Veebipõhise anonüümsuse juhend (https://anonymousplanet.org/)

Kasutage omal vastutusel. Palun ärge võtke seda juhendit kui lõplikku tõde kõige kohta, sest see ei ole seda.

Spoiler: Sisukord

• Sissejuhatus:
• Mõningate põhitõdede mõistmine, kuidas mõni teave võib teid tagasi viia ja kuidas mõnda leevendada:
  • Teie võrk:
    • Teie IP-aadress:
    • Teie DNS- ja IP-päringud:
    • Teie RFID-funktsiooniga seadmed:
    • Wi-Fi- ja Bluetooth-seadmed teie ümber:
    • Pahatahtlikud / pahatahtlikud Wi-Fi-juurdepääsupunktid:
    • Teie anonüümne Tor/VPN-liiklus:
    • Mõned seadmed on jälgitavad isegi siis, kui nad on võrguühenduseta:
  • Teie riistvara tunnused:
    • Teie IMEI ja IMSI (ja seega ka teie telefoninumber):
    • Teie Wi-Fi või Ethernet MAC-aadress:
    • Teie Bluetooth MAC-aadress:
  • Teie protsessor:
  • Teie operatsioonisüsteemid ja rakenduste telemeetriateenused:
  • Teie nutiseadmed üldiselt:
  • Teie ise:
    • Teie metaandmed, sealhulgas teie geograafiline asukoht:
    • Teie digitaalne sõrmejälg, jalajälg ja võrgukäitumine:
    • Teie vihjed teie tegeliku elu ja OSINTi kohta:
    • Teie nägu, hääl, biomeetrilised andmed ja pildid:
    • Phishing ja sotsiaalne insenerlus:
  • Pahavara, ekspluateerimine ja viirused:
    • Pahavara teie failides/dokumentides/e-kirjades:
    • Pahavara ja Exploits teie rakendustes ja teenustes:
    • Pahatahtlikud USB-seadmed:
    • Pahavara ja tagauksed teie riistvara püsivara ja operatsioonisüsteemis:
  • Teie failid, dokumendid, pildid ja videod:
    • Omadused ja metaandmed:
    • Vesimärgid:
    • Pikseldatud või hägune teave:
  • Teie krüptovaluutatehingud:
  • Teie pilvepõhised varundused/sünkroonimisteenused:
  • Teie brauseri ja seadme sõrmejäljed:
  • Kohalikud andmelekked ja kohtuekspertiis:
  • Halvad krüptograafilised andmed:
  • Ei logi, kuid logimine niikuinii poliitikad:
  • Mõned edasijõudnud sihitud tehnikad:
  • Mõned boonusressursid:
  • Märkused:
• Üldised ettevalmistused:
  • Valik oma marsruuti:
    • Ajakasutuse piirangud:
    • Ajakava: Eelarve/materjalipiirangud:
    • Oskused:
    • Vastased (ohud):
  • Kõikide marsruutide sammud:
    • Anonüümne telefoninumber:
    • Hankige USB-mälu:
    • Leia mõni turvaline koht, kus on korralik avalik WiFi-ühendus:
  • TAILSi marsruut:
    • Whonixi kasutamine TAILSi raames: Püsiv usutav eitamine:
  • Sammud kõigi teiste marsruutide jaoks:
    • Hankige oma tundlike tegevuste jaoks spetsiaalne sülearvuti:
    • Mõned sülearvuti soovitused:
    • Bios/UEFI/Firmware seaded oma sülearvutis:
    • Füüsiliselt Tamper kaitsta oma sülearvuti:
  • Whonixi marsruut:
    • Host OS (sülearvutisse paigaldatud operatsioonisüsteem) valimine:
    • Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox oma Host OS-is:
    • Valige oma ühenduvusmeetod:
    • Hankige anonüümne VPN/Proxy:
    • Whonix:
    • Tor over VPN:
    • Whonix Virtual Machines:
    • Valige oma külalistööjaam: Virtuaalmasin: Valige oma külalistööjaam:
    • Linux Virtual Machine (Whonix või Linux):
    • Windows 10 Virtuaalmasin: Windows 10 Virtual Machine:
    • Androidi virtuaalmasin: Androidi virtuaalmasin:
    • MacOS Virtuaalmasin:
    • KeepassXC:
    • VPN-kliendi paigaldamine (raha/Monero tasuline):
    • (Valikuline), mis võimaldab ainult VM-dele juurdepääsu internetile, samal ajal katkestades Host OS-i, et vältida lekkeid:
    • Viimane samm:
  • Qubes Route:
    • Valige oma ühenduvusmeetod:
    • Hankige anonüümne VPN/Proxy:
    • Paigaldamine:
    • Kaane sulgemise käitumine:
    • Ühendage avaliku WiFi-ühendusega:
    • Qubes OS-i uuendamine:
    • Qubes OS-i karastamine:
    • VPN ProxyVM-i seadistamine:
    • Turvalise brauseri seadistamine Qube OS-is (valikuline, kuid soovitatav):
    • Androidi VM-i seadistamine:
    • KeePassXC:
• Anonüümsete veebitunnuste loomine:
  • Anonüümsuse vältimiseks ja identiteedi kontrollimiseks kasutatavate meetodite mõistmine:
    • Captchas:
    • Telefoni kontrollimine:
    • E-posti kontrollimine:
    • Kasutaja andmete kontrollimine:
    • Isikutunnistuse kontrollimine:
    • IP-filtrid:
    • Sirvija ja seadme sõrmejäljed:
    • Inimese suhtlemine:
    • Kasutajate modereerimine:
    • Käitumise analüüs:
    • Rahastamistehingud:
    • Sisselogimine mõne platvormiga:
    • (taas): Live Face recognition ja biomeetria:
    • Manuaalsed ülevaated:
  • Online'ile minek:
    • Uute identiteetide loomine:
    • Reaalnimede süsteem:
    • Tasulistest teenustest:
    • Ülevaade:
    • Kuidas jagada faile või vestelda anonüümselt:
    • Dokumentide/Piltide/Videote/Audio turvaline redigeerimine:
    • Tundliku teabe edastamine erinevatele tuntud organisatsioonidele:
    • Hooldusülesanded:
• Oma töö turvaline varundamine:
  • Varukoopiad võrguühenduseta:
    • Valitud failide varundamine:
    • Täielikud ketta-/süsteemi varukoopiad:
  • Varukoopiad: Online varukoopiad: Online varukoopiad:
    • Failid:
    • Teave:
  • Failide sünkroniseerimine seadmete vahel Online:
• Kaitsmine: Oma jälgede katmine:
  • HDD vs SSD:
    • Wear-Leveling.
    • Trimmimisoperatsioonid:
    • Prügikoristus:
    • Kokkuvõte:
  • Kuidas pühkida turvaliselt kogu oma sülearvuti/ketaste, kui soovite kõike kustutada:
    • Linux (kõik versioonid, sealhulgas Qubes OS):
    • Windows:
    • MacOS:
  • Kuidas turvaliselt kustutada kindlad failid/kaustad/andmed oma HDD/SSD ja pöidlakettadelt:
    • Windows:
    • Linux (mitte Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Mõned täiendavad meetmed kohtuekspertiisi vastu:
    • Failide/dokumentide/piltide metaandmete eemaldamine:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (mitte-Qubes):
    • Windows:
  • Mõningate jälgede eemaldamine teie identiteedist otsingumootorites ja erinevatel platvormidel:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Vikipeedia:
    • Tänapäeval: Archive.today:
    • Internet Archive:
• Archive Archive: Mõned vanakooli madaltehnoloogilised trikid:
  • Varjatud kommunikatsioonid silmapiiril:
  • Kuidas märgata, kas keegi on sinu asju läbi otsinud:
• Mõned viimased OPSEC-mõtted:
• Kui te arvate, et teid on põletatud:
  • Kui teil on aega:
  • Kui teil ei ole aega:
• Väike viimane toimetuse märkus

