Przewodnik po anonimowości online (https://anonymousplanet.org/)

Korzystanie na własne ryzyko. Nie traktuj tego przewodnika jako ostatecznej prawdy o wszystkim, ponieważ tak nie jest.

Spoiler: Spis treści

• Wprowadzenie:
• Zrozumienie podstaw tego, w jaki sposób niektóre informacje mogą prowadzić z powrotem do ciebie i jak złagodzić niektóre z nich:
  • Sieć:
    • Twój adres IP:
    • Żądania DNS i IP:
    • Urządzenia obsługujące RFID:
    • Urządzenia Wi-Fi i Bluetooth wokół ciebie:
    • Złośliwe/nieuczciwe punkty dostępu Wi-Fi:
    • Zanonimizowany ruch Tor/VPN:
    • Niektóre urządzenia mogą być śledzone nawet w trybie offline:
  • Identyfikatory sprzętu:
    • IMEI i IMSI (a tym samym numer telefonu):
    • Adres MAC sieci Wi-Fi lub Ethernet:
    • Adres MAC Bluetooth:
  • Procesor:
  • Systemy operacyjne i usługi telemetryczne aplikacji:
  • ogólnie urządzenia inteligentne:
  • Ty sam:
    • Twoje metadane, w tym geolokalizacja:
    • Cyfrowy odcisk palca, ślad i zachowanie online:
    • Wskazówki dotyczące prawdziwego życia i OSINT:
    • Twarz, głos, dane biometryczne i zdjęcia:
    • Phishing i inżynieria społeczna:
  • Złośliwe oprogramowanie, exploity i wirusy:
    • Złośliwe oprogramowanie w plikach/dokumentach/wiadomościach e-mail:
    • Złośliwe oprogramowanie i exploity w aplikacjach i usługach:
    • Złośliwe urządzenia USB:
    • Złośliwe oprogramowanie i backdoory w oprogramowaniu sprzętowym i systemie operacyjnym:
  • Pliki, dokumenty, zdjęcia i filmy:
    • Właściwości i metadane:
    • Znak wodny:
    • Rozpikselowane lub niewyraźne informacje:
  • Transakcje w kryptowalutach:
  • Kopie zapasowe/usługi synchronizacji w chmurze:
  • Odciski palców przeglądarki i urządzenia:
  • Lokalne wycieki danych i kryminalistyka:
  • Zła kryptografia:
  • Brak logowania, ale i tak zasady logowania:
  • Zaawansowane techniki ukierunkowane:
  • Dodatkowe zasoby:
  • Uwagi:
• Ogólne przygotowania:
  • Wybór trasy:
    • Ograniczenia czasowe:
    • Ograniczenia budżetowe/materiałowe:
    • Umiejętności:
    • Przeciwnicy (zagrożenia):
  • Kroki dla wszystkich tras:
    • Uzyskanie anonimowego numeru telefonu:
    • Zdobądź klucz USB:
    • Znajdź bezpieczne miejsca z przyzwoitym publicznym Wi-Fi:
  • Trasa TAILS:
    • Persistent Plausible Deniability przy użyciu Whonix w ramach TAILS:
  • Kroki dla wszystkich innych tras:
    • Zdobądź dedykowany laptop do wykonywania wrażliwych działań:
    • Kilka zaleceń dotyczących laptopów:
    • Ustawienia Bios/UEFI/Firmware laptopa:
    • Fizyczna ochrona laptopa:
  • Trasa Whonix:
    • Wybór systemu operacyjnego hosta (systemu operacyjnego zainstalowanego na laptopie):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox na systemie operacyjnym hosta:
    • Wybierz metodę połączenia:
    • Uzyskaj anonimowy VPN/Proxy:
    • Whonix:
    • Tor przez VPN:
    • Whonix Maszyny wirtualne:
    • Wybierz maszynę wirtualną stacji roboczej gościa:
    • Maszyna wirtualna Linux (Whonix lub Linux):
    • Windows 10 Maszyna wirtualna:
    • Android Maszyna wirtualna:
    • MacOS Maszyna wirtualna:
    • KeepassXC:
    • Instalacja klienta VPN (płatna gotówką/Monero):
    • (opcjonalnie) umożliwiając tylko maszynom wirtualnym dostęp do Internetu, jednocześnie odcinając system operacyjny hosta, aby zapobiec wyciekom:
    • Ostatni krok:
  • Trasa Qubes:
    • Wybierz metodę połączenia:
    • Uzyskaj anonimowy VPN/Proxy:
    • Instalacja:
    • Lid Closure Behavior:
    • Połączenie z publiczną siecią Wi-Fi:
    • Aktualizacja Qubes OS:
    • Hardening Qubes OS:
    • Konfiguracja VPN ProxyVM:
    • Konfiguracja bezpiecznej przeglądarki w Qube OS (opcjonalne, ale zalecane):
    • Konfiguracja maszyny wirtualnej Android:
    • KeePassXC:
• Tworzenie anonimowej tożsamości online:
  • Zrozumienie metod używanych do zapobiegania anonimowości i weryfikacji tożsamości:
    • Captcha:
    • Weryfikacja telefoniczna:
    • Weryfikacja e-mail:
    • Sprawdzanie danych użytkownika:
    • Weryfikacja dowodu tożsamości:
    • Filtry IP:
    • Odciski palców przeglądarki i urządzenia:
    • Interakcja międzyludzka:
    • Moderacja użytkowników:
    • Analiza behawioralna:
    • Transakcje finansowe:
    • Logowanie za pomocą jakiejś platformy:
    • Rozpoznawanie twarzy na żywo i biometria (ponownie):
    • Ręczne przeglądy:
  • Getting Online:
    • Tworzenie nowych tożsamości:
    • System prawdziwych nazw:
    • Informacje o płatnych usługach:
    • Przegląd:
    • Jak udostępniać pliki lub czatować anonimowo:
    • Bezpieczne redagowanie dokumentów/obrazów/wideo/audio:
    • Przekazywanie poufnych informacji różnym znanym organizacjom:
    • Zadania konserwacyjne:
• Bezpieczne tworzenie kopii zapasowych:
  • Kopie zapasowe offline:
    • Kopie zapasowe wybranych plików:
    • Pełne kopie zapasowe dysku/systemu:
  • Kopie zapasowe online:
    • Pliki:
    • Informacje:
  • Synchronizacja plików między urządzeniami Online:
• Zacieranie śladów:
  • Zrozumienie dysków HDD i SSD:
    • Niwelowanie zużycia.
    • Operacje przycinania:
    • Garbage Collection:
    • Podsumowanie:
  • Jak bezpiecznie wymazać cały laptop/dysk, jeśli chcesz wymazać wszystko:
    • Linux (wszystkie wersje, w tym Qubes OS):
    • Windows:
    • MacOS:
  • Jak bezpiecznie usunąć określone pliki/foldery/dane na dysku HDD/SSD i pendrive'ach:
    • Windows:
    • Linux (bez Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Niektóre dodatkowe środki przeciwko kryminalistyce:
    • Usuwanie metadanych z plików/dokumentów/obrazów:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (non-Qubes):
    • Windows:
  • Usuwanie niektórych śladów tożsamości w wyszukiwarkach i na różnych platformach:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Kilka oldschoolowych sztuczek:
  • Ukryta komunikacja na widoku:
  • Jak wykryć, że ktoś przeszukiwał twoje rzeczy:
• Kilka ostatnich przemyśleń na temat OPSEC:
• Jeśli myślisz, że się sparzyłeś:
  • Jeśli masz trochę czasu:
  • Jeśli nie masz czasu:
• Mała końcowa uwaga redakcyjna

 

[HEISENBERG]

Wprowadzenie.

TLDR dla całego przewodnika: "Dziwna gra. Jedynym zwycięskim ruchem jest nie grać".


Założenie konta w mediach społecznościowych z pseudonimem lub nazwą artysty/marki jest łatwe. I w większości przypadków wystarczy, by chronić swoją tożsamość jak następny George Orwell. Istnieje wiele osób używających pseudonimów na Facebooku/Instagramie/Twitterze/LinkedIn/TikTok/Snapchacie/Reddicie/... Ale zdecydowana większość z nich nie jest anonimowa i może być łatwo zidentyfikowana przez lokalnych funkcjonariuszy policji, przypadkowych ludzi ze społeczności OSINT (Open-Source Intelligence) i trolli na 4chan.


To dobra rzecz, ponieważ większość przestępców/trolli nie zna się na technologii i można ich łatwo zidentyfikować. Ale jest to również zła rzecz, ponieważ większość dysydentów politycznych, działaczy na rzecz praw człowieka i sygnalistów można również dość łatwo śledzić.


Ten zaktualizowany przewodnik ma na celu wprowadzenie do różnych technik deanonimizacji, technik śledzenia, technik weryfikacji tożsamości i opcjonalnych wskazówek dotyczących tworzenia i utrzymywania w miarę anonimowych tożsamości online, w tym kont w mediach społecznościowych. Obejmuje to platformy głównego nurtu, a nie tylko te przyjazne prywatności.


Ważne jest, aby zrozumieć, że celem tego przewodnika jest anonimowość, a nie tylko prywatność, ale wiele wskazówek, które tu znajdziesz, pomoże ci również poprawić prywatność i bezpieczeństwo, nawet jeśli nie jesteś zainteresowany anonimowością. Techniki i narzędzia stosowane w celu zapewnienia prywatności, bezpieczeństwa i anonimowości w znacznym stopniu się pokrywają, ale w pewnym momencie się różnią:

• Prywatność polega na tym, że ludzie wiedzą, kim jesteś, ale nie wiedzą, co robisz.
• Anonimowość polega na tym, że ludzie wiedzą, co robisz, ale nie wiedzą, kim jesteś

Czy ten przewodnik pomoże ci chronić się przed NSA, FSB, Markiem Zuckerbergiem lub Mossadem, jeśli będą chcieli cię znaleźć? Prawdopodobnie nie... Mossad będzie robił "rzeczy Mossadu" i prawdopodobnie cię znajdzie, bez względu na to, jak bardzo będziesz się starał ukryć.


