Οδηγός διαδικτυακής ανωνυμίας (από https://anonymousplanet.org/)

Η χρήση γίνεται με δική σας ευθύνη. Παρακαλείστε να μην θεωρήσετε αυτόν τον οδηγό ως την οριστική αλήθεια για τα πάντα, διότι δεν είναι.

Spoiler: Πίνακας περιεχομένων

• Εισαγωγή:
• Κατανόηση κάποιων βασικών στοιχείων για το πώς κάποιες πληροφορίες μπορούν να οδηγήσουν πίσω σε εσάς και πώς να μετριάσετε κάποιες:
  • Το δίκτυό σας:
    • Η διεύθυνση IP σας:
    • Τα αιτήματα DNS και IP σας:
    • Οι συσκευές σας με δυνατότητα RFID:
    • Οι συσκευές Wi-Fi και Bluetooth γύρω σας:
    • Σημεία πρόσβασης Wi-Fi:
    • Tor/VPN: Η ανώνυμη κυκλοφορία σας:
    • Ορισμένες συσκευές μπορούν να εντοπιστούν ακόμη και όταν είναι εκτός σύνδεσης:
  • Τα αναγνωριστικά υλικού σας:
    • IMEI και IMSI (και κατ' επέκταση τον αριθμό του τηλεφώνου σας):
    • Η διεύθυνση MAC του Wi-Fi ή του Ethernet σας:
    • Η διεύθυνση MAC του Bluetooth σας:
  • Η CPU σας:
  • Τα λειτουργικά σας συστήματα και οι υπηρεσίες τηλεμετρίας των εφαρμογών σας:
  • Οι έξυπνες συσκευές σας γενικά:
  • Ο εαυτός σας: Οι έξυπνες συσκευές σας: Ο εαυτός σας:
    • Τα μεταδεδομένα σας, συμπεριλαμβανομένης της γεωγραφικής σας θέσης:
    • Το ψηφιακό σας αποτύπωμα, το αποτύπωμα και η διαδικτυακή σας συμπεριφορά:
    • Οι ενδείξεις σας για την πραγματική σας ζωή και το OSINT:
    • Το πρόσωπό σας, η φωνή σας, τα βιομετρικά σας στοιχεία και οι φωτογραφίες σας:
    • Phishing και κοινωνική μηχανική:
  • κακόβουλο λογισμικό, εκμεταλλεύσεις και ιοί:
    • Κακόβουλο λογισμικό στα αρχεία/έγγραφα/ηλεκτρονικά σας μηνύματα:
    • Κακόβουλο λογισμικό και εκμεταλλεύσεις στις εφαρμογές και τις υπηρεσίες σας:
    • Κακόβουλες συσκευές USB:
    • Κακόβουλο λογισμικό και κερκόπορτες στο υλικολογισμικό και το λειτουργικό σας σύστημα:
  • Τα αρχεία, τα έγγραφα, οι εικόνες και τα βίντεό σας:
    • Τα έγγραφα, τα έγγραφα και τα αρχεία σας: Ιδιότητες και μεταδεδομένα:
    • Υδατοσήμανση:
    • Εικονογραφημένες ή θολωμένες πληροφορίες:
  • Οι συναλλαγές σας σε κρυπτογραφημένα νομίσματα:
  • Τα αντίγραφα ασφαλείας/υπηρεσίες συγχρονισμού σας στο σύννεφο:
  • Αποτυπώματα του προγράμματος περιήγησης και της συσκευής σας:
  • Τοπικές διαρροές δεδομένων και εγκληματολογικά στοιχεία:
  • Κρυπτογράφηση: Κακή κρυπτογράφηση:
  • Δεν υπάρχει καταγραφή, αλλά η καταγραφή γίνεται ούτως ή άλλως με πολιτικές:
  • Ορισμένες προηγμένες στοχευμένες τεχνικές:
  • Μερικοί πρόσθετοι πόροι:
  • Σημειώσεις:
• Γενικές προετοιμασίες:
  • Προετοιμασίες: Διαλέγοντας τη διαδρομή σας:
    • Χρονικοί περιορισμοί:
    • Περιορισμοί στον προϋπολογισμό/υλικά:
    • Δεξιότητες:
    • Αντίπαλοι (απειλές):
  • Βήματα για όλες τις διαδρομές:
    • Βρείτε έναν ανώνυμο αριθμό τηλεφώνου:
    • Αποκτήστε ένα κλειδί USB:
    • Βρείτε μερικά ασφαλή μέρη με αξιοπρεπές δημόσιο Wi-Fi:
  • Η διαδρομή TAILS:
    • Whonix μέσα στο TAILS:
  • Βήματα για όλες τις άλλες διαδρομές:
    • Αποκτήστε έναν ειδικό φορητό υπολογιστή για τις ευαίσθητες δραστηριότητές σας:
    • Ορισμένες συστάσεις για φορητούς υπολογιστές:
    • Bios/UEFI/Firmware Ρυθμίσεις του φορητού σας υπολογιστή:
    • Φυσική προστασία του φορητού σας υπολογιστή:
  • Η διαδρομή Whonix:
    • Επιλογή του λειτουργικού συστήματος υποδοχής (το λειτουργικό σύστημα που είναι εγκατεστημένο στο φορητό σας υπολογιστή):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows:
    • Virtualbox στο Host OS σας:
    • Επιλέξτε τη μέθοδο συνδεσιμότητάς σας:
    • Πάρτε ένα ανώνυμο VPN/Proxy:
    • Whonix:
    • Tor μέσω VPN:
    • Whonix: Εικονικές μηχανές:
    • Εικονική μηχανή: Επιλέξτε τον φιλοξενούμενο σταθμό εργασίας σας:
    • Εικονική μηχανή Linux (Whonix ή Linux):
    • Εικονική μηχανή: Windows 10:
    • Εικονική μηχανή: Android:
    • Εικονική μηχανή: MacOS:
    • KeepassXC:
    • (μετρητά/Μονέρο που πληρώθηκε): εγκατάσταση πελάτη VPN:
    • (Προαιρετικά) επιτρέποντας μόνο στα VMs να έχουν πρόσβαση στο διαδίκτυο, ενώ αποκόπτει το Host OS για να αποτρέψει οποιαδήποτε διαρροή:
    • Τελευταίο βήμα: Το τελευταίο βήμα είναι η αποτροπή της χρήσης του δικτύου από το δίκτυο:
  • Η διαδρομή Qubes:
    • Επιλέξτε τη μέθοδο συνδεσιμότητάς σας:
    • Αποκτήστε ένα ανώνυμο VPN/Proxy:
    • Εγκατάσταση:
    • Συμπεριφορά κλεισίματος του καπακιού:
    • Συνδεθείτε σε δημόσιο Wi-Fi:
    • Qubes OS: Ενημέρωση του λειτουργικού συστήματος Qubes:
    • Qubes OS: Σκλήρυνση του Qubes OS:
    • ProxyVM: Ρύθμιση του VPN ProxyVM:
    • Ρύθμιση ασφαλούς προγράμματος περιήγησης εντός του Qube OS (προαιρετικό αλλά συνιστάται):
    • Εγκατάσταση ενός Android VM:
    • KeePassXC:
• Δημιουργία των ανώνυμων διαδικτυακών σας ταυτοτήτων:
  • Κατανόηση των μεθόδων που χρησιμοποιούνται για την αποτροπή της ανωνυμίας και την επαλήθευση της ταυτότητας:
    • Captchas:
    • Επαλήθευση μέσω τηλεφώνου:
    • Επαλήθευση μέσω ηλεκτρονικού ταχυδρομείου:
    • Έλεγχος στοιχείων χρήστη:
    • Επαλήθευση της ταυτότητας:
    • Φίλτρα IP:
    • Φίλτρα φίλτρων: Δακτυλικό αποτύπωμα προγράμματος περιήγησης και συσκευής:
    • Ανθρώπινη αλληλεπίδραση:
    • Μετριασμός χρηστών:
    • Ανάλυση συμπεριφοράς:
    • Οικονομικές συναλλαγές:
    • Είσοδος με κάποια πλατφόρμα:
    • Ζωντανή αναγνώριση προσώπου και βιομετρικά στοιχεία (και πάλι):
    • Χειροκίνητες αναθεωρήσεις:
  • Διαδικτυακή σύνδεση:
    • Δημιουργία νέων ταυτοτήτων:
    • Το σύστημα πραγματικών ονομάτων:
    • Σχετικά με τις επί πληρωμή υπηρεσίες:
    • Ανασκόπηση: Σχετικά με τις πληρωμές για πληρωμές: Επισκόπηση:
    • Πώς να μοιράζεστε αρχεία ή να συνομιλείτε ανώνυμα:
    • Αποσύνδεση εγγράφων/εικόνων/βίντεο/ήχου με ασφάλεια:
    • Κοινοποίηση ευαίσθητων πληροφοριών σε διάφορους γνωστούς οργανισμούς:
    • Εργασίες συντήρησης:
• Δημιουργία αντιγράφων ασφαλείας της εργασίας σας με ασφάλεια:
  • Αντίγραφα ασφαλείας εκτός σύνδεσης:
    • Αντίγραφα ασφαλείας επιλεγμένων αρχείων:
    • Αντίγραφα ασφαλείας: Πλήρη αντίγραφα ασφαλείας δίσκου/συστήματος:
  • Αντίγραφα ασφαλείας σε απευθείας σύνδεση:
    • Αρχεία:
    • Πληροφορίες:
  • Συγχρονισμός των αρχείων σας μεταξύ συσκευών: Online:
• Συστήματα: Καλύπτοντας τα ίχνη σας:
  • SSD: Κατανόηση της σχέσης HDD vs SSD:
    • Wear-Leveling.
    • Λειτουργίες περικοπής:
    • Συλλογή σκουπιδιών:
    • Συμπέρασμα:
  • Πώς να σβήσετε με ασφάλεια ολόκληρο το Laptop/τους δίσκους σας αν θέλετε να διαγράψετε τα πάντα:
    • Linux (όλες οι εκδόσεις, συμπεριλαμβανομένου του Qubes OS):
    • Windows:
    • Windows: MacOS:
  • Πώς να διαγράψετε με ασφάλεια συγκεκριμένα αρχεία/φακέλους/δεδομένα από τους δίσκους HDD/SSD και Thumb drives:
    • Windows:
    • Linux (εκτός Qubes OS): Linux (μη Qubes OS):
    • Linux (Qubes OS): Linux (χωρίς Qubes OS):
    • MacOS:
  • Ορισμένα πρόσθετα μέτρα κατά της εγκληματολογικής έρευνας:
    • Αφαίρεση μεταδεδομένων από αρχεία/έγγραφα/εικόνες:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (μη Qubes OS): Linux (μη Qubes OS): Linux (μη Qubes OS):
    • Windows:
  • (Qubes): Αφαίρεση ορισμένων ιχνών της ταυτότητάς σας στις μηχανές αναζήτησης και σε διάφορες πλατφόρμες:
    • Google:
    • Google: Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Βικιπαίδεια:
    • σήμερα:
    • Internet Archive:
• Internet Archive: Μερικά παλιά κόλπα χαμηλής τεχνολογίας:
  • Κρυφές επικοινωνίες σε κοινή θέα:
  • Πώς να εντοπίσετε αν κάποιος έχει ψάξει τα πράγματά σας:
• Μερικές τελευταίες σκέψεις OPSEC:
• Αν νομίζετε ότι καήκατε:
  • Αν έχετε λίγο χρόνο:
  • Αν δεν έχετε χρόνο:
• Μια μικρή τελική εκδοτική σημείωση

