uden at du ved det, f.eks. ved hjælp af en retskendelse med mundkurv eller et nationalt sikkerhedsbrev) at logge din aktivitet for at afanonymisere dig. Det har der været flere eksempler på for nylig:

• 2021, DoubleVPN-servere, logfiler og kontooplysninger beslaglagt af retshåndhævende myndigheder
• 2021, Den tyskbaserede mailudbyder Tutanota blev tvunget til at overvåge specifikke konti i 3 måneder
• 2020, Den tyskbaserede mailudbyder Tutanota blev tvunget til at implementere en bagdør for at opsnappe og gemme kopier af en brugers ukrypterede e-mails (de dekrypterede ikke den gemte e-mail).
• 2017, PureVPN blev tvunget til at udlevere oplysninger om en bruger til FBI.
• 2014 blev en EarthVPN-bruger anholdt på baggrund af logfiler fra en leverandør til det hollandske politi.
• 2014, HideMyAss-bruger blev afanonymiseret, og logfiler blev udleveret til FBI.
• 2013: Udbyderen af sikker e-mail Lavabit lukker ned efter at have kæmpet mod en hemmelig mundkurv.

Nogle udbydere har implementeret brugen af en Warrant Canary, som giver deres brugere mulighed for at finde ud af, om de er blevet kompromitteret af sådanne ordrer, men det er ikke blevet testet endnu, så vidt jeg ved.


Endelig er det nu velkendt, at nogle virksomheder kan være sponsorerede front-ends for nogle statslige modstandere (se Crypto AG-historien og Omnisec-historien).


Af disse grunde er det vigtigt, at du ikke stoler på sådanne udbydere, når det gælder dit privatliv, på trods af alle deres påstande. I de fleste tilfælde vil du være den sidste person, der får at vide, om en af dine konti har været mål for sådanne ordrer, og du vil måske aldrig få det at vide.


For at afbøde dette vil jeg i tilfælde, hvor du vil bruge en VPN, anbefale at bruge en kontant/Monero-betalt VPN-udbyder frem for Tor for at forhindre, at VPN-tjenesten får kendskab til identificerbare oplysninger om dig.

 

[HEISENBERG]

Nogle avancerede målrettede teknikker.

Der er mange avancerede teknikker, som kan bruges af dygtige modstandere til at omgå dine sikkerhedsforanstaltninger, forudsat at de allerede ved, hvor dine enheder er. Mange af disse teknikker er beskrevet her https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israel) og omfatter:

• Angreb, der kræver en malware implanteret i en enhed:
  
  • Exfiltrering af data gennem en malware-inficeret router:
    [Invidious].
  • Exfiltrering af data gennem observation af lysvariationer i et baggrundsbelyst tastatur med et kompromitteret kamera:
    [Uhyggelig]
    
    • Exfiltrering af data gennem et kompromitteret sikkerhedskamera (som først kunne bruge det forrige angreb)
      [Uigennemsigtig]
    • Kommunikation fra outsider til kompromitterede sikkerhedskameraer via IR-lyssignaler:
      [Uhyggelig]
  • Exfiltrering af data fra en kompromitteret computer med luftindtag gennem akustisk analyse af FAN-lyde med en smartphone
    [Uhyggelig]
  • Exfiltrering af data fra en malware-inficeret luftbåren computer gennem HD Leds med en drone
    [Uhyggelig]
  • Exfiltrering af data fra en USB-malware på en luftbåren computer gennem elektromagnetiske forstyrrelser
    [Invidious]
  • Eksfiltrering af data fra et malware-inficeret HDD-drev gennem skjult akustisk støj
    [Uhyggelig]
  • Exfiltrering af data via GSM-frekvenser fra en kompromitteret (med malware) luftbåren computer
    [Uhyggelig]
  • Eksfiltrering af data gennem elektromagnetiske emissioner fra en kompromitteret skærmenhed
    [Uhyggelig]
  • Exfiltrering af data via magnetiske bølger fra en kompromitteret luftindkapslet computer til en smartphone, der er opbevaret i en Faraday-pose
    [Uhyggelig]
  • Kommunikation mellem to kompromitterede luftindkapslede computere ved hjælp af ultralydsbølger
    [Uhyggelig]
  • Exfiltrering af Bitcoin Wallet fra en kompromitteret luftindkapslet computer til en smartphone
    [Uhyggelig]
  • Eksfiltrering af data fra en kompromitteret luftindkapslet computer ved hjælp af skærmens lysstyrke
    [Invidious]
  • Exfiltrering af data fra en kompromitteret luftindkapslet computer gennem vibrationer
    [Uhyggelig]
  • Eksfiltrering af data fra en kompromitteret computer med luftindtag ved at omdanne RAM til en Wi-Fi-sender
    [Invidious]
  • Exfiltrering af data fra en kompromitteret luftindkapslet computer gennem strømledninger https://arxiv.org/abs/1804.04014 [Archive.org]
• Angreb, der ikke kræver malware:
  
  • Iagttagelse af en pære på afstand for at lytte til lyden i rummet uden nogen form for malware: Demonstration:
    [Invidious]

Her er også en god video fra de samme forfattere, der forklarer disse emner: Black Hat, The Air-Gap Jumpers