Zanim przejdziesz dalej, musisz rozważyć swój model zagrożenia.

Czy ten przewodnik pomoże ci chronić swoją prywatność przed badaczami OSINT, takimi jak Bellingcat13, trollami Doxing14 na 4chan15 i innymi, którzy nie mają dostępu do zestawu narzędzi NSA? Raczej tak. Nie byłbym jednak taki pewien co do 4chan.


Oto podstawowy uproszczony model zagrożeń dla tego przewodnika:

Ważne zastrzeżenie: Żarty na bok (magiczny amulet...). Oczywiście istnieją również zaawansowane sposoby łagodzenia ataków przeciwko tak zaawansowanym i wykwalifikowanym przeciwnikom, ale są one poza zakresem tego przewodnika. Niezwykle ważne jest, aby zrozumieć ograniczenia modelu zagrożeń tego przewodnika. Dlatego też niniejszy przewodnik nie podwoi się, aby pomóc w tych zaawansowanych środkach łagodzących, ponieważ jest to po prostu zbyt złożone i będzie wymagało bardzo dużej wiedzy, której nie oczekuje się od docelowych odbiorców tego przewodnika.


EFF zawiera kilka scenariuszy bezpieczeństwa, które należy wziąć pod uwagę w zależności od aktywności. Chociaż niektóre z tych wskazówek mogą nie wchodzić w zakres tego przewodnika (więcej o prywatności niż anonimowości), nadal warto je przeczytać jako przykłady. Zobacz https://ssd.eff.org/en/module-categories/security-scenarios [Archive.org].
Istnieje również kilka poważniejszych sposobów na stworzenie modelu zagrożenia, takich jak:

• LINDDUN https://www.linddun.org/ [Archive.org ]
• STRIDE https://en.wikipedia.org/wiki/STRIDE_(bezpieczeństwo) [Wikiless] [Archive.org ]
• DREAD https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model) [ Wikiless ] [Archive.org ]
• PASTA https://versprite.com/tag/pasta-threat-modeling/ [Archive.org ]

Jest też sporo innych, zobacz:

• https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/ [ Archive.org]
• https://www.geeksforgeeks.org/threat-modelling/ [Archive.org ]

Wprowadzenie do nich można znaleźć w tych projektach:

• OWASP https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html [Archive .org]
• Online Operations Security https://github.com/devbret/online-opsec/ [Archive.org ]

 

[HEISENBERG]

Zrozumienie podstaw tego, w jaki sposób niektóre informacje mogą prowadzić do Ciebie i jak złagodzić niektóre z nich.

Istnieje wiele sposobów śledzenia użytkownika, poza plikami cookie przeglądarki i reklamami, e-mailem i numerem telefonu. A jeśli myślisz, że tylko Mossad lub NSA/FSB mogą cię znaleźć, to bardzo się mylisz.


Możesz rozważyć obejrzenie tej dobrej listy odtwarzania YouTube jako wprowadzenia przed przejściem dalej: https://www.youtube.com/playlist?list=PL3KeV6Ui_4CayDGHw64OFXEPHgXLkrtJO [ Invidious] (z projektu Go Incognito https://github.com/techlore-official/go-incognito [Archive.org]). Niniejszy przewodnik obejmie wiele z tych tematów z większą ilością szczegółów i odniesień, a także kilka dodatkowych tematów, które nie zostały omówione w tej serii, ale polecam tę serię jako wprowadzenie, a obejrzenie jej zajmie tylko 2-3 godziny.


Oto niewyczerpująca lista niektórych z wielu sposobów, w jakie możesz być śledzony i pozbawiony anonimowości:

 

[HEISENBERG]

Twoja sieć.

Twój adres IP.

Zastrzeżenie: cały ten akapit dotyczy publicznego adresu IP w Internecie, a nie adresu IP w sieci lokalnej


Adres IP jest najbardziej znanym i oczywistym sposobem śledzenia użytkownika. Ten adres IP jest adresem IP używanym u źródła. Jest to miejsce, w którym łączysz się z Internetem. Ten adres IP jest zwykle dostarczany przez dostawcę usług internetowych (xDSL, telefon komórkowy, kabel, światłowód, kawiarnia, bar, znajomy, sąsiad). W większości krajów obowiązują przepisy dotyczące przechowywania danych, które nakazują prowadzenie dzienników tego, kto korzysta z jakiego adresu IP w określonym czasie/dacie przez okres do kilku lat lub bezterminowo. Twój dostawca usług internetowych może powiedzieć stronie trzeciej, że korzystałeś z określonego adresu IP w określonym dniu i czasie, wiele lat po fakcie. Jeśli ten adres IP (pierwotny) wycieknie w dowolnym momencie z jakiegokolwiek powodu, może zostać użyty do bezpośredniego namierzenia użytkownika. W wielu krajach nie będzie można uzyskać dostępu do Internetu bez podania dostawcy jakiejś formy identyfikacji (adres, dowód osobisty, prawdziwe imię i nazwisko, adres e-mail...).


Nie trzeba dodawać, że większość platform (takich jak sieci społecznościowe) będzie również przechowywać (czasami przez czas nieokreślony) adresy IP używane do rejestracji i logowania się do ich usług.


Oto kilka zasobów internetowych, których możesz użyć, aby znaleźć informacje o swoim bieżącym publicznym adresie IP:

• Find your IP:
  
  • https://resolve.rs/
  • https://www.dnsleaktest.com/ (bonus, sprawdź swój adres IP pod kątem wycieków DNS)
• Znajdź swój adres IP lub lokalizację dowolnego adresu IP:
  
  • https://resolve.rs/ip/geolocation.html
• Sprawdź, czy adres IP jest "podejrzany" lub pobrał "rzeczy" z niektórych zasobów publicznych:
  
  • https://www.virustotal.com/gui/home/search
  • https://iknowwhatyoudownload.com
• Informacje rejestracyjne adresu IP (najprawdopodobniej dostawca usług internetowych lub dostawca usług internetowych połączenia, który najprawdopodobniej wie, kto używa tego adresu IP w dowolnym momencie):
  
  • https://whois.domaintools.com/
• Sprawdzenie otwartych usług lub otwartych urządzeń na adresie IP (zwłaszcza jeśli są na nim nieszczelne inteligentne urządzenia):
  
  • https://www.shodan.io/host/185.220.101.134 (zastąp IP swoim IP lub dowolnym innym, lub zmień w polu wyszukiwania, ten przykładowy IP to węzeł Tor Exit)
• Różne narzędzia do sprawdzania adresu IP, takie jak narzędzia do sprawdzania czarnych list i inne:
  
  • https://www.whatismyip.com
  • https://browserleaks.com/
• Chcesz wiedzieć, czy jesteś połączony przez Tor?
  
  • https://check.torproject.org

Z tych powodów będziemy musieli zaciemnić ten źródłowy adres IP (ten powiązany z identyfikacją użytkownika) lub ukryć go tak bardzo, jak to możliwe, za pomocą kombinacji różnych środków:

• Korzystanie z publicznej usługi Wi-Fi (bezpłatnie).
• Korzystanie z sieci anonimowej Tor (bezpłatnie).
• Anonimowe korzystanie z usług VPN (anonimowo opłacane gotówką lub Monero).

Wszystkie te sposoby zostaną wyjaśnione w dalszej części tego przewodnika.

 

[HEISENBERG]

Żądania DNS i IP.

DNS to skrót od "Domain Name System" i jest to usługa używana przez przeglądarkę (i inne aplikacje) do znajdowania adresów IP usług. Jest to w zasadzie ogromna "lista kontaktów" (książka telefoniczna dla starszych osób), która działa jak zapytanie o nazwę i zwraca numer, pod który należy zadzwonić. Z wyjątkiem tego, że zamiast tego zwraca adres IP.


Za każdym razem, gdy przeglądarka chce uzyskać dostęp do określonej usługi, takiej jak Google za pośrednictwem www.google.com. Przeglądarka (Chrome lub Firefox) zapyta usługę DNS, aby znaleźć adresy IP serwerów internetowych Google.


Oto film wyjaśniający wizualnie DNS, jeśli już się zgubiłeś:

[Invidious].


Zazwyczaj usługa DNS jest dostarczana przez dostawcę usług internetowych i automatycznie konfigurowana przez sieć, z którą się łączysz. Ta usługa DNS może również podlegać przepisom dotyczącym przechowywania danych lub po prostu przechowywać dzienniki z innych powodów (na przykład gromadzenie danych do celów reklamowych). W związku z tym dostawca usług internetowych będzie w stanie powiedzieć wszystko, co robiłeś online, po prostu przeglądając te dzienniki, które z kolei mogą być dostarczone przeciwnikowi. Jest to również najłatwiejszy sposób dla wielu przeciwników na zastosowanie cenzury lub kontroli rodzicielskiej za pomocą blokowania DNS. Dostarczone serwery DNS podadzą ci inny adres (niż ich prawdziwy) dla niektórych stron internetowych (np. przekierowując thepiratebay na jakąś stronę rządową). Takie blokowanie jest powszechnie stosowane na całym świecie dla niektórych witryn.


Korzystanie z prywatnej usługi DNS lub własnej usługi DNS złagodziłoby te problemy, ale innym problemem jest to, że większość tych żądań DNS jest domyślnie nadal wysyłana w postaci zwykłego tekstu (niezaszyfrowanego) przez sieć. Nawet jeśli przeglądasz PornHub w oknie incognito, używając HTTPS i korzystając z prywatnej usługi DNS, istnieje bardzo duże prawdopodobieństwo, że Twoja przeglądarka wyśle niezaszyfrowane żądanie DNS do niektórych serwerów DNS z pytaniem "Jaki jest adres IP www.pornhub.com?".