 

[HEISENBERG]

Phishing και κοινωνική μηχανική.

Το phishing είναι ένας τύπος επίθεσης κοινωνικής μηχανικής όπου ένας αντίπαλος μπορεί να προσπαθήσει να αποσπάσει πληροφορίες από εσάς προσποιούμενος ή υποδυόμενος κάτι/κάποιον άλλο.


Μια τυπική περίπτωση είναι ένας αντίπαλος που χρησιμοποιεί μια επίθεση man-in-the-middle ή ένα ψεύτικο μήνυμα ηλεκτρονικού ταχυδρομείου/κλήση για να ζητήσει τα διαπιστευτήριά σας για μια υπηρεσία. Αυτό θα μπορούσε να γίνει για παράδειγμα μέσω ηλεκτρονικού ταχυδρομείου ή μέσω υποκατάστασης χρηματοπιστωτικών υπηρεσιών.


Τέτοιες επιθέσεις μπορούν επίσης να χρησιμοποιηθούν για την αποανωνυμοποίηση κάποιου, εξαπατώντας τον να κατεβάσει κακόβουλο λογισμικό ή αποκαλύπτοντας προσωπικές πληροφορίες με την πάροδο του χρόνου.


Αυτές έχουν χρησιμοποιηθεί αμέτρητες φορές από τις πρώτες μέρες του διαδικτύου και η συνηθισμένη από αυτές ονομάζεται "απάτη 419" ( βλ. https://en.wikipedia.org/wiki/Advance-fee_scam [Wikiless] [Archive.org]).


Εδώ είναι ένα καλό βίντεο αν θέλετε να μάθετε λίγα περισσότερα για τους τύπους phishing: Μαύρο καπέλο, ιχθυολογία: Phishing ως επιστήμη

[Invidious].

 

[HEISENBERG]

Κακόβουλο λογισμικό, εκμεταλλεύσεις και ιοί.

Κακόβουλο λογισμικό στα αρχεία/έγγραφα/ηλεκτρονικά σας μηνύματα.

Χρησιμοποιώντας στεγανογραφία ή άλλες τεχνικές, είναι εύκολο να ενσωματώσετε κακόβουλο λογισμικό σε κοινές μορφές αρχείων, όπως έγγραφα του Office, εικόνες, βίντεο, έγγραφα PDF...


Αυτά μπορεί να είναι τόσο απλά όσο σύνδεσμοι παρακολούθησης HTML ή σύνθετο στοχευμένο κακόβουλο λογισμικό.


Αυτά θα μπορούσαν να είναι απλές εικόνες μεγέθους pixel κρυμμένες στα e-mail σας που θα καλούσαν έναν απομακρυσμένο διακομιστή για να προσπαθήσουν να πάρουν τη διεύθυνση IP σας.


Αυτά θα μπορούσαν να είναι η εκμετάλλευση μιας ευπάθειας σε μια ξεπερασμένη μορφή ή σε ένα ξεπερασμένο πρόγραμμα ανάγνωσης. Τέτοιες εκμεταλλεύσεις θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν για να θέσουν σε κίνδυνο το σύστημά σας.


Δείτε αυτά τα καλά βίντεο για περισσότερες εξηγήσεις επί του θέματος:

• Τι είναι μια μορφή αρχείου;
  [Invidious]
• Ange Albertini: Albertini: Funky File Formats:
  [Invidious]

Θα πρέπει πάντα να είστε ιδιαίτερα προσεκτικοί. Για τον μετριασμό αυτών των επιθέσεων, αυτός ο οδηγός θα συστήσει αργότερα τη χρήση εικονικοποίησης (βλ. Παράρτημα W: Εικονικοποίηση) για τον μετριασμό της διαρροής οποιασδήποτε πληροφορίας ακόμη και σε περίπτωση ανοίγματος ενός τέτοιου κακόβουλου αρχείου.


Αν θέλετε να μάθετε πώς να προσπαθήσετε να ανιχνεύσετε τέτοιο κακόβουλο λογισμικό, δείτε το Παράρτημα T: Έλεγχος αρχείων για κακόβουλο λογισμικό

 

[HEISENBERG]

Κακόβουλο λογισμικό και exploits στις εφαρμογές και τις υπηρεσίες σας.

Έτσι, χρησιμοποιείτε το Tor Browser ή το Brave Browser μέσω του Tor. Θα μπορούσατε να τα χρησιμοποιείτε αυτά μέσω ενός VPN για πρόσθετη ασφάλεια. Αλλά θα πρέπει να έχετε υπόψη σας ότι υπάρχουν exploits (παραβιάσεις) που θα μπορούσαν να είναι γνωστά σε έναν αντίπαλο (αλλά άγνωστα στον πάροχο εφαρμογών/φυλλομετρητών). Τέτοια exploits θα μπορούσαν να χρησιμοποιηθούν για να θέσουν σε κίνδυνο το σύστημά σας και να αποκαλύψουν λεπτομέρειες για την αποανωνυμοποίησή σας, όπως η διεύθυνση IP σας ή άλλες λεπτομέρειες.


Μια πραγματική περίπτωση χρήσης αυτής της τεχνικής ήταν η υπόθεση Freedom Hosting το 2013, όπου το FBI εισήγαγε κακόβουλο λογισμικό χρησιμοποιώντας ένα exploit του προγράμματος περιήγησης Firefox σε έναν ιστότοπο Tor. Αυτό το exploit τους επέτρεψε να αποκαλύψουν λεπτομέρειες ορισμένων χρηστών. Πιο πρόσφατα, υπήρξε το αξιοσημείωτο hack της SolarWinds που παραβίασε αρκετά κυβερνητικά ιδρύματα των ΗΠΑ εισάγοντας κακόβουλο λογισμικό σε έναν επίσημο διακομιστή ενημέρωσης λογισμικού.


Σε ορισμένες χώρες, το κακόβουλο λογισμικό είναι απλώς υποχρεωτικό ή/και διανέμεται από το ίδιο το κράτος. Αυτό συμβαίνει για παράδειγμα στην Κίνα με το WeChat, το οποίο μπορεί στη συνέχεια να χρησιμοποιηθεί σε συνδυασμό με άλλα δεδομένα για κρατική επιτήρηση.


Υπάρχουν αμέτρητα παραδείγματα κακόβουλων επεκτάσεων προγραμμάτων περιήγησης, εφαρμογών για smartphone και διαφόρων εφαρμογών που έχουν διεισδύσει με κακόβουλο λογισμικό κατά τη διάρκεια των ετών.


Ακολουθούν ορισμένα βήματα για τον μετριασμό αυτού του είδους των επιθέσεων:

• Δεν πρέπει ποτέ να έχετε 100% εμπιστοσύνη στις εφαρμογές που χρησιμοποιείτε.
• Θα πρέπει πάντα να ελέγχετε ότι χρησιμοποιείτε την ενημερωμένη έκδοση τέτοιων εφαρμογών πριν από τη χρήση και ιδανικά να επικυρώνετε κάθε λήψη χρησιμοποιώντας την υπογραφή τους, εάν είναι διαθέσιμη.
• Δεν θα πρέπει να χρησιμοποιείτε τέτοιες εφαρμογές απευθείας από ένα σύστημα υλικού, αλλά αντίθετα να χρησιμοποιείτε μια Εικονική Μηχανή για διαμερισματοποίηση.