 

[HEISENBERG]

Phishing ja sotsiaalne insenerlus.

Phishing on sotsiaalse inseneri tüüpi rünnak, mille puhul vastane võib üritada teilt teavet välja meelitada, teeseldes või kehastades end millekski/ kellekski teiseks.


Tüüpiline juhtum on, kui vastane kasutab man-in-the-middle rünnakut või võltsitud e-kirja/kõnet, et küsida teie volitusi mingi teenuse kasutamiseks. See võib toimuda näiteks e-kirja või finantsteenuste kehastamise kaudu.


Selliseid rünnakuid saab kasutada ka kellegi anonüümsuse kaotamiseks, pannes teda pettusega laadima alla pahavara või avaldama aja jooksul isikuandmeid.


Neid on kasutatud lugematuid kordi alates interneti algusaegadest ja tavalist neist nimetatakse "419 scam'iks" ( vt https://en.wikipedia.org/wiki/Advance-fee_scam [Wikiless] [Archive.org]).


Siin on hea video, kui soovite veidi rohkem teada saada phishing-tüüpidest: Black Hat, Ichthyology: Phishing as a Science

[Invidious].

 

[HEISENBERG]

Pahavara, ekspluateerimine ja viirused.

Pahavara teie failides/dokumentides/e-kirjades.

Kasutades steganograafiat või muid tehnikaid, on lihtne manustada pahavara tavalistesse failivormingutesse, nagu Office'i dokumendid, pildid, videod, PDF-dokumendid...


Need võivad olla nii lihtsad kui HTML jälgimislingid või keerulised sihtotstarbelised pahavarad.


Need võivad olla lihtsad pikslisuurused pildid, mis on peidetud teie e-kirjadesse ja mis kutsuvad kaugserverit, et püüda saada teie IP-aadressi.


Need võivad olla vananenud formaadi või vananenud lugeja haavatavuse ärakasutamine. Selliseid ärakasutamisvõimalusi võidakse seejärel kasutada teie süsteemi kahjustamiseks.


Vaata neid häid videoid, kus on rohkem selgitusi selle kohta:

• Mis on failiformaat?
  [Invidious]
• Ange Albertini: Albertini: Funky File Format:
  [Invidious]

Te peaksite alati olema äärmiselt ettevaatlik. Nende rünnakute leevendamiseks soovitatakse käesolevas juhendis hiljem kasutada virtualiseerimist (vt lisa W: Virtualiseerimine), et leevendada igasuguse teabe lekkimist isegi sellise pahatahtliku faili avamise korral.


Kui soovite teada saada, kuidas proovida sellise pahavara avastamist, vaadake lisa T: Failide kontrollimine pahavara suhtes

 

[HEISENBERG]

Pahavara ja ärakasutamisvõimalused teie rakendustes ja teenustes.

Niisiis, te kasutate Tor Browser'i või Brave Browser'i üle Tor'i. Sa võiksid neid kasutada VPN-i kaudu, et suurendada turvalisust. Kuid te peaksite meeles pidama, et on ekspluateerimisi (häkke), mis võivad olla vastase jaoks teada (kuid rakenduse/brauseri pakkujale teadmata). Selliseid ärakasutamisvõimalusi võidakse kasutada teie süsteemi kompromiteerimiseks ja teie anonüümsuse kaotamiseks vajalike andmete, näiteks IP-aadressi või muude üksikasjade avalikustamiseks.


Selle tehnika tegelik kasutusjuhtum oli 2013. aasta Freedom Hostingi juhtum, kus FBI sisestas pahavara Firefoxi brauseri ärakasutamise abil Tor'i veebisaidile. See ekspluatatsioon võimaldas neil avalikustada mõne kasutaja andmed. Hiljuti oli tähelepanuväärne SolarWinds'i häkkimine, mille käigus murti mitu USA valitsusasutust, sisestades pahavara ametlikku tarkvarauuendusserverisse.


Mõnes riigis on pahavara lihtsalt kohustuslik ja/või riigi enda poolt levitatav. Nii on see näiteks Hiinas WeChati puhul, mida saab seejärel kasutada koos muude andmetega riikliku jälgimise eesmärgil.


On lugematuid näiteid pahatahtlikest brauseripikendustest, nutitelefonirakendustest ja erinevatest rakendustest, kuhu on aastate jooksul imbunud pahavara.


Siin on mõned sammud seda tüüpi rünnakute leevendamiseks:

• Te ei tohiks kunagi 100%-liselt usaldada rakendusi, mida te kasutate.
• Peaksite alati enne kasutamist kontrollima, et kasutate selliste rakenduste uuendatud versiooni, ja ideaalis valideerima iga allalaadimise nende allkirja abil, kui see on olemas.
• Te ei tohiks kasutada selliseid rakendusi otse riistvarasüsteemist, vaid kasutada virtuaalmasinat, et neid osadeks jaotada.

Nende soovituste kajastamiseks juhendab käesolev juhend seetõttu hiljem teid Virtualiseerimise kasutamisel (vt lisa W: Virtualiseerimine), nii et isegi kui teie brauser/rakendused satuvad oskusliku vastase poolt ohtu, jääb see vastane liivakastis kinni, ilma et tal oleks võimalik pääseda ligi identifitseerivatele andmetele või ohustada teie süsteemi.

 

[HEISENBERG]

Pahatahtlikud USB-seadmed.