Ponieważ nie jest ono zaszyfrowane, dostawca usług internetowych i/lub jakikolwiek inny przeciwnik może przechwycić (za pomocą ataku Man-in-the-middle) to żądanie i ewentualnie zarejestrować, czego szukał twój adres IP. Ten sam dostawca usług internetowych może również manipulować odpowiedziami DNS, nawet jeśli korzystasz z prywatnego DNS. Sprawia to, że korzystanie z prywatnej usługi DNS staje się bezużyteczne.


Dodatkowo, wiele urządzeń i aplikacji korzysta z zakodowanych serwerów DNS, omijając wszelkie ustawienia systemowe. Tak jest na przykład w przypadku większości (70%) telewizorów Smart TV i dużej części (46%) konsol do gier. W przypadku tych urządzeń będziesz musiał zmusić je do zaprzestania korzystania z zakodowanej usługi DNS, co może spowodować, że przestaną działać poprawnie.


Rozwiązaniem jest użycie szyfrowanego DNS przy użyciu DoH (DNS over HTTPS), DoT (DNS over TLS) z prywatnym serwerem DNS (może to być hostowany lokalnie za pomocą rozwiązania takiego jak pi-hole, zdalnie hostowany za pomocą rozwiązania takiego jak nextdns.io lub przy użyciu dostawcy rozwiązań przez dostawcę VPN lub sieć Tor). Powinno to zapobiec szpiegowaniu żądań przez dostawcę usług internetowych lub pośrednika... chyba że tak się nie stanie.


Małe zastrzeżenie: ten przewodnik niekoniecznie popiera lub zaleca usługi Cloudflare, nawet jeśli jest to wspomniane kilka razy w tej sekcji w celu technicznego zrozumienia.


Niestety, protokół TLS używany w większości połączeń HTTPS w większości przeglądarek (między innymi Chrome/Brave/Ungoogled-Chromium) spowoduje ponowny wyciek nazwy domeny poprzez uściski dłoni SNI (można to sprawdzić tutaj w Cloudflare: https://www.cloudflare.com/ssl/encrypted-sni/ [Archive.org]). W chwili pisania tego przewodnika tylko przeglądarki oparte na Firefoksie obsługują ECH (Encrypted Client Hello, wcześniej znane jako eSNI) na niektórych stronach internetowych, które szyfrują wszystko od końca do końca (oprócz korzystania z bezpiecznego prywatnego DNS przez TLS / HTTPS) i pozwalają ukryć żądania DNS przed stroną trzecią. Ta opcja również nie jest domyślnie włączona, więc będziesz musiał ją włączyć samodzielnie.

Oprócz ograniczonej obsługi przeglądarki, na tym etapie tylko usługi sieciowe i sieci CDN za Cloudflare CDN obsługują ECH/eSNI. Oznacza to, że ECH i eSNI nie są obsługiwane (w chwili pisania tego przewodnika) przez większość popularnych platform, takich jak:

• Amazon (w tym AWS, Twitch...)
• Microsoft (w tym Azure, OneDrive, Outlook, Office 365...)
• Google (w tym Gmail, Google Cloud...)
• Apple (w tym iCloud, iMessage...)
• Reddit
• YouTube
• Facebook
• Instagram
• Twitter
• GitHub
• ...

Niektóre kraje, takie jak Rosja i Chiny, blokują uściski dłoni ECH/eSNI na poziomie sieci, aby umożliwić szpiegowanie i zapobiec omijaniu cenzury. Oznacza to, że nie będziesz w stanie nawiązać połączenia HTTPS z usługą, jeśli nie pozwolisz im zobaczyć, co to było.


Problemy nie kończą się na tym. Część walidacji HTTPS TLS nazywa się OCSP, a protokół ten używany przez przeglądarki oparte na Firefoksie spowoduje wyciek metadanych w postaci numeru seryjnego certyfikatu odwiedzanej witryny. Przeciwnik może następnie łatwo znaleźć odwiedzaną witrynę, dopasowując numer certyfikatu. Problem ten można złagodzić za pomocą zszywania OCSP. Niestety, jest to domyślnie włączone, ale nie wymuszone w przeglądarce Firefox/Tor Browser. Ale odwiedzana witryna musi również ją obsługiwać, a nie wszystkie to robią. Z drugiej strony przeglądarki oparte na Chromium używają innego systemu o nazwie CRLSets, który jest prawdopodobnie lepszy.


Oto lista zachowań różnych przeglądarek w odniesieniu do OCSP: https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ [Archive.org].


Oto ilustracja problemu, który można napotkać w przeglądarkach opartych na Firefoksie:

Wreszcie, nawet jeśli korzystasz z niestandardowego szyfrowanego serwera DNS (DoH lub DoT) z obsługą ECH/eSNI i zszywaniem OCSP, może to nadal nie wystarczyć, ponieważ badania analizy ruchu wykazały, że nadal możliwe jest niezawodne tworzenie odcisków palców i blokowanie niechcianych żądań. Tylko DNS przez Tor był w stanie zademonstrować skuteczną prywatność DNS w ostatnich badaniach, ale nawet to może zostać pokonane w inny sposób (patrz Twój zanonimizowany ruch Tor/VPN).


Można również zdecydować się na użycie usługi Tor Hidden DNS lub ODoH (Oblivious DNS over HTTPS) w celu dalszego zwiększenia prywatności/anonimowości, ale niestety, o ile mi wiadomo, metody te są dostarczane tylko przez Cloudflare w chwili pisania tego tekstu(https://blog.cloudflare.com/welcome-hidden-resolver/ [ Archive.org], https://blog.cloudflare.com/oblivious-dns/ [Archive.org]). Osobiście uważam, że są to realne i dość bezpieczne opcje techniczne, ale istnieje również moralny wybór, czy chcesz korzystać z Cloudflare, czy nie (pomimo ryzyka stwarzanego przez niektórych badaczy).


Wreszcie, istnieje również nowa opcja o nazwie DoHoT, która oznacza DNS over HTTPS over Tor, która może również dodatkowo zwiększyć prywatność / anonimowość i którą można rozważyć, jeśli jesteś bardziej biegły w Linuksie. Zobacz https://github.com/alecmuffett/dohot [Archive.org]. Ten przewodnik nie pomoże ci na tym etapie, ale może się wkrótce pojawić.


Oto ilustracja przedstawiająca obecny stan prywatności DNS i HTTPS w oparciu o moją obecną wiedzę.

Jeśli chodzi o normalne codzienne użytkowanie (niewrażliwe), pamiętaj, że jak dotąd tylko przeglądarki oparte na Firefoksie obsługują ECH (dawniej eSNI) i że na tym etapie jest to przydatne tylko w przypadku witryn hostowanych za Cloudflare CDN. Jeśli wolisz wersję opartą na Chrome (co dla niektórych jest zrozumiałe ze względu na lepiej zintegrowane funkcje, takie jak tłumaczenie w locie), to zamiast tego polecam korzystanie z Brave, który obsługuje wszystkie rozszerzenia Chrome i oferuje znacznie lepszą prywatność niż Chrome. Alternatywnie, jeśli nie ufasz Brave, możesz również użyć Ungoogled-Chromium(https://github.com/Eloston/ungoogled-chromium [Archive.org]).


Na tym jednak historia się nie kończy. Po tym wszystkim, nawet jeśli zaszyfrujesz swój DNS i użyjesz wszystkich możliwych zabezpieczeń. Proste żądania IP do dowolnego serwera prawdopodobnie pozwolą przeciwnikowi na wykrycie odwiedzanej witryny. Dzieje się tak po prostu dlatego, że większość stron internetowych ma przypisane unikalne adresy IP, jak wyjaśniono tutaj: https://blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address/ [Archive.org]. Oznacza to, że przeciwnik może utworzyć zbiór danych znanych stron internetowych, na przykład wraz z ich adresami IP, a następnie dopasować ten zbiór danych do żądanego adresu IP. W większości przypadków spowoduje to prawidłowe odgadnięcie odwiedzanej witryny. Oznacza to, że pomimo zszywania OCSP, pomimo ECH/eSNI, pomimo korzystania z szyfrowanego DNS ... Przeciwnik i tak może odgadnąć odwiedzaną witrynę.


Dlatego też, aby złagodzić wszystkie te problemy (tak bardzo, jak to możliwe i tak dobrze, jak to możliwe), niniejszy przewodnik zaleci dwa rozwiązania: Korzystanie z Tora i zwirtualizowanego (patrz Dodatek W: Wirtualizacja) wielowarstwowego rozwiązania VPN over Tor. Inne opcje również zostaną wyjaśnione (Tor przez VPN, tylko VPN, bez Tora/VPN), ale są mniej zalecane.

 

[HEISENBERG]

Urządzenia obsługujące technologię RFID.

RFID oznacza identyfikację radiową, jest to technologia wykorzystywana na przykład do płatności zbliżeniowych i różnych systemów identyfikacji. Oczywiście Twój smartfon jest jednym z tych urządzeń i ma możliwości płatności zbliżeniowych RFID za pośrednictwem NFC. Jak wszystko inne, takie możliwości mogą być wykorzystywane do śledzenia przez różne podmioty.


Ale niestety, nie ogranicza się to tylko do smartfona i prawdopodobnie cały czas nosisz przy sobie jakieś urządzenie obsługujące RFID, takie jak:

• zbliżeniowe karty kredytowe/debetowe
• karty lojalnościowe w sklepach
• karty płatnicze w transporcie
• Karty dostępu związane z pracą
• Kluczyki do samochodu
• Dowód osobisty lub prawo jazdy
• Paszport
• Cena/etykiety antykradzieżowe na przedmiotach/odzieży
• ...