Για να αντικατοπτρίζει αυτές τις συστάσεις, αυτός ο οδηγός θα σας καθοδηγήσει επομένως αργότερα στη χρήση της Εικονικοποίησης (βλ. Παράρτημα W: Εικονικοποίηση), έτσι ώστε ακόμη και αν ο Περιηγητής/οι εφαρμογές σας παραβιαστούν από έναν επιδέξιο αντίπαλο, αυτός ο αντίπαλος θα βρεθεί εγκλωβισμένος σε ένα sandbox χωρίς να είναι σε θέση να αποκτήσει πρόσβαση σε πληροφορίες αναγνώρισης ή να παραβιάσει το σύστημά σας.

 

[HEISENBERG]

Κακόβουλες συσκευές USB.

Υπάρχουν άμεσα διαθέσιμες εμπορικές και φθηνές συσκευές "badUSB" που μπορούν να αναλάβουν την ανάπτυξη κακόβουλου λογισμικού, να καταγράψουν την πληκτρολόγησή σας, να σας εντοπίσουν γεωγραφικά, να σας ακούσουν ή να αποκτήσουν τον έλεγχο του φορητού σας υπολογιστή απλά και μόνο με τη σύνδεσή τους. Ακολουθούν μερικά παραδείγματα που μπορείτε ήδη να αγοράσετε μόνοι σας.

• Hak5, USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe [Archive.org]
• Hak5, Καλώδιο O.MG
  [Invidious]
• Keelog https://www.keelog.com/ [Archive.org]
• AliExpress https://www.aliexpress.com/i/4000710369016.html [Archive.org]

Τέτοιες συσκευές μπορούν να εμφυτευτούν οπουδήποτε (καλώδιο φόρτισης, ποντίκι, πληκτρολόγιο, κλειδί USB ...) από έναν αντίπαλο και μπορούν να χρησιμοποιηθούν για να σας παρακολουθήσουν ή να θέσουν σε κίνδυνο τον υπολογιστή ή το smartphone σας. Το πιο αξιοσημείωτο παράδειγμα τέτοιων επιθέσεων είναι ίσως το Stuxnet το 2005.


Ενώ θα μπορούσατε να επιθεωρήσετε ένα κλειδί USB με φυσικό τρόπο, να το σαρώσετε με διάφορα βοηθητικά προγράμματα, να ελέγξετε τα διάφορα εξαρτήματα για να δείτε αν είναι γνήσια, πιθανότατα δεν θα μπορέσετε ποτέ να ανακαλύψετε σύνθετο κακόβουλο λογισμικό ενσωματωμένο σε γνήσια μέρη ενός γνήσιου κλειδιού USB από έναν εξειδικευμένο αντίπαλο χωρίς προηγμένο εξοπλισμό εγκληματολογίας.


Για να το μετριάσετε αυτό, δεν πρέπει ποτέ να εμπιστεύεστε τέτοιες συσκευές και να τις συνδέετε σε ευαίσθητο εξοπλισμό. Εάν χρησιμοποιείτε συσκευή φόρτισης, θα πρέπει να εξετάσετε το ενδεχόμενο χρήσης μιας συσκευής αποκλεισμού δεδομένων USB που θα επιτρέπει μόνο τη φόρτιση αλλά όχι οποιαδήποτε μεταφορά δεδομένων. Τέτοιες συσκευές αποκλεισμού δεδομένων είναι πλέον άμεσα διαθέσιμες σε πολλά ηλεκτρονικά καταστήματα. Θα πρέπει επίσης να εξετάσετε το ενδεχόμενο να απενεργοποιήσετε εντελώς τις θύρες USB στο BIOS του υπολογιστή σας, εκτός αν τις χρειάζεστε (αν μπορείτε).

 

[HEISENBERG]

Κακόβουλο λογισμικό και κερκόπορτες στο υλικολογισμικό υλικού και στο λειτουργικό σας σύστημα.

Αυτό μπορεί να σας ακούγεται κάπως οικείο, καθώς αυτό καλύφθηκε ήδη εν μέρει προηγουμένως στην ενότητα Η CPU σας.


Το κακόβουλο λογισμικό και τα backdoors μπορούν να ενσωματωθούν απευθείας στα εξαρτήματα του υλικού σας. Μερικές φορές αυτά τα backdoors υλοποιούνται από τον ίδιο τον κατασκευαστή, όπως το IME στην περίπτωση των CPU της Intel. Και σε άλλες περιπτώσεις, τέτοια backdoors μπορεί να υλοποιηθούν από ένα τρίτο μέρος που τοποθετείται μεταξύ των παραγγελιών νέου υλικού και της παράδοσης στον πελάτη.


Τέτοιο κακόβουλο λογισμικό και backdoors μπορούν επίσης να αναπτυχθούν από έναν αντίπαλο που χρησιμοποιεί exploits λογισμικού. Πολλά από αυτά ονομάζονται rootkits στον κόσμο της τεχνολογίας. Συνήθως, αυτοί οι τύποι κακόβουλου λογισμικού είναι πιο δύσκολο να εντοπιστούν και να μετριαστούν, καθώς υλοποιούνται σε χαμηλότερο επίπεδο από το χώρο χρήστη και συχνά στο ίδιο το υλικολογισμικό των εξαρτημάτων υλικού.


Τι είναι το υλικολογισμικό; Το υλικολογισμικό είναι ένα λειτουργικό σύστημα χαμηλού επιπέδου για συσκευές. Κάθε εξάρτημα του υπολογιστή σας πιθανώς διαθέτει υλικολογισμικό, συμπεριλαμβανομένων, για παράδειγμα, των μονάδων δίσκου σας. Το σύστημα BIOS/UEFI του μηχανήματός σας, για παράδειγμα, είναι ένας τύπος υλικολογισμικού.


Αυτά μπορούν να επιτρέψουν την απομακρυσμένη διαχείριση και είναι ικανά να επιτρέψουν τον πλήρη έλεγχο σε ένα σύστημα-στόχο αθόρυβα και κρυφά.


Όπως αναφέρθηκε προηγουμένως, αυτά είναι πιο δύσκολο να εντοπιστούν από τους χρήστες, αλλά παρ' όλα αυτά υπάρχουν κάποια περιορισμένα βήματα που μπορούν να ληφθούν για τον μετριασμό κάποιων από αυτά, προστατεύοντας τη συσκευή σας από αλλοίωση και χρησιμοποιώντας κάποια μέτρα (όπως για παράδειγμα το re-flashing του bios). Δυστυχώς, αν ένα τέτοιο κακόβουλο λογισμικό ή backdoor εφαρμόζεται από τον ίδιο τον κατασκευαστή, καθίσταται εξαιρετικά δύσκολο να εντοπιστούν και να απενεργοποιηθούν αυτά.

 

[HEISENBERG]

Τα αρχεία, τα έγγραφα, οι εικόνες και τα βίντεό σας.

Ιδιότητες και μεταδεδομένα.

Αυτό μπορεί να είναι προφανές για πολλούς αλλά όχι για όλους. Τα περισσότερα αρχεία διαθέτουν μεταδεδομένα που συνδέονται με αυτά. Ένα καλό παράδειγμα είναι οι φωτογραφίες που αποθηκεύουν πληροφορίες EXIF, οι οποίες μπορεί να περιέχουν πολλές πληροφορίες, όπως συντεταγμένες GPS, ποιο μοντέλο φωτογραφικής μηχανής/τηλεφώνου την τράβηξε και πότε ακριβώς τραβήχτηκε. Ενώ αυτές οι πληροφορίες μπορεί να μην αποκαλύπτουν άμεσα ποιος είστε, μπορούν να πουν ακριβώς πού βρισκόσασταν σε μια συγκεκριμένη στιγμή, γεγονός που θα μπορούσε να επιτρέψει σε άλλους να χρησιμοποιήσουν διαφορετικές πηγές για να σας βρουν (CCTV ή άλλο υλικό που έχει ληφθεί στο ίδιο μέρος την ίδια στιγμή κατά τη διάρκεια μιας διαδήλωσης για παράδειγμα). Είναι σημαντικό να επαληθεύετε κάθε αρχείο που θα βάζατε σε αυτές τις πλατφόρμες για τυχόν ιδιότητες που μπορεί να περιέχουν πληροφορίες που θα μπορούσαν να σας οδηγήσουν σε εσάς.


Ακολουθεί ένα παράδειγμα δεδομένων EXIF που θα μπορούσαν να υπάρχουν σε μια φωτογραφία:

Παρεμπιπτόντως, αυτό ισχύει και για τα βίντεο. Ναι, και τα βίντεο έχουν γεωγραφική σήμανση και πολλοί δεν το γνωρίζουν καλά αυτό. Εδώ είναι για παράδειγμα ένα πολύ βολικό εργαλείο για τον γεωγραφικό εντοπισμό βίντεο στο YouTube: https://mattw.io/youtube-geofind/location [Archive.org]


Για το λόγο αυτό, θα πρέπει πάντα να είστε πολύ προσεκτικοί όταν ανεβάζετε αρχεία χρησιμοποιώντας τις ανώνυμες ταυτότητές σας και να ελέγχετε τα μεταδεδομένα αυτών των αρχείων.


Ακόμη και αν δημοσιεύετε ένα απλό αρχείο κειμένου, θα πρέπει πάντα να το ελέγχετε διπλά ή τριπλά για τυχόν διαρροή πληροφοριών πριν από τη δημοσίευση. Θα βρείτε κάποια καθοδήγηση σχετικά με αυτό στην ενότητα Μερικά πρόσθετα μέτρα κατά της εγκληματολογίας στο τέλος του οδηγού.

 

[HEISENBERG]

Υδατοσήμανση.

Εικόνες/Βίντεο/Ήχος.

