Οδηγός διαδικτυακής ανωνυμίας (από https://anonymousplanet.org/)

Η χρήση γίνεται με δική σας ευθύνη. Παρακαλείστε να μην θεωρήσετε αυτόν τον οδηγό ως την οριστική αλήθεια για τα πάντα, διότι δεν είναι.

Spoiler: Πίνακας περιεχομένων

• Εισαγωγή:
• Κατανόηση κάποιων βασικών στοιχείων για το πώς κάποιες πληροφορίες μπορούν να οδηγήσουν πίσω σε εσάς και πώς να μετριάσετε κάποιες:
  • Το δίκτυό σας:
    • Η διεύθυνση IP σας:
    • Τα αιτήματα DNS και IP σας:
    • Οι συσκευές σας με δυνατότητα RFID:
    • Οι συσκευές Wi-Fi και Bluetooth γύρω σας:
    • Σημεία πρόσβασης Wi-Fi:
    • Tor/VPN: Η ανώνυμη κυκλοφορία σας:
    • Ορισμένες συσκευές μπορούν να εντοπιστούν ακόμη και όταν είναι εκτός σύνδεσης:
  • Τα αναγνωριστικά υλικού σας:
    • IMEI και IMSI (και κατ' επέκταση τον αριθμό του τηλεφώνου σας):
    • Η διεύθυνση MAC του Wi-Fi ή του Ethernet σας:
    • Η διεύθυνση MAC του Bluetooth σας:
  • Η CPU σας:
  • Τα λειτουργικά σας συστήματα και οι υπηρεσίες τηλεμετρίας των εφαρμογών σας:
  • Οι έξυπνες συσκευές σας γενικά:
  • Ο εαυτός σας: Οι έξυπνες συσκευές σας: Ο εαυτός σας:
    • Τα μεταδεδομένα σας, συμπεριλαμβανομένης της γεωγραφικής σας θέσης:
    • Το ψηφιακό σας αποτύπωμα, το αποτύπωμα και η διαδικτυακή σας συμπεριφορά:
    • Οι ενδείξεις σας για την πραγματική σας ζωή και το OSINT:
    • Το πρόσωπό σας, η φωνή σας, τα βιομετρικά σας στοιχεία και οι φωτογραφίες σας:
    • Phishing και κοινωνική μηχανική:
  • κακόβουλο λογισμικό, εκμεταλλεύσεις και ιοί:
    • Κακόβουλο λογισμικό στα αρχεία/έγγραφα/ηλεκτρονικά σας μηνύματα:
    • Κακόβουλο λογισμικό και εκμεταλλεύσεις στις εφαρμογές και τις υπηρεσίες σας:
    • Κακόβουλες συσκευές USB:
    • Κακόβουλο λογισμικό και κερκόπορτες στο υλικολογισμικό και το λειτουργικό σας σύστημα:
  • Τα αρχεία, τα έγγραφα, οι εικόνες και τα βίντεό σας:
    • Τα έγγραφα, τα έγγραφα και τα αρχεία σας: Ιδιότητες και μεταδεδομένα:
    • Υδατοσήμανση:
    • Εικονογραφημένες ή θολωμένες πληροφορίες:
  • Οι συναλλαγές σας σε κρυπτογραφημένα νομίσματα:
  • Τα αντίγραφα ασφαλείας/υπηρεσίες συγχρονισμού σας στο σύννεφο:
  • Αποτυπώματα του προγράμματος περιήγησης και της συσκευής σας:
  • Τοπικές διαρροές δεδομένων και εγκληματολογικά στοιχεία:
  • Κρυπτογράφηση: Κακή κρυπτογράφηση:
  • Δεν υπάρχει καταγραφή, αλλά η καταγραφή γίνεται ούτως ή άλλως με πολιτικές:
  • Ορισμένες προηγμένες στοχευμένες τεχνικές:
  • Μερικοί πρόσθετοι πόροι:
  • Σημειώσεις:
• Γενικές προετοιμασίες:
  • Προετοιμασίες: Διαλέγοντας τη διαδρομή σας:
    • Χρονικοί περιορισμοί:
    • Περιορισμοί στον προϋπολογισμό/υλικά:
    • Δεξιότητες:
    • Αντίπαλοι (απειλές):
  • Βήματα για όλες τις διαδρομές:
    • Βρείτε έναν ανώνυμο αριθμό τηλεφώνου:
    • Αποκτήστε ένα κλειδί USB:
    • Βρείτε μερικά ασφαλή μέρη με αξιοπρεπές δημόσιο Wi-Fi:
  • Η διαδρομή TAILS:
    • Whonix μέσα στο TAILS:
  • Βήματα για όλες τις άλλες διαδρομές:
    • Αποκτήστε έναν ειδικό φορητό υπολογιστή για τις ευαίσθητες δραστηριότητές σας:
    • Ορισμένες συστάσεις για φορητούς υπολογιστές:
    • Bios/UEFI/Firmware Ρυθμίσεις του φορητού σας υπολογιστή:
    • Φυσική προστασία του φορητού σας υπολογιστή:
  • Η διαδρομή Whonix:
    • Επιλογή του λειτουργικού συστήματος υποδοχής (το λειτουργικό σύστημα που είναι εγκατεστημένο στο φορητό σας υπολογιστή):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows:
    • Virtualbox στο Host OS σας:
    • Επιλέξτε τη μέθοδο συνδεσιμότητάς σας:
    • Πάρτε ένα ανώνυμο VPN/Proxy:
    • Whonix:
    • Tor μέσω VPN:
    • Whonix: Εικονικές μηχανές:
    • Εικονική μηχανή: Επιλέξτε τον φιλοξενούμενο σταθμό εργασίας σας:
    • Εικονική μηχανή Linux (Whonix ή Linux):
    • Εικονική μηχανή: Windows 10:
    • Εικονική μηχανή: Android:
    • Εικονική μηχανή: MacOS:
    • KeepassXC:
    • (μετρητά/Μονέρο που πληρώθηκε): εγκατάσταση πελάτη VPN:
    • (Προαιρετικά) επιτρέποντας μόνο στα VMs να έχουν πρόσβαση στο διαδίκτυο, ενώ αποκόπτει το Host OS για να αποτρέψει οποιαδήποτε διαρροή:
    • Τελευταίο βήμα: Το τελευταίο βήμα είναι η αποτροπή της χρήσης του δικτύου από το δίκτυο:
  • Η διαδρομή Qubes:
    • Επιλέξτε τη μέθοδο συνδεσιμότητάς σας:
    • Αποκτήστε ένα ανώνυμο VPN/Proxy:
    • Εγκατάσταση:
    • Συμπεριφορά κλεισίματος του καπακιού:
    • Συνδεθείτε σε δημόσιο Wi-Fi:
    • Qubes OS: Ενημέρωση του λειτουργικού συστήματος Qubes:
    • Qubes OS: Σκλήρυνση του Qubes OS:
    • ProxyVM: Ρύθμιση του VPN ProxyVM:
    • Ρύθμιση ασφαλούς προγράμματος περιήγησης εντός του Qube OS (προαιρετικό αλλά συνιστάται):
    • Εγκατάσταση ενός Android VM:
    • KeePassXC:
• Δημιουργία των ανώνυμων διαδικτυακών σας ταυτοτήτων:
  • Κατανόηση των μεθόδων που χρησιμοποιούνται για την αποτροπή της ανωνυμίας και την επαλήθευση της ταυτότητας:
    • Captchas:
    • Επαλήθευση μέσω τηλεφώνου:
    • Επαλήθευση μέσω ηλεκτρονικού ταχυδρομείου:
    • Έλεγχος στοιχείων χρήστη:
    • Επαλήθευση της ταυτότητας:
    • Φίλτρα IP:
    • Φίλτρα φίλτρων: Δακτυλικό αποτύπωμα προγράμματος περιήγησης και συσκευής:
    • Ανθρώπινη αλληλεπίδραση:
    • Μετριασμός χρηστών:
    • Ανάλυση συμπεριφοράς:
    • Οικονομικές συναλλαγές:
    • Είσοδος με κάποια πλατφόρμα:
    • Ζωντανή αναγνώριση προσώπου και βιομετρικά στοιχεία (και πάλι):
    • Χειροκίνητες αναθεωρήσεις:
  • Διαδικτυακή σύνδεση:
    • Δημιουργία νέων ταυτοτήτων:
    • Το σύστημα πραγματικών ονομάτων:
    • Σχετικά με τις επί πληρωμή υπηρεσίες:
    • Ανασκόπηση: Σχετικά με τις πληρωμές για πληρωμές: Επισκόπηση:
    • Πώς να μοιράζεστε αρχεία ή να συνομιλείτε ανώνυμα:
    • Αποσύνδεση εγγράφων/εικόνων/βίντεο/ήχου με ασφάλεια:
    • Κοινοποίηση ευαίσθητων πληροφοριών σε διάφορους γνωστούς οργανισμούς:
    • Εργασίες συντήρησης:
• Δημιουργία αντιγράφων ασφαλείας της εργασίας σας με ασφάλεια:
  • Αντίγραφα ασφαλείας εκτός σύνδεσης:
    • Αντίγραφα ασφαλείας επιλεγμένων αρχείων:
    • Αντίγραφα ασφαλείας: Πλήρη αντίγραφα ασφαλείας δίσκου/συστήματος:
  • Αντίγραφα ασφαλείας σε απευθείας σύνδεση:
    • Αρχεία:
    • Πληροφορίες:
  • Συγχρονισμός των αρχείων σας μεταξύ συσκευών: Online:
• Συστήματα: Καλύπτοντας τα ίχνη σας:
  • SSD: Κατανόηση της σχέσης HDD vs SSD:
    • Wear-Leveling.
    • Λειτουργίες περικοπής:
    • Συλλογή σκουπιδιών:
    • Συμπέρασμα:
  • Πώς να σβήσετε με ασφάλεια ολόκληρο το Laptop/τους δίσκους σας αν θέλετε να διαγράψετε τα πάντα:
    • Linux (όλες οι εκδόσεις, συμπεριλαμβανομένου του Qubes OS):
    • Windows:
    • Windows: MacOS:
  • Πώς να διαγράψετε με ασφάλεια συγκεκριμένα αρχεία/φακέλους/δεδομένα από τους δίσκους HDD/SSD και Thumb drives:
    • Windows:
    • Linux (εκτός Qubes OS): Linux (μη Qubes OS):
    • Linux (Qubes OS): Linux (χωρίς Qubes OS):
    • MacOS:
  • Ορισμένα πρόσθετα μέτρα κατά της εγκληματολογικής έρευνας:
    • Αφαίρεση μεταδεδομένων από αρχεία/έγγραφα/εικόνες:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (μη Qubes OS): Linux (μη Qubes OS): Linux (μη Qubes OS):
    • Windows:
  • (Qubes): Αφαίρεση ορισμένων ιχνών της ταυτότητάς σας στις μηχανές αναζήτησης και σε διάφορες πλατφόρμες:
    • Google:
    • Google: Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Βικιπαίδεια:
    • σήμερα:
    • Internet Archive:
• Internet Archive: Μερικά παλιά κόλπα χαμηλής τεχνολογίας:
  • Κρυφές επικοινωνίες σε κοινή θέα:
  • Πώς να εντοπίσετε αν κάποιος έχει ψάξει τα πράγματά σας:
• Μερικές τελευταίες σκέψεις OPSEC:
• Αν νομίζετε ότι καήκατε:
  • Αν έχετε λίγο χρόνο:
  • Αν δεν έχετε χρόνο:
• Μια μικρή τελική εκδοτική σημείωση

 

[HEISENBERG]

Εισαγωγή.

TLDR για ολόκληρο τον οδηγό: "Ένα παράξενο παιχνίδι. Η μόνη νικηφόρα κίνηση είναι να μην παίζεις".


Η δημιουργία ενός λογαριασμού στα μέσα κοινωνικής δικτύωσης με ψευδώνυμο ή όνομα καλλιτέχνη/επωνυμίας είναι εύκολη υπόθεση. Και είναι αρκετό στις περισσότερες περιπτώσεις χρήσης για να προστατεύσετε την ταυτότητά σας ως ο επόμενος Τζορτζ Όργουελ. Υπάρχουν πολλοί άνθρωποι που χρησιμοποιούν ψευδώνυμα σε όλο το Facebook/Instagram/Twitter/LinkedIn/TikTok/Snapchat/Reddit/... Αλλά η συντριπτική πλειονότητα αυτών κάθε άλλο παρά ανώνυμοι είναι και μπορούν εύκολα να εντοπίσουν την πραγματική τους ταυτότητα από τους αστυνομικούς της περιοχής σας, από τυχαίους ανθρώπους της κοινότητας OSINT (Open-Source Intelligence) και από τρολ στο 4chan.


Αυτό είναι καλό, καθώς οι περισσότεροι εγκληματίες/τρολ δεν είναι πραγματικά εξοικειωμένοι με την τεχνολογία και θα ταυτοποιηθούν με ευκολία. Αλλά αυτό είναι επίσης κακό, καθώς οι περισσότεροι πολιτικοί αντιφρονούντες, ακτιβιστές ανθρωπίνων δικαιωμάτων και πληροφοριοδότες μπορούν επίσης να εντοπιστούν μάλλον εύκολα.


Αυτός ο επικαιροποιημένος οδηγός έχει ως στόχο να παρέχει εισαγωγή σε διάφορες τεχνικές αποανωνυμοποίησης, τεχνικές εντοπισμού, τεχνικές επαλήθευσης ταυτότητας και προαιρετική καθοδήγηση για τη δημιουργία και διατήρηση λογικά ανώνυμων ταυτοτήτων στο διαδίκτυο, συμπεριλαμβανομένων των λογαριασμών στα μέσα κοινωνικής δικτύωσης, με ασφάλεια. Αυτό περιλαμβάνει τις κύριες πλατφόρμες και όχι μόνο τις φιλικές προς την προστασία της ιδιωτικής ζωής.


Είναι σημαντικό να κατανοήσετε ότι ο σκοπός αυτού του οδηγού είναι η ανωνυμία και όχι μόνο η ιδιωτικότητα, αλλά πολλές από τις οδηγίες που θα βρείτε εδώ θα σας βοηθήσουν επίσης να βελτιώσετε την ιδιωτικότητα και την ασφάλειά σας ακόμη και αν δεν σας ενδιαφέρει η ανωνυμία. Υπάρχει σημαντική επικάλυψη στις τεχνικές και τα εργαλεία που χρησιμοποιούνται για την προστασία της ιδιωτικής ζωής, την ασφάλεια και την ανωνυμία, αλλά διαφέρουν σε κάποιο σημείο:

• Το απόρρητο έχει να κάνει με το να γνωρίζουν οι άνθρωποι ποιος είστε, αλλά να μην γνωρίζουν τι κάνετε.
• Η ανωνυμία αφορά τους ανθρώπους που γνωρίζουν τι κάνετε, αλλά δεν γνωρίζουν ποιος είστε.