Chociaż wszystkie te elementy nie mogą być wykorzystane do anonimizacji użytkownika przed zdalnym przeciwnikiem internetowym, mogą być wykorzystane do zawężenia wyszukiwania, jeśli znana jest przybliżona lokalizacja użytkownika w określonym czasie. Na przykład nie można wykluczyć, że niektóre sklepy będą skutecznie skanować (i rejestrować) wszystkie chipy RFID przechodzące przez drzwi. Być może szukają swoich kart lojalnościowych, ale po drodze rejestrują także inne. Takie znaczniki RFID można prześledzić do tożsamości użytkownika i umożliwić deanonimizację.


Więcej informacji na Wikipedii: https://en.wikipedia.org/wiki/Radio-frequency_identification#Security_concerns [Wikiless] [Archive.org ] i https://en.wikipedia.org/wiki/Radio-frequency_identification#Privacy [Wikiless] [Archive.org].


Jedynym sposobem na złagodzenie tego problemu jest nieposiadanie przy sobie tagów RFID lub osłonięcie ich za pomocą klatki Faradaya. Można również użyć specjalistycznych portfeli/portmonetek, które specjalnie blokują komunikację RFID. Wiele z nich jest obecnie produkowanych przez znane marki, takie jak Samsonite.

 

[HEISENBERG]

Urządzenia Wi-Fi i Bluetooth wokół ciebie.

Geolokalizacja odbywa się nie tylko za pomocą triangulacji anteny mobilnej. Odbywa się to również za pomocą urządzeń Wi-Fi i Bluetooth znajdujących się w pobliżu. Twórcy systemów operacyjnych, tacy jak Google (Android) i Apple (IOS), utrzymują wygodną bazę danych większości punktów dostępu Wi-Fi, urządzeń Bluetooth i ich lokalizacji. Gdy smartfon z Androidem lub iPhone jest włączony (i nie jest w trybie samolotowym), będzie pasywnie skanować (chyba że wyraźnie wyłączysz tę funkcję w ustawieniach) punkty dostępu Wi-Fi i urządzenia Bluetooth wokół ciebie i będzie w stanie geolokalizować cię z większą precyzją niż przy użyciu GPS.


Pozwala im to zapewnić dokładną lokalizację nawet wtedy, gdy GPS jest wyłączony, ale także pozwala im prowadzić wygodny rejestr wszystkich urządzeń Bluetooth na całym świecie. Mogą one być następnie dostępne dla nich lub stron trzecich w celu śledzenia.


Uwaga: Jeśli masz smartfon z Androidem, Google prawdopodobnie wie, gdzie on jest, bez względu na to, co robisz. Nie można tak naprawdę ufać ustawieniom. Cały system operacyjny został stworzony przez firmę, która chce Twoich danych. Pamiętaj, że jeśli jest darmowy, to ty jesteś produktem.


Ale to nie jest to, co te wszystkie punkty dostępowe Wi-Fi mogą zrobić. Niedawno opracowane technologie mogą nawet pozwolić komuś na dokładne śledzenie twoich ruchów tylko na podstawie zakłóceń radiowych. Oznacza to, że możliwe jest śledzenie ruchu wewnątrz pomieszczenia/budynku na podstawie przechodzących sygnałów radiowych. Może się to wydawać teorią spiskową, ale oto odniesienia do demonstracji pokazujących tę technologię w akcji: http://rfpose.csail.mit.edu/ [Archive.org] i wideo tutaj:

[Invidious].


Można zatem wyobrazić sobie wiele zastosowań takich technologii, takich jak nagrywanie osób wchodzących do określonych budynków/biur (na przykład hoteli, szpitali lub ambasad), a następnie odkrywanie, kto spotyka się z kim i śledzenie ich z zewnątrz. Nawet jeśli nie mają przy sobie smartfona.

Ponownie, taką kwestię można złagodzić jedynie poprzez przebywanie w pomieszczeniu/budynku, który działałby jak klatka Faradaya.


Oto kolejny film przedstawiający ten sam rodzaj technologii w akcji:

[Invidious].

 

[HEISENBERG]

Złośliwe/złośliwe punkty dostępowe Wi-Fi.

Są one wykorzystywane co najmniej od 2008 roku przy użyciu ataku o nazwie "Jasager" i mogą być wykonane przez każdego przy użyciu samodzielnie zbudowanych narzędzi lub przy użyciu dostępnych na rynku urządzeń, takich jak Wi-Fi Pineapple.


Oto kilka filmów wyjaśniających więcej na ten temat:

• HOPE 2020, https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_$5_Microcontrollers.mp4
• YouTube, Hak5, Wi-Fi Pineapple Mark VII
  [Invidious]

Urządzenia te mogą zmieścić się w małej torbie i mogą przejąć środowisko Wi-Fi w dowolnym miejscu w ich zasięgu. Na przykład w barze/restauracji/kawiarni/lobby hotelowym. Urządzenia te mogą zmusić klientów Wi-Fi do odłączenia się od bieżącej sieci Wi-Fi (przy użyciu ataków de-autentykacji, dysocjacji), jednocześnie podszywając się pod normalne sieci Wi-Fi w tej samej lokalizacji. Będą kontynuować ten atak, dopóki komputer lub użytkownik nie zdecyduje się na próbę połączenia z nieuczciwym punktem dostępowym.


Urządzenia te mogą następnie naśladować portal captive o dokładnie takim samym układzie, jak sieć Wi-Fi, do której próbujesz uzyskać dostęp (na przykład portal rejestracyjny Wi-Fi na lotnisku). Mogą też po prostu dać ci otwarty dostęp do Internetu, który same uzyskają z tego samego miejsca.


Po nawiązaniu połączenia za pośrednictwem Rogue AP, ten punkt dostępowy będzie mógł przeprowadzać różne ataki typu man-in-the-middle w celu analizy ruchu. Mogą to być złośliwe przekierowania lub zwykłe podsłuchiwanie ruchu. Mogą one następnie łatwo zidentyfikować każdego klienta, który na przykład próbowałby połączyć się z serwerem VPN lub siecią Tor.


Może to być przydatne, gdy wiesz, że ktoś, kogo chcesz pozbawić anonimowości, znajduje się w zatłoczonym miejscu, ale nie wiesz kto. Pozwoliłoby to takiemu przeciwnikowi na odnalezienie odcisków palców każdej odwiedzanej strony internetowej pomimo korzystania z HTTPS, DoT, DoH, ODoH, VPN lub Tor przy użyciu analizy ruchu, jak wskazano powyżej w sekcji DNS.


Można je również wykorzystać do starannego tworzenia i udostępniania zaawansowanych stron phishingowych, które zbierałyby dane uwierzytelniające użytkownika lub próbowały zmusić go do zainstalowania złośliwego certyfikatu umożliwiającego im wgląd w zaszyfrowany ruch.

 

[HEISENBERG]

Zanonimizowany ruch Tor/VPN.

Tor i VPN nie są srebrnymi kulami. Na przestrzeni lat opracowano i zbadano wiele zaawansowanych technik służących do anonimizacji zaszyfrowanego ruchu Tor. Większość z tych technik to ataki korelacyjne, które w taki czy inny sposób korelują ruch sieciowy z dziennikami lub zbiorami danych. Oto kilka klasycznych przykładów:

• Correlation Fingerprinting Attack: Jak zilustrowano (w uproszczeniu) poniżej, atak ten tworzy odciski palców zaszyfrowanego ruchu (np. odwiedzanych stron internetowych) na podstawie analizy zaszyfrowanego ruchu (bez jego odszyfrowywania). Może to zrobić z aż 96% skutecznością. Taki fingerprinting może zostać wykorzystany przez przeciwnika, który ma dostęp do twojej sieci źródłowej, aby dowiedzieć się o niektórych twoich zaszyfrowanych działaniach (takich jak odwiedzane strony internetowe).

Ataki z wykorzystaniem korelacji czasowej: Jak zilustrowano (w uproszczeniu) poniżej, przeciwnik, który ma dostęp do dzienników połączeń sieciowych (na przykład IP lub DNS, pamiętaj, że większość serwerów VPN i większość węzłów Tor jest znana i publicznie wymieniona) u źródła i w miejscu docelowym, może skorelować czasy, aby pozbawić cię anonimowości bez konieczności dostępu do sieci Tor lub VPN pomiędzy nimi. Rzeczywisty przypadek użycia tej techniki został wykonany przez FBI w 2013 roku w celu zdezanonimizowania oszustwa związanego z zagrożeniem bombowym na Uniwersytecie Harvarda.

Ataki polegające na zliczaniu korelacji: Jak zilustrowano (w uproszczeniu) poniżej, przeciwnik, który nie ma dostępu do szczegółowych dzienników połączeń (nie może zobaczyć, że korzystałeś z Tora lub Netflixa), ale ma dostęp do dzienników zliczania danych, może zobaczyć, że pobrałeś 600 MB w określonym czasie/dacie, która pasuje do 600 MB przesłanych w miejscu docelowym. Ta korelacja może być następnie wykorzystana do deanonimizacji użytkownika w czasie.

Istnieją sposoby na złagodzenie tych skutków, takie jak:

• Nie używaj sieci Tor/VPN, aby uzyskać dostęp do usług, które znajdują się w tej samej sieci (ISP), co usługa docelowa. Na przykład, nie należy łączyć się z siecią Tor z sieci uniwersyteckiej, aby uzyskać anonimowy dostęp do usługi uniwersyteckiej. Zamiast tego użyj innego punktu źródłowego (takiego jak publiczna sieć Wi-Fi), który nie może być łatwo skorelowany przez przeciwnika.
• Nie używaj Tora/VPN z wyraźnie monitorowanej sieci (takiej jak sieć korporacyjna/rządowa), ale zamiast tego spróbuj znaleźć sieć niemonitorowaną, taką jak publiczna sieć Wi-Fi lub domowa sieć Wi-Fi.
• Używaj wielu warstw (takich jak to, co będzie zalecane w tym przewodniku później: VPN przez Tor), aby przeciwnik mógł zobaczyć, że ktoś połączył się z usługą za pośrednictwem Tora, ale nie będzie w stanie zobaczyć, że to ty, ponieważ byłeś połączony z VPN, a nie z siecią Tor.

