Guida all'anonimato online (da https://anonymousplanet.org/)

Utilizzo a proprio rischio e pericolo. Non prendete questa guida come una verità definitiva per ogni cosa, perché non lo è.

Spoiler: Indice dei contenuti

• Introduzione:
• Comprendere alcune nozioni di base su come alcune informazioni possono ricondurre a voi e su come mitigarne alcune:
  • La vostra rete:
    • Il vostro indirizzo IP:
    • Le vostre richieste DNS e IP:
    • I vostri dispositivi RFID:
    • I dispositivi Wi-Fis e Bluetooth intorno a voi:
    • Punti di accesso Wi-Fi dannosi/rottamati:
    • Il vostro traffico Tor/VPN anonimizzato:
    • Alcuni dispositivi possono essere tracciati anche quando sono offline:
  • Gli identificatori hardware:
    • IMEI e IMSI (e, per estensione, il vostro numero di telefono):
    • Indirizzo MAC Wi-Fi o Ethernet:
    • Indirizzo MAC Bluetooth:
  • La CPU:
  • I sistemi operativi e i servizi di telemetria delle app:
  • I vostri dispositivi intelligenti in generale:
  • Voi stessi:
    • I vostri metadati, compresa la vostra geo-localizzazione:
    • La vostra impronta digitale, la vostra impronta e il vostro comportamento online:
    • I vostri indizi sulla vostra vita reale e OSINT:
    • Il vostro volto, la vostra voce, la vostra biometria e le vostre immagini:
    • Phishing e ingegneria sociale:
  • Malware, exploit e virus:
    • Malware nei vostri file/documenti/e-mail:
    • Malware ed exploit nelle app e nei servizi:
    • Dispositivi USB dannosi:
    • Malware e backdoor nel firmware dell'hardware e nel sistema operativo:
  • File, documenti, immagini e video:
    • Proprietà e metadati:
    • Filigrana:
    • Informazioni pixelate o sfocate:
  • Le vostre transazioni in criptovalute:
  • I vostri servizi di backup/sincronizzazione su cloud:
  • Impronte digitali del browser e del dispositivo:
  • Fughe di dati locali e forensi:
  • Crittografia scadente:
  • Nessuna registrazione ma politiche di registrazione:
  • Alcune tecniche avanzate mirate:
  • Alcune risorse bonus:
  • Note:
• Preparazione generale:
  • Scelta del percorso:
    • Limiti di tempo:
    • Limiti di budget/materiali:
    • Abilità:
    • Avversari (minacce):
  • Fasi per tutti i percorsi:
    • Ottenere un numero di telefono anonimo:
    • Procurarsi una chiave USB:
    • Trovare luoghi sicuri con Wi-Fi pubblico decente:
  • Il percorso TAILS:
    • Negazione plausibile persistente utilizzando Whonix all'interno di TAILS:
  • Passi per tutti gli altri percorsi:
    • Procuratevi un computer portatile dedicato alle vostre attività sensibili:
    • Alcune raccomandazioni per i portatili:
    • Impostazioni Bios/UEFI/Firmware del portatile:
    • Proteggere fisicamente il portatile:
  • Il percorso Whonix:
    • Scegliere il sistema operativo host (il sistema operativo installato sul portatile):
    • Sistema operativo host Linux:
    • MacOS Sistema operativo host:
    • Sistema operativo host Windows:
    • Virtualbox sul sistema operativo host:
    • Scegliere il metodo di connettività:
    • Ottenere una VPN/Proxy anonima:
    • Whonix:
    • Tor su VPN:
    • Whonix Macchine virtuali:
    • Scegliere la macchina virtuale della workstation guest:
    • Macchina virtuale Linux (Whonix o Linux):
    • Windows 10 Macchina virtuale:
    • Android Macchina virtuale:
    • MacOS Macchina virtuale:
    • KeepassXC:
    • Installazione del client VPN (a pagamento):
    • (Opzionale) che consente solo alle macchine virtuali di accedere a Internet, tagliando fuori il sistema operativo host per evitare qualsiasi perdita:
    • Fase finale:
  • Il percorso Qubes:
    • Scegliere il metodo di connettività:
    • Ottenere una VPN/Proxy anonima:
    • Installazione:
    • Comportamento di chiusura del coperchio:
    • Connettersi a un Wi-Fi pubblico:
    • Aggiornare il sistema operativo Qubes:
    • Irrobustimento del sistema operativo Qubes:
    • Configurazione della VPN ProxyVM:
    • Configurare un browser sicuro all'interno di Qube OS (opzionale ma consigliato):
    • Configurazione di una VM Android:
    • KeePassXC:
• Creare le proprie identità online anonime:
  • Comprendere i metodi utilizzati per impedire l'anonimato e verificare l'identità:
    • Captchas:
    • Verifica telefonica:
    • Verifica via e-mail:
    • Verifica dei dati dell'utente:
    • Verifica della prova d'identità:
    • Filtri IP:
    • Fingerprinting del browser e del dispositivo:
    • Interazione umana:
    • Moderazione degli utenti:
    • Analisi comportamentale:
    • Transazioni finanziarie:
    • Accesso con qualche piattaforma:
    • Riconoscimento del volto e biometria (di nuovo):
    • Recensioni manuali:
  • Entrare in rete:
    • Creare nuove identità:
    • Il sistema dei nomi reali:
    • Informazioni sui servizi a pagamento:
    • Panoramica:
    • Come condividere file o chattare in modo anonimo:
    • Ridurre documenti/immagini/video/audio in modo sicuro:
    • Comunicare informazioni sensibili a varie organizzazioni conosciute:
    • Attività di manutenzione:
• Backup del lavoro in modo sicuro:
  • Backup offline:
    • Backup di file selezionati:
    • Backup dell'intero disco/sistema:
  • Backup online:
    • File:
    • Informazioni:
  • Sincronizzazione dei file tra dispositivi Online:
• Coprire le proprie tracce:
  • Comprendere HDD e SSD:
    • Livellamento dell'usura.
    • Operazioni di ritaglio:
    • Garbage Collection:
    • Conclusione:
  • Come cancellare in modo sicuro l'intero laptop/disco se si vuole cancellare tutto:
    • Linux (tutte le versioni, compreso Qubes OS):
    • Windows:
    • MacOS:
  • Come cancellare in modo sicuro file/cartelle/dati specifici su HDD/SSD e unità Thumb:
    • Windows:
    • Linux (non Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Alcune misure aggiuntive contro la forensics:
    • Rimozione dei metadati da file/documenti/immagini:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (non Qubes):
    • Windows:
  • Rimozione di alcune tracce della vostra identità sui motori di ricerca e su varie piattaforme:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Alcuni trucchi low-tech della vecchia scuola:
  • Comunicazioni nascoste in bella vista:
  • Come scoprire se qualcuno ha cercato tra le vostre cose:
• Alcune ultime riflessioni sull'OPSEC:
• Se pensate di essere stati scottati:
  • Se avete un po' di tempo:
  • Se non avete tempo:
• Una piccola nota editoriale finale