On kergesti kättesaadavad kaubanduslikud ja odavad "badUSB" seadmed, mis võivad võtta kasutusele pahavara, logida teie sisestamist, geolokaliseerida teid, kuulata teid või saada kontrolli teie sülearvuti üle lihtsalt nende ühendamise teel. Siin on mõned näited, mida saate juba ise osta.

• Hak5, USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe [Archive.org]
• Hak5, O.MG kaabel
  [Invidious]
• Keelog https://www.keelog.com/ [Archive.org]
• AliExpress https://www.aliexpress.com/i/4000710369016.html [Archive.org]

Selliseid seadmeid saab vastane istutada kõikjale (laadimiskaabel, hiir, klaviatuur, USB-võti ...) ja neid saab kasutada teie jälgimiseks või teie arvuti või nutitelefoni kompromiteerimiseks. Kõige märkimisväärsem näide sellistest rünnakutest on ilmselt Stuxnet 2005. aastal.


Kuigi te võite USB-mälu füüsiliselt kontrollida, seda mitmesuguste utiliitidega skaneerida ja kontrollida, kas eri komponendid on ehtsad, ei ole teil tõenäoliselt kunagi võimalik avastada keerulist pahavara, mis on sisseehitatud ehtsa USB-mälu ehtsatesse osadesse, kui puudub arenenud kriminalistikasüsteem.


Selle leevendamiseks ei tohiks kunagi usaldada selliseid seadmeid ja ühendada neid tundlikesse seadmetesse. Kui kasutate laadimisseadet, peaksite kaaluma USB-andmeblokeerimisseadme kasutamist, mis lubab ainult laadimist, kuid mitte mingit andmeedastust. Sellised andmesideblokeerimisseadmed on nüüd kergesti kättesaadavad paljudes veebipoodides. Samuti peaksite kaaluma USB-portide täielikku keelamist arvuti BIOSis, kui te neid ei vaja (kui saate).

 

[HEISENBERG]

Pahavara ja tagauksed teie riistvara püsivara ja operatsioonisüsteemis.

See võib tunduda veidi tuttavlikuna, sest seda käsitleti juba osaliselt varem jaotises " Teie protsessor ".


Pahavara ja tagauksed võivad olla otse teie riistvarakomponentidesse integreeritud. Mõnikord on need tagauksed rakendatud tootja enda poolt, näiteks IME Inteli protsessorite puhul. Teistel juhtudel võib selliseid tagauksi rakendada kolmas osapool, kes paigutab end uue riistvara tellimuste ja kliendi tarne vahele.


Sellise pahavara ja tagauksed võib rakendada ka vastane, kes kasutab tarkvara ekspluateerimist. Tehnoloogiamaailmas nimetatakse paljusid neist rootkitideks. Tavaliselt on seda tüüpi pahavara raskem avastada ja tõrjuda, kuna need on rakendatud madalamal tasemel kui kasutaja ruum ja sageli riistvara komponentide endi püsivara.


Mis on püsivara? Firmware on seadmete madala taseme operatsioonisüsteem. Tõenäoliselt on teie arvuti igal komponendil, sealhulgas näiteks kettaseadmetel, püsivara. Näiteks teie masina BIOS/UEFI-süsteem on üks püsivara tüüp.


Need võivad võimaldada kaugjuhtimist ja on võimelised võimaldama täielikku kontrolli sihtsüsteemi üle vaikselt ja varjatult.


Nagu eelnevalt mainitud, on neid kasutajate jaoks raskem avastada, kuid sellegipoolest on võimalik võtta mõningaid piiratud meetmeid, et leevendada mõningaid neist, kaitstes oma seadet võltsimise eest ja kasutades mõningaid meetmeid (näiteks bios'i ümbervärskendamine). Kahjuks, kui selline pahavara või tagauks on rakendatud tootja enda poolt, muutub nende avastamine ja keelamine äärmiselt keeruliseks.

 

[HEISENBERG]

Teie failid, dokumendid, pildid ja videod.

Omadused ja metaandmed.

See võib olla paljudele ilmselge, kuid mitte kõigile. Enamikul failidel on lisatud metaandmed. Heaks näiteks on pildid, mis salvestavad EXIF-teavet, mis võib sisaldada palju teavet, näiteks GPS-koordinaadid, milline kaamera/telefoni mudel selle pildistas ja millal see täpselt tehti. Kuigi see teave ei pruugi otseselt avaldada, kes te olete, võib see öelda, kus te teatud hetkel täpselt viibisite, mis võimaldab teistel teid leida erinevate allikate abil (näiteks videovalve või muud samas kohas samal ajal meeleavalduse ajal tehtud salvestised). On oluline, et te kontrolliksite iga faili, mille te nendele platvormidele panete, mis tahes omaduste suhtes, mis võivad sisaldada teavet, mis võib viia tagasi teie juurde.


Siin on näide EXIF-andmetest, mis võivad olla pildil:

Muide, see toimib ka videote puhul. Jah, ka videote puhul on olemas geotähed ja paljud on sellest väga teadmatuses. Siin on näiteks väga mugav vahend YouTube'i videote geolokatsiooniks: https://mattw.io/youtube-geofind/location [Archive.org].


Seetõttu tuleb alati väga ettevaatlik olla, kui sa oma anonüümseid identiteete kasutades faile üleslaadid ning kontrollida nende failide metaandmeid.


Isegi kui te avaldate lihtsa tekstifaili, peaksite seda alati enne avaldamist topelt- või kolmekordselt kontrollima, et see ei lekiks teavet. Selle kohta leiate mõned juhised juhendi lõpus olevast peatükist Mõned lisameetmed kohtuekspertiisi vastu.

 

[HEISENBERG]

Veemärgistus.

Pildid/Videod/Audio.

Pildid/Videod sisaldavad sageli nähtavaid vesimärke, mis näitavad, kes on omanik/looja, kuid erinevates toodetes on ka nähtamatuid vesimärke, mille eesmärk on tuvastada vaataja ise.


Seega, kui te olete teavitaja ja mõtlete mõne pildi/audio/video faili lekitamist. Mõelge kaks korda. On olemas võimalus, et need võivad sisaldada nähtamatuid vesimärke, mis sisaldavad teavet teie kui vaataja kohta. Selliseid vesimärke saab aktiveerida lihtsa lülitusega nagu Zoom (Video või Audio) või populaarsete rakenduste, näiteks Adobe Premiere Pro laiendustega. Neid saab sisestada erinevate sisuhaldussüsteemide abil.


Hiljutine näide, kus keegi lekitas Zoomi koosoleku salvestuse, kuna see oli varustatud vesimärgiga: https://theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org].