Należy pamiętać, że może to nie wystarczyć przeciwko zmotywowanemu globalnemu przeciwnikowi z szerokim dostępem do globalnego masowego nadzoru. Taki przeciwnik może mieć dostęp do dzienników, bez względu na to, gdzie jesteś, i może użyć ich do deanonimizacji.


Należy również pamiętać, że wszystkie inne metody opisane w tym przewodniku, takie jak analiza behawioralna, mogą być również wykorzystywane do pośredniej deanonimizacji użytkowników Tora (patrz dalej Twój cyfrowy odcisk palca, odcisk stopy i zachowanie online).


Gorąco polecam również przeczytanie tego bardzo dobrego, kompletnego i dokładnego przewodnika na temat wielu wektorów ataku na Tora: https://github.com/Attacks-on-Tor/Attacks-on-Tor [Archive . org], a także tej niedawnej publikacji badawczej https://www.researchgate.net/public...ners_of_the_Internet_A_Survey_of_Tor_Research [Archive.org].


Jak również tę wspaniałą serię postów na blogu: https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html [Archive.org ]


(W ich obronie należy również zauważyć, że Tor nie został zaprojektowany do ochrony przed globalnym przeciwnikiem. Więcej informacji można znaleźć na stronie https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf [Archive.org ], a w szczególności w "Części 3. Cele i założenia projektowe").


Wreszcie, należy pamiętać, że korzystanie z Tora może być już uważane za podejrzaną aktywność, a jego użycie może być przez niektórych uważane za złośliwe.


Niniejszy przewodnik zaproponuje później pewne środki łagodzące takie ataki poprzez zmianę pochodzenia od samego początku (na przykład przy użyciu publicznych sieci Wi-Fi).

 

[HEISENBERG]

Niektóre urządzenia można śledzić nawet w trybie offline.

Widziałeś to w filmach i programach akcji/szpiegowskich/Sci-Fi, bohaterowie zawsze wyjmują baterię ze swoich telefonów, aby upewnić się, że nie można jej użyć. Większość ludzi pomyślałaby, że to przesada. Cóż, niestety nie, teraz staje się to prawdą, przynajmniej w przypadku niektórych urządzeń:

• iPhone'y i iPady (IOS 13 i nowsze)
• telefony Samsung (Android 10 i nowsze)
• MacBooki (MacOS 10.15 i nowsze)

Takie urządzenia będą nadal przesyłać informacje o tożsamości do pobliskich urządzeń, nawet w trybie offline przy użyciu technologii Bluetooth Low-Energy. Nie mają one bezpośredniego dostępu do urządzeń (które nie są podłączone do Internetu), ale zamiast tego używają BLE do znajdowania ich za pośrednictwem innych pobliskich urządzeń. Zasadniczo wykorzystują komunikację Bluetooth krótkiego zasięgu peer-to-peer do nadawania swojego statusu za pośrednictwem pobliskich urządzeń online.


Mogą teraz lokalizować takie urządzenia i przechowywać lokalizację w bazie danych, która może być następnie wykorzystywana przez strony trzecie lub przez nich samych do różnych celów (w tym do analizy, reklamy lub gromadzenia dowodów / informacji).

 

[HEISENBERG]

Identyfikatory sprzętu.

IMEI i IMSI (a co za tym idzie, numer telefonu).

IMEI (International Mobile Equipment Identity) i IMSI (International Mobile Subscriber Identity) to unikalne numery tworzone przez producentów i operatorów telefonów komórkowych.


IMEI jest powiązany bezpośrednio z używanym telefonem. Numer ten jest znany i śledzony przez operatorów telefonii komórkowej oraz znany producentom. Za każdym razem, gdy telefon łączy się z siecią komórkową, rejestruje IMEI w sieci wraz z IMSI (jeśli włożona jest karta SIM, ale nie jest to nawet konieczne). Jest on również wykorzystywany przez wiele aplikacji (na przykład aplikacje bankowe nadużywające uprawnień telefonu w systemie Android) i systemów operacyjnych smartfonów (Android/IOS) do identyfikacji urządzenia. Zmiana IMEI w telefonie jest możliwa, ale trudna (i nie jest nielegalna w wielu jurysdykcjach), ale prawdopodobnie łatwiej i taniej jest po prostu znaleźć i kupić jakiś stary (działający) telefon Burner za kilka euro (ten przewodnik dotyczy Niemiec) na pchlim targu lub w jakimś przypadkowym małym sklepie.


IMSI jest powiązany bezpośrednio z abonamentem komórkowym lub planem przedpłaconym, z którego korzystasz i jest zasadniczo powiązany z numerem telefonu przez operatora komórkowego. Numer IMSI jest zakodowany bezpośrednio na karcie SIM i nie można go zmienić. Należy pamiętać, że za każdym razem, gdy telefon połączy się z siecią komórkową, zarejestruje również IMSI w sieci wraz z IMEI. Podobnie jak IMEI, IMSI jest również używany przez niektóre aplikacje i systemy operacyjne smartfonów do identyfikacji i jest śledzony. Na przykład niektóre kraje w UE utrzymują bazę danych powiązań IMEI/IMSI w celu łatwego wyszukiwania przez organy ścigania.


Obecnie podawanie swojego (prawdziwego) numeru telefonu jest w zasadzie tym samym lub lepszym rozwiązaniem niż podawanie numeru ubezpieczenia społecznego/identyfikatora paszportowego/identyfikatora krajowego.


IMEI i IMSI można przypisać do użytkownika na co najmniej 6 sposobów:

• Dzienniki abonenta operatora komórkowego, które zazwyczaj przechowują IMEI wraz z IMSI i bazą danych informacji o abonentach. Jeśli korzystasz z przedpłaconej anonimowej karty SIM (anonimowy IMSI, ale ze znanym IMEI), mogą zobaczyć, że ta komórka należy do Ciebie, jeśli wcześniej korzystałeś z tego telefonu komórkowego z inną kartą SIM (inny anonimowy IMSI, ale ten sam znany IMEI).
• Dzienniki antenowe operatorów komórkowych, które wygodnie przechowują dziennik IMEI i IMSI, przechowują również niektóre dane dotyczące połączeń. Wiedzą i rejestrują na przykład, że telefon z tą kombinacją IMEI/IMSI połączył się z zestawem anten komórkowych i jak silny był sygnał do każdej z tych anten, umożliwiając łatwą triangulację/geolokalizację sygnału. Wiedzą również, które inne telefony (na przykład twój prawdziwy) łączyły się w tym samym czasie z tymi samymi antenami z tym samym sygnałem, co pozwoliłoby dokładnie wiedzieć, że ten "telefon z palnikiem" był zawsze podłączony w tym samym miejscu / czasie niż ten inny "znany telefon", który pojawia się za każdym razem, gdy używany jest telefon z palnikiem. Informacje te mogą być wykorzystywane przez różne strony trzecie do geolokalizacji/śledzenia użytkownika.
• Producent telefonu może prześledzić sprzedaż telefonu za pomocą IMEI, jeśli telefon został zakupiony w sposób nieanonimowy. Rzeczywiście, będą mieli dzienniki każdej sprzedaży telefonu (w tym numer seryjny i IMEI), do którego sklepu/osoby został sprzedany. A jeśli korzystasz z telefonu kupionego online (lub od kogoś, kto Cię zna). Można go namierzyć za pomocą tych informacji. Nawet jeśli nie znajdą cię na nagraniu z kamery przemysłowej i kupiłeś telefon za gotówkę, nadal mogą dowiedzieć się, jaki inny telefon (twój prawdziwy telefon w kieszeni) był tam (w tym sklepie) w tym czasie/dacie, korzystając z dzienników antenowych.
• Sam IMSI może być również użyty do znalezienia użytkownika, ponieważ większość krajów wymaga obecnie od klientów podania dowodu tożsamości przy zakupie karty SIM (abonamentowej lub przedpłaconej). IMSI jest następnie powiązany z tożsamością nabywcy karty. W krajach, w których kartę SIM nadal można kupić za gotówkę (np. w Wielkiej Brytanii), nadal wiadomo, gdzie (w którym sklepie) została ona zakupiona i kiedy. Informacje te można następnie wykorzystać do uzyskania informacji z samego sklepu (takich jak nagrania CCTV, jak w przypadku IMEI). Rejestry anten mogą być również wykorzystane do ustalenia, który inny telefon był tam w momencie sprzedaży.
• Twórcy systemów operacyjnych dla smartfonów (Google/Apple dla Androida/IO) również prowadzą dzienniki identyfikacji IMEI/IMSI powiązane z kontami Google/Apple i tym, który użytkownik z nich korzystał. Oni również mogą prześledzić historię telefonu i to, z jakimi kontami był powiązany w przeszłości.
• Agencje rządowe na całym świecie zainteresowane numerem telefonu użytkownika mogą i używają specjalnych urządzeń zwanych "łapaczami IMSI", takich jak Stingray lub ostatnio Nyxcell. Urządzenia te mogą podszywać się pod antenę telefonu komórkowego i wymuszać połączenie się z określonym IMSI (telefonem użytkownika) w celu uzyskania dostępu do sieci komórkowej. Gdy już to zrobią, będą w stanie wykorzystać różne ataki MITM (Man-In-The-Middle Attacks), które pozwolą im na:
  • Podsłuchiwać telefon (połączenia głosowe i wiadomości SMS).
  • Podsłuchiwać i badać ruch danych.
  • Podszywanie się pod numer telefonu bez kontrolowania go.
  • ...