Θα σας βοηθήσει αυτός ο οδηγός να προστατευτείτε από την NSA, την FSB, τον Mark Zuckerberg ή τη Μοσάντ, αν θέλουν να σας βρουν; Μάλλον όχι ... Η Μοσάντ θα κάνει "πράγματα της Μοσάντ" και πιθανότατα θα σας βρει, όσο σκληρά κι αν προσπαθείτε να κρυφτείτε.


Πρέπει να εξετάσετε το μοντέλο απειλής σας πριν προχωρήσετε περαιτέρω.

Θα σας βοηθήσει αυτός ο οδηγός να προστατεύσετε την ιδιωτική σας ζωή από ερευνητές OSINT όπως το Bellingcat13, τα τρολ Doxing14 στο 4chan15 και άλλους που δεν έχουν πρόσβαση στην εργαλειοθήκη της NSA; Πιθανότατα. Ωστόσο, δεν θα ήμουν τόσο σίγουρος για το 4chan.


Ακολουθεί ένα βασικό απλουστευμένο μοντέλο απειλών για τον παρόντα οδηγό:

(μαγικό φυλαχτό...). Φυσικά , υπάρχουν και προηγμένοι τρόποι για τον μετριασμό των επιθέσεων εναντίον τόσο προηγμένων και ικανών αντιπάλων, αλλά αυτοί είναι απλά εκτός του πεδίου εφαρμογής αυτού του οδηγού. Είναι εξαιρετικά σημαντικό να κατανοήσετε τα όρια του μοντέλου απειλών αυτού του οδηγού. Και ως εκ τούτου, αυτός ο οδηγός δεν θα διπλασιαστεί σε μέγεθος για να βοηθήσει με αυτά τα προηγμένα μέτρα μετριασμού, καθώς αυτό είναι απλώς πολύ περίπλοκο και θα απαιτήσει πολύ υψηλές γνώσεις που δεν αναμένονται από το στοχευμένο κοινό αυτού του οδηγού.


Το EFF παρέχει μερικά σενάρια ασφαλείας για το τι πρέπει να λάβετε υπόψη σας ανάλογα με τη δραστηριότητά σας. Παρόλο που ορισμένες από αυτές τις συμβουλές μπορεί να μην εμπίπτουν στο πεδίο εφαρμογής αυτού του οδηγού (περισσότερο για το απόρρητο παρά για την ανωνυμία), αξίζει να τις διαβάσετε ως παραδείγματα. Βλέπε https://ssd.eff.org/en/module-categories/security-scenarios [Archive.org].
Υπάρχουν επίσης αρκετοί πιο σοβαροί τρόποι για να φτιάξετε το μοντέλο απειλής σας, όπως π.χ:

• LINDDUN https://www.linddun.org/ [Archive.org].
• STRIDE https://en.wikipedia.org/wiki/STRIDE_(security) [Wikiless] [Archive.org]
• DREAD https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model) [Wikiless] [Archive.org]
• PASTA https://versprite.com/tag/pasta-threat-modeling/ [Archive.org]

Και υπάρχουν και αρκετά άλλα, βλ:

• https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/ [Archive.org]
• https://www.geeksforgeeks.org/threat-modelling/ [Archive.org]

Μπορείτε να βρείτε κάποια εισαγωγή σε αυτά σε αυτά τα έργα:

• OWASP https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html [Archive.org]
• Online Operations Security https://github.com/devbret/online-opsec/ [Archive.org]

 

[HEISENBERG]

Κατανόηση κάποιων βασικών στοιχείων για το πώς κάποιες πληροφορίες μπορούν να σας οδηγήσουν πίσω και πώς να μετριάσετε κάποιες.

Υπάρχουν πολλοί τρόποι με τους οποίους μπορεί να σας παρακολουθούν εκτός από τα cookies και τις διαφημίσεις του προγράμματος περιήγησης, το ηλεκτρονικό σας ταχυδρομείο και τον αριθμό τηλεφώνου σας. Και αν νομίζετε ότι μόνο η Μοσάντ ή η NSA/FSB μπορούν να σας βρουν, κάνετε μεγάλο λάθος.


Θα μπορούσατε να δείτε αυτή την καλή λίστα αναπαραγωγής στο YouTube ως εισαγωγή πριν προχωρήσετε παρακάτω: https://www.youtube.com/playlist?list=PL3KeV6Ui_4CayDGHw64OFXEPHgXLkrtJO [Invidious] (από το Go Incognito project https://github.com/techlore-official/go-incognito [Archive.org]). Αυτός ο οδηγός θα καλύψει πολλά από αυτά τα θέματα με περισσότερες λεπτομέρειες και αναφορές, καθώς και κάποια πρόσθετα θέματα, που δεν καλύπτονται μέσα σε αυτή τη σειρά, αλλά θα σας συνιστούσα τη σειρά ως εισαγωγή, και θα σας πάρει μόλις 2 ή 3 ώρες για να τα παρακολουθήσετε όλα.


Τώρα, ακολουθεί ένας μη εξαντλητικός κατάλογος μερικών από τους πολλούς τρόπους με τους οποίους θα μπορούσατε να παρακολουθείτεται και να αποανωνυμοποιείστε:

 

[HEISENBERG]

Το δίκτυό σας.

Η διεύθυνση IP σας.

Αποποίηση ευθυνών: ολόκληρη αυτή η παράγραφος αφορά τη δημόσια IP σας στο Διαδίκτυο και όχι τη IP του τοπικού σας δικτύου


Η διεύθυνση IP σας είναι ο πιο γνωστός και προφανής τρόπος με τον οποίο μπορεί να σας εντοπίσουν. Αυτή η IP είναι η IP που χρησιμοποιείτε στην πηγή. Αυτή είναι η διεύθυνση από την οποία συνδέεστε στο διαδίκτυο. Αυτή η IP παρέχεται συνήθως από τον ISP (πάροχο υπηρεσιών διαδικτύου) σας (xDSL, κινητό, καλώδιο, οπτικές ίνες, καφετέρια, μπαρ, φίλος, γείτονας). Οι περισσότερες χώρες έχουν κανονισμούς διατήρησης δεδομένων, οι οποίοι επιβάλλουν τη διατήρηση αρχείων καταγραφής του ποιος χρησιμοποιεί ποια IP σε μια συγκεκριμένη χρονική στιγμή/ημερομηνία για αρκετά χρόνια ή επ' αόριστον. Ο ISP σας μπορεί να πει σε έναν τρίτο ότι χρησιμοποιούσατε μια συγκεκριμένη IP σε μια συγκεκριμένη ημερομηνία και ώρα, χρόνια μετά το γεγονός. Εάν αυτή η IP (η αρχική) διαρρεύσει σε οποιοδήποτε σημείο για οποιονδήποτε λόγο, μπορεί να χρησιμοποιηθεί για τον άμεσο εντοπισμό σας. Σε πολλές χώρες, δεν θα μπορείτε να έχετε πρόσβαση στο διαδίκτυο χωρίς να παρέχετε κάποια μορφή ταυτοποίησης στον πάροχο (διεύθυνση, ταυτότητα, πραγματικό όνομα, e-mail ...).


Είναι άχρηστο να πούμε ότι οι περισσότερες πλατφόρμες (όπως τα κοινωνικά δίκτυα) θα διατηρούν επίσης (μερικές φορές επ' αόριστον) τις διευθύνσεις IP που χρησιμοποιήσατε για να εγγραφείτε και να συνδεθείτε στις υπηρεσίες τους.


Ακολουθούν ορισμένοι διαδικτυακοί πόροι που μπορείτε να χρησιμοποιήσετε για να βρείτε κάποιες πληροφορίες σχετικά με την τρέχουσα δημόσια IP σας αυτή τη στιγμή:

• Βρείτε την IP σας:
  
  • https://resolve.rs/
  • https://www.dnsleaktest.com/ (μπόνους, ελέγξτε την IP σας για διαρροές DNS)
• Βρείτε τη θέση της IP σας ή τη θέση οποιασδήποτε IP:
  
  • https://resolve.rs/ip/geolocation.html
• Βρείτε αν μια IP είναι "ύποπτη" ή αν έχει κατεβάσει "πράγματα" σε κάποιους δημόσιους πόρους:
  
  • https://www.virustotal.com/gui/home/search
  • https://iknowwhatyoudownload.com
• Πληροφορίες εγγραφής μιας IP (πιθανότατα ο ISP σας ή ο ISP της σύνδεσής σας, ο οποίος πιθανότατα γνωρίζει, ποιος χρησιμοποιεί αυτή την IP ανά πάσα στιγμή):
  
  • https://whois.domaintools.com/
• Ελέγξτε για ανοικτές υπηρεσίες ή ανοικτές συσκευές σε μια IP (ειδικά αν υπάρχουν διαρροές Έξυπνων Συσκευών σε αυτήν):
  
  • https://www.shodan.io/host/185.220.101.134 (αντικαταστήστε την IP με τη δική σας IP ή οποιαδήποτε άλλη, ή αλλάξτε στο πλαίσιο αναζήτησης, αυτό το παράδειγμα IP είναι ένας κόμβος εξόδου Tor)
• Διάφορα εργαλεία για τον έλεγχο της IP σας, όπως ελεγκτές μαύρων λιστών και άλλα:
  
  • https://www.whatismyip.com
  • https://browserleaks.com/
• Θα θέλατε να μάθετε αν είστε συνδεδεμένοι μέσω του Tor;
  
  • https://check.torproject.org

Για τους λόγους αυτούς, θα πρέπει να συσκοτίσουμε την IP προέλευσης (αυτή που συνδέεται με την ταυτοποίησή σας) ή να την αποκρύψουμε όσο το δυνατόν περισσότερο μέσω ενός συνδυασμού διαφόρων μέσων:

• Χρησιμοποιώντας μια δημόσια υπηρεσία Wi-Fi (δωρεάν).
• Χρησιμοποιώντας το δίκτυο ανωνυμίας Tor (δωρεάν).
• Χρησιμοποιώντας ανώνυμα υπηρεσίες VPN (ανώνυμα πληρωμένες με μετρητά ή Monero).

Όλα αυτά θα εξηγηθούν αργότερα σε αυτόν τον οδηγό.

 

[HEISENBERG]

Τα αιτήματα DNS και IP σας.

Το DNS σημαίνει "Domain Name System" και είναι μια υπηρεσία που χρησιμοποιείται από το πρόγραμμα περιήγησής σας (και άλλες εφαρμογές) για την εύρεση των διευθύνσεων IP μιας υπηρεσίας. Είναι λίγο πολύ μια τεράστια "λίστα επαφών" (τηλεφωνικός κατάλογος για τους μεγαλύτερους) που λειτουργεί σαν να του ζητάτε ένα όνομα και σας επιστρέφει τον αριθμό που πρέπει να καλέσετε. Μόνο που επιστρέφει μια IP.


Κάθε φορά που το πρόγραμμα περιήγησής σας θέλει να αποκτήσει πρόσβαση σε μια συγκεκριμένη υπηρεσία, όπως η Google μέσω του www.google.com. Το πρόγραμμα περιήγησής σας (Chrome ή Firefox) θα ζητήσει από μια υπηρεσία DNS να βρει τις διευθύνσεις IP των διακομιστών ιστού της Google.


Εδώ είναι ένα βίντεο που εξηγεί οπτικά το DNS αν έχετε ήδη χαθεί:

[Invidious]


Συνήθως, η υπηρεσία DNS παρέχεται από τον ISP σας και ρυθμίζεται αυτόματα από το δίκτυο στο οποίο συνδέεστε. Αυτή η υπηρεσία DNS θα μπορούσε επίσης να υπόκειται σε κανονισμούς διατήρησης δεδομένων ή απλώς θα διατηρεί αρχεία καταγραφής για άλλους λόγους (συλλογή δεδομένων για διαφημιστικούς σκοπούς, για παράδειγμα). Ως εκ τούτου, αυτός ο πάροχος υπηρεσιών διαδικτύου θα είναι σε θέση να γνωρίζει όλα όσα κάνατε στο διαδίκτυο απλώς κοιτάζοντας αυτά τα αρχεία καταγραφής, τα οποία με τη σειρά τους μπορούν να παρασχεθούν σε έναν αντίπαλο. Κατά τρόπο βολικό, αυτός είναι επίσης ο ευκολότερος τρόπος για πολλούς αντιπάλους να εφαρμόσουν λογοκρισία ή γονικό έλεγχο με τη χρήση αποκλεισμού DNS. Οι παρεχόμενοι διακομιστές DNS θα σας δώσουν μια διαφορετική διεύθυνση (από την πραγματική τους) για κάποιους ιστότοπους (όπως η ανακατεύθυνση του thepiratebay σε κάποιον κυβερνητικό ιστότοπο). Τέτοιος αποκλεισμός εφαρμόζεται ευρέως παγκοσμίως για ορισμένους ιστότοπους.


Η χρήση μιας ιδιωτικής υπηρεσίας DNS ή της δικής σας υπηρεσίας DNS θα μετρίαζε αυτά τα ζητήματα, αλλά το άλλο πρόβλημα είναι ότι τα περισσότερα από αυτά τα αιτήματα DNS εξακολουθούν εξ ορισμού να αποστέλλονται σε καθαρό κείμενο (χωρίς κρυπτογράφηση) μέσω του δικτύου. Ακόμα και αν περιηγηθείτε στο PornHub σε ένα incognito Window, χρησιμοποιώντας HTTPS και χρησιμοποιώντας μια ιδιωτική υπηρεσία DNS, οι πιθανότητες είναι πολύ υψηλές ότι το πρόγραμμα περιήγησής σας θα στείλει ένα αίτημα DNS καθαρού κειμένου χωρίς κρυπτογράφηση σε ορισμένους διακομιστές DNS, ρωτώντας ουσιαστικά "Ποια είναι λοιπόν η διεύθυνση IP του www.pornhub.com;".


Επειδή δεν είναι κρυπτογραφημένο, ο ISP σας ή/και οποιοσδήποτε άλλος αντίπαλος θα μπορούσε ακόμα να υποκλέψει (χρησιμοποιώντας μια επίθεση Man-in-the-middle) το αίτημά σας, θα γνωρίζει και ενδεχομένως θα καταγράφει τι έψαχνε η IP σας. Ο ίδιος ISP μπορεί επίσης να αλλοιώσει τις απαντήσεις DNS ακόμη και αν χρησιμοποιείτε ιδιωτικό DNS. Κάνοντας τη χρήση μιας ιδιωτικής υπηρεσίας DNS άχρηστη.


Ως μπόνους, πολλές συσκευές και εφαρμογές θα χρησιμοποιήσουν σκληρά κωδικοποιημένους διακομιστές DNS παρακάμπτοντας οποιαδήποτε ρύθμιση του συστήματος που θα μπορούσατε να ορίσετε. Αυτό συμβαίνει, για παράδειγμα, με τις περισσότερες (70%) έξυπνες τηλεοράσεις και ένα μεγάλο μέρος (46%) των κονσολών παιχνιδιών. Για αυτές τις συσκευές, θα πρέπει να τις αναγκάσετε να σταματήσουν να χρησιμοποιούν τη σκληρά κωδικοποιημένη υπηρεσία DNS, γεγονός που θα μπορούσε να τις κάνει να σταματήσουν να λειτουργούν σωστά.