Selliseid vesimärke saab sisestada erinevate toodete abil, kasutades steganograafiat, ning need suudavad vastu pidada kompressioonile ja ümberkodeerimisele.


Need vesimärgid ei ole kergesti tuvastatavad ja võivad hoolimata kõigist jõupingutustest võimaldada allika tuvastamist.


Lisaks vesimärkidele saab video filmimiseks kasutatud kaamerat (ja seega ka filmimiseks kasutatud seadet) tuvastada ka erinevate tehnikate abil, näiteks objektiivi tuvastamise abil, mis võib viia anonüümsuse kaotamiseni.


Olge äärmiselt ettevaatlik tuntud kommertsplatvormidelt pärit videote/piltide/audiofailide avaldamisel, kuna need võivad lisaks piltide endi detailidele sisaldada selliseid nähtamatuid vesimärke.

Veemärkide trükkimine.

Kas teadsite, et tõenäoliselt luurab ka teie printer teie järele? Isegi kui see ei ole ühendatud ühegi võrguga? Seda teavad tavaliselt paljud inimesed IT-kogukonnas, kuid vähesed inimesed väljaspool.


Jah ... Teie printerit võib kasutada ka teie anonüümsuse kaotamiseks, nagu EFF siin https://www.eff.org/issues/printers [Archive.org] selgitab.


Selle (vana, kuid endiselt asjakohane) video, mis selgitab, kuidas EFF samuti:

[Invidious]


Põhimõtteliselt trükivad paljud printerid igale trükitud lehele nähtamatu vesimärgi, mis võimaldab printeri tuvastamist. Seda nimetatakse printeri steganograafiaks. seda ei ole võimalik leevendada, vaid tuleb ennast teavitada oma printerist ja veenduda, et see ei trüki nähtamatuid vesimärke. See on ilmselgelt oluline, kui kavatsete printida anonüümselt.


Siin on (vana, kuid endiselt asjakohane) nimekiri printeritest ja kaubamärkidest, mis ei trüki selliseid jälgimispunkte, mille on esitanud EFF https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org].


Siin on ka mõned nõuanded Whonixi dokumentatsioonist(https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]):


Ärge kunagi printige värviliselt, tavaliselt puuduvad vesimärgid ilma värviliste toonerite/kassettide kasutamiseta.

 

[HEISENBERG]

Pikseldatud või hägune teave.

Kas olete kunagi näinud ähmastunud tekstiga dokumenti? Kas olete kunagi teinud nalja nende filmide/sarjade üle, kus nad "parandavad" pilti, et taastada näiliselt võimatult loetav teave?


Noh, sellistest dokumentidest, videotest ja piltidest teabe taastamiseks on olemas tehnikad.


Siin on näiteks avatud lähtekoodiga projekt, mida saate ise kasutada teksti taastamiseks mõnelt hägustatud pildilt: https://github.com/beurtschipper/Depix [Archive.org].

See on muidugi avatud lähtekoodiga projekt, mis on kõigile kasutamiseks kättesaadav. Kuid võite ilmselt ette kujutada, et selliseid tehnikaid on tõenäoliselt ka teised vastased varem kasutanud. Neid võiks kasutada selleks, et avaldada avaldatud dokumentidest hägustatud teavet, mida saaks seejärel kasutada teie anonüümsuse kaotamiseks.


Selliste tehnikate kasutamiseks fototöötlusvahendite, näiteks GIMPi abil on olemas ka õpetused, näiteks : https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [Archive.org], millele järgneb https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org].

Lõpuks leiate siit rohkelt deblurring-ressursse: https://github.com/subeeshvasu/Awesome-Deblurring [Archive.org]


Mõned veebiteenused võivad isegi aidata teil seda mingil määral automaatselt teha, nagu MyHeritage.com täiustamise tööriist:


https://www.myheritage.com/photo-enhancer [Archive.org]


Siin on ülaltoodud pildi tulemus:

Loomulikult on see tööriist praegu pigem "arvamine" kui tõeline hägustamine, kuid sellest võib piisata, et teid erinevate pöördpildiotsingu teenuste abil leida.


Seetõttu on alati äärmiselt oluline, et te redigeeriksite ja kureeriksite korrektselt kõik dokumendid, mida te võiksite avaldada. Märgistamine ei ole piisav ja te peaksite alati kõik tundlikud andmed täielikult mustama/eemaldama, et vältida mis tahes vastase katseid andmeid taastada.

 

[HEISENBERG]

Teie krüptovaluutade tehingud.

Vastupidiselt levinud arvamusele ei ole krüptotehingud (nagu Bitcoin ja Ethereum) anonüümsed. Enamikku krüptovaluutasid saab erinevate meetodite abil täpselt jälgida


Pidage meeles, mida nad ütlevad oma lehel: https://bitcoin.org/en/you-need-to-know [Archive.org] ja https://bitcoin.org/en/protect-your-privacy [ Archive.org]:


"Bitcoin ei ole anonüümne "


Peamine küsimus ei ole juhusliku krüpto rahakoti loomine, et saada mingi valuuta VPN / Tor aadressi taga (sel hetkel on rahakott anonüümne). Probleem on peamiselt siis, kui soovite konverteerida Fiat raha (eurod, dollarid ...) Crypto ja siis, kui soovite oma Crypto sisse maksta. Teil on vähe realistlikke võimalusi, kuid teil on vaja need vahetusse (näiteks Coinbase/Kraken/Bitstamp/Binance) üle kanda. Need börsid on teadaolevad rahakoti aadressid ja hoiavad üksikasjalikke logisid (KYC finantseeskirjade tõttu) ja saavad seejärel jälgida neid krüptotehinguid teie juurde tagasi, kasutades finantssüsteemi.


On mõned krüptovaluutad, mis on mõeldud privaatsust/anonüümsust silmas pidades, nagu Monero, kuid isegi neil on mõned ja hoiatused, mida tuleb arvesse võtta.


Isegi kui kasutate Mixers või Tumblers (teenused, mis on spetsialiseerunud krüptovaluutade "anonüümseks muutmisele" nende "segamisega"), pidage meeles, et see on ainult hägustamine ja mitte tegelik anonüümsus. Need ei ole mitte ainult hägustamine, vaid võivad teid ka hätta ajada, kuna võite lõpuks vahetada oma krüptot "räpase" krüpto vastu, mida kasutati erinevates küsitavates kontekstides.