 

[HEISENBERG]

Phishing e ingegneria sociale.

Il phishing è un tipo di attacco di ingegneria sociale in cui un avversario può cercare di estrarre informazioni dall'utente fingendo o impersonando qualcosa o qualcuno.


Un caso tipico è quello di un avversario che utilizza un attacco man-in-the-middle o una finta e-mail/chiamata per chiedere le credenziali per un servizio. Ciò può avvenire, ad esempio, tramite e-mail o impersonando servizi finanziari.


Questi attacchi possono anche essere utilizzati per de-anonimizzare qualcuno, inducendolo a scaricare malware o a rivelare informazioni personali nel corso del tempo.


Questi attacchi sono stati utilizzati innumerevoli volte fin dagli albori di Internet e il più comune è chiamato "truffa 419" ( vedi https://en.wikipedia.org/wiki/Advance-fee_scam [Wikiless] [Archive.org]).


Ecco un buon video se volete saperne di più sui tipi di phishing: Black Hat, Ichthyology: Il phishing come scienza

[Invidious].

 

[HEISENBERG]

Malware, exploit e virus.

Malware nei vostri file/documenti/e-mail.

Utilizzando la steganografia o altre tecniche, è facile incorporare malware in formati di file comuni come documenti di Office, immagini, video, documenti PDF...


Questi possono essere semplici link di tracciamento HTML o complessi malware mirati.


Potrebbe trattarsi di semplici immagini di dimensione pixel nascoste nelle e-mail che chiamano un server remoto per cercare di ottenere il vostro indirizzo IP.


Potrebbero sfruttare una vulnerabilità in un formato o in un lettore obsoleto. Questi exploit potrebbero essere utilizzati per compromettere il vostro sistema.


Per ulteriori spiegazioni sull'argomento, consultate questi video:

• Cos'è un formato di file?
  [Invidious]
• Ange Albertini: Formati di file divertenti:
  [Invidioso]

È necessario usare sempre la massima cautela. Per mitigare questi attacchi, questa guida raccomanda l'uso della virtualizzazione (vedere l'Appendice W: Virtualizzazione) per evitare la perdita di informazioni anche in caso di apertura di un file dannoso.


Se volete imparare a rilevare questo tipo di malware, consultate l'Appendice T: Controllo dei file alla ricerca di malware.

 

[HEISENBERG]

Malware ed exploit nelle vostre applicazioni e servizi.

Utilizzate Tor Browser o Brave Browser su Tor. Potreste utilizzarli tramite una VPN per una maggiore sicurezza. Ma dovete tenere presente che esistono exploit (hack) che potrebbero essere conosciuti da un avversario (ma sconosciuti al fornitore dell'app/browser). Tali exploit potrebbero essere utilizzati per compromettere il vostro sistema e rivelare dettagli per de-anonimizzarvi, come il vostro indirizzo IP o altri dettagli.


Un caso reale di utilizzo di questa tecnica è stato il caso Freedom Hosting nel 2013, in cui l'FBI ha inserito un malware utilizzando un exploit del browser Firefox su un sito web Tor. Questo exploit ha permesso di rivelare i dettagli di alcuni utenti. Più recentemente, c'è stato il notevole hack di SolarWinds che ha violato diverse istituzioni governative statunitensi inserendo un malware in un server ufficiale di aggiornamento del software.


In alcuni Paesi, il malware è obbligatorio e/o distribuito dallo Stato stesso. È il caso, ad esempio, della Cina con WeChat, che può essere utilizzato in combinazione con altri dati per la sorveglianza statale.


Ci sono innumerevoli esempi di estensioni del browser, applicazioni per smartphone e applicazioni varie che sono state infiltrate con malware nel corso degli anni.


Ecco alcuni passi per mitigare questo tipo di attacco:

• Non bisogna mai fidarsi al 100% delle app che si utilizzano.
• Prima di utilizzarle, è necessario verificare sempre che si stia utilizzando la versione aggiornata di tali app e, idealmente, convalidare ogni download utilizzando la loro firma, se disponibile.
• Non si dovrebbero utilizzare tali applicazioni direttamente da un sistema hardware, ma utilizzare una macchina virtuale per la compartimentazione.

Per tener conto di queste raccomandazioni, questa guida vi guiderà nell'uso della virtualizzazione (vedere Appendice W: Virtualizzazione), in modo che anche se il vostro browser/app viene compromesso da un avversario esperto, quest'ultimo si troverà bloccato in una sandbox senza poter accedere a informazioni identificative o compromettere il vostro sistema.

 

[HEISENBERG]

Dispositivi USB dannosi.

Esistono dispositivi "badUSB" facilmente reperibili in commercio e a basso costo che possono distribuire malware, registrare le vostre digitazioni, geolocalizzarvi, ascoltarvi o ottenere il controllo del vostro computer portatile semplicemente collegandoli. Ecco alcuni esempi che potete già acquistare.