Μια λύση σε αυτό είναι η χρήση κρυπτογραφημένου DNS χρησιμοποιώντας DoH (DNS over HTTPS), DoT (DNS over TLS) με έναν ιδιωτικό διακομιστή DNS (αυτό μπορεί να είναι αυτο-υποστηριζόμενο τοπικά με μια λύση όπως το pi-hole, απομακρυσμένα φιλοξενούμενο με μια λύση όπως το nextdns.io ή χρησιμοποιώντας τον πάροχο των λύσεων από τον πάροχο VPN σας ή το δίκτυο Tor). Αυτό θα πρέπει να αποτρέπει τον πάροχο υπηρεσιών διαδικτύου σας ή κάποιον ενδιάμεσο από το να παρακολουθεί τα αιτήματά σας ... μόνο που μπορεί να μην το κάνει.


Μικρή ενδιάμεση αποποίηση ευθυνών: Αυτός ο οδηγός δεν υποστηρίζει ή συνιστά απαραίτητα τις υπηρεσίες Cloudflare, ακόμη και αν αναφέρεται αρκετές φορές σε αυτό το τμήμα για τεχνική κατανόηση.


Δυστυχώς, το πρωτόκολλο TLS που χρησιμοποιείται στις περισσότερες συνδέσεις HTTPS στα περισσότερα προγράμματα περιήγησης (μεταξύ αυτών και το Chrome/Brave/Ungoogled-Chromium) θα διαρρεύσει και πάλι το Domain Name μέσω των SNI handshakes (αυτό μπορεί να ελεγχθεί εδώ στο Cloudflare: https://www.cloudflare.com/ssl/encrypted-sni/ [Archive.org]). Κατά τη συγγραφή αυτού του οδηγού, μόνο τα προγράμματα περιήγησης που βασίζονται στον Firefox υποστηρίζουν το ECH (Encrypted Client Hello, προηγουμένως γνωστό ως eSNI) σε ορισμένους ιστότοπους, το οποίο θα κρυπτογραφήσει τα πάντα από άκρο σε άκρο (εκτός από τη χρήση ενός ασφαλούς ιδιωτικού DNS μέσω TLS/HTTPS) και θα σας επιτρέψει να αποκρύψετε τα αιτήματα DNS σας από τρίτους. Και αυτή η επιλογή δεν είναι επίσης ενεργοποιημένη από προεπιλογή, οπότε θα πρέπει να την ενεργοποιήσετε μόνοι σας.

Εκτός από την περιορισμένη υποστήριξη του προγράμματος περιήγησης, μόνο οι υπηρεσίες ιστού και τα CDN πίσω από το Cloudflare CDN υποστηρίζουν ECH/eSNI σε αυτό το στάδιο. Αυτό σημαίνει ότι το ECH και το eSNI δεν υποστηρίζονται (κατά τη συγγραφή αυτού του οδηγού) από τις περισσότερες κύριες πλατφόρμες, όπως:

• Amazon (συμπεριλαμβανομένων των AWS, Twitch...)
• Microsoft (συμπεριλαμβανομένων των Azure, OneDrive, Outlook, Office 365...)
• Google (συμπεριλαμβανομένων των Gmail, Google Cloud...)
• Apple (συμπεριλαμβανομένων των iCloud, iMessage...)
• Reddit
• YouTube
• Facebook
• Instagram
• Twitter
• GitHub
• ...

Ορισμένες χώρες, όπως η Ρωσία και η Κίνα, θα μπλοκάρουν τις χειραψίες ECH/eSNI σε επίπεδο δικτύου για να επιτρέψουν την κατασκοπεία και να αποτρέψουν την παράκαμψη της λογοκρισίας. Αυτό σημαίνει ότι δεν θα μπορείτε να δημιουργήσετε μια σύνδεση HTTPS με μια υπηρεσία αν δεν τους επιτρέψετε να δουν τι ήταν.


Τα ζητήματα δεν τελειώνουν εδώ. Μέρος της επικύρωσης HTTPS TLS ονομάζεται OCSP και αυτό το πρωτόκολλο που χρησιμοποιείται από τα προγράμματα περιήγησης που βασίζονται στον Firefox θα διαρρεύσει μεταδεδομένα με τη μορφή του σειριακού αριθμού του πιστοποιητικού του ιστότοπου που επισκέπτεστε. Ένας αντίπαλος μπορεί στη συνέχεια να βρει εύκολα ποιον ιστότοπο επισκέπτεστε, συγκρίνοντας τον αριθμό του πιστοποιητικού. Αυτό το ζήτημα μπορεί να μετριαστεί με τη χρήση συρραφής OCSP. Δυστυχώς, αυτό είναι ενεργοποιημένο αλλά δεν επιβάλλεται από προεπιλογή στον Firefox/Tor Browser. Αλλά ο ιστότοπος που επισκέπτεστε πρέπει επίσης να το υποστηρίζει και δεν το υποστηρίζουν όλοι. Από την άλλη πλευρά, τα προγράμματα περιήγησης που βασίζονται στο Chromium χρησιμοποιούν ένα διαφορετικό σύστημα που ονομάζεται CRLSets και το οποίο είναι αναμφισβήτητα καλύτερο.


Ακολουθεί μια λίστα με το πώς συμπεριφέρονται διάφορα προγράμματα περιήγησης σε σχέση με το OCSP: https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ [Archive.org]


Ακολουθεί μια απεικόνιση του προβλήματος που θα μπορούσατε να αντιμετωπίσετε σε προγράμματα περιήγησης που βασίζονται στον Firefox:

Τέλος, ακόμη και αν χρησιμοποιείτε έναν προσαρμοσμένο κρυπτογραφημένο διακομιστή DNS (DoH ή DoT) με υποστήριξη ECH/eSNI και συρραφή OCSP, αυτό μπορεί να μην είναι αρκετό, καθώς μελέτες ανάλυσης της κίνησης έχουν δείξει ότι είναι ακόμη δυνατό να αποτυπωθούν αξιόπιστα και να μπλοκαριστούν ανεπιθύμητες αιτήσεις. Μόνο το DNS μέσω Tor μπόρεσε να επιδείξει αποτελεσματική ιδιωτικότητα DNS σε πρόσφατες μελέτες, αλλά ακόμα και αυτό μπορεί να νικηθεί με άλλα μέσα (βλ. Η ανωνυμοποιημένη σας κίνηση Tor/VPN).


Κάποιος θα μπορούσε επίσης να αποφασίσει να χρησιμοποιήσει μια υπηρεσία Tor Hidden DNS Service ή ODoH (Oblivious DNS over HTTPS) για να αυξήσει περαιτέρω την ιδιωτικότητα/ανωνυμία, αλλά δυστυχώς, απ' όσο γνωρίζω, αυτές οι μέθοδοι παρέχονται μόνο από το Cloudflare από τη στιγμή που γράφονται αυτές οι γραμμές(https://blog.cloudflare.com/welcome-hidden-resolver/ [Archive.org], https://blog.cloudflare.com/oblivious-dns/ [Archive.org]). Προσωπικά πιστεύω ότι αυτές είναι βιώσιμες και αρκετά ασφαλείς τεχνικές επιλογές, αλλά υπάρχει και μια ηθική επιλογή αν θέλετε να χρησιμοποιήσετε το Cloudflare ή όχι (παρά τον κίνδυνο που ενέχουν ορισμένοι ερευνητές).


Τέλος, υπάρχει επίσης αυτή η νέα επιλογή που ονομάζεται DoHoT και σημαίνει DNS over HTTPS over Tor, η οποία θα μπορούσε επίσης να αυξήσει περαιτέρω την ιδιωτικότητα/ανωνυμία σας και την οποία θα μπορούσατε να εξετάσετε αν είστε πιο έμπειροι στο Linux. Βλέπε https://github.com/alecmuffett/dohot [Archive.org]. Αυτός ο οδηγός δεν θα σας βοηθήσει με αυτό σε αυτό το στάδιο, αλλά μπορεί να έρθει σύντομα.


Ακολουθεί μια απεικόνιση που δείχνει την τρέχουσα κατάσταση της ιδιωτικότητας DNS και HTTPS με βάση τις τρέχουσες γνώσεις μου.

Όσον αφορά την κανονική καθημερινή σας χρήση (μη ευαίσθητη), να θυμάστε ότι μόνο τα προγράμματα περιήγησης που βασίζονται στον Firefox υποστηρίζουν το ECH (πρώην eSNI) μέχρι στιγμής και ότι είναι χρήσιμο μόνο με ιστότοπους που φιλοξενούνται πίσω από το Cloudflare CDN σε αυτό το στάδιο. Αν προτιμάτε μια έκδοση βασισμένη στον Chrome (κάτι που είναι κατανοητό για κάποιους λόγω κάποιων καλύτερα ενσωματωμένων λειτουργιών όπως η on-the-fly μετάφραση), τότε θα σας συνιστούσα τη χρήση του Brave, το οποίο αντί αυτού υποστηρίζει όλες τις επεκτάσεις του Chrome και προσφέρει πολύ καλύτερη προστασία της ιδιωτικής ζωής από τον Chrome. Εναλλακτικά, αν δεν εμπιστεύεστε το Brave, μπορείτε επίσης να χρησιμοποιήσετε το Ungoogled-Chromium(https://github.com/Eloston/ungoogled-chromium [Archive.org]).


Αλλά η ιστορία δεν σταματάει εκεί σωστά. Τώρα επειδή μετά από όλα αυτά, ακόμα και αν κρυπτογραφήσετε το DNS σας και χρησιμοποιήσετε όλα τα δυνατά μετριαστικά μέτρα. Απλά αιτήματα IP σε οποιονδήποτε διακομιστή θα επιτρέψουν πιθανώς σε έναν αντίπαλο να εξακολουθήσει να εντοπίζει ποιον ιστότοπο επισκέπτεστε. Και αυτό συμβαίνει απλώς επειδή η πλειονότητα των ιστότοπων έχουν μοναδικές IP που συνδέονται με αυτούς, όπως εξηγείται εδώ: https://blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address/ [Archive.org]. Αυτό σημαίνει ότι ένας αντίπαλος μπορεί να δημιουργήσει ένα σύνολο δεδομένων γνωστών ιστότοπων, για παράδειγμα, συμπεριλαμβανομένων των IP τους, και στη συνέχεια να αντιστοιχίσει αυτό το σύνολο δεδομένων με την IP που ζητάτε. Στις περισσότερες περιπτώσεις, αυτό θα οδηγήσει σε μια σωστή εικασία για τον ιστότοπο που επισκέπτεστε. Αυτό σημαίνει ότι παρά τη συρραφή OCSP, παρά το ECH/eSNI, παρά τη χρήση κρυπτογραφημένου DNS ... Ένας αντίπαλος μπορεί να μαντέψει τον ιστότοπο που επισκέπτεστε ούτως ή άλλως.


Επομένως, για να μετριάσουμε όλα αυτά τα ζητήματα (όσο το δυνατόν περισσότερο και όσο καλύτερα μπορούμε), αυτός ο οδηγός θα προτείνει στη συνέχεια δύο λύσεις: Χρήση του Tor και μια εικονικοποιημένη (βλ. Παράρτημα W: Εικονικοποίηση) πολυεπίπεδη λύση VPN μέσω της λύσης Tor. Θα εξηγηθούν επίσης και άλλες επιλογές (Tor over VPN, μόνο VPN, Χωρίς Tor/VPN), αλλά συνιστώνται λιγότερο.

 

[HEISENBERG]

Οι συσκευές σας με δυνατότητα RFID.

Η λέξη RFID σημαίνει ταυτοποίηση ραδιοσυχνοτήτων, είναι η τεχνολογία που χρησιμοποιείται για παράδειγμα για τις ανέπαφες πληρωμές και διάφορα συστήματα ταυτοποίησης. Φυσικά, το smartphone σας συγκαταλέγεται μεταξύ αυτών των συσκευών και διαθέτει δυνατότητες ανέπαφων πληρωμών RFID μέσω NFC. Όπως συμβαίνει με όλα τα άλλα, οι δυνατότητες αυτές μπορούν να χρησιμοποιηθούν για εντοπισμό από διάφορους φορείς.


Δυστυχώς, όμως, αυτό δεν περιορίζεται μόνο στο smartphone σας και πιθανόν να έχετε επίσης μαζί σας συνεχώς κάποια ποσότητα συσκευής με δυνατότητα RFID, όπως π.χ:

• Οι πιστωτικές/χρεωστικές κάρτες σας με δυνατότητα ανέπαφων συναλλαγών
• τις κάρτες επιβράβευσης των καταστημάτων σας
• τις κάρτες πληρωμής σας στις μεταφορές
• τις κάρτες πρόσβασης που σχετίζονται με την εργασία σας
• Τα κλειδιά του αυτοκινήτου σας
• Η εθνική σας ταυτότητα ή άδεια οδήγησης
• Το διαβατήριό σας
• Τις ετικέτες τιμής/αντικλεπτικής προστασίας σε αντικείμενα/ενδύματα
• ...

Παρόλο που όλα αυτά δεν μπορούν να χρησιμοποιηθούν για να σας αποανωνυμοποιήσουν από έναν απομακρυσμένο διαδικτυακό αντίπαλο, μπορούν να χρησιμοποιηθούν για να περιορίσουν μια αναζήτηση εάν είναι γνωστή η κατά προσέγγιση τοποθεσία σας σε μια συγκεκριμένη ώρα. Για παράδειγμα, δεν μπορείτε να αποκλείσετε ότι ορισμένα καταστήματα σαρώνουν (και καταγράφουν) αποτελεσματικά όλα τα τσιπ RFID που περνούν από την πόρτα. Μπορεί να ψάχνουν για τις κάρτες επιβράβευσης, αλλά καταγράφουν και άλλα στην πορεία. Τέτοιες ετικέτες RFID θα μπορούσαν να εντοπιστούν στην ταυτότητά σας και να επιτρέψουν την αποανωνυμοποίηση.


Περισσότερες πληροφορίες στη Βικιπαίδεια: https://en.wikipedia.org/wiki/Radio-frequency_identification#Security_concerns [Wikiless] [Archive.org] και https://en.wikipedia.org/wiki/Radio-frequency_identification#Privacy [Wikiless] [Archive . org].


Ο μόνος τρόπος για να μετριάσετε αυτό το πρόβλημα είναι να μην έχετε πάνω σας ετικέτες RFID ή να τις θωρακίσετε και πάλι χρησιμοποιώντας ένα είδος κλωβού Faraday. Θα μπορούσατε επίσης να χρησιμοποιήσετε εξειδικευμένα πορτοφόλια/τσάντες που μπλοκάρουν ειδικά τις επικοινωνίες RFID. Πολλά από αυτά κατασκευάζονται πλέον από γνωστές μάρκες όπως η Samsonite.

 

[HEISENBERG]

Οι συσκευές Wi-Fis και Bluetooth γύρω σας.