See ei tähenda, et te ei saa Bitcoini üldse anonüümselt kasutada. Võite tegelikult Bitcoini anonüümselt kasutada, kui te ei muuda seda tegelikuks valuutaks ja kasutate Bitcoini rahakotti turvalisest anonüümsest võrgustikust. See tähendab, et peaksite vältima erinevate vahetuste KYC/AML-eeskirju ja vältima Bitcoini võrgu kasutamist mis tahes teadaolevalt IP-aadressilt. Vt lisa Z: Anonüümne maksmine internetis BTC-ga.


Kokkuvõttes on IMHO parim võimalus mõistliku anonüümsuse ja privaatsusega krüpto kasutamiseks endiselt Monero ja te ei tohiks ideaalis kasutada tundlike tehingute tegemiseks ühtegi muud, kui te ei ole teadlik sellega seotud piirangutest ja riskidest. Palun lugege seda Monero vastutusest loobumist.

 

[HEISENBERG]

Teie pilvepõhised varundused/sünkroonimisteenused.

Kõik ettevõtted reklaamivad oma otsekohalduse krüpteerimise (E2EE) kasutamist. See kehtib peaaegu iga sõnumirakenduse ja veebisaidi kohta (HTTPS). Apple ja Google reklaamivad oma Android-seadmetes ja iPhone'ides krüpteerimise kasutamist.


Aga kuidas on lood teie varundustega? Need automaatsed iCloudi/google drive'i varukoopiad, mis teil on?


Noh, te peaksite ilmselt teadma, et enamik neist varukoopiatest ei ole lõpuni krüpteeritud ja sisaldavad osa teie andmeid, mis on kolmandatele osapooltele kergesti kättesaadavad. Te näete nende väiteid, et andmed on puhkeseisundis krüpteeritud ja kellegi eest kaitstud ... Ainult et tavaliselt hoiavad nad ise võtit, et pääseda mõnele andmetele ligi. Neid võtmeid kasutatakse selleks, et nad indekseeriksid teie sisu, taastaksid teie konto, koguksid erinevaid analüütilisi andmeid.


On olemas spetsiaalsed kaubanduslikud kriminalistikalahendused (Magnet Axiom, Cellebrite Cloud), mis aitavad vastasel teie pilveandmeid hõlpsasti analüüsida.


Märkimisväärsed näited:

• Apple iCloud: https://support.apple.com/en-us/HT202303 [Archive.org]: "Ka iCloudi sõnumid kasutavad otsast lõpuni krüpteerimist. Kui teil on sisse lülitatud iCloudi varundamine, sisaldab teie varukoopia teie Sõnumite kaitsva võtme koopiat. See tagab, et saate oma Sõnumid taastada, kui kaotate juurdepääsu iCloudi võtmehoidjale ja oma usaldusväärsetele seadmetele. ".
• Google Drive ja WhatsApp: https://faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Meediat ja sõnumeid, mida varundate, ei kaitse WhatsAppi otsekohalduse krüpteerimine, kui need on Google Drive'is. ".
• Dropbox: https://www.dropbox.com/privacy#terms [Archive.org] "Nende ja muude funktsioonide pakkumiseks Dropbox kasutab, salvestab ja skaneerib teie asju. Te annate meile loa neid asju teha ja see luba laieneb ka meie partneritele ja usaldusväärsetele kolmandatele osapooltele, kellega me koostööd teeme".
• Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Productivity and communications products, "Kui kasutate OneDrive'i, kogume andmeid teie teenuse kasutamise ja salvestatud sisu kohta, et pakkuda, parandada ja kaitsta teenuseid. Näiteks indekseerime teie OneDrive'i dokumentide sisu, et saaksite neid hiljem otsida, ja kasutame asukohateavet, et saaksite otsida fotosid selle järgi, kus foto on tehtud".

Te ei tohiks usaldada pilveteenuse pakkujatele oma (eelnevalt ja kohapeal krüpteerimata) tundlikke andmeid ja te peaksite olema ettevaatlik nende privaatsusavalduste suhtes. Enamikul juhtudel saavad nad teie andmetele ligi ja annavad neid soovi korral kolmandatele isikutele.


Ainus võimalus seda leevendada on krüpteerida oma andmed ise ja laadida need seejärel ainult sellistesse teenustesse üles.

 

[HEISENBERG]

Teie brauseri ja seadme sõrmejäljed.

Teie brauseri ja seadme sõrmejäljed on teie süsteemi/brauseri omaduste/võimete kogum. Neid kasutatakse enamikul veebisaitidel kasutaja nähtamatuks jälgimiseks, aga ka veebisaidi kasutajakogemuse kohandamiseks sõltuvalt veebilehitsejast. Näiteks suudavad veebisaidid pakkuda "mobiilikogemust", kui kasutate mobiilibrauserit või pakuvad välja konkreetse keele/geograafilise versiooni sõltuvalt teie sõrmejäljest. Enamik neist tehnikatest töötab uuemate brauserite, näiteks Chromiumil põhinevate brauserite (nt Chrome) või Firefoxi puhul, kui ei võeta erimeetmeid.


Nendest allikatest leiate palju üksikasjalikku teavet ja väljaandeid selle kohta:

• https://amiunique.org/links [Archive.org]
• https://brave.com/brave-fingerprinting-and-privacy-budgets/ [Archive.org]

Enamasti on need sõrmejäljed kahjuks unikaalsed või peaaegu unikaalsed teie brauserile/süsteemile. See tähendab, et isegi kui te logite veebilehelt välja ja seejärel logite uuesti sisse, kasutades teist kasutajanime, võib teie sõrmejälg jääda samaks, kui te ei ole võtnud ettevaatusabinõusid.


Vastane võib siis kasutada selliseid sõrmejälgi, et jälgida teid mitmes teenuses, isegi kui teil ei ole üheski neist kontot ja te kasutate reklaamide blokeerimist. Neid sõrmejälgi võib omakorda kasutada teie anonüümsuse kaotamiseks, kui te säilitate sama sõrmejälje eri teenuste vahel.


Samuti tuleb märkida, et kuigi mõned brauserid ja laiendused pakuvad sõrmejälgede tõrjumist, võib seda tõrjumist iseenesest kasutada ka teie sõrmejälgede võtmiseks, nagu on selgitatud siin https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org].


See juhend leevendab neid probleeme, leevendades, hägustades ja juhuslikult muutes paljusid neist sõrmejälgede tuvastamise tunnustest, kasutades Virtualiseerimist (vt lisa W: Virtualiseerimine) ja kasutades sõrmejälgedele vastupidavaid brausereid.

 

[HEISENBERG]

Kohalikud andmelekked ja kohtuekspertiis.