Οι εικόνες/βίντεο συχνά περιέχουν ορατά υδατογραφήματα που υποδεικνύουν ποιος είναι ο ιδιοκτήτης/δημιουργός, αλλά υπάρχουν και αόρατα υδατογραφήματα σε διάφορα προϊόντα που αποσκοπούν στην αναγνώριση του ίδιου του θεατή.


Έτσι, αν είστε πληροφοριοδότης και σκέφτεστε να διαρρεύσετε κάποια εικόνα/ακουστικό/βίντεο αρχείο. Σκεφτείτε το καλά. Υπάρχουν πιθανότητες αυτά να περιέχουν αόρατα υδατογραφήματα μέσα τους που θα περιλαμβάνουν πληροφορίες για εσάς ως θεατή. Τέτοια υδατογραφήματα μπορούν να ενεργοποιηθούν με έναν απλό διακόπτη όπως το Zoom (βίντεο ή ήχος) ή με επεκτάσεις για δημοφιλείς εφαρμογές όπως το Adobe Premiere Pro. Αυτά μπορούν να εισαχθούν από διάφορα συστήματα διαχείρισης περιεχομένου.


Για ένα πρόσφατο παράδειγμα, όπου κάποιος που διέρρευσε μια καταγραφή σύσκεψης Zoom πιάστηκε επειδή είχε υδατογράφημα: https://theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org]


Τέτοια υδατογραφήματα μπορούν να εισαχθούν από διάφορα προϊόντα που χρησιμοποιούν στεγανογραφία και μπορούν να αντισταθούν στη συμπίεση και την επανακωδικοποίηση.


Αυτά τα υδατογραφήματα δεν είναι εύκολα ανιχνεύσιμα και θα μπορούσαν να επιτρέψουν την ταυτοποίηση της πηγής παρά τις όποιες προσπάθειες.


Εκτός από τα υδατογραφήματα, η κάμερα που χρησιμοποιήθηκε για τη βιντεοσκόπηση (και επομένως η συσκευή που χρησιμοποιήθηκε για τη βιντεοσκόπηση) ενός βίντεο μπορεί επίσης να αναγνωριστεί με τη χρήση διαφόρων τεχνικών, όπως η αναγνώριση φακών, η οποία θα μπορούσε να οδηγήσει σε αποανωνυμοποίηση.


Να είστε εξαιρετικά προσεκτικοί όταν δημοσιεύετε βίντεο/εικόνες/αρχεία ήχου από γνωστές εμπορικές πλατφόρμες, καθώς ενδέχεται να περιέχουν τέτοια αόρατα υδατογραφήματα εκτός από λεπτομέρειες στις ίδιες τις εικόνες.

Εκτύπωση υδατογραφήματος.

Γνωρίζατε ότι και ο εκτυπωτής σας πιθανότατα σας κατασκοπεύει; Ακόμη και αν δεν είναι συνδεδεμένος σε κάποιο δίκτυο; Αυτό είναι συνήθως γνωστό σε πολλούς ανθρώπους στην κοινότητα της πληροφορικής, αλλά σε λίγους ανθρώπους εκτός αυτής.


Ναι ... Οι εκτυπωτές σας μπορούν να χρησιμοποιηθούν και για την αποανωνυμοποίησή σας, όπως εξηγεί η EFF εδώ https://www.eff.org/issues/printers [Archive.org]


Με αυτό το (παλιό αλλά ακόμα σχετικό) βίντεο που εξηγεί τον τρόπο από το EFF επίσης:

[Invidious]


Βασικά, πολλοί εκτυπωτές εκτυπώνουν ένα αόρατο υδατογράφημα που επιτρέπει την αναγνώριση του εκτυπωτή σε κάθε εκτυπωμένη σελίδα. Αυτό ονομάζεται Στεγανογραφία εκτυπωτή. δεν υπάρχει πραγματικός τρόπος να το μετριάσετε αυτό, εκτός από το να ενημερωθείτε για τον εκτυπωτή σας και να βεβαιωθείτε ότι δεν εκτυπώνει κανένα αόρατο υδατογράφημα. Αυτό είναι προφανώς σημαντικό εάν σκοπεύετε να εκτυπώσετε ανώνυμα.


Ακολουθεί μια (παλιά αλλά ακόμα σχετική) λίστα εκτυπωτών και εμπορικών σημάτων που δεν εκτυπώνουν τέτοιες κουκκίδες εντοπισμού που παρέχεται από την EFF https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org]


Ακολουθούν επίσης μερικές συμβουλές από την τεκμηρίωση της Whonix(https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]):


Μην εκτυπώνετε ποτέ σε έγχρωμο χρώμα, συνήθως τα υδατογραφήματα δεν υπάρχουν χωρίς έγχρωμα τόνερ/κασέτες.

 

[HEISENBERG]

Πικελοποιημένες ή θολές πληροφορίες.

Έχετε δει ποτέ ένα έγγραφο με θολό κείμενο; Έχετε ποτέ διασκεδάσει με εκείνες τις ταινίες/σειρές όπου "βελτιώνουν" μια εικόνα για να ανακτήσουν πληροφορίες που φαινομενικά είναι αδύνατο να διαβαστούν;


Λοιπόν, υπάρχουν τεχνικές για την ανάκτηση πληροφοριών από τέτοια έγγραφα, βίντεο και εικόνες.


Εδώ είναι για παράδειγμα ένα πρόγραμμα ανοιχτού κώδικα που μπορείτε να χρησιμοποιήσετε μόνοι σας για την ανάκτηση κειμένου από κάποιες θολές εικόνες: https://github.com/beurtschipper/Depix [Archive.org]

Αυτό είναι φυσικά ένα έργο ανοικτού κώδικα διαθέσιμο σε όλους για χρήση. Αλλά μπορείτε πιθανώς να φανταστείτε ότι τέτοιες τεχνικές έχουν πιθανότατα χρησιμοποιηθεί και στο παρελθόν από άλλους αντιπάλους. Αυτές θα μπορούσαν να χρησιμοποιηθούν για την αποκάλυψη θολωμένων πληροφοριών από δημοσιευμένα έγγραφα που θα μπορούσαν στη συνέχεια να χρησιμοποιηθούν για την αποανωνυμοποίησή σας.


Υπάρχουν επίσης σεμινάρια για τη χρήση τέτοιων τεχνικών με τη χρήση εργαλείων επεξεργασίας φωτογραφιών όπως το GIMP, όπως: https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [Archive.org] ακολουθούμενο από https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org]

Τέλος, θα βρείτε πολλές πηγές αποθορυβοποίησης εδώ: https://github.com/subeeshvasu/Awesome-Deblurring [Archive.org]


Ορισμένες διαδικτυακές υπηρεσίες θα μπορούσαν ακόμη και να σας βοηθήσουν να το κάνετε αυτό αυτόματα σε κάποιο βαθμό, όπως το εργαλείο βελτίωσης MyHeritage.com:


https://www.myheritage.com/photo-enhancer [Archive.org]


Εδώ είναι το αποτέλεσμα της παραπάνω εικόνας:

Βέβαια, αυτό το εργαλείο είναι περισσότερο "μαντεψιά" παρά πραγματικά θόλωση σε αυτό το σημείο, αλλά θα μπορούσε να είναι αρκετό για να σας βρει χρησιμοποιώντας διάφορες υπηρεσίες αντίστροφης αναζήτησης εικόνων.


Για το λόγο αυτό, είναι πάντα εξαιρετικά σημαντικό να αναδιατυπώνετε και να επιμελείστε σωστά κάθε έγγραφο που μπορεί να θέλετε να δημοσιεύσετε. Η θόλωση δεν είναι αρκετή και θα πρέπει πάντα να μαυρίζετε/αφαιρείτε πλήρως οποιαδήποτε ευαίσθητα δεδομένα για να αποφύγετε οποιαδήποτε προσπάθεια ανάκτησης δεδομένων από οποιονδήποτε αντίπαλο.

 

[HEISENBERG]

Οι συναλλαγές σας με κρυπτογραφικά νομίσματα.

Σε αντίθεση με τη δημοφιλή πεποίθηση, οι συναλλαγές κρυπτονομισμάτων (όπως το Bitcoin και το Ethereum) δεν είναι ανώνυμες. Τα περισσότερα κρυπτογραφικά νομίσματα μπορούν να εντοπιστούν με ακρίβεια μέσω διαφόρων μεθόδων


Θυμηθείτε τι λένε στη δική τους σελίδα: https://bitcoin.org/en/you-need-to-know [Archive.org] και https://bitcoin.org/en/protect-your-privacy [Archive.org ]:


"Το Bitcoin δεν είναι ανώνυμο "


Το κύριο ζήτημα δεν είναι η δημιουργία ενός τυχαίου πορτοφολιού κρυπτογράφησης για τη λήψη κάποιου νομίσματος πίσω από μια διεύθυνση VPN/Tor (σε αυτό το σημείο, το πορτοφόλι είναι ανώνυμο). Το θέμα είναι κυρίως όταν θέλετε να μετατρέψετε Fiat χρήματα (ευρώ, δολάρια ...) σε Crypto και στη συνέχεια όταν θέλετε να εξαργυρώσετε το Crypto σας. Θα έχετε λίγες ρεαλιστικές επιλογές παρά να τα μεταφέρετε σε ένα ανταλλακτήριο (όπως το Coinbase/Kraken/Bitstamp/Binance). Αυτά τα ανταλλακτήρια έχουν γνωστές διευθύνσεις πορτοφολιών και θα τηρούν λεπτομερή αρχεία καταγραφής (λόγω των οικονομικών κανονισμών KYC) και μπορούν στη συνέχεια να εντοπίσουν αυτές τις συναλλαγές κρυπτογράφησης σε εσάς χρησιμοποιώντας το χρηματοπιστωτικό σύστημα.