Ο γεωγραφικός εντοπισμός δεν γίνεται μόνο με τη χρήση του τριγωνισμού της κεραίας κινητής τηλεφωνίας. Γίνεται επίσης με τη χρήση των συσκευών Wi-Fis και Bluetooth γύρω σας. Οι κατασκευαστές λειτουργικών συστημάτων όπως η Google (Android) και η Apple (IOS) διατηρούν μια βολική βάση δεδομένων με τα περισσότερα σημεία πρόσβασης Wi-Fi, συσκευές Bluetooth και τη θέση τους. Όταν το smartphone Android ή το iPhone είναι ενεργοποιημένο (και όχι σε λειτουργία αεροπλάνου), θα σαρώσει παθητικά (εκτός αν απενεργοποιήσετε ειδικά αυτή τη λειτουργία στις ρυθμίσεις) τα σημεία πρόσβασης Wi-Fi και τις συσκευές Bluetooth γύρω σας και θα μπορέσει να σας εντοπίσει με μεγαλύτερη ακρίβεια από ό,τι όταν χρησιμοποιείτε GPS.


Αυτό του επιτρέπει να παρέχει ακριβείς τοποθεσίες ακόμη και όταν το GPS είναι απενεργοποιημένο, αλλά και να διατηρεί ένα βολικό αρχείο όλων των συσκευών Bluetooth σε όλο τον κόσμο. Στο οποίο μπορούν στη συνέχεια να έχουν πρόσβαση οι ίδιοι ή τρίτοι για εντοπισμό.


Σημείωση: Αν έχετε smartphone Android, η Google πιθανότατα γνωρίζει πού βρίσκεται, ό,τι κι αν κάνετε. Δεν μπορείτε πραγματικά να εμπιστευτείτε τις ρυθμίσεις. Ολόκληρο το λειτουργικό σύστημα έχει κατασκευαστεί από μια εταιρεία που θέλει τα δεδομένα σας. Να θυμάστε ότι αν είναι δωρεάν, τότε εσείς είστε το προϊόν.


Αλλά αυτό δεν είναι αυτό που μπορούν να κάνουν όλα αυτά τα σημεία πρόσβασης Wi-Fis. Οι πρόσφατα αναπτυγμένες τεχνολογίες θα μπορούσαν να επιτρέψουν σε κάποιον να παρακολουθεί τις κινήσεις σας με ακρίβεια μόνο με βάση τις ραδιοπαρεμβολές. Αυτό σημαίνει ότι είναι δυνατόν να παρακολουθείται η κίνησή σας μέσα σε ένα δωμάτιο/κτίριο με βάση τα ραδιοσήματα που περνούν από εκεί. Αυτό μπορεί να φαίνεται σαν ένας ισχυρισμός θεωρίας συνωμοσίας, αλλά εδώ είναι οι αναφορές με επιδείξεις που δείχνουν αυτή την τεχνολογία σε δράση: http://rfpose.csail.mit.edu/ [Archive.org] και το βίντεο εδώ:

[Invidious]


Θα μπορούσατε λοιπόν να φανταστείτε πολλές περιπτώσεις χρήσης τέτοιων τεχνολογιών, όπως η καταγραφή του ποιος εισέρχεται σε συγκεκριμένα κτίρια/γραφεία (ξενοδοχεία, νοσοκομεία ή πρεσβείες για παράδειγμα) και στη συνέχεια να ανακαλύψετε ποιος συναντά ποιον και με ποιο τρόπο να τον παρακολουθείτε από έξω. Ακόμα και αν δεν έχουν κανένα smartphone πάνω τους.

Και πάλι, αυτό το ζήτημα θα μπορούσε να μετριαστεί μόνο με την παραμονή σε ένα δωμάτιο/κτίριο που θα λειτουργούσε ως κλωβός Faraday.


Εδώ είναι ένα άλλο βίντεο με το ίδιο είδος τεχνολογίας σε δράση:

[Invidious]

 

[HEISENBERG]

Κακόβουλα/κακόβουλα σημεία πρόσβασης Wi-Fi.

Αυτά χρησιμοποιούνται τουλάχιστον από το 2008 με τη χρήση μιας επίθεσης που ονομάζεται "Jasager" και μπορεί να γίνει από οποιονδήποτε χρησιμοποιώντας αυτοδημιούργητα εργαλεία ή χρησιμοποιώντας εμπορικά διαθέσιμες συσκευές όπως το Wi-Fi Pineapple.


Ακολουθούν μερικά βίντεο που εξηγούν περισσότερα για το θέμα:

• HOPE 2020, https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_$5_Microcontrollers.mp4
• YouTube, Hak5, Wi-Fi Pineapple Mark VII
  [Invidious]

Αυτές οι συσκευές χωράνε σε μια μικρή τσάντα και μπορούν να αναλάβουν το περιβάλλον Wi-Fi οποιουδήποτε χώρου εντός της εμβέλειάς τους. Για παράδειγμα, ένα μπαρ/εστιατόριο/καφετέρια/λόμπι ξενοδοχείου. Αυτές οι συσκευές μπορούν να εξαναγκάσουν τους πελάτες Wi-Fi να αποσυνδεθούν από το τρέχον Wi-Fi τους (χρησιμοποιώντας επιθέσεις de-authentication, disassociation), ενώ παράλληλα παραπλανούν τα κανονικά δίκτυα Wi-Fi στην ίδια τοποθεσία. Θα συνεχίσουν να εκτελούν αυτή την επίθεση μέχρι ο υπολογιστής σας ή εσείς ο ίδιος να αποφασίσετε να προσπαθήσετε να συνδεθείτε στο απατεώνα AP.


Αυτές οι συσκευές μπορούν στη συνέχεια να μιμηθούν μια πύλη αιχμαλωσίας με την ίδια ακριβώς διάταξη με το Wi-Fi στο οποίο προσπαθείτε να αποκτήσετε πρόσβαση (για παράδειγμα, μια πύλη εγγραφής Wi-Fi του αεροδρομίου). Ή θα μπορούσαν απλώς να σας δώσουν ανοιχτή πρόσβαση στο διαδίκτυο, την οποία οι ίδιες θα πάρουν από το ίδιο μέρος.


Μόλις συνδεθείτε μέσω του Rogue AP, αυτό το AP θα είναι σε θέση να εκτελέσει διάφορες επιθέσεις man-in-the-middle για να πραγματοποιήσει ανάλυση της κυκλοφορίας σας. Αυτές θα μπορούσαν να είναι κακόβουλες ανακατευθύνσεις ή απλώς απλή υποκλοπή της κίνησης. Αυτές μπορούν στη συνέχεια να εντοπίσουν εύκολα οποιονδήποτε πελάτη που θα προσπαθήσει, για παράδειγμα, να συνδεθεί σε έναν διακομιστή VPN ή στο δίκτυο Tor.


Αυτό μπορεί να είναι χρήσιμο όταν γνωρίζετε ότι κάποιος που θέλετε να αποανωνυμοποιήσετε βρίσκεται σε ένα πολυσύχναστο μέρος, αλλά δεν ξέρετε ποιος είναι. Αυτό θα επέτρεπε σε έναν τέτοιο αντίπαλο να αποτυπώσει ενδεχομένως οποιονδήποτε ιστότοπο που επισκέπτεστε παρά τη χρήση HTTPS, DoT, DoH, ODoH, VPN ή Tor χρησιμοποιώντας ανάλυση της κίνησης, όπως επισημάνθηκε παραπάνω στην ενότητα DNS.


Αυτά μπορούν επίσης να χρησιμοποιηθούν για την προσεκτική δημιουργία και την παροχή προηγμένων ιστοσελίδων phishing που θα συλλέξουν τα διαπιστευτήριά σας ή θα προσπαθήσουν να σας κάνουν να εγκαταστήσετε ένα κακόβουλο πιστοποιητικό που θα τους επιτρέψει να δουν την κρυπτογραφημένη κυκλοφορία σας.

 

[HEISENBERG]

Η ανωνυμοποιημένη κυκλοφορία Tor/VPN σας.

Το Tor και τα VPN δεν είναι ασημένιες σφαίρες. Πολλές προηγμένες τεχνικές έχουν αναπτυχθεί και μελετηθεί για την αποανωνυμοποίηση της κρυπτογραφημένης κίνησης Tor με την πάροδο των ετών. Οι περισσότερες από αυτές τις τεχνικές είναι επιθέσεις συσχέτισης που θα συσχετίσουν την κυκλοφορία του δικτύου σας με τον έναν ή τον άλλο τρόπο με αρχεία καταγραφής ή σύνολα δεδομένων. Ακολουθούν μερικά κλασικά παραδείγματα:

• Επίθεση δακτυλικών αποτυπωμάτων συσχέτισης: Όπως απεικονίζεται (απλοποιημένα) παρακάτω, αυτή η επίθεση θα αποτυπώσει την κρυπτογραφημένη σας κίνηση (όπως οι ιστότοποι που επισκεφτήκατε) μόνο με βάση την ανάλυση της κρυπτογραφημένης κίνησής σας (χωρίς να την αποκρυπτογραφήσετε). Μπορεί να το κάνει αυτό με ένα εντυπωσιακό ποσοστό επιτυχίας 96%. Ένα τέτοιο δακτυλικό αποτύπωμα μπορεί να χρησιμοποιηθεί από έναν αντίπαλο που έχει πρόσβαση στο δίκτυο πηγής σας για να καταλάβει κάποια από τις κρυπτογραφημένες δραστηριότητές σας (όπως π.χ. ποιους ιστότοπους επισκεφτήκατε).

Επιθέσεις χρονικού συσχετισμού: Όπως απεικονίζεται (απλοποιημένα) παρακάτω, ένας αντίπαλος που έχει πρόσβαση σε αρχεία καταγραφής συνδέσεων δικτύου (IP ή DNS για παράδειγμα, θυμηθείτε ότι οι περισσότεροι διακομιστές VPN και οι περισσότεροι κόμβοι Tor είναι γνωστοί και δημόσια καταγεγραμμένοι) στην πηγή και στον προορισμό θα μπορούσε να συσχετίσει τους χρόνους για να σας αποανωνυμοποιήσει χωρίς να απαιτείται καμία πρόσβαση στο δίκτυο Tor ή VPN ενδιάμεσα. Μια πραγματική περίπτωση χρήσης αυτής της τεχνικής έγινε από το FBI το 2013 για την αποανωνυμοποίηση μιας φάρσας για απειλή βόμβας στο Πανεπιστήμιο του Χάρβαρντ.

Επιθέσεις μέτρησης συσχέτισης: Όπως απεικονίζεται (απλοποιημένα) παρακάτω, ένας αντίπαλος που δεν έχει πρόσβαση σε λεπτομερή αρχεία καταγραφής συνδέσεων (δεν μπορεί να δει ότι χρησιμοποιήσατε το Tor ή το Netflix) αλλά έχει πρόσβαση σε αρχεία καταγραφής καταμέτρησης δεδομένων θα μπορούσε να δει ότι έχετε κατεβάσει 600 MB σε μια συγκεκριμένη ώρα/ημερομηνία που ταιριάζει με το ανέβασμα 600 MB στον προορισμό. Αυτή η συσχέτιση μπορεί στη συνέχεια να χρησιμοποιηθεί για την αποανωνυμοποίησή σας με την πάροδο του χρόνου.

Υπάρχουν τρόποι μετριασμού αυτών, όπως π.χ:

• Μην χρησιμοποιείτε Tor/VPN για πρόσβαση σε υπηρεσίες που βρίσκονται στο ίδιο δίκτυο (ISP) με την υπηρεσία προορισμού. Για παράδειγμα, μην συνδέεστε στο Tor από το πανεπιστημιακό σας δίκτυο για να αποκτήσετε ανώνυμη πρόσβαση σε μια πανεπιστημιακή υπηρεσία. Αντ' αυτού, χρησιμοποιήστε ένα διαφορετικό σημείο προέλευσης (όπως ένα δημόσιο Wi-Fi) που δεν μπορεί να συσχετιστεί εύκολα από έναν αντίπαλο.
• Μην χρησιμοποιείτε το Tor/VPN από ένα προφανώς επιτηρούμενο δίκτυο (όπως ένα εταιρικό/κυβερνητικό δίκτυο), αλλά αντίθετα προσπαθήστε να βρείτε ένα μη επιτηρούμενο δίκτυο, όπως ένα δημόσιο Wi-Fi ή ένα οικιακό Wi-Fi.
• Χρησιμοποιήστε πολλαπλά στρώματα (όπως αυτό που θα προταθεί σε αυτόν τον οδηγό αργότερα: VPN over Tor), έτσι ώστε ένας αντίπαλος να μπορεί να δει ότι κάποιος συνδέθηκε στην υπηρεσία μέσω Tor, αλλά δεν θα μπορεί να δει ότι ήσασταν εσείς επειδή συνδεθήκατε σε ένα VPN και όχι στο δίκτυο Tor.

Λάβετε υπόψη σας και πάλι ότι αυτό μπορεί να μην είναι αρκετό ενάντια σε έναν παγκόσμιο αντίπαλο με κίνητρα και ευρεία πρόσβαση σε παγκόσμια μαζική παρακολούθηση. Ένας τέτοιος αντίπαλος μπορεί να έχει πρόσβαση σε αρχεία καταγραφής, ανεξάρτητα από το πού βρίσκεστε, και θα μπορούσε να τα χρησιμοποιήσει για να σας αποανωνυμοποιήσει.


Έχετε επίσης υπόψη σας ότι όλες οι άλλες μέθοδοι που περιγράφονται σε αυτόν τον οδηγό, όπως η ανάλυση συμπεριφοράς, μπορούν επίσης να χρησιμοποιηθούν για την ανωνυμοποίηση των χρηστών του Tor έμμεσα (δείτε περαιτέρω Το ψηφιακό σας αποτύπωμα, το αποτύπωμα και η διαδικτυακή σας συμπεριφορά).


Συνιστώ επίσης να διαβάσετε αυτόν τον πολύ καλό, πλήρη και εμπεριστατωμένο οδηγό για πολλούς φορείς επιθέσεων στο Tor: https://github.com/Attacks-on-Tor/Attacks-on-Tor [Archive.org] καθώς και αυτή την πρόσφατη ερευνητική δημοσίευση https://www.researchgate.net/public...ners_of_the_Internet_A_Survey_of_Tor_Research [Archive.org]


Καθώς και αυτή τη σπουδαία σειρά αναρτήσεων στο ιστολόγιο: https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html [Archive.org]


(Προς υπεράσπισή τους, θα πρέπει επίσης να σημειωθεί ότι το Tor δεν έχει σχεδιαστεί για να προστατεύει από έναν Παγκόσμιο αντίπαλο. Για περισσότερες πληροφορίες δείτε το https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf [Archive.org] και συγκεκριμένα το "Part 3. Σχεδιαστικοί στόχοι και παραδοχές.").


Τέλος, να θυμάστε ότι η χρήση του Tor μπορεί ήδη να θεωρηθεί ύποπτη δραστηριότητα και η χρήση του θα μπορούσε να θεωρηθεί κακόβουλη από κάποιους.


Αυτός ο οδηγός θα προτείνει αργότερα κάποια μέτρα μετριασμού τέτοιων επιθέσεων, αλλάζοντας εξαρχής την προέλευσή σας (χρησιμοποιώντας για παράδειγμα δημόσια Wi-Fi's).