• Hak5, Anatra di gomma USB https://shop.hak5.org/products/usb-rubber-ducky-deluxe [Archive.org]
• Hak5, Cavo O.MG
  [Invidious]
• Keelog https://www.keelog.com/ [Archive.org]
• AliExpress https://www.aliexpress.com/i/4000710369016.html [Archive.org]

Tali dispositivi possono essere impiantati ovunque (cavo di ricarica, mouse, tastiera, chiave USB...) da un avversario e possono essere utilizzati per tracciare l'utente o compromettere il suo computer o smartphone. L'esempio più significativo di tali attacchi è probabilmente Stuxnet del 2005.


Sebbene sia possibile ispezionare fisicamente una chiave USB, scansionarla con varie utility e controllare i vari componenti per verificare se sono autentici, molto probabilmente un avversario esperto non sarà mai in grado di scoprire malware complesso incorporato in parti autentiche di una chiave USB autentica senza attrezzature forensi avanzate.


Per ovviare a questo problema, non bisogna mai fidarsi di questi dispositivi e collegarli ad apparecchiature sensibili. Se si utilizza un dispositivo di ricarica, si dovrebbe prendere in considerazione l'uso di un dispositivo di blocco dei dati USB che consenta solo la ricarica ma non il trasferimento di dati. Tali dispositivi di blocco dei dati sono oggi facilmente reperibili in molti negozi online. Si dovrebbe anche considerare di disabilitare completamente le porte USB nel BIOS del computer, a meno che non siano necessarie (se possibile).

 

[HEISENBERG]

Malware e backdoor nel firmware dell'hardware e nel sistema operativo.

Questo aspetto potrebbe suonare un po' familiare, in quanto già parzialmente trattato in precedenza nella sezione La vostra CPU.


Malware e backdoor possono essere incorporati direttamente nei componenti hardware. A volte queste backdoor sono implementate dal produttore stesso, come l'IME nel caso delle CPU Intel. In altri casi, invece, tali backdoor possono essere implementate da una terza parte che si inserisce tra gli ordini di nuovo hardware e la consegna al cliente.


Questo tipo di malware e di backdoor può anche essere implementato da un avversario tramite exploit software. Molti di questi sono chiamati rootkit nel mondo tecnologico. Di solito, questi tipi di malware sono più difficili da rilevare e mitigare perché sono implementati a un livello inferiore rispetto allo spazio utente e spesso nel firmware stesso dei componenti hardware.


Che cos'è il firmware? Il firmware è un sistema operativo di basso livello per i dispositivi. Ogni componente del computer è probabilmente dotato di firmware, ad esempio le unità disco. Il sistema BIOS/UEFI del computer, ad esempio, è un tipo di firmware.


Questi possono consentire la gestione remota e sono in grado di abilitare il controllo completo su un sistema di destinazione in modo silenzioso e furtivo.


Come accennato in precedenza, questi sono più difficili da rilevare da parte degli utenti, ma è comunque possibile adottare alcune misure limitate per mitigarli, proteggendo il dispositivo da manomissioni e utilizzando alcuni accorgimenti (come il rifacimento del bios, ad esempio). Purtroppo, se il malware o la backdoor sono implementati dal produttore stesso, diventa estremamente difficile rilevarli e disabilitarli.

 

[HEISENBERG]

I vostri file, documenti, immagini e video.

Proprietà e metadati.

Questo aspetto può essere ovvio per molti, ma non per tutti. La maggior parte dei file è corredata da metadati. Un buon esempio sono le foto che memorizzano le informazioni EXIF, che possono contenere molte informazioni come le coordinate GPS, il modello di fotocamera/telefono che le ha scattate e l'ora precisa in cui sono state scattate. Anche se queste informazioni potrebbero non rivelare direttamente chi siete, potrebbero dire esattamente dove vi trovavate in un determinato momento, il che potrebbe consentire ad altri di utilizzare fonti diverse per trovarvi (ad esempio, telecamere a circuito chiuso o altri filmati ripresi nello stesso luogo e alla stessa ora durante una protesta). È importante che verifichiate ogni file che mettete su queste piattaforme alla ricerca di eventuali proprietà che possano contenere informazioni che possano ricondurre a voi.


Ecco un esempio di dati EXIF che potrebbero essere presenti in una foto:

A proposito, questo vale anche per i video. Sì, anche i video hanno il geo-tagging e molti non ne sono consapevoli. Ecco ad esempio uno strumento molto comodo per geo-localizzare i video di YouTube: https://mattw.io/youtube-geofind/location [Archive.org].


Per questo motivo, dovrete sempre fare molta attenzione quando caricate file utilizzando le vostre identità anonime e controllare i metadati di tali file.


Anche se pubblicate un semplice file di testo, prima di pubblicarlo dovreste sempre controllare due o tre volte che non ci siano perdite di informazioni. Troverete alcune indicazioni in merito nella sezione Alcune misure aggiuntive contro la forensics alla fine della guida.

 

[HEISENBERG]

Filigrana.

Immagini/Video/Audio.

Le immagini/video spesso contengono watermark visibili che indicano chi è il proprietario/creatore, ma esistono anche watermark invisibili in vari prodotti che mirano a identificare lo spettatore stesso.


Quindi, se siete un informatore e state pensando di divulgare un file immagine/audio/video, pensateci due volte. Pensateci due volte. C'è la possibilità che questi file contengano watermark invisibili che includono informazioni su di voi come spettatori. Tali filigrane possono essere attivate con un semplice interruttore in Zoom (Video o Audio) o con estensioni per applicazioni popolari come Adobe Premiere Pro. Possono essere inseriti da vari sistemi di gestione dei contenuti.


Per un esempio recente in cui qualcuno ha divulgato la registrazione di una riunione Zoom è stato scoperto perché era filigranata: https://theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org].


Tali filigrane possono essere inserite da vari prodotti utilizzando la steganografia e possono resistere alla compressione e alla ricodifica.


Questi watermark non sono facilmente rilevabili e potrebbero consentire l'identificazione della fonte nonostante tutti gli sforzi.