Υπάρχουν ορισμένα κρυπτογραφικά νομίσματα με γνώμονα την ιδιωτικότητα/ανωνυμία, όπως το Monero, αλλά ακόμη και αυτά έχουν κάποιες και προειδοποιήσεις που πρέπει να λάβετε υπόψη.


Ακόμη και αν χρησιμοποιείτε Mixers ή Tumblers (υπηρεσίες που ειδικεύονται στην "ανωνυμοποίηση" κρυπτονομισμάτων με την "ανάμειξή τους"), να έχετε κατά νου ότι αυτό είναι μόνο συσκοτισμός και όχι πραγματική ανωνυμία. Όχι μόνο είναι μόνο συγκάλυψη, αλλά θα μπορούσαν επίσης να σας βάλουν σε μπελάδες, καθώς μπορεί να καταλήξετε να ανταλλάσσετε το κρυπτονόμισμά σας με "βρώμικο" κρυπτονόμισμα που χρησιμοποιήθηκε σε διάφορα αμφισβητήσιμα πλαίσια.


Αυτό δεν σημαίνει ότι δεν μπορείτε καθόλου να χρησιμοποιήσετε το Bitcoin ανώνυμα. Μπορείτε πράγματι να χρησιμοποιήσετε το Bitcoin ανώνυμα, αρκεί να μην το μετατρέψετε σε πραγματικό νόμισμα και να χρησιμοποιήσετε ένα πορτοφόλι Bitcoin από ένα ασφαλές ανώνυμο δίκτυο. Αυτό σημαίνει ότι θα πρέπει να αποφεύγετε τους κανονισμούς KYC/AML από διάφορα ανταλλακτήρια και να αποφεύγετε τη χρήση του δικτύου Bitcoin από οποιαδήποτε γνωστή διεύθυνση IP. Βλέπε Παράρτημα Ζ: Ανώνυμη πληρωμή στο διαδίκτυο με BTC.


Συνολικά, IMHO, η καλύτερη επιλογή για τη χρήση κρυπτογράφησης με λογική ανωνυμία και ιδιωτικότητα εξακολουθεί να είναι το Monero και ιδανικά δεν θα πρέπει να χρησιμοποιείτε κανένα άλλο για ευαίσθητες συναλλαγές, εκτός αν γνωρίζετε τους περιορισμούς και τους κινδύνους που ενέχει. Παρακαλούμε διαβάστε αυτή την αποποίηση ευθυνών του Monero.

 

[HEISENBERG]

Οι υπηρεσίες δημιουργίας αντιγράφων ασφαλείας/συντονισμού στο νέφος σας.

Όλες οι εταιρείες διαφημίζουν τη χρήση κρυπτογράφησης από άκρο σε άκρο (E2EE). Αυτό ισχύει σχεδόν για κάθε εφαρμογή ανταλλαγής μηνυμάτων και ιστότοπο (HTTPS). Η Apple και η Google διαφημίζουν τη χρήση κρυπτογράφησης στις συσκευές Android και στα iPhone.


Τι γίνεται όμως με τα αντίγραφα ασφαλείας σας; Εκείνα τα αυτοματοποιημένα αντίγραφα ασφαλείας iCloud/google drive που έχετε;


Λοιπόν, θα πρέπει μάλλον να γνωρίζετε ότι τα περισσότερα από αυτά τα αντίγραφα ασφαλείας δεν είναι πλήρως κρυπτογραφημένα από άκρη σε άκρη και θα περιέχουν κάποιες από τις πληροφορίες σας εύκολα διαθέσιμες για ένα τρίτο μέρος. Θα δείτε τους ισχυρισμούς τους ότι τα δεδομένα είναι κρυπτογραφημένα σε κατάσταση ηρεμίας και ασφαλή από οποιονδήποτε ... Μόνο που συνήθως διατηρούν οι ίδιοι ένα κλειδί για να έχουν πρόσβαση σε κάποια από τα δεδομένα. Αυτά τα κλειδιά χρησιμοποιούνται για την ευρετηρίαση του περιεχομένου σας, την ανάκτηση του λογαριασμού σας, τη συλλογή διαφόρων αναλυτικών στοιχείων.


Υπάρχουν διαθέσιμες εξειδικευμένες εμπορικές λύσεις εγκληματολογίας (Magnet Axiom, Cellebrite Cloud) που θα βοηθήσουν έναν αντίπαλο να αναλύσει τα δεδομένα σας στο cloud με ευκολία.


Αξιοσημείωτα παραδείγματα:

• Apple iCloud: https://support.apple.com/en-us/HT202303 [Archive.org]: "Τα μηνύματα στο iCloud χρησιμοποιούν επίσης κρυπτογράφηση από άκρο σε άκρο. Εάν έχετε ενεργοποιήσει το iCloud Backup, το αντίγραφο ασφαλείας σας περιλαμβάνει ένα αντίγραφο του κλειδιού που προστατεύει τα μηνύματά σας. Αυτό διασφαλίζει ότι μπορείτε να ανακτήσετε τα Μηνύματά σας εάν χάσετε την πρόσβαση στο iCloud Keychain και τις αξιόπιστες συσκευές σας. ".
• Google Drive και WhatsApp: https://faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Τα μέσα και τα μηνύματα που δημιουργείτε αντίγραφα ασφαλείας δεν προστατεύονται από την κρυπτογράφηση από άκρο σε άκρο του WhatsApp, ενώ βρίσκονται στο Google Drive. ".
• Dropbox: https://www.dropbox.com/privacy#terms [Archive.org] "Για την παροχή αυτών και άλλων λειτουργιών, το Dropbox αποκτά πρόσβαση, αποθηκεύει και σαρώνει τα πράγματά σας. Μας δίνετε την άδεια να κάνουμε αυτά τα πράγματα, και αυτή η άδεια επεκτείνεται στις θυγατρικές μας και στα έμπιστα τρίτα μέρη με τα οποία συνεργαζόμαστε".
• Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Προϊόντα παραγωγικότητας και επικοινωνίας, "Όταν χρησιμοποιείτε το OneDrive, συλλέγουμε δεδομένα σχετικά με τη χρήση της υπηρεσίας από εσάς, καθώς και το περιεχόμενο που αποθηκεύετε, για να παρέχουμε, να βελτιώνουμε και να προστατεύουμε τις υπηρεσίες. Παραδείγματα περιλαμβάνουν την ευρετηρίαση του περιεχομένου των εγγράφων σας στο OneDrive, ώστε να μπορείτε να τα αναζητήσετε αργότερα, και τη χρήση πληροφοριών τοποθεσίας για να μπορείτε να αναζητήσετε φωτογραφίες με βάση τον τόπο λήψης της φωτογραφίας".

Δεν θα πρέπει να εμπιστεύεστε στους παρόχους cloud τα (μη προηγουμένως και τοπικά κρυπτογραφημένα) ευαίσθητα δεδομένα σας και θα πρέπει να είστε επιφυλακτικοί απέναντι στους ισχυρισμούς τους περί προστασίας της ιδιωτικής ζωής. Στις περισσότερες περιπτώσεις μπορούν να έχουν πρόσβαση στα δεδομένα σας και να τα παρέχουν σε τρίτους αν το επιθυμούν.


Ο μόνος τρόπος για να μετριάσετε αυτό το ενδεχόμενο είναι να κρυπτογραφήσετε μόνοι σας τα δεδομένα σας από την πλευρά σας και στη συνέχεια να τα μεταφορτώνετε μόνο σε τέτοιες υπηρεσίες.

 

[HEISENBERG]

Τα αποτυπώματα του προγράμματος περιήγησης και της συσκευής σας.

Τα αποτυπώματα του προγράμματος περιήγησης και της συσκευής σας είναι ένα σύνολο ιδιοτήτων/δυνατοτήτων του συστήματος/του προγράμματος περιήγησής σας. Αυτά χρησιμοποιούνται στους περισσότερους ιστότοπους για την αόρατη παρακολούθηση του χρήστη, αλλά και για την προσαρμογή της εμπειρίας του χρήστη του ιστότοπου ανάλογα με το πρόγραμμα περιήγησής του. Για παράδειγμα, οι ιστότοποι θα μπορούν να παρέχουν μια "εμπειρία για κινητά" εάν χρησιμοποιείτε πρόγραμμα περιήγησης για κινητά ή να προτείνουν μια συγκεκριμένη γλώσσα/γεωγραφική έκδοση ανάλογα με το δακτυλικό σας αποτύπωμα. Οι περισσότερες από αυτές τις τεχνικές λειτουργούν με τα πρόσφατα προγράμματα περιήγησης, όπως τα προγράμματα περιήγησης που βασίζονται στο Chromium (όπως το Chrome) ή το Firefox, εκτός αν ληφθούν ειδικά μέτρα.


Μπορείτε να βρείτε πολλές λεπτομερείς πληροφορίες και δημοσιεύσεις σχετικά με αυτό σε αυτούς τους πόρους:

• https://amiunique.org/links [Archive.org]
• https://brave.com/brave-fingerprinting-and-privacy-budgets/ [Archive.org]

Τις περισσότερες φορές, αυτά τα δακτυλικά αποτυπώματα θα είναι δυστυχώς μοναδικά ή σχεδόν μοναδικά για τον Browser/το σύστημά σας. Αυτό σημαίνει ότι ακόμη και αν αποσυνδεθείτε από έναν ιστότοπο και στη συνέχεια συνδεθείτε ξανά χρησιμοποιώντας ένα διαφορετικό όνομα χρήστη, το δακτυλικό σας αποτύπωμα μπορεί να παραμείνει το ίδιο, αν δεν έχετε λάβει προληπτικά μέτρα.