 

[HEISENBERG]

Ορισμένες Συσκευές μπορούν να παρακολουθούνται ακόμη και όταν είναι εκτός σύνδεσης.

Το έχετε δει αυτό σε ταινίες και σειρές δράσης/κατάσκοπων/ επιστημονικής φαντασίας, οι πρωταγωνιστές αφαιρούν πάντα την μπαταρία των τηλεφώνων τους για να βεβαιωθούν ότι δεν μπορούν να χρησιμοποιηθούν. Οι περισσότεροι άνθρωποι θα πίστευαν ότι αυτό είναι υπερβολικό. Λοιπόν, δυστυχώς όχι, αυτό γίνεται πλέον πραγματικότητα, τουλάχιστον για ορισμένες συσκευές:

• iPhones και iPads (IOS 13 και άνω)
• Τηλέφωνα Samsung (Android 10 και άνω)
• MacBooks (MacOS 10.15 και άνω)

Αυτές οι συσκευές θα συνεχίσουν να μεταδίδουν πληροφορίες ταυτότητας σε κοντινές συσκευές ακόμη και όταν είναι εκτός σύνδεσης χρησιμοποιώντας Bluetooth Low-Energy. Δεν έχουν άμεση πρόσβαση στις συσκευές (οι οποίες δεν είναι συνδεδεμένες στο διαδίκτυο), αλλά χρησιμοποιούν το BLE για να τις βρουν μέσω άλλων κοντινών συσκευών. Ουσιαστικά χρησιμοποιούν ομότιμη επικοινωνία Bluetooth μικρής εμβέλειας για να μεταδώσουν την κατάστασή τους μέσω κοντινών διαδικτυακών συσκευών.


Θα μπορούσαν τώρα να εντοπίζουν τέτοιες συσκευές και να διατηρούν την τοποθεσία σε κάποια βάση δεδομένων που θα μπορούσε στη συνέχεια να χρησιμοποιηθεί από τρίτους ή από τους ίδιους για διάφορους σκοπούς (συμπεριλαμβανομένης της ανάλυσης, της διαφήμισης ή της συλλογής αποδεικτικών στοιχείων/πληροφοριών).

 

[HEISENBERG]

Τα αναγνωριστικά του υλικού σας.

Το IMEI και το IMSI σας (και κατ' επέκταση ο αριθμός του τηλεφώνου σας).

Το IMEI (International Mobile Equipment Identity) και το IMSI (International Mobile Subscriber Identity) είναι μοναδικοί αριθμοί που δημιουργούνται από τους κατασκευαστές κινητών τηλεφώνων και τους φορείς εκμετάλλευσης κινητών τηλεφώνων.


Το IMEI συνδέεται άμεσα με το τηλέφωνο που χρησιμοποιείτε. Ο αριθμός αυτός είναι γνωστός και παρακολουθείται από τους φορείς εκμετάλλευσης κινητών τηλεφώνων και είναι γνωστός στους κατασκευαστές. Κάθε φορά που το τηλέφωνό σας συνδέεται στο δίκτυο κινητής τηλεφωνίας, θα καταχωρεί το IMEI στο δίκτυο μαζί με το IMSI (αν έχει τοποθετηθεί κάρτα SIM, αλλά αυτό δεν είναι καν απαραίτητο). Χρησιμοποιείται επίσης από πολλές εφαρμογές (τραπεζικές εφαρμογές που κάνουν κατάχρηση της άδειας χρήσης του τηλεφώνου στο Android για παράδειγμα) και λειτουργικά συστήματα smartphone (Android/IOS) για την αναγνώριση της συσκευής. Είναι δυνατό, αλλά δύσκολο (και όχι παράνομο σε πολλές χώρες) να αλλάξετε το IMEI σε ένα τηλέφωνο, αλλά είναι μάλλον πιο εύκολο και φθηνότερο να βρείτε και να αγοράσετε απλά κάποιο παλιό (λειτουργικό) τηλέφωνο Burner για λίγα ευρώ (αυτός ο οδηγός είναι για τη Γερμανία θυμηθείτε) σε μια υπαίθρια αγορά ή σε κάποιο τυχαίο μικρό κατάστημα.


Το IMSI συνδέεται άμεσα με τη συνδρομή κινητής τηλεφωνίας ή το προπληρωμένο πρόγραμμα που χρησιμοποιείτε και ουσιαστικά συνδέεται με τον αριθμό τηλεφώνου σας από τον πάροχο κινητής τηλεφωνίας σας. Το IMSI είναι σταθερά κωδικοποιημένο απευθείας στην κάρτα SIM και δεν μπορεί να αλλάξει. Να θυμάστε ότι κάθε φορά που το τηλέφωνό σας συνδέεται στο δίκτυο κινητής τηλεφωνίας, μαζί με το IMEI καταχωρεί και το IMSI στο δίκτυο. Όπως και το IMEI, το IMSI χρησιμοποιείται επίσης από ορισμένες εφαρμογές και λειτουργικά συστήματα smartphone για την ταυτοποίηση και παρακολουθείται. Ορισμένες χώρες στην ΕΕ, για παράδειγμα, διατηρούν μια βάση δεδομένων με τις συσχετίσεις IMEI/IMSI για εύκολη αναζήτηση από την επιβολή του νόμου.


Σήμερα, το να δώσετε τον (πραγματικό) αριθμό τηλεφώνου σας είναι ουσιαστικά το ίδιο ή και καλύτερο από το να δώσετε τον αριθμό κοινωνικής ασφάλισης/ταυτότητα διαβατηρίου/εθνική ταυτότητα.


Το IMEI και το IMSI μπορούν να εντοπιστούν σε εσάς με τουλάχιστον 6 τρόπους:

• Τα αρχεία καταγραφής συνδρομητών του φορέα εκμετάλλευσης κινητής τηλεφωνίας που συνήθως αποθηκεύουν το IMEI μαζί με το IMSI και τη βάση δεδομένων πληροφοριών συνδρομητών τους. Εάν χρησιμοποιείτε προπληρωμένη ανώνυμη SIM (ανώνυμο IMSI αλλά με γνωστό IMEI), μπορούν να δουν ότι αυτό το κινητό σας ανήκει, εάν έχετε χρησιμοποιήσει αυτό το κινητό τηλέφωνο στο παρελθόν με διαφορετική κάρτα SIM (διαφορετικό ανώνυμο IMSI αλλά ίδιο γνωστό IMEI).
• Τα αρχεία καταγραφής κεραιών του φορέα εκμετάλλευσης κινητής τηλεφωνίας, τα οποία θα διατηρούν βολικά ένα αρχείο καταγραφής των οποίων IMEI και IMSI διατηρούν επίσης κάποια δεδομένα σύνδεσης. Γνωρίζουν και καταγράφουν, για παράδειγμα, ότι ένα τηλέφωνο με αυτόν τον συνδυασμό IMEI/IMSI συνδέθηκε σε ένα σύνολο κεραιών κινητής τηλεφωνίας και πόσο ισχυρό ήταν το σήμα σε κάθε μία από αυτές τις κεραίες, επιτρέποντας τον εύκολο τριγωνισμό/γεωεντοπισμό του σήματος. Γνωρίζουν επίσης ποια άλλα τηλέφωνα (το πραγματικό σας τηλέφωνο για παράδειγμα) συνδέθηκαν την ίδια στιγμή στις ίδιες κεραίες με το ίδιο σήμα, γεγονός που θα καθιστούσε δυνατό να γνωρίζουν με ακρίβεια ότι αυτό το "τηλέφωνο καυστήρα" ήταν πάντα συνδεδεμένο στο ίδιο μέρος/την ίδια στιγμή από αυτό το άλλο "γνωστό τηλέφωνο" που εμφανίζεται κάθε φορά που χρησιμοποιείται το τηλέφωνο καυστήρα. Αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν από διάφορους τρίτους για να σας εντοπίσουν/παρακολουθήσουν με μεγάλη ακρίβεια.
• Ο κατασκευαστής του τηλεφώνου μπορεί να ανιχνεύσει την πώληση του τηλεφώνου χρησιμοποιώντας το IMEI, εάν το εν λόγω τηλέφωνο αγοράστηκε με μη ανώνυμο τρόπο. Πράγματι, θα έχουν αρχεία καταγραφής κάθε πώλησης τηλεφώνου (συμπεριλαμβανομένου του σειριακού αριθμού και του IMEI), σε ποιο κατάστημα/πρόσωπο πωλήθηκε. Και αν χρησιμοποιείτε ένα τηλέφωνο που αγοράσατε μέσω διαδικτύου (ή από κάποιον που σας γνωρίζει). Μπορούν να το εντοπίσουν σε εσάς χρησιμοποιώντας αυτές τις πληροφορίες. Ακόμα και αν δεν σας βρουν σε κλειστό κύκλωμα παρακολούθησης και αγοράσατε το τηλέφωνο με μετρητά, μπορούν να βρουν ποιο άλλο τηλέφωνο (το πραγματικό σας στην τσέπη σας) ήταν εκεί (στο συγκεκριμένο κατάστημα) εκείνη την ώρα/ημερομηνία, χρησιμοποιώντας τα αρχεία καταγραφής της κεραίας.
• Το IMSI και μόνο μπορεί να χρησιμοποιηθεί για να σας βρουν, επίσης, επειδή οι περισσότερες χώρες απαιτούν πλέον από τους πελάτες να παρέχουν ταυτότητα όταν αγοράζουν μια κάρτα SIM (συνδρομητική ή προπληρωμένη). Το IMSI συνδέεται στη συνέχεια με την ταυτότητα του αγοραστή της κάρτας. Στις χώρες όπου η SIM μπορεί ακόμη να αγοραστεί με μετρητά (όπως το Ηνωμένο Βασίλειο), εξακολουθούν να γνωρίζουν πού (σε ποιο κατάστημα) αγοράστηκε και πότε. Αυτές οι πληροφορίες μπορούν στη συνέχεια να χρησιμοποιηθούν για την ανάκτηση πληροφοριών από το ίδιο το κατάστημα (όπως υλικό από κάμερες κλειστού κυκλώματος παρακολούθησης, όπως στην περίπτωση του IMEI). Ή και πάλι τα αρχεία καταγραφής κεραιών μπορούν επίσης να χρησιμοποιηθούν για να καταλάβουν ποιο άλλο τηλέφωνο βρισκόταν εκεί τη στιγμή της πώλησης.
• Οι κατασκευαστές λειτουργικών συστημάτων smartphone (Google/Apple για Android/IOs) διατηρούν επίσης αρχεία καταγραφής των αναγνωριστικών IMEI/IMSI που συνδέονται με λογαριασμούς Google/Apple και ποιος χρήστης τους χρησιμοποιούσε. Μπορούν επίσης να εντοπίσουν το ιστορικό του τηλεφώνου και με ποιους λογαριασμούς ήταν συνδεδεμένο στο παρελθόν.
• Οι κυβερνητικές υπηρεσίες σε όλο τον κόσμο που ενδιαφέρονται για τον αριθμό τηλεφώνου σας μπορούν και χρησιμοποιούν ειδικές συσκευές που ονομάζονται "IMSI catchers" όπως το Stingray ή πιο πρόσφατα το Nyxcell. Αυτές οι συσκευές μπορούν να υποδυθούν (να παραποιήσουν) μια κεραία κινητού τηλεφώνου και να αναγκάσουν ένα συγκεκριμένο IMSI (το τηλέφωνό σας) να συνδεθεί σε αυτήν για να αποκτήσει πρόσβαση στο δίκτυο κινητής τηλεφωνίας. Μόλις το κάνουν, θα μπορούν να χρησιμοποιήσουν διάφορες επιθέσεις MITM (Man-In-The-Middle Attacks) που θα τους επιτρέψουν να:
  • Να παγιδεύουν το τηλέφωνό σας (φωνητικές κλήσεις και SMS).
  • Να κατασκοπεύουν και να εξετάζουν την κυκλοφορία των δεδομένων σας.
  • Να υποδυθούν τον αριθμό τηλεφώνου σας χωρίς να ελέγχουν το τηλέφωνό σας.
  • ...

Εδώ υπάρχει επίσης ένα καλό βίντεο στο YouTube σχετικά με αυτό το θέμα: DEFCON Safe Mode - Cooper Quintin - Ανίχνευση ψεύτικων σταθμών βάσης 4G σε πραγματικό χρόνο

[Invidious]


Για τους λόγους αυτούς, είναι ζωτικής σημασίας να αποκτήσετε αποκλειστικά έναν ανώνυμο αριθμό τηλεφώνου ή/και ένα ανώνυμο τηλέφωνο καυστήρα με μια ανώνυμη προπληρωμένη κάρτα sim που δεν συνδέονται με κανέναν τρόπο (παρελθόν ή παρόν) με εσάς για τη διεξαγωγή ευαίσθητων δραστηριοτήτων (Δείτε περισσότερες πρακτικές οδηγίες στην ενότητα Αποκτήστε έναν ανώνυμο αριθμό τηλεφώνου ).


Παρόλο που υπάρχουν ορισμένοι κατασκευαστές smartphones όπως η Purism με τη σειρά Librem που ισχυρίζονται ότι έχουν κατά νου την ιδιωτική σας ζωή, εξακολουθούν να μην επιτρέπουν την τυχαιοποίηση IMEI, η οποία πιστεύω ότι είναι ένα βασικό χαρακτηριστικό κατά της παρακολούθησης που θα έπρεπε να παρέχεται από τέτοιους κατασκευαστές. Αν και αυτό το μέτρο δεν θα αποτρέψει την παρακολούθηση IMSI εντός της κάρτας SIM, θα σας επέτρεπε τουλάχιστον να διατηρείτε το ίδιο "τηλέφωνο καυστήρα" και να αλλάζετε μόνο κάρτες SIM αντί να πρέπει να αλλάζετε και τις δύο για λόγους προστασίας της ιδιωτικής ζωής.

 

[HEISENBERG]

Η διεύθυνση MAC του Wi-Fi ή του Ethernet σας.

Η διεύθυνση MAC είναι ένα μοναδικό αναγνωριστικό που συνδέεται με τη φυσική σας διασύνδεση δικτύου (ενσύρματο Ethernet ή Wi-Fi) και θα μπορούσε φυσικά να χρησιμοποιηθεί για τον εντοπισμό σας, εάν δεν είναι τυχαίο. Όπως συνέβη και στην περίπτωση του IMEI, οι κατασκευαστές υπολογιστών και καρτών δικτύου συνήθως τηρούν αρχεία καταγραφής των πωλήσεών τους (που συνήθως περιλαμβάνουν πράγματα όπως: Σειριακός αριθμός, IMEI, διευθύνσεις Mac, ...) και είναι δυνατόν και πάλι να εντοπίσουν πού και πότε πουλήθηκε ο υπολογιστής με την εν λόγω διεύθυνση MAC και σε ποιον. Ακόμα και αν τον αγοράσατε με μετρητά σε ένα σούπερ μάρκετ, το σούπερ μάρκετ μπορεί να έχει κλειστό κύκλωμα παρακολούθησης (ή ένα κλειστό κύκλωμα παρακολούθησης ακριβώς έξω από το κατάστημα) και πάλι η ώρα/ημερομηνία πώλησης μπορεί να χρησιμοποιηθεί για να βρεθεί ποιος ήταν εκεί χρησιμοποιώντας τα αρχεία καταγραφής της κεραίας του παρόχου κινητής τηλεφωνίας εκείνη τη στιγμή (IMEI/IMSI).