Oltre ai watermark, anche la telecamera utilizzata per la ripresa (e quindi il dispositivo utilizzato per la ripresa) di un video può essere identificata con varie tecniche, come l'identificazione dell'obiettivo, che potrebbero portare alla de-anonimizzazione.


Fate molta attenzione quando pubblicate video/immagini/file audio da piattaforme commerciali conosciute, perché potrebbero contenere questi watermark invisibili oltre ai dettagli delle immagini stesse.

Filigrana di stampa.

Sapevate che molto probabilmente anche la vostra stampante vi sta spiando? Anche se non è collegata ad alcuna rete? Questo è un fatto noto a molte persone della comunità IT, ma a poche persone esterne.


Sì... Le vostre stampanti possono essere utilizzate per de-anonimizzarvi, come spiegato dall'EFF qui https://www.eff.org/issues/printers [Archive.org].


Con questo video (vecchio ma ancora pertinente) che spiega come farlo, sempre dell'EFF:

[Invidious]


In pratica, molte stampanti stampano una filigrana invisibile che consente di identificare la stampante su ogni pagina stampata. Non c'è un modo vero e proprio per mitigare questo fenomeno, se non quello di informarsi sulla propria stampante e assicurarsi che non stampi alcun watermark invisibile. Questo è ovviamente importante se si intende stampare in modo anonimo.


Ecco un elenco (vecchio ma ancora pertinente) di stampanti e marchi che non stampano tali punti di tracciamento, fornito dall'EFF https://www.eff .org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org].


Ecco anche alcuni suggerimenti tratti dalla documentazione di Whonix(https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]):


Non stampate mai a colori, di solito le filigrane non sono presenti senza toner/cartucce a colori.

 

[HEISENBERG]

Informazioni pixelate o sfocate.

Avete mai visto un documento con testo sfocato? Avete mai preso in giro quei film/serie in cui "migliorano" un'immagine per recuperare informazioni apparentemente impossibili da leggere?


Esistono tecniche per recuperare informazioni da documenti, video e immagini di questo tipo.


Ecco ad esempio un progetto open-source che potete utilizzare per recuperare da soli il testo da alcune immagini sfocate: https://github.com/beurtschipper/Depix [Archive.org].

Si tratta ovviamente di un progetto open-source disponibile per tutti. Ma probabilmente potete immaginare che tali tecniche sono già state utilizzate da altri avversari. Potrebbero essere utilizzate per rivelare informazioni confuse da documenti pubblicati che potrebbero poi essere usate per de-anonimizzarvi.


Esistono anche tutorial per l'utilizzo di tali tecniche con strumenti di fotoritocco come GIMP, come : https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [Archive.org] seguito da https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org].

Infine, troverete molte risorse per la deblurring qui: https://github.com/subeeshvasu/Awesome-Deblurring [Archive.org]


Alcuni servizi online possono anche aiutarvi a farlo automaticamente, come lo strumento di miglioramento di MyHeritage.com:


https://www.myheritage.com/photo-enhancer [Archive.org]


Ecco il risultato dell'immagine precedente:

Naturalmente, questo strumento è più simile a una "supposizione" che a una vera e propria deblurring, ma potrebbe essere sufficiente per trovarvi utilizzando vari servizi di ricerca inversa di immagini.


Per questo motivo, è sempre estremamente importante redigere e curare correttamente qualsiasi documento che si voglia pubblicare. La sfocatura non è sufficiente e occorre sempre oscurare/rimuovere completamente qualsiasi dato sensibile per evitare qualsiasi tentativo di recupero dei dati da parte di qualsiasi avversario.

 

[HEISENBERG]

Le vostre transazioni in criptovalute.

Contrariamente a quanto si crede, le transazioni in criptovalute (come Bitcoin ed Ethereum) non sono anonime. La maggior parte delle criptovalute può essere tracciata con precisione attraverso vari metodi.


Ricordate quello che dicono sulla loro stessa pagina: https://bitcoin.org/en/you-need-to-know [Archive.org] e https://bitcoin.org/en/protect-your-privacy [Archive.org]:


"Bitcoin non è anonimo".


Il problema principale non è la creazione di un portafoglio crittografico casuale per ricevere la valuta dietro un indirizzo VPN/Tor (a questo punto, il portafoglio è anonimo). Il problema è soprattutto quando si vuole convertire il denaro Fiat (euro, dollari...) in Crypto e poi quando si vuole incassare la Crypto. Avrete poche opzioni realistiche se non quella di trasferirle a un exchange (come Coinbase/Kraken/Bitstamp/Binance). Questi exchange hanno indirizzi di portafogli noti e terranno registri dettagliati (a causa delle normative finanziarie KYC) e potranno quindi risalire alle transazioni di criptovalute utilizzando il sistema finanziario.


Esistono alcune criptovalute che tengono conto della privacy/anonimato, come Monero, ma anche queste hanno alcune avvertenze da considerare.


Anche se utilizzate Mixer o Tumblr (servizi specializzati nell'"anonimizzazione" delle criptovalute attraverso la loro "miscelazione"), tenete presente che si tratta solo di offuscamento e non di vero e proprio anonimato. Non solo sono solo un'offuscamento, ma potrebbero anche mettervi nei guai perché potreste finire per scambiare le vostre criptovalute con criptovalute "sporche" che sono state usate in vari contesti discutibili.


Questo non significa affatto che non possiate usare Bitcoin in modo anonimo. In realtà è possibile utilizzare il Bitcoin in modo anonimo purché non lo si converta in valuta reale e si utilizzi un portafoglio Bitcoin di una rete anonima sicura. In altre parole, dovreste evitare le normative KYC/AML dei vari exchange ed evitare di utilizzare la rete Bitcoin da un indirizzo IP noto. Vedere l'Appendice Z: Pagare online in modo anonimo con BTC.


Nel complesso, IMHO, l'opzione migliore per utilizzare le criptovalute con un ragionevole anonimato e privacy è ancora Monero e, idealmente, non dovreste usare nessun altro per le transazioni sensibili a meno che non siate consapevoli delle limitazioni e dei rischi connessi. Si prega di leggere questa clausola di esclusione di responsabilità per Monero.