Tutaj znajduje się również dobry film na YouTube na ten temat: DEFCON Safe Mode - Cooper Quintin - Wykrywanie fałszywych stacji bazowych 4G w czasie rzeczywistym

[Invidious]


Z tych powodów ważne jest, aby uzyskać dedykowany anonimowy numer telefonu i / lub anonimowy telefon z anonimową przedpłaconą kartą SIM, które nie są w żaden sposób powiązane z tobą (w przeszłości lub obecnie) w celu prowadzenia wrażliwych działań (Zobacz więcej praktycznych wskazówek w sekcji Uzyskaj anonimowy numer telefonu).


Chociaż niektórzy producenci smartfonów, tacy jak Purism ze swoją serią Librem, twierdzą, że mają na uwadze prywatność użytkownika, nadal nie pozwalają na randomizację IMEI, która moim zdaniem jest kluczową funkcją zapobiegającą śledzeniu, która powinna być zapewniona przez takich producentów. Chociaż środek ten nie zapobiegnie śledzeniu IMSI na karcie SIM, to przynajmniej pozwoli ci zachować ten sam "telefon z palnikiem" i tylko przełączać karty SIM zamiast konieczności przełączania obu w celu zachowania prywatności.

 

[HEISENBERG]

Adres MAC sieci Wi-Fi lub Ethernet.

Adres MAC jest unikalnym identyfikatorem powiązanym z fizycznym interfejsem sieciowym (przewodowym Ethernet lub Wi-Fi) i może oczywiście zostać wykorzystany do śledzenia użytkownika, jeśli nie jest randomizowany. Podobnie jak w przypadku IMEI, producenci komputerów i kart sieciowych zazwyczaj przechowują dzienniki ich sprzedaży (zwykle zawierające takie informacje jak: numer seryjny, IMEI, adresy Mac, ...) i ponownie możliwe jest śledzenie, gdzie i kiedy komputer z danym adresem MAC został sprzedany i komu. Nawet jeśli kupiłeś go za gotówkę w supermarkecie, supermarket może nadal mieć CCTV (lub CCTV tuż przed tym sklepem) i ponownie czas/data sprzedaży może być wykorzystana do ustalenia, kto tam był, korzystając z dzienników antenowych operatora komórkowego w tym czasie (IMEI/IMSI).


Twórcy systemów operacyjnych (Google/Microsoft/Apple) będą również przechowywać dzienniki urządzeń i ich adresy MAC w swoich dziennikach w celu identyfikacji urządzeń (na przykład usługi typu Znajdź moje urządzenie). Apple może stwierdzić, że MacBook z tym konkretnym adresem MAC był wcześniej powiązany z określonym kontem Apple. Być może Twoim, zanim zdecydowałeś się używać MacBooka do poufnych działań. Być może do innego użytkownika, który sprzedał go Tobie, ale pamięta Twój adres e-mail/numer z momentu sprzedaży.


Twój domowy router/punkt dostępowy Wi-Fi przechowuje dzienniki urządzeń, które zarejestrowały się w sieci Wi-Fi, do których również można uzyskać dostęp, aby dowiedzieć się, kto korzystał z Twojej sieci Wi-Fi. Czasami może to być zrobione zdalnie (i po cichu) przez dostawcę usług internetowych, w zależności od tego, czy router / punkt dostępu Wi-Fi jest "zarządzany" zdalnie przez dostawcę usług internetowych (co często ma miejsce, gdy udostępnia on router swoim klientom).


Niektóre urządzenia komercyjne rejestrują adresy MAC w różnych celach, takich jak zatory drogowe.


Dlatego ważne jest, aby nie zabierać ze sobą telefonu, gdy wykonujesz wrażliwe czynności. Jeśli korzystasz z własnego laptopa, ważne jest, aby ukryć ten adres MAC (i adres Bluetooth) w dowolnym miejscu, w którym go używasz i zachować szczególną ostrożność, aby nie ujawnić żadnych informacji. Na szczęście wiele najnowszych systemów operacyjnych posiada lub pozwala na randomizację adresów MAC (Android, IOS, Linux i Windows 10), z chlubnym wyjątkiem MacOS, który nie obsługuje tej funkcji nawet w najnowszej wersji Big Sur.

 

[HEISENBERG]

Adres Bluetooth MAC.

Adres MAC Bluetooth jest podobny do poprzedniego adresu MAC, z tą różnicą, że dotyczy Bluetooth. Również w tym przypadku może on zostać wykorzystany do śledzenia użytkownika, ponieważ producenci i twórcy systemów operacyjnych prowadzą dzienniki takich informacji. Może on być powiązany z miejscem/czasem/datą sprzedaży lub kontami, a następnie może być wykorzystany do śledzenia użytkownika za pomocą takich informacji, informacji rozliczeniowych sklepu, telewizji przemysłowej lub logów anteny mobilnej w korelacji.


Systemy operacyjne posiadają zabezpieczenia randomizujące te adresy, ale nadal są podatne na ataki.


Z tego powodu i o ile naprawdę ich nie potrzebujesz, powinieneś po prostu całkowicie wyłączyć Bluetooth w ustawieniach BIOS/UEFI, jeśli to możliwe, lub w systemie operacyjnym.


W systemie Windows 10 konieczne będzie wyłączenie i włączenie urządzenia Bluetooth w samym menedżerze urządzeń, aby wymusić randomizację adresu do następnego użycia i zapobiec śledzeniu.

 

[HEISENBERG]

Procesor.

Wszystkie nowoczesne procesory integrują obecnie ukryte platformy zarządzania, takie jak niesławny Intel Management Engine i AMD Platform Security Processor.


Te platformy zarządzania to w zasadzie małe systemy operacyjne działające bezpośrednio na procesorze, o ile mają zasilanie. Systemy te mają pełny dostęp do sieci komputera i mogą być dostępne dla przeciwnika w celu deanonimizacji użytkownika na różne sposoby (na przykład przy użyciu bezpośredniego dostępu lub złośliwego oprogramowania), jak pokazano w tym pouczającym filmie: BlackHat, How to Hack a Turned-Off Computer [Jak zhakować wyłączony komputer] lub Running Unsigned Code in Intel Management Engine [Uruchamianie niepodpisanego kodu w Intel Management Engine]

[ Invidious].


W przeszłości były one już dotknięte kilkoma lukami w zabezpieczeniach, które umożliwiały złośliwemu oprogramowaniu przejęcie kontroli nad systemami docelowymi. Są one również oskarżane przez wiele podmiotów zajmujących się prywatnością, w tym EFF i Libreboot, o bycie backdoorem do dowolnego systemu.


Istnieją pewne niełatwe sposoby na wyłączenie Intel IME na niektórych procesorach i powinieneś to zrobić, jeśli możesz. W przypadku niektórych laptopów AMD można go wyłączyć w ustawieniach BIOS-u, wyłączając PSP.


Na obronę AMD należy dodać, że do tej pory nie znaleziono żadnych luk w zabezpieczeniach ASP ani backdoorów: Zob.

[ Invidious]. Ponadto AMD PSP nie zapewnia żadnych możliwości zdalnego zarządzania, w przeciwieństwie do Intel IME.


Jeśli masz ochotę na nieco więcej przygód, możesz zainstalować własny BIOS za pomocą Libreboot lub Coreboot, jeśli twój laptop je obsługuje (pamiętaj, że Coreboot zawiera pewien zastrzeżony kod, w przeciwieństwie do jego rozwidlenia Libreboot).


Ponadto, niektóre procesory mają nienaprawialne wady (zwłaszcza procesory Intela), które mogą być wykorzystywane przez różne złośliwe oprogramowanie. Tutaj znajduje się aktualna lista takich luk, które mają wpływ na ostatnie rozpowszechnione procesory:


https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability [ Wikiless] [Archive.org]

• Jeśli korzystasz z Linuksa, możesz sprawdzić status podatności swojego procesora na ataki Spectre/Meltdown za pomocą https://github.com/speed47/spectre-meltdown-checker [Archive.org ], który jest dostępny jako pakiet dla większości dystrybucji Linuksa, w tym Whonix.
• Jeśli korzystasz z systemu Windows, możesz sprawdzić stan podatności procesora na ataki za pomocą inSpectre https://www.grc.com/inspectre.htm [Archive .org].

Niektórych z nich można uniknąć, korzystając z ustawień oprogramowania do wirtualizacji, które mogą złagodzić takie exploity. Więcej informacji można znaleźć w tym przewodniku https://www.whonix.org/wiki/Spectre_Meltdown [Archive . org] (ostrzeżenie: może to poważnie wpłynąć na wydajność maszyn wirtualnych).


Dlatego w tym przewodniku złagodzę niektóre z tych kwestii, zalecając korzystanie z maszyn wirtualnych na dedykowanym anonimowym laptopie do wrażliwych działań, które będą używane tylko z anonimowej sieci publicznej.

 

[HEISENBERG]

Usługi telemetryczne dla systemów operacyjnych i aplikacji.

Niezależnie od tego, czy jest to Android, iOS, Windows, MacOS czy nawet Ubuntu. Większość popularnych systemów operacyjnych domyślnie gromadzi informacje telemetryczne, nawet jeśli użytkownik nigdy nie wyraził na to zgody. Niektóre, takie jak Windows, nie pozwalają nawet na całkowite wyłączenie telemetrii bez pewnych technicznych poprawek. Zbieranie tych informacji może być rozległe i obejmować oszałamiającą liczbę szczegółów (metadanych i danych) dotyczących urządzeń i ich użytkowania.