Enamik teist on ilmselt näinud Netflixis või televisioonis piisavalt palju kriminaaldraamasid, et teada, mis on kohtuekspertiis. Need on tehnikud (tavaliselt töötavad õiguskaitseorganite heaks), kes teostavad mitmesuguseid tõendite analüüse. See võib muidugi hõlmata teie nutitelefoni või sülearvutit.


Kuigi neid võib teha vastane, kui olete juba "kõrvetanud", võidakse neid teha ka juhuslikult rutiinse kontrolli või piirikontrolli käigus. Need omavahel mitteseotud kontrollid võivad avastada salajase teabe vastastele, kes ei olnud sellistest tegevustest eelnevalt teadlikud.


Kohtuekspertiisi meetodid on nüüdseks väga arenenud ja võivad teie seadmetest paljastada hämmastavalt palju teavet, isegi kui need on krüpteeritud. Neid tehnikaid kasutavad õiguskaitseorganid kogu maailmas laialdaselt ja nendega tuleks arvestada.


Siin on mõned hiljutised allikad, mida peaksite oma nutitelefoni kohta lugema:

• UpTurn, The Widespread Power of U.S. Law Enforcement to Search Mobile Phones https://www.upturn.org/reports/2020/mass-extraction/ [Archive.org].
• New-York Times, The Police Can Probably Break Into Your Phone https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html [Archive.org]
• Vice, Cops Around the Country Can Now Unlock iPhones, Records Show https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police [Archive.org]

Samuti soovitan tungivalt lugeda mõningaid dokumente kohtuekspertiisi seisukohalt, näiteks:

• EnCase Forensic User Guide, http://encase-docs.opentext.com/doc...al Files/EnCase Forensic v8.07 User Guide.pdf [Archive.org]
• FTK Forensic Toolkit, https://accessdata.com/products-services/forensic-toolkit-ftk [Archive.org]
• SANS Digital Forensics and Incident Response Videos, https://www.youtube.com/c/SANSDigitalForensics/videos

Ja lõpuks, siin on see väga õpetlik üksikasjalik dokument IOS/Android turvalisuse hetkeseisu kohta John Hopkinsi Ülikoolist: https://securephones.io/main.html.


Kui tegemist on teie sülearvutiga, on kohtuekspertiisi meetodeid palju ja laialt levinud. Paljusid neist probleemidest saab leevendada, kasutades täielikku ketta krüpteerimist, virtualiseerimist (vt lisa W: Virtualiseerimine) ja kambrite eraldamist. Selles juhendis kirjeldatakse hiljem üksikasjalikult selliseid ohte ja nende leevendamise tehnikaid.

 

[HEISENBERG]

Halb krüptograafia.

Infoturbe kogukonna seas on levinud ütlus: "Ära keera oma krüpto!".


Ja selleks on omad põhjused:


Mina isiklikult ei tahaks, et inimesed heidutatakse selle vanasõna tõttu krüptovaldkonnas õppimisest ja innovatsioonist. Seega soovitaksin inimestel olla selle asemel ettevaatlik "Roll your own crypto", sest see ei pruugi olla hea krüpto.

• Hea krüptograafia ei ole lihtne ja tavaliselt kulub selle arendamiseks ja peenhäälestamiseks aastatepikkune uurimistöö.
• Hea krüptograafia on läbipaistev ja ei ole patenteeritud / suletud lähtekoodiga, nii et kolleegid saavad seda üle vaadata.
• Head krüptograafiat arendatakse hoolikalt, aeglaselt ja harva üksi.
• Head krüptograafiat esitletakse ja arutatakse tavaliselt konverentsidel ning avaldatakse erinevates ajakirjades.
• Hea krüptograafia läbib ulatusliku eksperdihinnangu, enne kui see avalikustatakse.
• Olemasoleva hea krüptograafia korrektne kasutamine ja rakendamine on juba väljakutse.

Kuid see ei takista mõningaid siiski tegemast seda ja avaldamast erinevaid rakendusi/teenuseid, mis kasutavad omaenda krüptograafiat või patenteeritud suletud lähtekoodiga meetodeid.

• Suletud lähtekoodiga või patenteeritud krüpteerimismeetodeid kasutavate rakenduste/teenuste kasutamisel tuleb olla ettevaatlik. Kõik head krüptostandardid on avalikud ja vastastikuste eksperdihinnangutega ning ei tohiks olla mingit probleemi, kui avalikustate, millist te kasutate.
• Te peaksite olema ettevaatlik rakenduste/teenuste suhtes, mis kasutavad "modifitseeritud" või patenteeritud krüptograafilist meetodit.
• Vaikimisi ei tohiks te usaldada ühtegi "Roll your own crypto", kuni see on auditeeritud, eksperdihinnanguga, kontrollitud ja krüptograafia kogukonna poolt heaks kiidetud.
• Sellist asja nagu "sõjalise taseme krüpto" ei ole olemas.

Krüptograafia on keeruline teema ja halb krüptograafia võib kergesti viia teie anonüümsuse kaotamiseni.


Selle juhendi kontekstis soovitan jääda rakenduste/teenuste juurde, mis kasutavad väljakujunenud, avaldatud ja eksperdihinnanguga meetodeid.


Mida siis eelistada ja mida vältida alates 2021. aastast? Peate ise järele vaatama, et saada iga rakenduse tehnilised üksikasjad ja näha, kas nad kasutavad "halba krüptot" või "head krüptot". Kui sa saad tehnilised üksikasjad, võid vaadata seda lehekülge, et näha, mida see väärt on: https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org]


Siin on mõned näited:

• Hashes:
  
  • Eelistage: SHA256 (laialdaselt kasutatav), SHA512 (eelistatud) või SHA-3.
  • Vältida: SHA-1, SHA-2, MD5 (kahjuks endiselt laialdaselt kasutusel, CRC, MD6 (harva kasutusel).
• Faili/ketta krüpteerimine:
  
  • Eelista:
    
    • Riistvara kiirendatud: HMAC-SHA-2 või HMAC-SHA-3 (seda kasutavad Veracrypt, Bitlocker, Filevault 2, KeepassXC ja LUKS).
    • Mitte-hardvarakiirendatud: Sama, mis eespool kiirendatud, või kui see on saadaval, siis eelistage ChaCha20 või XChaCha20 (ChaCha20 saate kasutada koos Kryptoriga https://www.kryptor.co.uk, kahjuks ei ole see Veracryptiga saadaval).
  • Vältida: Peaaegu kõike muud
• Salasõnade säilitamine:
  
  • SHA-3 või kui see ei ole võimalik, siis vähemalt PBKDF2 (ainult viimase võimalusena).
  • Vältida: alasti SHA-2, SHA-1, MD5.
• Brauseri turvalisus (HTTPS):
  
  • HTTTT: Eelista: TLS 1.3 (ideaalis TLS 1.3 koos ECH/eSNI toega) või vähemalt TLS 1.2 (laialdaselt kasutusel).
  • Vältida: Kõik muu (TLS =<1.1, SSL =<3).
• Allkirjastamine PGP/GPG-ga:
  
  • Eelistada ECDSA (ed25519)+ECDH (ec25519) või RSA 4096 bitti*.
  • Vältida: RSA 2048 bitti
• SSH-võtmed:
  
  • ED25519 (eelistatud) või RSA 4096 bitti*.
  • Vältida: RSA 2048 bitti
• Hoiatus: RSA ja ED25519 ei peeta kahjuks "kvantkindlaks" ja kuigi neid ei ole veel murdnud, murduvad nad tõenäoliselt kunagi tulevikus. Tõenäoliselt on küsimus vaid selles, millal, mitte selles, kas RSA kunagi murdub. Seega eelistatakse neid nendes kontekstides parema võimaluse puudumise tõttu.