 

[HEISENBERG]

I vostri servizi di backup/sincronizzazione su cloud.

Tutte le aziende pubblicizzano l'uso della crittografia end-to-end (E2EE). Questo vale per quasi tutte le app di messaggistica e i siti web (HTTPS). Apple e Google pubblicizzano l'uso della crittografia sui loro dispositivi Android e iPhone.


Ma che dire dei vostri backup? Quei backup automatici di iCloud/google drive che avete?


Ebbene, è bene che sappiate che la maggior parte di questi backup non sono completamente crittografati da un capo all'altro e conterranno alcune delle vostre informazioni prontamente disponibili per terzi. Vedrete le loro affermazioni secondo cui i dati sono crittografati a riposo e al sicuro da chiunque... Solo che di solito conservano una chiave per accedere ad alcuni dei dati stessi. Queste chiavi vengono utilizzate per indicizzare i vostri contenuti, recuperare il vostro account e raccogliere varie analisi.


Esistono soluzioni forensi commerciali specializzate (Magnet Axiom, Cellebrite Cloud) che aiutano un avversario ad analizzare i dati del cloud con facilità.


Esempi notevoli:

• Apple iCloud: https://support.apple.com/en-us/HT202303 [Archive.org]: "Anche i messaggi in iCloud utilizzano la crittografia end-to-end. Se il backup di iCloud è attivato, il backup include una copia della chiave che protegge i messaggi. Questo garantisce la possibilità di recuperare i messaggi se si perde l'accesso al Portachiavi iCloud e ai dispositivi affidabili. ".
• Google Drive e WhatsApp: https://faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Imedia e i messaggi di cui si esegue il backup non sono protetti dalla crittografia end-to-end di WhatsApp quando si trovano in Google Drive. ".
• Dropbox: https://www.dropbox.com/privacy#terms [Archive.org] "Per fornire queste e altre funzioni, Dropbox accede, archivia e scansiona i tuoi dati. Tu ci dai il permesso di fare queste cose, e questo permesso si estende ai nostri affiliati e alle terze parti fidate con cui collaboriamo".
• Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Prodotti per la produttività e la comunicazione, "Quando si utilizza OneDrive, raccogliamo dati sull'utilizzo del servizio da parte dell'utente, nonché sui contenuti archiviati, per fornire, migliorare e proteggere i servizi. Tra gli esempi vi è l'indicizzazione del contenuto dei documenti OneDrive in modo da poterli ricercare in un secondo momento e l'utilizzo delle informazioni sulla posizione per consentire la ricerca di foto in base al luogo in cui sono state scattate".

Non bisogna fidarsi dei fornitori di cloud con i propri dati sensibili (non precedentemente e localmente crittografati) e bisogna diffidare delle loro dichiarazioni sulla privacy. Nella maggior parte dei casi possono accedere ai vostri dati e fornirli a terzi se lo desiderano.


L'unico modo per mitigare questo problema è crittografare i dati da soli e caricarli solo su questi servizi.

 

[HEISENBERG]

Impronte del browser e del dispositivo.

Le impronte digitali del browser e del dispositivo sono un insieme di proprietà/capacità del sistema/browser. Sono utilizzate nella maggior parte dei siti web per il tracciamento invisibile degli utenti, ma anche per adattare l'esperienza dell'utente del sito web in base al suo browser. Ad esempio, i siti web saranno in grado di fornire una "esperienza mobile" se l'utente utilizza un browser mobile o di proporre una lingua/versione geografica specifica in base alla sua impronta digitale. La maggior parte di queste tecniche funziona con browser recenti come quelli basati su Chromium (come Chrome) o Firefox, a meno che non si adottino misure speciali.


È possibile trovare molte informazioni e pubblicazioni dettagliate al riguardo in queste risorse:

• https://amiunique.org/links [Archive.org]
• https://brave.com/brave-fingerprinting-and-privacy-budgets/ [Archive.org]

Nella maggior parte dei casi, queste impronte digitali saranno purtroppo uniche o quasi uniche per il vostro browser/sistema. Ciò significa che anche se ci si disconnette da un sito Web e poi si accede nuovamente utilizzando un nome utente diverso, l'impronta digitale potrebbe rimanere la stessa se non si prendono misure precauzionali.


Un avversario potrebbe quindi utilizzare tali impronte digitali per tracciare l'utente su più servizi, anche se non ha un account su nessuno di essi e utilizza il blocco degli annunci. Queste impronte digitali potrebbero a loro volta essere utilizzate per de-anonimizzarvi se mantenete la stessa impronta digitale tra i vari servizi.


Va inoltre notato che, sebbene alcuni browser ed estensioni offrano una resistenza alle impronte digitali, questa resistenza può di per sé essere utilizzata per rilevare le impronte digitali, come spiegato qui https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org].


Questa guida attenuerà questi problemi mitigando, offuscando e randomizzando molti degli identificatori di impronte digitali utilizzando la virtualizzazione (vedere l'Appendice W: Virtualizzazione) e utilizzando browser resistenti alle impronte digitali.

 

[HEISENBERG]

Fughe di dati locali e medicina legale.

La maggior parte di voi ha probabilmente visto abbastanza drammi polizieschi su Netflix o in TV per sapere cosa sono i forensi. Si tratta di tecnici (che di solito lavorano per le forze dell'ordine) che eseguono varie analisi delle prove. Tra queste potrebbe esserci anche il vostro smartphone o il vostro computer portatile.


Se da un lato queste analisi potrebbero essere effettuate da un avversario quando siete già stati "bruciati", dall'altro potrebbero essere effettuate casualmente durante un controllo di routine o un controllo di frontiera. Questi controlli non correlati potrebbero rivelare informazioni segrete ad avversari che non erano a conoscenza di tali attività.