[Uhyggelig]


Realistisk set vil denne guide ikke være til megen hjælp mod sådanne modstandere, da disse malwares kan være implanteret på enhederne af en producent eller nogen i midten eller af nogen med fysisk adgang til den air-gappede computer, men der er stadig nogle måder at afbøde sådanne teknikker på:

• Udfør ikke følsomme aktiviteter, mens du er tilsluttet en ikke-betroet/usikker strømledning for at forhindre lækager i strømledningen.
• Brug ikke dine enheder foran et kamera, der kan blive kompromitteret.
• Brug dine enheder i et lydisoleret rum for at forhindre lydlækager.
• Brug dine enheder i et faraday-bur for at forhindre elektromagnetiske lækager.
• Tal ikke om følsomme oplysninger, hvor lyspærer kan ses udefra.
• Køb dine enheder fra forskellige/uforudsigelige/offline steder (butikker), hvor sandsynligheden for, at de er inficeret med sådan malware, er lavere.
• Lad ikke andre end betroede personer få adgang til dine luftforsynede computere.

 

[HEISENBERG]

Nogle bonusressourcer.

• Se Whonix-dokumentationen om dataindsamlingsteknikker her: https: //www.whonix.org/wiki/Data_Collection_Techniques [Archive.org]
• Du kan også kigge på denne tjeneste https://tosdr.org/ [Archive. org] (Terms of Services, Didn't Read), som giver dig et godt overblik over de forskellige ToS for mange tjenester.
• Se på https://www.eff.org/issues/privacy [Archive.org] for nogle flere ressourcer.
• Se på https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects [Wikiless] [Archive. org ] for at få et overblik over alle kendte masseovervågningsprojekter, nuværende og tidligere.
• Kig på https://www.gwern.net/Death-Note-Anonymity [Archive.org ] (også selvom du ikke kender til Death Note).
• Overvej at finde og læse Michael Bazzells bog "Open Source Intelligence Techniques" (8. udgave i skrivende stund for at finde ud af mere om nyere OSINT-teknikker) https://inteltechniques.com/book1.html [ Archive.org].
• Endelig kan du tjekke https://www.freehaven.net/anonbib/date.html [Archive.org] for de seneste akademiske artikler om onlineanonymitet.

 

[HEISENBERG]

Bemærkninger.

Hvis du stadig ikke tror, at sådanne oplysninger kan bruges af forskellige aktører til at spore dig, kan du selv se nogle statistikker for nogle platforme og huske på, at de kun tager højde for de lovlige dataanmodninger og ikke tæller ting som PRISM, MUSCULAR, SORM eller XKEYSCORE, der er forklaret tidligere:

• Googles gennemsigtighedsrapport https://transparencyreport.google.com/user-data/overview [Archive.org]
• Facebook Transparency Report https://transparency.facebook.com/ [Archive. org]
• Apple Transparency Report https://www.apple.com/legal/transparency/ [Archive. org]
• Cloudflare Transparency Report https://www.cloudflare.com/transparency/ [Archive. org]
• Snapchat Gennemsigtighedsrapport https://www.snap.com/en-US/privacy/transparency [Archive.org]
• Telegram Transparency Report https://t.me/transparency [Archive. org ] (kræver telegram installeret)
• Microsoft Transparency Report https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report [Archive.org ]
• Amazon Transparency Report https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF [Archive.org ]
• Dropbox Transparency Report https://www.dropbox.com/transparency [Archive.org ]
• Discord Transparency Report https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d [Archive.org ]
• GitHub Transparency Report https://github.blog/2021-02-25-2020-transparency-report/ [Archive. org]
• Snapchat Transparency Report https://www.snap.com/en-US/privacy/transparency/ [Archive. org]
• TikTok Gennemsigtighedsrapport https://www.tiktok.com/safety/resources/transparency-report?lang=en [Archive. org]
• Reddit Transparency Report https://www.reddit.com/wiki/transparency [Archive. org]
• Twitter Transparency Report https://transparency.twitter.com/ [Archive.org]

 

[HEISENBERG]

Generelle forberedelser.

Personligt er det i forbindelse med denne guide også interessant at se på din sikkerhedsmodel. Og i denne sammenhæng har jeg kun én at anbefale:


Zero-Trust Security ("Stol aldrig på, verificer altid").


Her er nogle forskellige ressourcer om, hvad Zero-Trust Security er:

• DEFCON, Zero Trust a Vision for Securing Cloud,
  [Uhyggelig].
• Fra NSA selv, Embracing a Zero Trust Security Model, https://media.defense.gov/2021/Feb/..._EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF [Archive.org]

 

[HEISENBERG]

Vælg din rute.

Her er et lille grundlæggende UML-diagram, der viser dine muligheder. Se detaljerne nedenfor.

 

[HEISENBERG]

Tidsmæssige begrænsninger.

• Du har meget begrænset tid til at lære og har brug for en hurtigtarbejdende løsning:
  
  • Din bedste mulighed er at gå efter Tails-ruten (bortset fra afsnittet om vedvarende plausibel benægtelse).
• Du har tid og endnu vigtigere vilje til at lære:
  
  • Vælg en hvilken som helst rute.