Οι κατασκευαστές λειτουργικών συστημάτων (Google/Microsoft/Apple) θα διατηρούν επίσης αρχεία καταγραφής των συσκευών και των διευθύνσεων MAC τους στα αρχεία καταγραφής τους για την ταυτοποίηση της συσκευής (υπηρεσίες τύπου Find my device για παράδειγμα). Η Apple μπορεί να διαπιστώσει ότι το MacBook με αυτή τη συγκεκριμένη διεύθυνση MAC ήταν συνδεδεμένο με έναν συγκεκριμένο λογαριασμό Apple στο παρελθόν. Ίσως ο δικός σας πριν αποφασίσετε να χρησιμοποιήσετε το MacBook για ευαίσθητες δραστηριότητες. Ίσως σε έναν διαφορετικό χρήστη που σας το πούλησε, αλλά θυμάται το e-mail/τον αριθμό σας από τότε που έγινε η πώληση.


Ο οικιακός σας δρομολογητής/σημείο πρόσβασης Wi-Fi διατηρεί αρχεία καταγραφής των συσκευών που έχουν εγγραφεί στο Wi-Fi, και σε αυτά μπορείτε επίσης να αποκτήσετε πρόσβαση για να μάθετε ποιος χρησιμοποιεί το Wi-Fi σας. Μερικές φορές αυτό μπορεί να γίνει εξ αποστάσεως (και σιωπηλά) από τον πάροχο υπηρεσιών διαδικτύου, ανάλογα με το αν ο εν λόγω δρομολογητής/σημείο πρόσβασης Wi-Fi "διαχειρίζεται" εξ αποστάσεως από τον πάροχο υπηρεσιών διαδικτύου (πράγμα που συμβαίνει συχνά όταν παρέχει το δρομολογητή στους πελάτες του).


Ορισμένες εμπορικές συσκευές διατηρούν αρχείο με τις διευθύνσεις MAC που περιφέρονται για διάφορους σκοπούς, όπως η κυκλοφοριακή συμφόρηση στους δρόμους.


Έτσι, είναι και πάλι σημαντικό να μην έχετε μαζί σας το τηλέφωνό σας όταν/όπου πραγματοποιείτε ευαίσθητες δραστηριότητες. Εάν χρησιμοποιείτε το δικό σας φορητό υπολογιστή, τότε είναι ζωτικής σημασίας να κρύβετε αυτή τη διεύθυνση MAC (και τη διεύθυνση Bluetooth) οπουδήποτε τη χρησιμοποιείτε και να είστε ιδιαίτερα προσεκτικοί ώστε να μην διαρρεύσει καμία πληροφορία. Ευτυχώς, πολλά πρόσφατα λειτουργικά συστήματα διαθέτουν πλέον ή επιτρέπουν την επιλογή τυχαίας επιλογής διευθύνσεων MAC (Android, IOS, Linux και Windows 10) με την αξιοσημείωτη εξαίρεση του MacOS που δεν υποστηρίζει αυτή τη λειτουργία ακόμη και στην τελευταία έκδοση Big Sur.

 

[HEISENBERG]

Η διεύθυνση MAC του Bluetooth σας.

Η διεύθυνση MAC του Bluetooth σας είναι όπως η προηγούμενη διεύθυνση MAC, με τη διαφορά ότι αφορά το Bluetooth. Και πάλι, μπορεί να χρησιμοποιηθεί για τον εντοπισμό σας, καθώς οι κατασκευαστές και οι κατασκευαστές λειτουργικών συστημάτων διατηρούν αρχεία καταγραφής τέτοιων πληροφοριών. Θα μπορούσε να συνδεθεί με έναν τόπο/ώρα/ημερομηνία πώλησης ή λογαριασμούς και στη συνέχεια θα μπορούσε να χρησιμοποιηθεί για την παρακολούθησή σας με τέτοιες πληροφορίες, τις πληροφορίες χρέωσης του καταστήματος, το CCTV ή τα αρχεία καταγραφής της κεραίας κινητής τηλεφωνίας σε συσχέτιση.


Τα λειτουργικά συστήματα διαθέτουν προστασίες για την τυχαία επιλογή αυτών των διευθύνσεων, αλλά εξακολουθούν να υπόκεινται σε ευπάθειες.


Για το λόγο αυτό, και εκτός αν τις χρειάζεστε πραγματικά, θα πρέπει απλώς να απενεργοποιήσετε εντελώς το Bluetooth στις ρυθμίσεις BIOS/UEFI αν είναι δυνατόν ή στο λειτουργικό σύστημα διαφορετικά.


Στα Windows 10, θα πρέπει να απενεργοποιήσετε και να ενεργοποιήσετε τη συσκευή Bluetooth στον ίδιο τον διαχειριστή συσκευών για να επιβάλλετε μια τυχαία αντιστοίχιση της διεύθυνσης για την επόμενη χρήση και να αποτρέψετε την παρακολούθηση.

 

[HEISENBERG]

Η CPU σας.

Όλες οι σύγχρονες CPU ενσωματώνουν πλέον κρυφές πλατφόρμες διαχείρισης, όπως η διαβόητη πλέον Intel Management Engine και ο επεξεργαστής ασφάλειας πλατφόρμας της AMD.


Αυτές οι πλατφόρμες διαχείρισης είναι ουσιαστικά μικρά λειτουργικά συστήματα που εκτελούνται απευθείας στη CPU σας, εφόσον έχουν ισχύ. Αυτά τα συστήματα έχουν πλήρη πρόσβαση στο δίκτυο του υπολογιστή σας και θα μπορούσε να έχει πρόσβαση ένας αντίπαλος για να σας αποανωνυμοποιήσει με διάφορους τρόπους (χρησιμοποιώντας άμεση πρόσβαση ή χρησιμοποιώντας κακόβουλο λογισμικό για παράδειγμα), όπως φαίνεται σε αυτό το διαφωτιστικό βίντεο: BlackHat, How to Hack a Turned-Off Computer, ή Running Unsigned Code in Intel Management Engine (Εκτέλεση μη υπογεγραμμένου κώδικα στη μηχανή διαχείρισης της Intel).

[Invidious].


Αυτά έχουν ήδη επηρεαστεί στο παρελθόν από διάφορες ευπάθειες ασφαλείας που επέτρεψαν σε κακόβουλο λογισμικό να αποκτήσει τον έλεγχο των συστημάτων-στόχων. Αυτά κατηγορούνται επίσης από πολλούς φορείς προστασίας της ιδιωτικής ζωής, συμπεριλαμβανομένης της EFF και της Libreboot, ότι αποτελούν κερκόπορτα σε οποιοδήποτε σύστημα.


Υπάρχουν κάποιοι όχι και τόσο εύκολοι τρόποι για να απενεργοποιήσετε το Intel IME σε ορισμένες CPU και θα πρέπει να το κάνετε αν μπορείτε. Για ορισμένους φορητούς υπολογιστές AMD, μπορείτε να το απενεργοποιήσετε μέσα από τις ρυθμίσεις του BIOS απενεργοποιώντας το PSP.


Σημειώστε ότι προς υπεράσπιση της AMD, μέχρι στιγμής και AFAIK, δεν έχουν βρεθεί ευπάθειες ασφαλείας για το ASP και ούτε backdoors: Βλέπε

[Invidious]. Επιπλέον, το AMD PSP δεν παρέχει δυνατότητες απομακρυσμένης διαχείρισης σε αντίθεση με το Intel IME.


Αν αισθάνεστε λίγο πιο τολμηροί, θα μπορούσατε να εγκαταστήσετε το δικό σας BIOS χρησιμοποιώντας το Libreboot ή το Coreboot, αν το laptop σας το υποστηρίζει (να γνωρίζετε ότι το Coreboot περιέχει κάποιο ιδιόκτητο κώδικα σε αντίθεση με το πιρούνι του Libreboot).


Επιπλέον, ορισμένες CPUs έχουν μη διορθώσιμα ελαττώματα (ειδικά οι CPUs της Intel) που θα μπορούσαν να αξιοποιηθούν από διάφορα κακόβουλα λογισμικά. Εδώ είναι ένας καλός τρέχων κατάλογος τέτοιων ευπαθειών που επηρεάζουν τις πρόσφατες ευρέως διαδεδομένες CPU:


https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability [Wikiless] [Archive.org]

• Αν χρησιμοποιείτε Linux μπορείτε να ελέγξετε την κατάσταση ευπάθειας της CPU σας στις επιθέσεις Spectre/Meltdown χρησιμοποιώντας το https://github.com/speed47/spectre-meltdown-checker [Archive.org] το οποίο είναι διαθέσιμο ως πακέτο για τις περισσότερες διανομές Linux, συμπεριλαμβανομένου του Whonix.
• Αν χρησιμοποιείτε Windows, μπορείτε να ελέγξετε την κατάσταση ευπάθειας της CPU σας χρησιμοποιώντας το inSpectre https://www.grc.com/inspectre.htm [Archive.org]

Ορισμένες από αυτές μπορούν να αποφευχθούν με τη χρήση ρυθμίσεων λογισμικού εικονικοποίησης που μπορούν να μετριάσουν τέτοιου είδους εκμεταλλεύσεις. Δείτε αυτόν τον οδηγό για περισσότερες πληροφορίες https://www.whonix.org/wiki/Spectre_Meltdown [Archive.org] (προειδοποίηση: αυτές μπορούν να επηρεάσουν σοβαρά την απόδοση των VM σας).


Επομένως, θα μετριάσω ορισμένα από αυτά τα ζητήματα σε αυτόν τον οδηγό, συνιστώντας τη χρήση εικονικών μηχανών σε έναν ειδικό ανώνυμο φορητό υπολογιστή για τις ευαίσθητες δραστηριότητές σας, ο οποίος θα χρησιμοποιείται μόνο από ένα ανώνυμο δημόσιο δίκτυο.

 

[HEISENBERG]

Οι υπηρεσίες τηλεμετρίας των λειτουργικών σας συστημάτων και εφαρμογών.

Είτε πρόκειται για Android, iOS, Windows, MacOS ή ακόμη και Ubuntu. Τα περισσότερα δημοφιλή Λειτουργικά Συστήματα συλλέγουν πλέον πληροφορίες τηλεμετρίας από προεπιλογή, ακόμη και αν δεν έχετε επιλέξει ποτέ ή δεν έχετε επιλέξει να μην το κάνετε εξαρχής. Ορισμένα, όπως τα Windows, δεν επιτρέπουν καν την πλήρη απενεργοποίηση της τηλεμετρίας χωρίς κάποιες τεχνικές βελτιώσεις. Αυτή η συλλογή πληροφοριών μπορεί να είναι εκτεταμένη και να περιλαμβάνει έναν εντυπωσιακό αριθμό λεπτομερειών (μεταδεδομένων και δεδομένων) σχετικά με τις συσκευές σας και τη χρήση τους.


Ακολουθούν καλές επισκοπήσεις για το τι συλλέγεται από αυτά τα 5 δημοφιλή λειτουργικά συστήματα στις τελευταίες εκδόσεις τους:

• Android/Google:
  
  • https://policies.google.com/privacy [Archive.org].
  • School of Computer Science & Statistics, Trinity College Dublin, Ireland Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive.org]
• IOS/Apple:
  
  • Περισσότερες πληροφορίες στα https://www.apple.com/legal/privacy/en-ww/ [Archive.org] και https://support.apple.com/en-us/HT202100 [Archive.org]
  • School of Computer Science & Statistics, Trinity College Dublin, Ireland Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive.org]
  • Η Apple ισχυρίζεται ότι ανωνυμοποιεί αυτά τα δεδομένα χρησιμοποιώντας τη διαφορική ιδιωτικότητα, αλλά θα πρέπει να την εμπιστευτείτε σε αυτό.
• Windows/Microsoft:
  
  • https://docs.microsoft.com/en-us/wi...indows-diagnostic-data-events-and-fields-2004 [Archive.org]
  • Πλήρης κατάλογος προαιρετικών διαγνωστικών δεδομένων: https://docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data [Archive.org]
• MacOS:
  
  • [Archive.org]
• Ubuntu:
  
  • Ubuntu παρά το γεγονός ότι είναι μια διανομή Linux συλλέγει επίσης δεδομένα τηλεμετρίας στις μέρες μας. Τα δεδομένα αυτά, ωστόσο, είναι αρκετά περιορισμένα σε σύγκριση με τα υπόλοιπα. Περισσότερες λεπτομέρειες στο https://ubuntu.com/desktop/statistics [Archive.org]

Δεν είναι μόνο τα Λειτουργικά Συστήματα που συλλέγουν υπηρεσίες τηλεμετρίας αλλά και οι ίδιες οι Εφαρμογές, όπως οι Περιηγητές, τα Mail Clients και οι Εφαρμογές Κοινωνικής Δικτύωσης που είναι εγκατεστημένες στο σύστημά σας.


Είναι σημαντικό να κατανοήσετε ότι αυτά τα δεδομένα τηλεμετρίας μπορούν να συνδεθούν με τη συσκευή σας και να βοηθήσουν στην αποανωνυμοποίησή σας και στη συνέχεια μπορούν να χρησιμοποιηθούν εναντίον σας από έναν αντίπαλο που θα αποκτήσει πρόσβαση σε αυτά τα δεδομένα.


Αυτό δεν σημαίνει για παράδειγμα ότι οι συσκευές της Apple είναι τρομερές επιλογές για καλή Ιδιωτικότητα, αλλά σίγουρα δεν είναι οι καλύτερες επιλογές για (σχετική) Ανωνυμία. Μπορεί να σας προστατεύουν από τρίτους που γνωρίζουν τι κάνετε, αλλά όχι από τους ίδιους τους εαυτούς τους. Κατά πάσα πιθανότητα, σίγουρα γνωρίζουν ποιοι είστε.


Αργότερα σε αυτόν τον οδηγό, θα χρησιμοποιήσουμε όλα τα μέσα που έχουμε στη διάθεσή μας για να απενεργοποιήσουμε και να μπλοκάρουμε όσο το δυνατόν περισσότερη τηλεμετρία για να μετριάσουμε αυτόν τον φορέα επίθεσης στα λειτουργικά συστήματα που υποστηρίζονται σε αυτόν τον οδηγό.

 

[HEISENBERG]

Οι έξυπνες συσκευές σας γενικά.