Le tecniche forensi sono oggi molto avanzate e possono rivelare una quantità impressionante di informazioni dai vostri dispositivi, anche se criptati. Queste tecniche sono ampiamente utilizzate dalle forze dell'ordine di tutto il mondo e dovrebbero essere prese in considerazione.


Ecco alcune risorse recenti che dovreste leggere sul vostro smartphone:

• UpTurn, The Widespread Power of U.S. Law Enforcement to Search Mobile Phones ( Il potere diffuso delle forze dell'ordine statunitensi di cercare nei telefoni cellulari ) https://www.upturn.org/reports/2020/mass-extraction/ [Archive.org].
• New-York Times, The Police Can Probably Break Into Your Phone https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html [ Archive.org]
• Vice, Cops Around the Country Can Now Unlock iPhones, Records Show https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police [ Archive.org]

Vi consiglio inoltre di leggere alcuni documenti dal punto di vista di un esaminatore forense, come ad esempio:

• Guida all'uso di EnCase Forensic, http://encase-docs.opentext.com/doc...al Files/EnCase Forensic v8.07 User Guide.pdf [Archive.org]
• FTK Forensic Toolkit, https://accessdata.com/products-services/forensic-toolkit-ftk [Archive.org]
• Video di Digital Forensics e Incident Response del SANS, https://www.youtube.com/c/SANSDigitalForensics/videos

Infine, ecco un documento dettagliato molto istruttivo sullo stato attuale della sicurezza di IOS/Android della John Hopkins University: https://securephones.io/main.html.


Per quanto riguarda il computer portatile, le tecniche forensi sono numerose e diffuse. Molti di questi problemi possono essere mitigati utilizzando la crittografia completa del disco, la virtualizzazione (vedere Appendice W: Virtualizzazione) e la compartimentazione. Questa guida descriverà in dettaglio tali minacce e le tecniche per mitigarle.

 

[HEISENBERG]

Cattiva crittografia.

C'è un adagio frequente nella comunità dell'infosecurity: "Non creare la tua crittografia!".


E ci sono delle ragioni per questo:


Personalmente, non vorrei che le persone fossero scoraggiate dallo studiare e innovare nel campo della crittografia a causa di questo adagio. Pertanto, raccomanderei alle persone di essere caute con "Roll your own crypto" perché non è necessariamente una buona crittografia.

• Una buona crittografia non è facile e di solito richiede anni di ricerca per essere sviluppata e messa a punto.
• La buona crittografia è trasparente e non è proprietaria/closed-source, in modo da poter essere esaminata dai colleghi.
• La buona crittografia viene sviluppata con attenzione, lentamente e raramente da sola.
• La buona crittografia viene solitamente presentata e discussa in conferenze e pubblicata su varie riviste.
• La buona crittografia viene sottoposta a un'ampia revisione tra pari prima di essere rilasciata per l'uso in natura.
• Utilizzare e implementare correttamente la buona crittografia esistente è già una sfida.

Tuttavia, questo non impedisce ad alcuni di farlo comunque e di pubblicare varie applicazioni/servizi di produzione utilizzando la propria crittografia o metodi proprietari closed-source.

• È necessario usare cautela quando si utilizzano applicazioni/servizi con metodi di crittografia chiusi o proprietari. Tutti i buoni standard di crittografia sono pubblici e sottoposti a revisione paritaria e non dovrebbero esserci problemi a rivelare quello che si utilizza.
• Bisogna diffidare delle applicazioni/servizi che utilizzano un metodo crittografico "modificato" o proprietario.
• Per impostazione predefinita, non ci si deve fidare di nessun metodo "Roll your own crypto" finché non è stato verificato, sottoposto a revisione paritaria, controllato e accettato dalla comunità crittografica.
• Non esiste una "crittografia di livello militare".

La crittografia è un argomento complesso e una crittografia scadente potrebbe facilmente portare alla vostra disanonimizzazione.


Nel contesto di questa guida, raccomando di attenersi ad applicazioni/servizi che utilizzano metodi ben consolidati, pubblicati e sottoposti a peer review.


Quindi, cosa preferire e cosa evitare a partire dal 2021? Dovrete cercare da soli i dettagli tecnici di ogni applicazione e capire se utilizza una "cattiva crittografia" o una "buona crittografia". Una volta ottenuti i dettagli tecnici, potete consultare questa pagina per vedere quanto vale: https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org].


Ecco alcuni esempi:

• Hashes:
  
  • Preferire: SHA256 (ampiamente utilizzato), SHA512 (preferito) o SHA-3
  • Evitare: SHA-1, SHA-2, MD5 (purtroppo ancora ampiamente utilizzato, CRC, MD6 (raramente utilizzato)
• Crittografia di file/dischi:
  
  • Preferire:
    
    • Accelerata via hardware: AES 256 bit con HMAC-SHA-2 o HMAC-SHA-3 (è quello che usano Veracrypt, Bitlocker, Filevault 2, KeepassXC e LUKS).
    • Accelerato non hardware: Come l'accelerato di cui sopra o, se disponibile, preferisce ChaCha20 o XChaCha20 (è possibile utilizzare ChaCha20 con Kryptor https://www.kryptor.co.uk, purtroppo non è disponibile con Veracrypt).
  • Evitare: Praticamente tutto il resto
• Memorizzazione delle password:
  
  • Preferire: argon2, scrypt, bcrypt, SHA-3 o, se non possibile, almeno PBKDF2 (solo come ultima risorsa).
  • Evitare: SHA-2 nudo, SHA-1, MD5
• Sicurezza del browser (HTTPS):
  
  • Preferire: TLS 1.3 (idealmente TLS 1.3 con supporto ECH/eSNI) o almeno TLS 1.2 (ampiamente utilizzato)
  • Evitare: Tutto il resto (TLS =<1.1, SSL =<3)
• Firma con PGP/GPG:
  
  • Preferire ECDSA (ed25519)+ECDH (ec25519) o RSA 4096 bit*.
  • Evitare: RSA 2048 bit
• Chiavi SSH:
  
  • ED25519 (preferibile) o RSA 4096 Bit*
  • Evitare: RSA 2048 bit
• Attenzione: RSA e ED25519 non sono purtroppo considerati "resistenti ai quanti" e, sebbene non siano ancora stati violati, probabilmente lo saranno un giorno in futuro. Probabilmente è solo una questione di quando e non di se RSA sarà mai violato. Quindi, in questi contesti, sono da preferire a causa della mancanza di un'opzione migliore.