Ένας αντίπαλος θα μπορούσε στη συνέχεια να χρησιμοποιήσει αυτά τα αποτυπώματα για να σας εντοπίσει σε πολλαπλές υπηρεσίες, ακόμη και αν δεν έχετε λογαριασμό σε καμία από αυτές και χρησιμοποιείτε αποκλεισμό διαφημίσεων. Αυτά τα δακτυλικά αποτυπώματα θα μπορούσαν με τη σειρά τους να χρησιμοποιηθούν για την αποανωνυμοποίησή σας, εάν διατηρείτε το ίδιο δακτυλικό αποτύπωμα μεταξύ των υπηρεσιών.


Θα πρέπει επίσης να σημειωθεί ότι ενώ ορισμένα προγράμματα περιήγησης και επεκτάσεις προσφέρουν αντίσταση στα δακτυλικά αποτυπώματα, αυτή η αντίσταση μπορεί επίσης να χρησιμοποιηθεί για να σας αποτυπώσει, όπως εξηγείται εδώ https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org]


Αυτός ο οδηγός θα μετριάσει αυτά τα ζητήματα με την άμβλυνση, τη συσκότιση και την τυχαιοποίηση πολλών από αυτά τα αναγνωριστικά δακτυλικών αποτυπωμάτων με τη χρήση Virtualization (Βλέπε Παράρτημα W: Virtualization) και τη χρήση από Browsers ανθεκτικά στα δακτυλικά αποτυπώματα.

 

[HEISENBERG]

Τοπικές διαρροές δεδομένων και εγκληματολογία.

Οι περισσότεροι από εσάς έχετε πιθανώς δει αρκετά αστυνομικά δράματα στο Netflix ή στην τηλεόραση για να γνωρίζετε τι είναι η εγκληματολογία. Πρόκειται για τεχνικούς (που συνήθως εργάζονται για την επιβολή του νόμου) οι οποίοι θα πραγματοποιήσουν διάφορες αναλύσεις αποδεικτικών στοιχείων. Αυτό φυσικά μπορεί να περιλαμβάνει το smartphone ή το φορητό σας υπολογιστή.


Ενώ αυτά μπορεί να γίνουν από έναν αντίπαλο όταν έχετε ήδη "καεί", μπορεί επίσης να γίνουν τυχαία κατά τη διάρκεια ενός ελέγχου ρουτίνας ή ενός συνοριακού ελέγχου. Αυτοί οι άσχετοι έλεγχοι ενδέχεται να αποκαλύψουν μυστικές πληροφορίες σε αντιπάλους που δεν είχαν προηγούμενη γνώση αυτών των δραστηριοτήτων.


Οι τεχνικές εγκληματολογίας είναι πλέον πολύ προηγμένες και μπορούν να αποκαλύψουν ένα συγκλονιστικό όγκο πληροφοριών από τις συσκευές σας, ακόμη και αν είναι κρυπτογραφημένες. Οι τεχνικές αυτές χρησιμοποιούνται ευρέως από τις αρχές επιβολής του νόμου σε όλο τον κόσμο και θα πρέπει να λαμβάνονται υπόψη.


Ακολουθούν ορισμένες πρόσφατες πηγές που πρέπει να διαβάσετε σχετικά με το smartphone σας:

• UpTurn, The Widespread Power of U.S. Law Enforcement to Search Mobile Phones https://www.upturn.org/reports/2020/mass-extraction/ [Archive.org]
• New-York Times, The Police Can Probably Break Into Your Phone https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html [Archive.org]
• Vice, Cops Around the Country Can Now Unlock iPhones, Records Show https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police [Archive.org]

Σας συνιστώ επίσης ανεπιφύλακτα να διαβάσετε κάποια έγγραφα από την οπτική γωνία ενός εγκληματολογικού εξεταστή, όπως π.χ:

• EnCase Forensic User Guide, http://encase-docs.opentext.com/doc...al Files/EnCase Forensic v8.07 User Guide.pdf [Archive.org]
• FTK Forensic Toolkit, https://accessdata.com/products-services/forensic-toolkit-ftk [Archive.org]
• SANS Digital Forensics and Incident Response Videos, https://www.youtube.com/c/SANSDigitalForensics/videos

Και τέλος, εδώ είναι αυτό το πολύ διδακτικό λεπτομερές έγγραφο σχετικά με την τρέχουσα κατάσταση της ασφάλειας του IOS/Android από το Πανεπιστήμιο John Hopkins: https://securephones.io/main.html.


Όσον αφορά το φορητό σας υπολογιστή, οι τεχνικές εγκληματολογίας είναι πολλές και ευρέως διαδεδομένες. Πολλά από αυτά τα ζητήματα μπορούν να μετριαστούν με τη χρήση πλήρους κρυπτογράφησης δίσκου, εικονικοποίησης (βλ. Παράρτημα W: Εικονικοποίηση) και διαμερισματοποίησης. Αυτός ο οδηγός θα περιγράψει αργότερα λεπτομερώς αυτές τις απειλές και τις τεχνικές για τον μετριασμό τους.

 

[HEISENBERG]

Κακή κρυπτογραφία.

Υπάρχει ένα συχνό γνωμικό μεταξύ της κοινότητας της ασφάλειας πληροφοριών: "Μην κατασκευάζετε τη δική σας κρυπτογράφηση!".


Και υπάρχουν λόγοι γι' αυτό:


Προσωπικά, δεν θα ήθελα να αποθαρρύνω τους ανθρώπους από το να σπουδάσουν και να καινοτομήσουν στον τομέα της κρυπτογράφησης εξαιτίας αυτού του γνωμικού. Αντ' αυτού, θα συνιστούσα στους ανθρώπους να είναι προσεκτικοί με το "Roll your own crypto", επειδή δεν είναι απαραίτητα καλή κρυπτογράφηση.

• Η καλή κρυπτογραφία δεν είναι εύκολη και συνήθως χρειάζονται χρόνια έρευνας για την ανάπτυξη και την τελειοποίηση.
• Η καλή κρυπτογραφία είναι διαφανής και δεν είναι ιδιόκτητη/κλειστού κώδικα, ώστε να μπορεί να αξιολογηθεί από ομότιμους.
• Η καλή κρυπτογραφία αναπτύσσεται προσεκτικά, αργά και σπάνια μόνη της.
• Η καλή κρυπτογραφία συνήθως παρουσιάζεται και συζητείται σε συνέδρια και δημοσιεύεται σε διάφορα περιοδικά.
• Η καλή κρυπτογραφία αξιολογείται εκτενώς από ομότιμους προτού κυκλοφορήσει για χρήση στη φύση.
• Η σωστή χρήση και εφαρμογή της υπάρχουσας καλής κρυπτογραφίας αποτελεί ήδη πρόκληση.

Ωστόσο, αυτό δεν εμποδίζει κάποιους να το κάνουν ούτως ή άλλως και να δημοσιεύουν διάφορες εφαρμογές/υπηρεσίες παραγωγής χρησιμοποιώντας τη δική τους αυτοδημιούργητη κρυπτογραφία ή ιδιόκτητες μεθόδους κλειστού κώδικα.

• Θα πρέπει να είστε προσεκτικοί όταν χρησιμοποιείτε Εφαρμογές/Υπηρεσίες που χρησιμοποιούν μεθόδους κρυπτογράφησης κλειστού κώδικα ή ιδιόκτητες μεθόδους κρυπτογράφησης. Όλα τα καλά πρότυπα κρυπτογράφησης είναι δημόσια και αναθεωρημένα από ομότιμους και δεν θα πρέπει να υπάρχει κανένα πρόβλημα με την αποκάλυψη αυτού που χρησιμοποιείτε.
• Θα πρέπει να είστε επιφυλακτικοί σε εφαρμογές/υπηρεσίες που χρησιμοποιούν μια "τροποποιημένη" ή ιδιόκτητη μέθοδο κρυπτογράφησης.
• Από προεπιλογή, δεν θα πρέπει να εμπιστεύεστε καμία "Roll your own crypto" μέχρι να ελεγχθεί, να αξιολογηθεί από ομότιμους, να ελεγχθεί και να γίνει αποδεκτή από την κοινότητα της κρυπτογραφίας.
• Δεν υπάρχει τέτοιο πράγμα όπως "κρυπτογράφηση στρατιωτικού βαθμού".

Η κρυπτογραφία είναι ένα πολύπλοκο θέμα και η κακή κρυπτογραφία θα μπορούσε εύκολα να οδηγήσει στην αποανωνυμοποίησή σας.


Στο πλαίσιο αυτού του οδηγού, συνιστώ να επιμείνετε σε εφαρμογές/υπηρεσίες που χρησιμοποιούν καθιερωμένες, δημοσιευμένες και αξιολογημένες από ομότιμους μεθόδους.