Το καταλάβατε- το smartphone σας είναι μια προηγμένη συσκευή κατασκοπείας/παρακολούθησης που:

• Καταγράφει ό,τι λέτε ανά πάσα στιγμή ("Hey Siri", "Hey Google").
• Καταγράφει την τοποθεσία σας όπου κι αν πάτε.
• Καταγράφει πάντα άλλες συσκευές γύρω σας (συσκευές Bluetooth, σημεία πρόσβασης Wi-Fi).
• Καταγράφει τις συνήθειές σας και τα δεδομένα υγείας σας (βήματα, χρόνος οθόνης, έκθεση σε ασθένειες, δεδομένα συνδεδεμένων συσκευών)
• Καταγράφει όλες τις τοποθεσίες του δικτύου σας.
• Καταγράφει όλες τις φωτογραφίες και τα βίντεό σας (και πιθανότατα το πού τραβήχτηκαν).
• Έχει πιθανότατα πρόσβαση στους περισσότερους από τους γνωστούς λογαριασμούς σας, συμπεριλαμβανομένων των μέσων κοινωνικής δικτύωσης, των λογαριασμών μηνυμάτων και των οικονομικών λογαριασμών.

Τα δεδομένα μεταδίδονται ακόμη και αν επιλέξετε να μην τα λαμβάνετε, υποβάλλονται σε επεξεργασία και αποθηκεύονται επ' αόριστον (πιθανότατα χωρίς κρυπτογράφηση) από διάφορα τρίτα μέρη.


Αλλά δεν είναι μόνο αυτό, αυτή η ενότητα δεν ονομάζεται "Smartphones" αλλά "Έξυπνες συσκευές" επειδή δεν είναι μόνο το smartphone σας που σας κατασκοπεύει. Είναι και κάθε άλλη έξυπνη συσκευή που θα μπορούσατε να έχετε.

• Το έξυπνο ρολόι σας; (Apple Watch, Android Smartwatch ...)
• Οι συσκευές και οι εφαρμογές γυμναστικής σας; (Strava, Fitbit, Garmin, Polar, ...)
• Το έξυπνο ηχείο σας; (Amazon Alexa, Google Echo, Apple Homepod ...)
• Το έξυπνο μεταφορικό σας μέσο; (Αυτοκίνητο; Σκούτερ;)
• Οι έξυπνες ετικέτες σας; (Apple AirTag, Galaxy SmartTag, Tile...)
• Το αυτοκίνητό σας; (Ναι, τα περισσότερα σύγχρονα αυτοκίνητα διαθέτουν προηγμένες λειτουργίες καταγραφής/παρακολούθησης στις μέρες μας)
• Οποιαδήποτε άλλη έξυπνη συσκευή; Υπάρχουν ακόμη και βολικές μηχανές αναζήτησης για την εύρεσή τους στο διαδίκτυο:
  
  • https://www.shodan.io/
  • https://censys.io/
  • https://www.zoomeye.org/

 

[HEISENBERG]

Εσείς οι ίδιοι.

Τα μεταδεδομένα σας, συμπεριλαμβανομένης της γεωγραφικής σας θέσης.

Τα μεταδεδομένα σας είναι όλες οι πληροφορίες σχετικά με τις δραστηριότητές σας, χωρίς το πραγματικό περιεχόμενο αυτών των δραστηριοτήτων. Για παράδειγμα, είναι σαν να γνωρίζετε ότι είχατε μια κλήση από έναν ογκολόγο πριν από την ακόλουθη διαδοχική κλήση της οικογένειας και των φίλων σας. Δεν γνωρίζετε τι ειπώθηκε κατά τη διάρκεια της συνομιλίας, αλλά μπορείτε να μαντέψετε τι ήταν μόνο από τα μεταδεδομένα.


Αυτά τα μεταδεδομένα συχνά περιλαμβάνουν επίσης την τοποθεσία σας που συλλέγεται από τα Smartphones, τα λειτουργικά συστήματα (Android/IOS), τα προγράμματα περιήγησης, τις εφαρμογές, τους ιστότοπους. Οι πιθανότητες είναι ότι υπάρχουν αρκετές εταιρείες που γνωρίζουν ακριβώς πού βρίσκεστε ανά πάσα στιγμή λόγω του smartphone σας.


Αυτά τα δεδομένα τοποθεσίας έχουν ήδη χρησιμοποιηθεί σε πολλές δικαστικές υποθέσεις ως μέρος των "ενταλμάτων γεωγραφικής περίφραξης" που επιτρέπουν στις αρχές επιβολής του νόμου να ζητούν από εταιρείες (όπως η Google/Apple) έναν κατάλογο όλων των συσκευών που βρίσκονται σε μια συγκεκριμένη τοποθεσία σε μια συγκεκριμένη στιγμή. Επιπλέον, αυτά τα δεδομένα θέσης πωλούνται από ιδιωτικές εταιρείες ακόμη και στον στρατό, ο οποίος μπορεί στη συνέχεια να τα χρησιμοποιήσει με ευκολία.


Τώρα, ας πούμε ότι χρησιμοποιείτε ένα VPN για να κρύψετε την IP σας. Η πλατφόρμα κοινωνικής δικτύωσης γνωρίζει ότι ήσασταν ενεργός σε αυτόν τον λογαριασμό στις 4 Νοεμβρίου από τις 8 π.μ. έως τη 1 μ.μ. με αυτή την IP VPN. Το VPN υποτίθεται ότι δεν κρατάει αρχεία καταγραφής και δεν μπορεί να εντοπίσει αυτή την IP VPN στην IP σας. Ο πάροχος υπηρεσιών διαδικτύου σας, ωστόσο, γνωρίζει (ή τουλάχιστον μπορεί να γνωρίζει) ότι ήσασταν συνδεδεμένοι με τον ίδιο πάροχο VPN στις 4 Νοεμβρίου από τις 7:30 π.μ. έως τις 2 μ.μ., αλλά δεν γνωρίζει τι κάνατε με αυτόν.


Το ερώτημα είναι: Υπάρχει κάποιος κάπου που θα μπορούσε ενδεχομένως να έχει και τις δύο πληροφορίες διαθέσιμες για συσχέτιση σε μια βολική βάση δεδομένων;


Έχετε ακούσει για τον Έντουαρντ Σνόουντεν; Τώρα είναι η κατάλληλη στιγμή να τον ψάξετε στο google και να διαβάσετε το βιβλίο του. Διαβάστε επίσης για τα XKEYSCORE, MUSCULAR, SORM, Tempora και PRISM.


Δείτε το "Σκοτώνουμε ανθρώπους με βάση τα μεταδεδομένα" ή αυτό το διάσημο tweet από το IDF [ Archive.org] [Nitter].

 

[HEISENBERG]

Το ψηφιακό σας δακτυλικό αποτύπωμα, το αποτύπωμα και η διαδικτυακή σας συμπεριφορά.

Αυτό είναι το σημείο όπου θα πρέπει να παρακολουθήσετε το ντοκιμαντέρ "The Social Dilemma" στο Netflix, καθώς καλύπτουν αυτό το θέμα πολύ καλύτερα από οποιονδήποτε άλλον IMHO.


Αυτό περιλαμβάνει είναι ο τρόπος που γράφετε (στυλομετρία), ο τρόπος που συμπεριφέρεστε. Ο τρόπος με τον οποίο κάνετε κλικ. Ο τρόπος με τον οποίο περιηγείστε. Οι γραμματοσειρές που χρησιμοποιείτε στο πρόγραμμα περιήγησής σας. Το δακτυλικό αποτύπωμα χρησιμοποιείται για να μαντέψουμε ποιος είναι κάποιος από τον τρόπο που συμπεριφέρεται ο χρήστης. Μπορεί να χρησιμοποιείτε συγκεκριμένες σχολαστικές λέξεις ή να κάνετε συγκεκριμένα ορθογραφικά λάθη που θα μπορούσαν να σας προδώσουν χρησιμοποιώντας μια απλή αναζήτηση στο Google για παρόμοια χαρακτηριστικά, επειδή πληκτρολογήσατε με παρόμοιο τρόπο σε κάποια ανάρτηση στο Reddit πριν από 5 χρόνια χρησιμοποιώντας έναν όχι και τόσο ανώνυμο λογαριασμό στο Reddit.


Οι πλατφόρμες κοινωνικής δικτύωσης, όπως το Facebook/Google, μπορούν να προχωρήσουν ένα βήμα παραπέρα και να καταγράψουν τη συμπεριφορά σας στο ίδιο το πρόγραμμα περιήγησης. Για παράδειγμα, μπορούν να καταγράφουν ό,τι πληκτρολογείτε, ακόμη και αν δεν το στέλνετε/αποθηκεύετε. Σκεφτείτε όταν γράφετε ένα e-mail στο Gmail. Αποθηκεύεται αυτόματα καθώς πληκτρολογείτε. Μπορούν επίσης να καταγράφουν τα κλικ και τις κινήσεις του κέρσορα.


Το μόνο που χρειάζονται για να το πετύχουν αυτό στις περισσότερες περιπτώσεις είναι η Javascript ενεργοποιημένη στον Browser σας (κάτι που συμβαίνει στους περισσότερους Browsers, συμπεριλαμβανομένου του Tor Browser από προεπιλογή).


Ενώ αυτές οι μέθοδοι χρησιμοποιούνται συνήθως για σκοπούς μάρκετινγκ και διαφήμισης, μπορούν επίσης να αποτελέσουν ένα χρήσιμο εργαλείο για την αποτύπωση των δακτυλικών αποτυπωμάτων των χρηστών. Αυτό οφείλεται στο γεγονός ότι η συμπεριφορά σας είναι πιθανότατα αρκετά μοναδική ή αρκετά μοναδική ώστε με την πάροδο του χρόνου, θα μπορούσατε να αποανωνυμοποιηθείτε.


Ακολουθούν ορισμένα παραδείγματα:

• Για παράδειγμα, ως βάση για την πιστοποίηση ταυτότητας, η ταχύτητα πληκτρολόγησης ενός χρήστη, οι πατημένες πληκτρολογήσεις, τα μοτίβα σφαλμάτων (π.χ. το τυχαίο πάτημα ενός "l" αντί για "k" σε τρεις από τις επτά συναλλαγές) και οι κινήσεις του ποντικιού καθορίζουν το μοναδικό μοτίβο συμπεριφοράς αυτού του ατόμου. Ορισμένες εμπορικές υπηρεσίες, όπως η TypingDNA(https://www.typingdna.com/ [Archive.org]), προσφέρουν ακόμη και τέτοια ανάλυση ως αντικατάσταση των πιστοποιήσεων δύο παραγόντων.
• Η τεχνολογία αυτή χρησιμοποιείται επίσης ευρέως σε υπηρεσίες CAPTCHAS για να επαληθεύει ότι είστε "άνθρωπος" και μπορεί να χρησιμοποιηθεί για την αποτύπωση δακτυλικών αποτυπωμάτων ενός χρήστη.

Οι αλγόριθμοι ανάλυσης θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν για την αντιστοίχιση αυτών των μοτίβων με άλλους χρήστες και την αντιστοίχισή σας με έναν διαφορετικό γνωστό χρήστη. Δεν είναι σαφές αν τα δεδομένα αυτά χρησιμοποιούνται ήδη ή όχι από τις κυβερνήσεις και τις υπηρεσίες επιβολής του νόμου, αλλά ενδέχεται να χρησιμοποιηθούν στο μέλλον. Και ενώ αυτά χρησιμοποιούνται τώρα κυρίως για σκοπούς διαφήμισης/marketing/captchas. Θα μπορούσαν και πιθανότατα θα χρησιμοποιηθούν για έρευνες στο βραχυπρόθεσμο ή μεσοπρόθεσμο μέλλον για την αποανωνυμοποίηση των χρηστών.


Εδώ είναι ένα διασκεδαστικό παράδειγμα που μπορείτε να δοκιμάσετε μόνοι σας για να δείτε μερικά από αυτά τα πράγματα σε δράση: https://clickclickclick.click (δεν υπάρχουν σύνδεσμοι αρχείου για αυτό, συγγνώμη). Θα δείτε ότι με την πάροδο του χρόνου γίνεται όλο και πιο ενδιαφέρον (αυτό απαιτεί ενεργοποιημένη Javascript).


Εδώ είναι επίσης ένα πρόσφατο παράδειγμα που δείχνει απλώς τι συλλέγει το Google Chrome για εσάς: https://web.archive.org/web/https://pbs.twimg.com/media/EwiUNH0UYAgLY7V?format=jpg&name=4096x4096


Εδώ υπάρχουν μερικές άλλες πηγές σχετικά με το θέμα, αν δεν μπορείτε να δείτε αυτό το ντοκιμαντέρ:

• 2017, Behavior Analysis in Social Networks, https://link.springer.com/10.1007/978-1-4614-7163-9_110198-1 [Archive.org]
• 2017, Social Networks and Positive and Negative Affect https://www.sciencedirect.com/scien...c077d46&pid=1-s2.0-S1877042811013747-main.pdf [Archive.org]
• 2015, Using Social Networks Data for Behavior and Sentiment Analysis https://www.researchgate.net/public...orks_Data_for_Behavior_and_Sentiment_Analysis [ Archive.org]
• 2016, A Survey on User Behavior Analysis in Social Networks https://www.academia.edu/30936118/A_Survey_on_User_Behaviour_Analysis_in_Social_Networks [Archive.org]
• 2019, Influence and Behavior Analysis in Social Networks and Social Media https://sci-hub.do/10.1007/978-3-030-02592-2 [Archive.org]

Έτσι, πώς μπορείτε να μετριάσετε αυτό το γεγονός;

• Αυτός ο οδηγός θα παρέχει ορισμένα τεχνικά μέτρα μετριασμού με τη χρήση εργαλείων ανθεκτικών στα δακτυλικά αποτυπώματα, αλλά αυτά μπορεί να μην είναι επαρκή.
• Θα πρέπει να εφαρμόσετε την κοινή λογική και να προσπαθήσετε να εντοπίσετε τα δικά σας μοτίβα στη συμπεριφορά σας και να συμπεριφερθείτε διαφορετικά όταν χρησιμοποιείτε ανώνυμες ταυτότητες. Αυτό περιλαμβάνει:
  
  • Τον τρόπο που πληκτρολογείτε (ταχύτητα, ακρίβεια...).
  • Τις λέξεις που χρησιμοποιείτε (να είστε προσεκτικοί με τις συνήθεις εκφράσεις σας).
  • Το είδος της απάντησης που χρησιμοποιείτε (αν είστε εξ ορισμού σαρκαστικοί, προσπαθήστε να έχετε μια διαφορετική προσέγγιση με τις ταυτότητές σας).
  • Ο τρόπος που χρησιμοποιείτε το ποντίκι και το κλικ (προσπαθήστε να λύσετε τα Captchas με διαφορετικό τρόπο από τον συνηθισμένο σας τρόπο)
  • Τις συνήθειες που έχετε όταν χρησιμοποιείτε κάποιες εφαρμογές ή επισκέπτεστε κάποιους ιστότοπους (μην χρησιμοποιείτε πάντα τα ίδια μενού/κουμπιά/συνδέσμους για να φτάσετε στο περιεχόμενό σας).
  • ...