Siin on mõned reaalsed juhtumid probleemidest halb krüptograafia:

• Telegram: https://buttondown.email/cryptograp...ography-dispatches-the-most-backdoor-looking/ [Archive.org].
• Cryptocat: https://web.archive.org/web/2013070...-critical-vulnerability-in-cryptocat-details/
• Mõned teised näited võib leida siit: https://www.cryptofails.com/ [Archive.org]

 

[HEISENBERG]

Ei logi, kuid logi niikuinii poliitikaid.

Paljud inimesed arvavad, et privaatsusele orienteeritud teenused, näiteks VPN- või e-posti pakkujad, on turvalised tänu nende logimise puudumise poliitikale või krüpteerimisskeemidele. Kahjuks unustavad paljud neist samadest inimestest, et kõik need teenusepakkujad on juriidilised äriüksused, mille suhtes kehtivad nende riikide seadused, kus nad tegutsevad.


Mis tahes neist teenusepakkujatest võidakse sundida teid (teie teadmata) vaikselt (näiteks kohtumäärusega, mis sisaldab suukorvistamiskorraldust või riikliku julgeolekukirja) logima teie tegevust, et teid anonüümseks muuta. Hiljuti on olnud mitmeid selliseid näiteid:

• 2021, DoubleVPN-i serverid, logid ja kontoinfo, mille õiguskaitseorganid konfiskeerisid.
• 2021, Saksamaal asuvat postiteenuse pakkujat Tutanota sunniti 3 kuu jooksul jälgima konkreetseid kontosid
• 2020, Saksamaal asuv meiliteenuse pakkuja Tutanota oli sunnitud rakendama tagaukse, et pealtkuulata ja salvestada ühe kasutaja krüpteerimata e-kirjade koopiad (nad ei dekrüpteerinud salvestatud e-kirju).
• 2017, PureVPN oli sunnitud avalikustama ühe kasutaja andmed FBI-le.
• 2014, EarthVPNi kasutaja arreteeriti Hollandi politseile esitatud logide põhjal.
• 2014, HideMyAss'i kasutaja deanonüümseks muudeti ja logid anti FBI-le.
• 2013, turvalise e-posti teenusepakkuja Lavabit lõpetab tegevuse pärast võitlust salajase suukorvi vastu.

Mõned teenusepakkujad on rakendanud Warrant Canary kasutamist, mis võimaldaks nende kasutajatel teada saada, kas nad on selliste korralduste tõttu ohustatud, kuid minu teada ei ole seda veel katsetatud.


Lõpuks on nüüdseks teada, et mõned ettevõtted võivad olla mõnede riiklike vastaste sponsoreeritud eesliinid (vt Crypto AG lugu ja Omniseci lugu).


Nendel põhjustel on oluline, et te ei usaldaksite selliseid teenusepakkujaid oma privaatsuse osas, hoolimata kõigist nende väidetest. Enamikul juhtudel olete viimane inimene, kes saab teada, kas mõni teie konto oli selliste korralduste sihtmärgiks, ja te ei pruugi seda üldse kunagi teada saada.


Selle leevendamiseks soovitan juhtudel, kui soovite kasutada VPN-i, kasutada raha/Monero-maksetud VPN-teenuse pakkujat Tor'i asemel, et VPN-teenus ei saaks teada teie kohta igasugust tuvastatavat teavet.

 

[HEISENBERG]

Mõned edasijõudnud sihttehnikad.

On palju arenenud tehnikaid, mida oskuslikud vastased saavad kasutada teie turvameetmetest möödahiilimiseks, eeldusel, et nad juba teavad, kus teie seadmed asuvad. Paljud neist tehnikatest on üksikasjalikult kirjeldatud siin https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Iisrael) ja hõlmavad järgmist:

• Rünnakud, mis nõuavad mõnda seadmesse paigaldatud pahavara:
  
  • Andmete väljavoolamine pahavaraga nakatunud marsruuteri kaudu:
    [Invidious].
  • Andmete väljavoolamine läbi valguse muutumise jälgimise taustavalgustusega klaviatuuril, mille kaamera on ohustatud:
    [Kahtlane]
    
    • Andmete väljavoolamine ohustatud turvakaamera kaudu (mis võiks kõigepealt kasutada eelmist rünnakut).
      [Invidious]
    • Side väljastpoolt kompromiteeritud turvakaameratele infrapunavalgusignaalide kaudu:
      [Invidious]
  • Andmete väljapoole tungimine ohustatud õhuga varustatud arvutist FAN-müra akustilise analüüsi kaudu nutitelefoniga.
    [Invidious]
  • Andmete väljavool pahavara nakatunud õhku ühendatud arvutist HD Leds'i abil drooniga
    [Invidious]
  • Andmete eksfiltreerimine USB-ga nakatunud pahavara õhku ühendatud arvutist elektromagnetiliste häirete abil.
    [Invidious]
  • Andmete väljavool pahavara nakatunud HDD-kettalt varjatud akustilise müra abil
    [Invidious]
  • Andmete väljavool GSM-sageduste kaudu kahjustatud (pahavaraga) õhku ühendatud arvutist.
    [Invidious]
  • Andmete väljapoole tungimine elektromagnetilise kiirguse kaudu kahjustatud ekraaniseadmest.
    [Kahtlane]
  • Andmete väljaviimine magnetlainete kaudu kompromiteeritud õhuga ühendatud arvutist Faraday koti sees hoitavasse nutitelefoni.
    [Invidious]
  • side kahe kompromiteeritud õhuga varustatud arvuti vahel ultraheli helilainete abil.
    [Invidious]
  • Bitcoini rahakoti eksfiltreerimine kompromiteeritud õhuga varustatud arvutist nutitelefoni.
    [Invidious]
  • Andmete väljavool kompromiteeritud õhuga ühendatud arvutist, kasutades ekraani heledust
    [Invidious]
  • Andmete eemaldamine ohustatud õhuga varustatud arvutist vibratsiooni abil.
    [Invidious]
  • Andmete väljapoole tungimine kompromiteeritud õhuga varustatud arvutist, muutes RAM-i Wi-Fi kiirgajaks.
    [Invidious]
  • Andmete väljapoole tungimine kompromiteeritud õhuga ühendatud arvutist elektriliinide kaudu https://arxiv.org/abs/1804.04014 [Archive.org]
• Rünnakud, mis ei nõua pahavara:
  