Oto dobry przegląd tego, co jest gromadzone przez 5 popularnych systemów operacyjnych w ich ostatnich wersjach:

• Android/Google:
  
  • Wystarczy zapoznać się z ich polityką prywatności https://policies.google.com/privacy [Archive.org].
  • School of Computer Science & Statistics, Trinity College Dublin, Irlandia Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive .org]
• IOS/Apple:
  
  • Więcej informacji na https://www.apple.com/legal/privacy/en-ww/ [Archive.org ] i https://support.apple.com/en-us/HT202100 [Archive .org]
  • School of Computer Science & Statistics, Trinity College Dublin, Irlandia Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive .org].
  • Apple twierdzi, że anonimizuje te dane przy użyciu prywatności różnicowej, ale będziesz musiał im zaufać.
• Windows/Microsoft:
  
  • Pełna lista wymaganych danych diagnostycznych: https://docs.microsoft.com/en-us/wi...indows-diagnostic-data-events-and-fields-2004 [Archive .org]
  • Pełna lista opcjonalnych danych diagnostycznych: https://docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data [ Archive.org]
• MacOS:
  
  • Więcej szczegółów na https://support.apple.com/guide/mac-help/share-analytics-information-mac-apple-mh27990/mac [Archive .org]
• Ubuntu:
  
  • Ubuntu, mimo że jest dystrybucją Linuksa, również zbiera obecnie dane telemetryczne. Dane te są jednak dość ograniczone w porównaniu do innych. Więcej szczegółów na https://ubuntu.com/desktop/statistics [Archive .org].

Nie tylko systemy operacyjne gromadzą usługi telemetryczne, ale także same aplikacje, takie jak przeglądarki, klienci poczty i aplikacje społecznościowe zainstalowane w systemie.


Ważne jest, aby zrozumieć, że te dane telemetryczne mogą być powiązane z urządzeniem i pomóc w anonimizacji użytkownika, a następnie mogą zostać wykorzystane przeciwko niemu przez przeciwnika, który uzyska dostęp do tych danych.


Nie oznacza to na przykład, że urządzenia Apple są fatalnym wyborem dla dobrej prywatności, ale z pewnością nie są najlepszym wyborem dla (względnej) anonimowości. Mogą chronić użytkownika przed osobami trzecimi wiedzącymi, co robi, ale nie przed nim samym. Najprawdopodobniej wiedzą, kim jesteś.


W dalszej części tego przewodnika wykorzystamy wszystkie dostępne nam środki, aby wyłączyć i zablokować jak najwięcej telemetrii, aby złagodzić ten wektor ataku w systemach operacyjnych obsługiwanych w tym przewodniku.

 

[HEISENBERG]

Twoje inteligentne urządzenia w ogóle.

Masz to; Twój smartfon jest zaawansowanym urządzeniem szpiegującym/śledzącym, które:

• Rejestruje wszystko, co mówisz w dowolnym momencie ("Hej Siri", "Hej Google").
• Rejestruje Twoją lokalizację, gdziekolwiek jesteś.
• Zawsze rejestruje inne urządzenia wokół ciebie (urządzenia Bluetooth, punkty dostępu Wi-Fi).
• Rejestruje Twoje nawyki i dane zdrowotne (kroki, czas spędzony przed ekranem, narażenie na choroby, dane podłączonych urządzeń).
• Rejestruje wszystkie lokalizacje sieciowe.
• Rejestruje wszystkie zdjęcia i filmy (i najprawdopodobniej miejsce ich wykonania).
• Najprawdopodobniej ma dostęp do większości znanych kont, w tym mediów społecznościowych, wiadomości i kont finansowych.

Dane są przesyłane, nawet jeśli zrezygnujesz, przetwarzane i przechowywane w nieskończoność (najprawdopodobniej niezaszyfrowane) przez różne strony trzecie.


Ale to nie wszystko, ta sekcja nie nazywa się "Smartfony", ale "Inteligentne urządzenia", ponieważ nie tylko Twój smartfon Cię szpieguje. Jest to również każde inne inteligentne urządzenie, które możesz mieć.

• Twój inteligentny zegarek (Apple Watch, Android Smartwatch ...)
• Urządzenia i aplikacje fitness? (Strava, Fitbit, Garmin, Polar, ...)
• Inteligentny głośnik? (Amazon Alexa, Google Echo, Apple Homepod ...)
• Twój inteligentny środek transportu? (Samochód? Hulajnoga?)
• Inteligentne tagi (Apple AirTag, Galaxy SmartTag, Tile...)
• Twój samochód? (Tak, większość nowoczesnych samochodów ma obecnie zaawansowane funkcje rejestrowania/śledzenia)
• Jakiekolwiek inne inteligentne urządzenie? Istnieją nawet wygodne wyszukiwarki dedykowane do ich wyszukiwania online:
  
  • https://www.shodan.io/
  • https://censys.io/
  • https://www.zoomeye.org/

 

[HEISENBERG]

Ty sam.

Twoje metadane, w tym geolokalizacja.

Twoje metadane to wszystkie informacje o Twoich działaniach bez ich faktycznej treści. Na przykład, to tak, jakbyś wiedział, że dzwonił do ciebie onkolog, a następnie dzwonił kolejno do rodziny i przyjaciół. Nie wiesz, co zostało powiedziane podczas rozmowy, ale możesz się tego domyślić na podstawie metadanych.


Metadane te często obejmują również lokalizację użytkownika, która jest zbierana przez smartfony, systemy operacyjne (Android/IOS), przeglądarki, aplikacje i strony internetowe. Istnieje prawdopodobieństwo, że kilka firm wie dokładnie, gdzie jesteś w dowolnym momencie dzięki swojemu smartfonowi.


Te dane o lokalizacji zostały już wykorzystane w wielu sprawach sądowych jako część "nakazów geofence", które pozwalają organom ścigania poprosić firmy (takie jak Google/Apple) o listę wszystkich urządzeń obecnych w określonej lokalizacji w określonym czasie. Co więcej, te dane lokalizacyjne są nawet sprzedawane przez prywatne firmy wojsku, które może z nich wygodnie korzystać.


Załóżmy teraz, że korzystasz z VPN, aby ukryć swoje IP. Platforma mediów społecznościowych wie, że byłeś aktywny na tym koncie 4 listopada od 8:00 do 13:00 z tym adresem IP VPN. VPN rzekomo nie przechowuje żadnych dzienników i nie może prześledzić tego adresu IP VPN do Twojego adresu IP. Twój dostawca usług internetowych wie jednak (lub przynajmniej może wiedzieć), że byłeś połączony z tym samym dostawcą VPN 4 listopada od 7:30 do 14:00, ale nie wie, co z nim robiłeś.


Pytanie brzmi: czy jest gdzieś ktoś, kto mógłby mieć obie informacje dostępne do korelacji w wygodnej bazie danych?


Czy słyszałeś o Edwardzie Snowdenie? Nadszedł czas, aby go wygooglować i przeczytać jego książkę. Przeczytaj także o XKEYSCORE, MUSCULAR, SORM, Tempora i PRISM.


Zobacz "Zabijamy ludzi na podstawie metadanych" lub ten słynny tweet z IDF [ Archive.org] [Nitter].

 

[HEISENBERG]

Cyfrowy odcisk palca, ślad i zachowanie online.

Jest to część, w której powinieneś obejrzeć film dokumentalny "The Social Dilemma" na Netflix, ponieważ omawiają ten temat znacznie lepiej niż ktokolwiek inny IMHO.


Obejmuje to sposób, w jaki piszesz (stylometria), sposób, w jaki się zachowujesz. Sposób klikania. Sposób przeglądania. Czcionki używane w przeglądarce. Pobieranie odcisków palców jest wykorzystywane do odgadnięcia, kim jest użytkownik, na podstawie jego zachowania. Możesz używać określonych pedantycznych słów lub popełniać określone błędy ortograficzne, które mogą Cię zdradzić za pomocą prostego wyszukiwania w Google podobnych funkcji, ponieważ wpisałeś w podobny sposób w jakimś poście Reddit 5 lat temu, używając niezbyt anonimowego konta Reddit.


Platformy mediów społecznościowych, takie jak Facebook/Google, mogą pójść o krok dalej i rejestrować zachowanie użytkownika w samej przeglądarce. Na przykład mogą rejestrować wszystko, co wpisujesz, nawet jeśli tego nie wysyłasz / nie zapisujesz. Pomyśl o pisaniu wiadomości e-mail w Gmailu. Jest on zapisywany automatycznie podczas pisania. Mogą również rejestrować kliknięcia i ruchy kursora.


Wszystko, czego potrzebują, aby to osiągnąć w większości przypadków, to Javascript włączony w przeglądarce (co ma miejsce w większości przeglądarek, w tym domyślnie w przeglądarce Tor).


Chociaż metody te są zwykle wykorzystywane do celów marketingowych i reklamowych, mogą być również przydatnym narzędziem do pobierania odcisków palców użytkowników. Wynika to z faktu, że zachowanie użytkownika jest najprawdopodobniej dość unikalne lub na tyle unikalne, że z czasem można je zanonimizować.


Oto kilka przykładów:

• Na przykład, jako podstawa uwierzytelniania, szybkość pisania użytkownika, naciśnięcia klawiszy, wzorce błędów (powiedzmy przypadkowe uderzenie w "l" zamiast "k" w trzech na siedem transakcji) i ruchy myszy ustalają unikalny wzorzec zachowania tej osoby. Niektóre usługi komercyjne, takie jak TypingDNA(https://www.typingdna.com/ [Archive.org]), oferują nawet taką analizę jako zamiennik uwierzytelniania dwuskładnikowego.
• Technologia ta jest również szeroko stosowana w usługach CAPTCHAS do weryfikacji, czy jesteś "człowiekiem" i może być używana do pobierania odcisków palców użytkownika.

Algorytmy analizy mogą być następnie wykorzystane do dopasowania tych wzorców do innych użytkowników i dopasowania użytkownika do innego znanego użytkownika. Nie jest jasne, czy takie dane są już wykorzystywane przez rządy i organy ścigania, ale może to nastąpić w przyszłości. I chociaż jest to obecnie wykorzystywane głównie do celów reklamowych / marketingowych / przechwytywania. Może to być i prawdopodobnie będzie wykorzystywane do prowadzenia dochodzeń w krótko- lub średnioterminowej przyszłości w celu deanonimizacji użytkowników.