Ecco alcuni casi reali di problemi di cattiva crittografia:

• Telegram: https://buttondown.email/cryptograp...ography-dispatches-the-most-backdoor-looking/ [Archive.org]
• Cryptocat: https://web.archive.org/web/2013070...-critical-vulnerability-in-cryptocat-details/
• Altri esempi possono essere trovati qui: https://www.cryptofails.com/ [Archive.org]

 

[HEISENBERG]

Politiche di non logging ma di logging comunque.

Molte persone hanno l'idea che i servizi orientati alla privacy, come le VPN o i provider di posta elettronica, siano sicuri grazie alle loro politiche di non registrazione o ai loro schemi di crittografia. Purtroppo, molte di queste persone dimenticano che tutti questi fornitori sono entità commerciali legali soggette alle leggi dei Paesi in cui operano.


Ciascuno di questi provider può essere costretto a registrare silenziosamente (a vostra insaputa, ad esempio con un'ordinanza del tribunale o una lettera di sicurezza nazionale) la vostra attività per de-anonimizzarvi. Ci sono stati diversi esempi recenti in tal senso:

• 2021, server, log e informazioni sugli account di DoubleVPN sequestrati dalle forze dell'ordine
• 2021, il provider di posta Tutanota, con sede in Germania, è stato costretto a monitorare account specifici per 3 mesi.
• 2020, il provider di posta Tutanota, con sede in Germania, è stato costretto a implementare una backdoor per intercettare e salvare copie delle e-mail non crittografate di un utente (non hanno decrittografato le e-mail memorizzate).
• 2017, PureVPN è stato costretto a rivelare le informazioni di un utente all'FBI.
• 2014, un utente di EarthVPN è stato arrestato sulla base dei log forniti alla polizia olandese.
• 2014, un utente di HideMyAss è stato deanonimizzato e i registri sono stati forniti all'FBI.
• 2013, il provider di posta elettronica sicura Lavabit ha chiuso i battenti dopo aver combattuto contro un ordine di bavaglio segreto.

Alcuni provider hanno implementato l'uso di un Warrant Canary che consentirebbe ai loro utenti di scoprire se sono stati compromessi da tali ordini, ma questo non è ancora stato testato, per quanto ne so.


Infine, è ormai risaputo che alcune aziende potrebbero essere dei front-end sponsorizzati per alcuni avversari statali (si veda la storia di Crypto AG e quella di Omnisec).


Per questi motivi, è importante non fidarsi di questi fornitori per la propria privacy, nonostante tutte le loro affermazioni. Nella maggior parte dei casi, sarete l'ultima persona a sapere se uno dei vostri account è stato preso di mira da tali ordini e potreste non saperlo mai.


Per ovviare a questo problema, nei casi in cui vogliate utilizzare una VPN, vi raccomando di utilizzare un provider VPN pagato in contanti/moneta piuttosto che Tor, per evitare che il servizio VPN venga a conoscenza di informazioni identificabili su di voi.

 

[HEISENBERG]

Alcune tecniche avanzate mirate.

Esistono molte tecniche avanzate che possono essere utilizzate da avversari esperti per aggirare le vostre misure di sicurezza, a patto che sappiano già dove si trovano i vostri dispositivi. Molte di queste tecniche sono descritte in dettaglio qui https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israele) e comprendono:

• Attacchi che richiedono un malware impiantato in qualche dispositivo:
  
  • Esfiltrazione di dati attraverso un router infettato da malware:
    [Invidioso].
  • Esfiltrazione di dati attraverso l'osservazione della variazione di luce in una tastiera retroilluminata con una telecamera compromessa:
    [Invidioso]
    
    • Estrazione di dati attraverso una telecamera di sicurezza compromessa (che potrebbe prima utilizzare l'attacco precedente).
      [Invidioso]
    • Comunicazione da un estraneo a telecamere di sicurezza compromesse attraverso segnali luminosi IR:
      [Invidioso]
  • Estrazione di dati da un computer compromesso dotato di connessione ad aria attraverso l'analisi acustica dei rumori FAN con uno smartphone.
    [Invidioso]
  • Estrazione di dati da un computer infettato da malware tramite led HD con un drone.
    [Invidious]
  • Esfiltrazione di dati da un malware USB su un computer con protezione dall'aria attraverso interferenze elettromagnetiche
    [Invidioso]
  • Esfiltrazione di dati da un disco HDD infettato da un malware attraverso rumori acustici di copertura
    [Invidioso]
  • Esfiltrazione di dati attraverso le frequenze GSM da un computer compromesso (con malware) collegato all'aria.
    [Invidioso]
  • Estrazione di dati attraverso le emissioni elettromagnetiche da un dispositivo Display compromesso
    [Invidioso]
  • Estrazione di dati attraverso le onde magnetiche da un computer compromesso con protezione dall'aria a uno smartphone conservato in una borsa di Faraday.
    [Invidioso]
  • Comunicazione tra due computer ad aria compromessi tramite onde sonore ultrasoniche.
    [Invidioso]
  • Estrazione di un portafoglio Bitcoin da un computer ad aria compromesso ad uno smartphone
    [Invidioso]
  • Estrazione di dati da un computer compromesso dotato di connessione ad aria utilizzando la luminosità del display
    [Invidioso]
  • Estrazione di dati da un computer compromesso dotato di connessione ad aria attraverso le vibrazioni
    [Invidioso]
  • Estrazione di dati da un computer compromesso dotato di connessione ad aria trasformando la RAM in un emettitore Wi-Fi.
    [Invidioso]
  • Estrazione di dati da un computer compromesso collegato all'aria attraverso le linee elettriche https://arxiv.org/abs/1804.04014 [ Archive.org]
• Attacchi che non richiedono malware:
  