Τι να προτιμήσετε και τι να αποφύγετε λοιπόν από το 2021; Θα πρέπει να αναζητήσετε μόνοι σας τις τεχνικές λεπτομέρειες κάθε εφαρμογής και να δείτε αν χρησιμοποιεί "κακή κρυπτογράφηση" ή "καλή κρυπτογράφηση". Μόλις λάβετε τις τεχνικές λεπτομέρειες, μπορείτε να ελέγξετε αυτή τη σελίδα για να δείτε τι αξίζει: https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org]


Εδώ είναι μερικά παραδείγματα:

• Hashes:
  
  • Προτιμήστε: SHA256 (χρησιμοποιείται ευρέως), SHA512 (προτιμάται), ή SHA-3
  • Αποφύγετε: SHA-1, SHA-2, MD5 (δυστυχώς χρησιμοποιείται ακόμη ευρέως, CRC, MD6 (χρησιμοποιείται σπάνια).
• Κρυπτογράφηση αρχείων/δίσκων:
  
  • Προτιμήστε:
    
    • Επιτάχυνση υλικού: 2 ή HMAC-SHA-3 (Αυτό χρησιμοποιούν οι Veracrypt, Bitlocker, Filevault 2, KeepassXC και LUKS).
    • Μη επιταχυνόμενη από υλικό: (Μπορείτε να χρησιμοποιήσετε το ChaCha20 με το Kryptor https://www.kryptor.co.uk, δυστυχώς δεν είναι διαθέσιμο με το Veracrypt).
  • Αποφύγετε: Οτιδήποτε άλλο
• Αποθήκευση κωδικών πρόσβασης:
  
  • bcrypt, SHA-3 ή, αν δεν είναι δυνατόν, τουλάχιστον PBKDF2 (μόνο ως έσχατη λύση).
  • Αποφυγή: γυμνός SHA-2, SHA-1, MD5
• Ασφάλεια προγράμματος περιήγησης (HTTPS):
  
  • Προτιμήστε: TLS 1.3 (ιδανικά TLS 1.3 με υποστήριξη ECH/eSNI) ή τουλάχιστον TLS 1.2 (χρησιμοποιείται ευρέως).
  • Αποφύγετε: Οτιδήποτε άλλο (TLS =<1.1, SSL =<3)
• Υπογραφή με PGP/GPG:
  
  • (ed25519)+ECDH (ec25519) ή RSA 4096 Bits*.
  • Αποφύγετε: RSA 2048 bits
• Κλειδιά SSH:
  
  • ED25519 (προτιμάται) ή RSA 4096 Bits*.
  • Αποφύγετε: RSA 2048 bits
• Προειδοποίηση: Οι RSA και ED25519 δυστυχώς δεν θεωρούνται "ανθεκτικοί στην κβαντική τεχνολογία" και ενώ δεν έχουν σπάσει ακόμα, πιθανότατα θα σπάσουν κάποια στιγμή στο μέλλον. Πιθανότατα είναι απλώς θέμα του πότε και όχι του αν θα σπάσει ποτέ ο RSA. Έτσι, αυτά προτιμώνται σε αυτά τα πλαίσια λόγω της έλλειψης καλύτερης επιλογής.

Εδώ είναι μερικές πραγματικές περιπτώσεις θεμάτων κακής κρυπτογραφίας:

• https://buttondown.email/cryptograp...ography-dispatches-the-most-backdoor-looking/ [Archive.org]
• Cryptocat: https://web.archive.org/web/2013070...-critical-vulnerability-in-cryptocat-details/
• Μερικά άλλα παραδείγματα μπορείτε να βρείτε εδώ: https://www.cryptofails.com/ [Archive.org]

 

[HEISENBERG]

Πολιτικές χωρίς καταγραφή, αλλά με την καταγραφή ούτως ή άλλως.

Πολλοί άνθρωποι έχουν την ιδέα ότι οι υπηρεσίες που προσανατολίζονται στην προστασία της ιδιωτικής ζωής, όπως οι πάροχοι VPN ή e-mail, είναι ασφαλείς λόγω των πολιτικών τους για μη καταγραφή ή των συστημάτων κρυπτογράφησης. Δυστυχώς, πολλοί από αυτούς τους ίδιους ανθρώπους ξεχνούν ότι όλοι αυτοί οι πάροχοι είναι νόμιμες εμπορικές οντότητες που υπόκεινται στους νόμους των χωρών στις οποίες δραστηριοποιούνται.


Οποιοσδήποτε από αυτούς τους παρόχους μπορεί να αναγκαστεί να καταγράψει σιωπηλά (χωρίς να το γνωρίζετε (χρησιμοποιώντας για παράδειγμα μια δικαστική απόφαση με εντολή φίμωσης ή μια επιστολή εθνικής ασφάλειας) τη δραστηριότητά σας για να σας αποανωνυμοποιήσει. Υπήρξαν αρκετά πρόσφατα παραδείγματα τέτοιων περιστατικών:

• 2021, οι διακομιστές, τα αρχεία καταγραφής και οι πληροφορίες λογαριασμού της DoubleVPN κατασχέθηκαν από την επιβολή του νόμου
• 2021, Ο πάροχος αλληλογραφίας Tutanota με έδρα τη Γερμανία αναγκάστηκε να παρακολουθεί συγκεκριμένους λογαριασμούς για 3 μήνες
• 2020, Ο πάροχος αλληλογραφίας Tutanota με έδρα τη Γερμανία αναγκάστηκε να εφαρμόσει μια κερκόπορτα για να υποκλέψει και να αποθηκεύσει αντίγραφα των μη κρυπτογραφημένων e-mail ενός χρήστη (δεν αποκρυπτογράφησαν τα αποθηκευμένα e-mail).
• 2017, Το PureVPN αναγκάστηκε να αποκαλύψει πληροφορίες ενός χρήστη στο FBI.
• 2014, ένας χρήστης της EarthVPN συνελήφθη με βάση τα αρχεία καταγραφής που παρείχε στην ολλανδική αστυνομία.
• 2014, χρήστης της HideMyAss αποανωνυμοποιήθηκε και τα αρχεία καταγραφής δόθηκαν στο FBI.
• 2013, ο πάροχος ασφαλούς ηλεκτρονικής αλληλογραφίας Lavabit κλείνει μετά από μάχη ενάντια σε μυστική εντολή φίμωσης.

Ορισμένοι πάροχοι έχουν εφαρμόσει τη χρήση ενός Warrant Canary που θα επέτρεπε στους χρήστες τους να μάθουν αν έχουν εκτεθεί από τέτοιες εντολές, αλλά αυτό δεν έχει δοκιμαστεί ακόμη απ' όσο γνωρίζω.


Τέλος, είναι πλέον γνωστό ότι ορισμένες εταιρείες ενδέχεται να είναι χορηγούμενες front-ends για ορισμένους κρατικούς αντιπάλους (βλ. την ιστορία της Crypto AG και την ιστορία της Omnisec).


Για τους λόγους αυτούς, είναι σημαντικό να μην εμπιστεύεστε τέτοιους παρόχους για την προστασία της ιδιωτικής σας ζωής παρά τους ισχυρισμούς τους. Στις περισσότερες περιπτώσεις, θα είστε ο τελευταίος που θα μάθει αν κάποιος από τους λογαριασμούς σας έγινε στόχος τέτοιων εντολών και ίσως να μην το μάθετε ποτέ.


Για να το μετριάσετε αυτό, στις περιπτώσεις που θέλετε να χρησιμοποιήσετε ένα VPN, θα σας συστήσω τη χρήση ενός παρόχου VPN που πληρώνεται με μετρητά/μονομερώς αντί για το Tor, ώστε να αποτρέψετε την υπηρεσία VPN από το να γνωρίζει οποιαδήποτε αναγνωρίσιμη πληροφορία για εσάς.

 

[HEISENBERG]

Ορισμένες προηγμένες στοχευμένες τεχνικές.

Υπάρχουν πολλές προηγμένες τεχνικές που μπορούν να χρησιμοποιηθούν από εξειδικευμένους αντιπάλους για να παρακάμψουν τα μέτρα ασφαλείας σας, εφόσον γνωρίζουν ήδη πού βρίσκονται οι συσκευές σας. Πολλές από αυτές τις τεχνικές περιγράφονται λεπτομερώς εδώ https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israel) και περιλαμβάνουν:

• Επιθέσεις που απαιτούν ένα κακόβουλο λογισμικό εμφυτευμένο σε κάποια συσκευή:
  
  • Διείσδυση δεδομένων μέσω ενός δρομολογητή που έχει μολυνθεί από κακόβουλο λογισμικό:
    [Invidious]
  • Απορρόφηση δεδομένων μέσω παρατήρησης της μεταβολής του φωτός σε ένα πληκτρολόγιο με οπίσθιο φωτισμό με παραβιασμένη κάμερα:
    [Αδιάφορο]
    