Βασικά, πρέπει να δράσετε και να υιοθετήσετε πλήρως έναν ρόλο, όπως θα έκανε ένας ηθοποιός για μια παράσταση. Πρέπει να γίνετε ένα διαφορετικό άτομο, να σκέφτεστε και να ενεργείτε όπως αυτό το άτομο. Αυτό δεν είναι ένα τεχνικό ελαφρυντικό, αλλά ένα ανθρώπινο. Μπορείτε να βασιστείτε μόνο στον εαυτό σας γι' αυτό.


Τελικά, αυτό εξαρτάται κυρίως από εσάς να ξεγελάσετε αυτούς τους αλγορίθμους υιοθετώντας νέες συνήθειες και μη αποκαλύπτοντας πραγματικές πληροφορίες όταν χρησιμοποιείτε τις ανώνυμες ταυτότητές σας.

 

[HEISENBERG]

Οι ενδείξεις σας για την πραγματική σας ζωή και το OSINT.

Πρόκειται για ενδείξεις που μπορεί να δώσετε με την πάροδο του χρόνου και οι οποίες θα μπορούσαν να υποδείξουν την πραγματική σας ταυτότητα. Μπορεί να μιλάτε με κάποιον ή να γράφετε σε κάποιον πίνακα/forum/Reddit. Σε αυτές τις αναρτήσεις, μπορεί με την πάροδο του χρόνου να διαρρεύσουν κάποιες πληροφορίες για την πραγματική σας ζωή. Αυτές μπορεί να είναι αναμνήσεις, εμπειρίες ή στοιχεία που μοιραστήκατε και τα οποία θα μπορούσαν στη συνέχεια να επιτρέψουν σε έναν αντίπαλο με κίνητρο να δημιουργήσει ένα προφίλ για να περιορίσει την αναζήτησή του.


Μια πραγματική χρήση και καλά τεκμηριωμένη περίπτωση αυτού ήταν η σύλληψη του χάκερ Jeremy Hammond, ο οποίος μοιράστηκε με την πάροδο του χρόνου διάφορες λεπτομέρειες για το παρελθόν του και αργότερα ανακαλύφθηκε.


Υπάρχουν επίσης μερικές περιπτώσεις που αφορούν το OSINT στο Bellingcat. Ρίξτε μια ματιά στην πολύ κατατοπιστική (αλλά ελαφρώς ξεπερασμένη) εργαλειοθήκη τους εδώ: https://docs.google.com/spreadsheet...NyhIDuK9jrPGwYr9DI2UncoqJQ/edit#gid=930747607 [Archive.org]


Μπορείτε επίσης να δείτε μερικές βολικές λίστες ορισμένων διαθέσιμων εργαλείων OSINT εδώ, αν θέλετε να τα δοκιμάσετε στον εαυτό σας, για παράδειγμα:

• https://github.com/jivoi/awesome-osint [Archive.org]
• https://jakecreps.com/tag/osint-tools/ [Archive.org]
• https://osintframework.com/
• https://recontool.org
• https://github.com/jivoi/awesome-osint [Archive.org]

Καθώς και αυτή η ενδιαφέρουσα λίστα αναπαραγωγής στο YouTube: https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy [Invidious]


Καθώς και αυτά τα ενδιαφέροντα podcasts:


https://www.inteltechniques.com/podcast.html


Δεν πρέπει ποτέ να μοιράζεστε πραγματικές προσωπικές εμπειρίες/λεπτομέρειες χρησιμοποιώντας τις ανώνυμες ταυτότητές σας, οι οποίες θα μπορούσαν αργότερα να οδηγήσουν στην εύρεση της πραγματικής σας ταυτότητας.

 

[HEISENBERG]

Το πρόσωπό σας, η φωνή σας, τα βιομετρικά στοιχεία και οι εικόνες σας.

"Η κόλαση είναι οι άλλοι άνθρωποι", ακόμη και αν αποφύγετε κάθε μέθοδο που αναφέρεται παραπάνω, δεν έχετε ξεφύγει ακόμη χάρη στην ευρεία χρήση της προηγμένης αναγνώρισης προσώπου από όλους.


Εταιρείες όπως το Facebook χρησιμοποιούν εδώ και χρόνια την προηγμένη αναγνώριση προσώπου και χρησιμοποιούν άλλα μέσα (δορυφορικές εικόνες) για να δημιουργήσουν χάρτες "ανθρώπων" σε όλο τον κόσμο. Αυτή η εξέλιξη συνεχίζεται εδώ και χρόνια σε σημείο που μπορούμε πλέον να πούμε ότι "χάσαμε τον έλεγχο των προσώπων μας".


Αν περπατάτε σε ένα τουριστικό μέρος, το πιθανότερο είναι ότι θα εμφανιστείτε στη selfie κάποιου μέσα σε λίγα λεπτά χωρίς να το γνωρίζετε. Αυτό το άτομο θα προχωρήσει στη συνέχεια στο ανέβασμα αυτής της selfie σε διάφορες πλατφόρμες (Twitter, Google Photos, Instagram, Facebook, Snapchat ...). Οι εν λόγω πλατφόρμες θα εφαρμόσουν στη συνέχεια αλγόριθμους αναγνώρισης προσώπου σε αυτές τις φωτογραφίες με το πρόσχημα ότι θα επιτρέψουν την καλύτερη/ευκολότερη επισήμανση ή την καλύτερη οργάνωση της βιβλιοθήκης φωτογραφιών σας. Επιπλέον, η ίδια φωτογραφία θα παρέχει ακριβή χρονοσφραγίδα και στις περισσότερες περιπτώσεις γεωγραφικό προσδιορισμό του τόπου λήψης της. Ακόμα και αν το άτομο δεν παρέχει χρονοσφραγίδα και γεωγραφικό εντοπισμό, μπορεί και πάλι να μαντέψει με άλλα μέσα.


Ακολουθούν μερικοί πόροι για να το δοκιμάσετε και μόνοι σας:

• Bellingcat, Guide To Using Reverse Image Search For Investigations: https://www.bellingcat.com/resource...sing-reverse-image-search-for-investigations/ [Archive.org]
• Bellingcat, Using the New Russian Facial Recognition Site SearchFace https://www.bellingcat.com/resource...ussian-facial-recognition-site-searchface-ru/ [ Archive.org]
• Bellingcat, Dali, Warhol, Boshirov: Προσδιορίζοντας τον χρόνο μιας υποτιθέμενης φωτογραφίας από τον ύποπτο για τον Σκριπάλ Chepiga https://www.bellingcat.com/resource...e-alleged-photograph-skripal-suspect-chepiga/ [Archive.org]
• Bellingcat, Advanced Guide on Verifying Video Content https://www.bellingcat.com/resources/how-tos/2017/06/30/advanced-guide-verifying-video-content/ [Archive.org]
• Bellingcat, Using the Sun and the Shadows for Geolocation https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ [Archive.org]
• Bellingcat, Navalny Poison Squad Implicated in Murders of Three Russian Activists https://www.bellingcat.com/news/uk-...icated-in-murders-of-three-russian-activists/ [Archive.org]
• Bellingcat, Berlin Assassination: New Evidence on Suspected FSB Hitman Passed to German Investigators https://www.bellingcat.com/news/202...ed-fsb-hitman-passed-to-german-investigators/ [Archive.org]
• Bellingcat, Digital Research Tutorial: Reading a Saudi-Led Coalition Bombing of a Yemen Hospital (Διερεύνηση του βομβαρδισμού ενός νοσοκομείου στην Υεμένη υπό την ηγεσία της Σαουδικής Αραβίας)
  [Invidious]
• Bellingcat, Digital Research Tutorial: Digital Research Tutorial: Bellingbell: Using Facial Recognition in Investigations: Using Facial Recognition in Investigations
  [Invidious]
• Bellingcat, Digital Research Tutorial: Βενεζουέλας στην Ευρώπη: Γεωεντοπισμός (δήθεν) διεφθαρμένων αξιωματούχων της Βενεζουέλας στην Ευρώπη
  [Invidious]

Ακόμη και αν δεν κοιτάτε την κάμερα, μπορούν να καταλάβουν ποιος είστε, να διακρίνουν τα συναισθήματά σας, να αναλύσουν το βάδισμά σας και πιθανώς να μαντέψουν την πολιτική σας τοποθέτηση.

Αυτές οι πλατφόρμες (Google/Facebook) γνωρίζουν ήδη ποιος είστε για μερικούς λόγους:

• Επειδή έχετε ή είχατε ένα προφίλ σε αυτές και αναγνωρίσατε τον εαυτό σας.
• Ακόμα και αν δεν δημιουργήσατε ποτέ προφίλ σε αυτές τις πλατφόρμες, εξακολουθείτε να έχετε προφίλ χωρίς καν να το γνωρίζετε.
• Επειδή άλλοι άνθρωποι σας έχουν επισημάνει ή σας έχουν αναγνωρίσει στις φωτογραφίες των διακοπών/πάρτι τους.
• Επειδή άλλοι άνθρωποι έχουν βάλει μια φωτογραφία σας στη λίστα επαφών τους, την οποία στη συνέχεια μοιράστηκαν μαζί τους.

Εδώ υπάρχει επίσης ένα διορατικό demo του Microsoft Azure που μπορείτε να δοκιμάσετε μόνοι σας στη διεύθυνση https://azure.microsoft.com/en-us/services/cognitive-services/face/#demo, όπου μπορείτε να ανιχνεύσετε συναισθήματα και να συγκρίνετε πρόσωπα από διαφορετικές φωτογραφίες.


Οι κυβερνήσεις γνωρίζουν ήδη ποιοι είστε, επειδή έχουν τις φωτογραφίες της ταυτότητάς σας/του διαβατηρίου/της άδειας οδήγησης και συχνά έχουν προσθέσει βιομετρικά στοιχεία (δακτυλικά αποτυπώματα) στη βάση δεδομένων τους. Οι ίδιες κυβερνήσεις ενσωματώνουν αυτές τις τεχνολογίες (που συχνά παρέχονται από ιδιωτικές εταιρείες όπως η ισραηλινή AnyVision, η Clearview AI ή η NEC) στα δίκτυα CCTV τους για να αναζητούν "πρόσωπα ενδιαφέροντος". Και ορισμένα κράτη που παρακολουθούνται σε μεγάλο βαθμό, όπως η Κίνα, έχουν εφαρμόσει ευρεία χρήση της αναγνώρισης προσώπου για διάφορους σκοπούς, συμπεριλαμβανομένου ενδεχομένως του εντοπισμού εθνοτικών μειονοτήτων. Ένα απλό σφάλμα αναγνώρισης προσώπου από κάποιον αλγόριθμο μπορεί να καταστρέψει τη ζωή σας.


Ακολουθούν ορισμένοι πόροι που περιγράφουν λεπτομερώς ορισμένες τεχνικές που χρησιμοποιούνται σήμερα από την επιβολή του νόμου:

• Βίντεο του CCC που εξηγεί τις σημερινές δυνατότητες επιτήρησης των υπηρεσιών επιβολής του νόμου: https://media.ccc.de/v/rc3-11406-spot_the_surveillance#t=761 [Archive.org]
• EFF SLS: https://www.eff.org/sls [Archive.org]

Η Apple κάνει το FaceID mainstream και προωθεί τη χρήση του για να σας συνδέει σε διάφορες υπηρεσίες, συμπεριλαμβανομένων των τραπεζικών συστημάτων.


Το ίδιο ισχύει και για τον έλεγχο ταυτότητας δακτυλικών αποτυπωμάτων που επικρατεί από πολλούς κατασκευαστές smartphones για να πιστοποιήσετε τον εαυτό σας. Μια απλή εικόνα στην οποία εμφανίζονται τα δάχτυλά σας μπορεί να χρησιμοποιηθεί για να σας απενοχοποιήσει.


Το ίδιο ισχύει και για τη φωνή σας, η οποία μπορεί να αναλυθεί για διάφορους σκοπούς, όπως φαίνεται στην πρόσφατη πατέντα του Spotify.


Μπορούμε με ασφάλεια να φανταστούμε ένα κοντινό μέλλον όπου δεν θα μπορείτε να δημιουργήσετε λογαριασμούς ή να συνδεθείτε οπουδήποτε χωρίς να παρέχετε μοναδικά βιομετρικά στοιχεία (μια καλή στιγμή για να ξαναδείτε τα Gattaca, Person of Interest και Minority Report). Και μπορείτε να φανταστείτε με ασφάλεια πόσο χρήσιμες θα μπορούσαν να είναι αυτές οι μεγάλες βάσεις βιομετρικών δεδομένων για κάποιους ενδιαφερόμενους τρίτους.
Επιπλέον, όλες αυτές οι πληροφορίες μπορούν επίσης να χρησιμοποιηθούν εναντίον σας (αν έχετε ήδη αποανωνυμοποιηθεί) χρησιμοποιώντας deepfake με τη δημιουργία ψευδών πληροφοριών (εικόνες, βίντεο, ηχογραφήσεις φωνής...) και έχουν ήδη χρησιμοποιηθεί για τέτοιους σκοπούς. Υπάρχουν ακόμη και εμπορικές υπηρεσίες για αυτό το σκοπό άμεσα διαθέσιμες, όπως οι https://www.respeecher.com/ [Archive.org] και https://www.descript.com/overdub [Archive.org].


Δείτε αυτό το demo:

[Invidious]


Προς το παρόν, υπάρχουν μερικά βήματα που μπορείτε να χρησιμοποιήσετε για να μετριάσετε (και μόνο να μετριάσετε) την αναγνώριση προσώπου όταν διεξάγετε ευαίσθητες δραστηριότητες όπου μπορεί να υπάρχουν κάμερες κλειστού κυκλώματος:

• Φορέστε μια μάσκα προσώπου, καθώς έχει αποδειχθεί ότι μπορεί να νικήσει ορισμένες τεχνολογίες αναγνώρισης προσώπου, αλλά όχι όλες.
• Φορέστε καπέλο ή καπέλο του μπέιζμπολ για να μετριάσετε την αναγνώριση από τις CCTV υψηλής γωνίας (που τραβούν από πάνω) από την καταγραφή του προσώπου σας. Να θυμάστε ότι αυτό δεν θα βοηθήσει ενάντια στις κάμερες που είναι στραμμένες προς τα εμπρός.
• Φορέστε γυαλιά ηλίου εκτός από τη μάσκα προσώπου και το καπέλο του μπέιζμπολ για να μετριάσετε την αναγνώριση από τα χαρακτηριστικά των ματιών σας.
• Εξετάστε το ενδεχόμενο να φοράτε ειδικά γυαλιά ηλίου (ακριβά, δυστυχώς) που ονομάζονται " Reflectacles" https://www.reflectacles.com/ [Archive.org]. Υπήρξε μια μικρή μελέτη που έδειξε την αποτελεσματικότητά τους έναντι της αναγνώρισης προσώπου της IBM και της Amazon.

(Σημειώστε ότι αν σκοπεύετε να τα χρησιμοποιήσετε εκεί όπου έχουν εγκατασταθεί προηγμένα συστήματα αναγνώρισης προσώπου, τα μέτρα αυτά θα μπορούσαν επίσης να σας επισημάνουν από μόνα τους ως ύποπτους και να προκαλέσουν έναν ανθρώπινο έλεγχο).