  • Osservare una lampadina a distanza per ascoltare il suono nella stanza senza alcun malware: Dimostrazione:
    [Invidious]

Ecco anche un buon video degli stessi autori per spiegare questi argomenti: Black Hat, The Air-Gap Jumpers

[Invidioso]


Realisticamente, questa guida sarà di scarso aiuto contro tali avversari, in quanto questi malware potrebbero essere impiantati sui dispositivi da un produttore o da chiunque si trovi nel mezzo o da chiunque abbia accesso fisico al computer air-gapped, ma esistono comunque alcuni modi per mitigare tali tecniche:

• Non condurre attività sensibili mentre si è connessi a una linea elettrica non affidabile/non sicura per evitare perdite di linea.
• Non utilizzare i dispositivi davanti a una telecamera che potrebbe essere compromessa.
• Utilizzate i dispositivi in una stanza insonorizzata per evitare fughe di notizie.
• Utilizzate i dispositivi in una gabbia di Faraday per evitare perdite elettromagnetiche.
• Non parlate di informazioni sensibili in luoghi in cui le lampadine potrebbero essere osservate dall'esterno.
• Acquistate i vostri dispositivi da luoghi (negozi) diversi/imprevedibili/offline, dove la probabilità che vengano infettati da questo tipo di malware è minore.
• Non permettete a nessuno di accedere ai vostri computer protetti dall'aria, tranne che a persone fidate.

 

[HEISENBERG]

Alcune risorse supplementari.

• Date un'occhiata alla documentazione Whonix sulle tecniche di raccolta dati: https: //www.whonix.org/wiki/Data_Collection_Techniques [Archive.org].
• Potreste anche dare un'occhiata a questo servizio https://tosdr.org/ [Archive.org] (Terms of Services, Didn't Read) che vi darà una buona panoramica dei vari ToS di molti servizi.
• Date un'occhiata a https://www.eff.org/issues/privacy [Archive.org] per altre risorse.
• Date un'occhiata a https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects [Wikiless] [Archive.org] per avere una panoramica di tutti i progetti di sorveglianza di massa conosciuti, attuali e passati.
• Date un'occhiata a https://www.gwern.net/Death-Note-Anonymity [Archive.org] (anche se non conoscete Death Note).
• Considerate la possibilità di trovare e leggere il libro di Michael Bazzell "Open Source Intelligence Techniques" (ottava edizione al momento della stesura di questo documento per saperne di più sulle recenti tecniche OSINT) https://inteltechniques.com/book1.html [ Archive.org].
• Infine, consultate https://www.freehaven.net/anonbib/date.html [Archive.org] per gli ultimi documenti accademici relativi all'anonimato online.

 

[HEISENBERG]

Note.

Se ancora non credete che tali informazioni possano essere utilizzate da vari attori per tracciarvi, potete vedere alcune statistiche relative ad alcune piattaforme, tenendo presente che queste tengono conto solo delle richieste di dati lecite e non contano cose come PRISM, MUSCULAR, SORM o XKEYSCORE spiegate in precedenza:

• Rapporto sulla trasparenza di Google https://transparencyreport.google.com/user-data/overview [Archive.org]
• Rapporto sulla trasparenza di Facebook https://transparency.facebook.com/ [Archive.org]
• Rapporto sulla trasparenza di Apple https://www.apple.com/legal/transparency/ [ Archive.org]
• Rapporto sulla trasparenza di Cloudflare https://www.cloudflare.com/transparency/ [Archive.org ]
• Rapporto sulla trasparenza di Snapchat https://www.snap.com/en-US/privacy/transparency [Archive.org]
• Rapporto sulla trasparenza di Telegram https://t.me/transparency [Archive.org] (richiede telegram installato)
• Rapporto sulla trasparenza di Microsoft https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report [ Archive.org]
• Rapporto sulla trasparenza di Amazon https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF [ Archive.org]
• Rapporto sulla trasparenza di Dropbox https://www.dropbox.com/transparency [Archive.org]
• Rapporto sulla trasparenza di Discord https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d [Archive.org ]
• Rapporto sulla trasparenza di GitHub https://github.blog/2021-02-25-2020-transparency-report/ [Archive.org]
• Rapporto sulla trasparenza di Snapchat https://www.snap.com/en-US/privacy/transparency/ [ Archive.org]
• Rapporto sulla trasparenza di TikTok https://www.tiktok.com/safety/resources/transparency-report?lang=en [ Archive.org]
• Rapporto sulla trasparenza di Reddit https://www.reddit.com/wiki/transparency [ Archivio.org]
• Rapporto sulla trasparenza di Twitter https://transparency.twitter.com/ [ Archivio.org]

 

[HEISENBERG]

Preparazioni generali.

Personalmente, nel contesto di questa guida, è interessante anche dare un'occhiata al proprio modello di sicurezza. In questo contesto, ne ho solo uno da raccomandare:


Zero-Trust Security ("Mai fidarsi, verificare sempre").


Ecco alcune risorse che spiegano cos'è la Zero-Trust Security:

• DEFCON, Zero Trust a Vision for Securing Cloud,
  [Invidious]
• Dalla stessa NSA, Embracing a Zero Trust Security Model (Abbracciare un modello di sicurezza a fiducia zero), https://media.defense.gov/2021/Feb/..._EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF [Archive.org].

 

[HEISENBERG]

Scegliere il percorso.

Ecco un piccolo diagramma UML di base che mostra le opzioni disponibili. Vedere i dettagli qui sotto.

 

[HEISENBERG]

Limiti di tempo.

• Avete un tempo di apprendimento molto limitato e avete bisogno di una soluzione che funzioni rapidamente:
  
  • L'opzione migliore è quella di scegliere la strada di Tails (escludendo la sezione della negazione plausibile persistente).
• Avete tempo e soprattutto voglia di imparare:
  
  • Scegliete qualsiasi percorso.