    • Διείσδυση δεδομένων μέσω μιας παραβιασμένης κάμερας ασφαλείας (που θα μπορούσε πρώτα να χρησιμοποιήσει την προηγούμενη επίθεση)
      [Invidious]
    • Επικοινωνία από εξωτερικό πρόσωπο σε παραβιασμένες κάμερες ασφαλείας μέσω φωτεινών σημάτων IR:
      [Invidious]
  • Απορρόφηση δεδομένων από έναν παραβιασμένο υπολογιστή με αεροπλάνο μέσω ακουστικής ανάλυσης των θορύβων FAN με ένα smartphone
    [Invidious]
  • Απορρόφηση δεδομένων από έναν μολυσμένο με κακόβουλο λογισμικό υπολογιστή με αεροσκάφη μέσω HD Leds με ένα drone
    [Invidious]
  • Απορρόφηση δεδομένων από ένα κακόβουλο λογισμικό USB σε έναν υπολογιστή με αεροσκάφη μέσω ηλεκτρομαγνητικών παρεμβολών
    [Invidious]
  • Απορρόφηση δεδομένων από έναν μολυσμένο με κακόβουλο λογισμικό δίσκο HDD μέσω κρυφού ακουστικού θορύβου
    [Απαράδεκτο]
  • Απορρόφηση δεδομένων μέσω συχνοτήτων GSM από έναν υπολογιστή που έχει προσβληθεί (με κακόβουλο λογισμικό) από τον αέρα
    [Invidious]
  • Απορρόφηση δεδομένων μέσω ηλεκτρομαγνητικών εκπομπών από μια παραβιασμένη συσκευή οθόνης
    [Invidious]
  • Διείσδυση δεδομένων μέσω μαγνητικών κυμάτων από έναν παραβιασμένο υπολογιστή με αεροστεγή σύνδεση σε ένα Smartphone που είναι αποθηκευμένο μέσα σε μια τσάντα Faraday
    [Αδιανόητο]
  • Επικοινωνία μεταξύ δύο παραβιασμένων υπολογιστών με αεροσφραγίδα με τη χρήση υπερηχητικών ηχητικών κυμάτων
    [Ανώμαλη]
  • Διείσδυση πορτοφολιού Bitcoin από έναν παραβιασμένο υπολογιστή με αεροσφραγίδα σε ένα smartphone
    [Invidious]
  • Απορρόφηση δεδομένων από έναν παραβιασμένο υπολογιστή με αεροσκάφη χρησιμοποιώντας τη φωτεινότητα της οθόνης
    [Invidious]
  • Απορρόφηση δεδομένων από έναν παραβιασμένο υπολογιστή με αεροσκάφη μέσω δονήσεων
    [Invidious]
  • Διείσδυση δεδομένων από παραβιασμένο υπολογιστή με αεροστεγή σύνδεση μέσω μετατροπής της μνήμης RAM σε πομπό Wi-Fi
    [Ανεξιχνίαστο]
  • Διείσδυση δεδομένων από έναν παραβιασμένο υπολογιστή με αεροπλάνο μέσω γραμμών ρεύματος https://arxiv.org/abs/1804.04014 [Archive.org] .
• Επιθέσεις που δεν απαιτούν κακόβουλο λογισμικό:
  
  • Παρατήρηση μιας λάμπας από απόσταση για να ακούσετε τον ήχο στο δωμάτιο χωρίς κακόβουλο λογισμικό: Επίδειξη:
    [Invidious]

Εδώ υπάρχει επίσης ένα καλό βίντεο από τους ίδιους συγγραφείς για να εξηγήσει αυτά τα θέματα: Black Hat, The Air-Gap Jumpers

[Invidious]


Ρεαλιστικά, αυτός ο οδηγός θα βοηθήσει ελάχιστα απέναντι σε τέτοιους αντιπάλους, καθώς αυτά τα κακόβουλα προγράμματα θα μπορούσαν να εμφυτευτούν στις συσκευές από έναν κατασκευαστή ή κάποιον ενδιάμεσο ή από οποιονδήποτε με φυσική πρόσβαση στον υπολογιστή air-gapped, αλλά υπάρχουν ακόμα κάποιοι τρόποι για να μετριάσετε τέτοιες τεχνικές:

• Μην εκτελείτε ευαίσθητες δραστηριότητες ενώ είστε συνδεδεμένοι σε μια μη αξιόπιστη/μη ασφαλή γραμμή ρεύματος για να αποφύγετε διαρροές της γραμμής ρεύματος.
• Μην χρησιμοποιείτε τις συσκευές σας μπροστά από μια κάμερα που θα μπορούσε να παραβιαστεί.
• Χρησιμοποιείτε τις συσκευές σας σε ηχομονωμένο δωμάτιο για να αποφύγετε τις διαρροές ήχου.
• Χρησιμοποιήστε τις συσκευές σας σε κλωβό Faraday για να αποφύγετε ηλεκτρομαγνητικές διαρροές.
• Μην μιλάτε για ευαίσθητες πληροφορίες σε σημεία όπου οι λάμπες θα μπορούσαν να παρατηρηθούν από έξω.
• Αγοράστε τις συσκευές σας από διαφορετικά/απρόβλεπτα/offline μέρη (καταστήματα) όπου η πιθανότητα να μολυνθούν με τέτοιο κακόβουλο λογισμικό είναι μικρότερη.
• Μην επιτρέπετε σε κανέναν να έχει πρόσβαση στους υπολογιστές σας με αεροπλάνο εκτός από έμπιστους ανθρώπους.

 

[HEISENBERG]

Ορισμένοι πρόσθετοι πόροι.

• Ρίξτε μια ματιά στην τεκμηρίωση της Whonix σχετικά με τις τεχνικές συλλογής δεδομένων εδώ: https://www.whonix.org/wiki/Data_Collection_Techniques [Archive.org]
• Μπορεί επίσης να σας αρέσει να κοιτάξετε αυτή την υπηρεσία https://tosdr.org/ [Archive.org] (Terms of Services, Didn't Read) που θα σας δώσει μια καλή επισκόπηση των διαφόρων ToS πολλών υπηρεσιών.
• Ρίξτε μια ματιά στη διεύθυνση https://www.eff.org/issues/privacy [Archive.org] για μερικές ακόμη πηγές.
• Ρίξτε μια ματιά στο https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects [Wikiless] [Archive.org] για να έχετε μια επισκόπηση όλων των γνωστών έργων μαζικής παρακολούθησης, τωρινών και παλαιότερων.
• Ρίξτε μια ματιά στο https://www.gwern.net/Death-Note-Anonymity [Archive.org] (ακόμη και αν δεν γνωρίζετε για το Death Note).
• Σκεφτείτε να βρείτε και να διαβάσετε το βιβλίο του Michael Bazzell "Open Source Intelligence Techniques" (8η έκδοση από τη στιγμή που γράφονται αυτές οι γραμμές για να μάθετε περισσότερα για τις πρόσφατες τεχνικές OSINT) https://inteltechniques.com/book1.html [Archive.org]
• Τέλος, ελέγξτε το https://www.freehaven.net/anonbib/date.html [Archive.org] για τις πιο πρόσφατες ακαδημαϊκές εργασίες που σχετίζονται με τη διαδικτυακή ανωνυμία.

 

[HEISENBERG]

Σημειώσεις.

Εάν εξακολουθείτε να μην πιστεύετε ότι αυτές οι πληροφορίες μπορούν να χρησιμοποιηθούν από διάφορους φορείς για την παρακολούθησή σας, μπορείτε να δείτε μόνοι σας κάποια στατιστικά στοιχεία για ορισμένες πλατφόρμες και να έχετε κατά νου ότι αυτά υπολογίζουν μόνο τα νόμιμα αιτήματα δεδομένων και δεν θα μετρήσουν πράγματα όπως τα PRISM, MUSCULAR, SORM ή XKEYSCORE που εξηγήθηκαν προηγουμένως:

• Google Transparency Report https://transparencyreport.google.com/user-data/overview [Archive.org]
• Έκθεση διαφάνειας του Facebook https://transparency.facebook.com/ [Archive.org]
• Apple Transparency Report https://www.apple.com/legal/transparency/ [Archive.org]
• Cloudflare Transparency Report https://www.cloudflare.com/transparency/ [Archive.org]
• Snapchat Transparency Report https://www.snap.com/en-US/privacy/transparency [Archive.org]
• Telegram Transparency Report https://t.me/transparency [Archive.org] (απαιτεί εγκατεστημένο telegram)
• Microsoft Transparency Report https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report [Archive.org]
• Amazon Transparency Report https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF [Archive.org]
• Dropbox Transparency Report https://www.dropbox.com/transparency [Archive.org]
• Discord Transparency Report https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d [Archive.org]
• GitHub Transparency Report https://github.blog/2021-02-25-2020-transparency-report/ [Archive.org]
• Snapchat Transparency Report https://www.snap.com/en-US/privacy/transparency/ [Archive.org]
• TikTok Transparency Report https://www.tiktok.com/safety/resources/transparency-report?lang=en [Archive.org]
• Reddit Transparency Report https://www.reddit.com/wiki/transparency [Archive.org]
• Twitter Transparency Report https://transparency.twitter.com/ [Archive.org]

 

[HEISENBERG]

Γενικά παρασκευάσματα.

Προσωπικά, στο πλαίσιο αυτού του οδηγού, είναι επίσης ενδιαφέρον να ρίξετε μια ματιά στο μοντέλο ασφαλείας σας. Και σε αυτό το πλαίσιο, έχω να σας προτείνω μόνο ένα:


Ασφάλεια μηδενικής εμπιστοσύνης ("Ποτέ μην εμπιστεύεσαι, πάντα να επαληθεύεις").


Ακολουθούν ορισμένοι διάφοροι πόροι σχετικά με το τι είναι η Zero-Trust Security (Ασφάλεια μηδενικής εμπιστοσύνης):

• DEFCON, Zero Trust a Vision for Securing Cloud,
  [Invidious]
• Από την ίδια την NSA, Embracing a Zero Trust Security Model, https://media.defense.gov/2021/Feb/..._EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF [Archive.org].

 

[HEISENBERG]

Επιλέγοντας τη διαδρομή σας.

Ακολουθεί ένα μικρό βασικό διάγραμμα UML που δείχνει τις επιλογές σας. Δείτε τις λεπτομέρειες παρακάτω.

 

[HEISENBERG]

Χρονικοί περιορισμοί.

• Έχετε πολύ περιορισμένο χρόνο για να μάθετε και χρειάζεστε μια λύση που να λειτουργεί γρήγορα:
  
  • Η καλύτερη επιλογή σας είναι να ακολουθήσετε τη διαδρομή Tails (εξαιρουμένου του τμήματος της επίμονης εύλογης άρνησης).
• Έχετε χρόνο και κυρίως θέληση για μάθηση:
  
  • Προχωρήστε με οποιαδήποτε διαδρομή.