  • Lambipirni jälgimine eemalt, et kuulata heli ruumis ilma pahavara kasutamata: Demonstratsioon:
    [Invidious]

Siin on ka hea video samadelt autoritelt nende teemade selgitamiseks: Black Hat, The Air-Gap Jumpers

[Invidious]


Realistlikult võttes on sellest juhendist selliste vastaste vastu vähe abi, kuna need pahavara võivad olla seadmetesse paigaldatud tootja või keegi vahepealne või keegi, kellel on füüsiline juurdepääs õhuhüppes olevale arvutile, kuid siiski on mõned võimalused selliste tehnikate leevendamiseks:

• Ärge teostage tundlikku tegevust, kui olete ühendatud ebausaldusväärse/turvalise elektriliiniga, et vältida elektriliini lekkeid.
• Ärge kasutage oma seadmeid kaamera ees, mis võib olla ohustatud.
• Kasutage oma seadmeid helikindlas ruumis, et vältida helilekkeid.
• Kasutage oma seadmeid faraday puuris, et vältida elektromagnetilisi lekkeid.
• Ärge rääkige tundlikku teavet seal, kus lambid võivad olla väljastpoolt vaadeldavad.
• Ostke oma seadmeid erinevatest/ettearvamatutest/offline kohtadest (kauplustest), kus on väiksem tõenäosus, et need on nakatunud sellise pahavaraga.
• Ärge laske kellelegi ligipääsu oma õhukontuuriga arvutitele, välja arvatud usaldusväärsetele inimestele.

 

[HEISENBERG]

Mõned boonusressursid.

• Tutvuge Whonixi dokumentatsiooniga, mis käsitleb andmete kogumise tehnikaid, siin: https://www.whonix.org/wiki/Data_Collection_Techniques [Archive.org].
• Samuti võiks teile meeldida vaadata seda teenust https://tosdr.org/ [Archive.org] (Terms of Services, Didn't Read), mis annab teile hea ülevaate paljude teenuste erinevatest ToSidest.
• Vaadake ka https://www.eff.org/issues/privacy [Archive.org], kus on veel mõned ressursid.
• Vaadake https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects [Wikiless] [Archive.org], et saada ülevaade kõigist teadaolevatest massilise jälgimise projektidest, nii praegustest kui ka varasematest.
• Vaadake https://www.gwern.net/Death-Note-Anonymity [Archive.org] (isegi kui te ei tea Death Note'ist).
• Kaaluge Michael Bazzelli raamatu "Open Source Intelligence Techniques" (8. trükk selle kirjutamise ajal, et saada rohkem teavet uuemate OSINT-tehnikate kohta) https://inteltechniques.com/book1.html [Archive.org] leidmist ja lugemist.
• Lõpuks vaadake https://www.freehaven.net/anonbib/date.html [Archive.org], kus on viimased veebipõhise anonüümsusega seotud akadeemilised dokumendid.

 

[HEISENBERG]

Märkused.

Kui te ikka veel arvate, et sellist teavet ei saa kasutada erinevate osalejate poolt teie jälgimiseks, võite ise näha mõnede platvormide statistikat ja pidage meeles, et need arvestavad ainult seaduslikke andmepäringuid ja ei loe selliseid asju nagu PRISM, MUSCULAR, SORM või XKEYSCORE, mida on varem selgitatud:

• Google'i läbipaistvusaruanne https://transparencyreport.google.com/user-data/overview [Archive.org]
• Facebooki läbipaistvusaruanne https://transparency.facebook.com/ [Archive.org]
• Apple'i läbipaistvusaruanne https://www.apple.com/legal/transparency/ [Archive.org]
• Cloudflare läbipaistvusaruanne https://www.cloudflare.com/transparency/ [Archive.org]
• Snapchati läbipaistvusaruanne https://www.snap.com/en-US/privacy/transparency [Archive.org]
• Telegram Transparency Report https://t.me/transparency [Archive.org] (nõuab telegrami paigaldamist)
• Microsofti läbipaistvusaruanne https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report [Archive.org]
• Amazon Transparency Report https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF [Archive.org]
• Dropboxi läbipaistvusaruanne https://www.dropbox.com/transparency [Archive.org]
• Discord Transparency Report https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d [Archive.org]
• GitHubi läbipaistvusaruanne https://github.blog/2021-02-25-2020-transparency-report/ [Archive.org]
• Snapchat Transparency Report https://www.snap.com/en-US/privacy/transparency/ [Archive.org]
• TikTok läbipaistvusaruanne https://www.tiktok.com/safety/resources/transparency-report?lang=en [Archive.org]
• Redditi läbipaistvusaruanne https://www.reddit.com/wiki/transparency [Archive.org]
• Twitteri läbipaistvusaruanne https://transparency.twitter.com/ [Archive.org]

 

[HEISENBERG]

Üldised preparaadid.

Isiklikult on selle juhendi kontekstis huvitav ka oma turvamudelit vaadata. Ja selles kontekstis on mul soovitada ainult ühte:


Zero-Trust Security ("Never trust, always verify").


Siin on mõned erinevad ressursid selle kohta, mis on Zero-Trust Security:

• DEFCON, Zero Trust a Vision for Securing Cloud,
  [Invidious]
• NSA endalt, Embracing a Zero Trust Security Model, https://media.defense.gov/2021/Feb/..._EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF [Archive.org].

 

[HEISENBERG]

Valige oma marsruut.

Siin on väike põhiline UML-diagramm, mis näitab teie valikuid. Vaata üksikasju allpool.

 

[HEISENBERG]

Ajakirjanduse piirangud.

• Teil on õppimiseks väga vähe aega ja te vajate kiirelt toimivat lahendust:
  
  • Teie parim valik on valida Tails'i tee (välja arvatud püsiva usutava eitatavuse osa).
• Teil on aega ja, mis veelgi tähtsam, tahtmist õppida:
  
  • Minge mis tahes marsruudiga.