Oto zabawny przykład, który można wypróbować, aby zobaczyć niektóre z tych rzeczy w akcji: https://clickclickclick.click (brak linków archiwalnych do tego, przepraszam). Zobaczysz, że z czasem stanie się to interesujące (wymaga włączonej obsługi Javascript).


Oto również najnowszy przykład pokazujący, co Google Chrome zbiera na Twój temat: https://web.archive.org/web/https://pbs.twimg.com/media/EwiUNH0UYAgLY7V?format=jpg&name=4096x4096


Oto kilka innych zasobów na ten temat, jeśli nie możesz obejrzeć tego dokumentu:

• 2017, Behavior Analysis in Social Networks, https://link.springer.com/10.1007/978-1-4614-7163-9_110198-1 [Archive.org]
• 2017, Social Networks and Positive and Negative Affect https://www.sciencedirect.com/scien...c077d46&pid=1-s2.0-S1877042811013747-main.pdf [ Archive.org]
• 2015, Using Social Networks Data for Behavior and Sentiment Analysis https://www.researchgate.net/public...orks_Data_for_Behavior_and_Sentiment_Analysis [ Archive.org]
• 2016, A Survey on User Behavior Analysis in Social Networks https://www.academia.edu/30936118/A_Survey_on_User_Behaviour_Analysis_in_Social_Networks [Archive.org ]
• 2019, Influence and Behavior Analysis in Social Networks and Social Media https://sci-hub.do/10.1007/978-3-030-02592-2 [Archive.org ].

Jak więc można złagodzić te skutki?

• Niniejszy przewodnik zapewni pewne techniczne środki zaradcze przy użyciu narzędzi odpornych na Fingerprinting, ale mogą one nie być wystarczające.
• Powinieneś zachować zdrowy rozsądek i spróbować zidentyfikować własne wzorce w swoim zachowaniu i zachowywać się inaczej podczas korzystania z anonimowych tożsamości. Obejmuje to:
  
  • Sposób pisania na klawiaturze (szybkość, dokładność...).
  • Używane słowa (należy uważać na zwykłe wyrażenia).
  • Rodzaj używanej odpowiedzi (jeśli domyślnie jesteś sarkastyczny, spróbuj mieć inne podejście do swoich tożsamości).
  • Sposób korzystania z myszy i klikania (spróbuj rozwiązać Captcha w inny sposób niż zwykle).
  • Nawyki podczas korzystania z niektórych aplikacji lub odwiedzania niektórych stron internetowych (nie zawsze używaj tych samych menu/przycisków/linków, aby dotrzeć do treści).
  • ...

Zasadniczo musisz działać i w pełni przyjąć rolę, tak jak zrobiłby to aktor podczas występu. Musisz stać się inną osobą, myśleć i działać jak ta osoba. Nie jest to ograniczenie techniczne, ale ludzkie. W tej kwestii możesz polegać tylko na sobie.


Ostatecznie to głównie od ciebie zależy, czy uda ci się oszukać algorytmy, przyjmując nowe nawyki i nie ujawniając prawdziwych informacji podczas korzystania z anonimowych tożsamości.

 

[HEISENBERG]

Wskazówki dotyczące prawdziwego życia i OSINT.

Są to wskazówki, które mogą wskazywać na twoją prawdziwą tożsamość. Możesz rozmawiać z kimś lub pisać na jakimś forum/Reddit. W tych postach możesz z czasem ujawnić pewne informacje o swoim prawdziwym życiu. Mogą to być wspomnienia, doświadczenia lub wskazówki, które mogą pozwolić zmotywowanemu przeciwnikowi na zbudowanie profilu w celu zawężenia poszukiwań.


Prawdziwym i dobrze udokumentowanym przypadkiem było aresztowanie hakera Jeremy'ego Hammonda, który z czasem podzielił się kilkoma szczegółami na temat swojej przeszłości i został później odkryty.


Istnieje również kilka przypadków związanych z OSINT w Bellingcat. Zapoznaj się z ich bardzo pouczającym (ale nieco przestarzałym) zestawem narzędzi tutaj: https://docs.google.com/spreadsheet...NyhIDuK9jrPGwYr9DI2UncoqJQ/edit#gid=930747607 [Archive.org].


Możesz również zapoznać się z wygodnymi listami niektórych dostępnych narzędzi OSINT tutaj, jeśli chcesz je wypróbować na przykład na sobie:

• https://github.com/jivoi/awesome-osint [Archive.org ]
• https://jakecreps.com/tag/osint-tools/ [Archive.org ]
• https://osintframework.com/
• https://recontool.org
• https://github.com/jivoi/awesome-osint [Archive.org ]

Jak również ta interesująca lista odtwarzania na YouTube: https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy [ Invidious].


Jak również te interesujące podcasty:


https://www.inteltechniques.com/podcast.html


Nigdy nie powinieneś dzielić się prawdziwymi osobistymi doświadczeniami / szczegółami przy użyciu anonimowych tożsamości, które mogłyby później doprowadzić do znalezienia twojej prawdziwej tożsamości.

 

[HEISENBERG]

Twarz, głos, dane biometryczne i zdjęcia.

"Piekło to inni ludzie", nawet jeśli unikniesz każdej metody wymienionej powyżej, nie jesteś jeszcze bezbronny dzięki powszechnemu stosowaniu zaawansowanego rozpoznawania twarzy przez wszystkich.


Firmy takie jak Facebook od lat korzystają z zaawansowanego rozpoznawania twarzy i wykorzystują inne środki (zdjęcia satelitarne) do tworzenia map "ludzi" na całym świecie. Ta ewolucja trwa od lat do punktu, w którym możemy teraz powiedzieć: "Straciliśmy kontrolę nad naszymi twarzami".


Jeśli spacerujesz w turystycznym miejscu, najprawdopodobniej pojawisz się na czyimś selfie w ciągu kilku minut, nie wiedząc o tym. Osoba ta następnie prześle to selfie na różne platformy (Twitter, Zdjęcia Google, Instagram, Facebook, Snapchat...). Platformy te zastosują następnie algorytmy rozpoznawania twarzy do tych zdjęć pod pretekstem umożliwienia lepszego/łatwiejszego tagowania lub lepszego uporządkowania biblioteki zdjęć. Ponadto to samo zdjęcie będzie zawierać dokładny znacznik czasu i w większości przypadków geolokalizację miejsca, w którym zostało zrobione. Nawet jeśli dana osoba nie poda znacznika czasu i geolokalizacji, nadal można je odgadnąć za pomocą innych środków.


Poniżej znajduje się kilka źródeł, z których można skorzystać:

• Bellingcat, Guide To Using Reverse Image Search For Investigations: https://www.bellingcat.com/resource...sing-reverse-image-search-for-investigations/ [Archive.org].
• Bellingcat, Using the New Russian Facial Recognition Site SearchFace https://www.bellingcat.com/resource...ussian-facial-recognition-site-searchface-ru/ [Archive .org]
• Bellingcat, Dali, Warhol, Boshirov: Determining the Time of an Alleged Photograph from Skripal Suspect Chepiga https://www.bellingcat.com/resource...e-alleged-photograph-skripal-suspect-chepiga/ [Archive .org]
• Bellingcat, Advanced Guide on Verifying Video Content https://www.bellingcat.com/resources/how-tos/2017/06/30/advanced-guide-verifying-video-content/ [Archive.org ]
• Bellingcat, Using the Sun and the Shadows for Geolocation https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ [Archive .org]
• Bellingcat, Navalny Poison Squad Implicated in Murders of Three Russian Activists https://www.bellingcat.com/news/uk-...icated-in-murders-of-three-russian-activists/ [Archive.org ]
• Bellingcat, Zamach w Berlinie: New Evidence on Suspected FSB Hitman Passed to German Investigators https://www.bellingcat.com/news/202...ed-fsb-hitman-passed-to-german-investigators/ [Archive .org]
• Bellingcat, Digital Research Tutorial: Dochodzenie w sprawie bombardowania szpitala w Jemenie przez koalicję pod przywództwem Arabii Saudyjskiej
  [Invidious]
• Bellingcat, Digital Research Tutorial: Wykorzystanie rozpoznawania twarzy w dochodzeniach
  [Invidious]
• Bellingcat, Digital Research Tutorial: Geolokalizacja (rzekomo) skorumpowanych wenezuelskich urzędników w Europie
  [Invidious]

Nawet jeśli nie patrzysz w kamerę, nadal mogą dowiedzieć się, kim jesteś, poznać twoje emocje, przeanalizować twój chód i prawdopodobnie odgadnąć twoją przynależność polityczną.

Te platformy (Google/Facebook) już wiedzą, kim jesteś z kilku powodów:

• Ponieważ masz lub miałeś u nich profil i zidentyfikowałeś się.
• Nawet jeśli nigdy nie utworzyłeś profilu na tych platformach, nadal go masz, nawet o tym nie wiedząc.
• Ponieważ inne osoby oznaczyły Cię lub zidentyfikowały na swoich zdjęciach z wakacji/imprezy.
• Ponieważ inne osoby umieściły Twoje zdjęcie na swojej liście kontaktów, którą następnie udostępniły.

Tutaj znajduje się również wnikliwe demo Microsoft Azure, które można wypróbować na stronie https://azure.microsoft.com/en-us/services/cognitive-services/face/#demo, gdzie można wykrywać emocje i porównywać twarze z różnych zdjęć.


Rządy już wiedzą, kim jesteś, ponieważ mają zdjęcia Twojego dowodu osobistego/paszportu/prawa jazdy i często dodają dane biometryczne (odciski palców) do swojej bazy danych. Te same rządy integrują te technologie (często dostarczane przez prywatne firmy, takie jak izraelskie AnyVision, Clearview AI lub NEC) w swoich sieciach CCTV, aby szukać "osób będących przedmiotem zainteresowania". Niektóre państwa, takie jak Chiny, wdrożyły powszechne stosowanie rozpoznawania twarzy do różnych celów, w tym do identyfikacji mniejszości etnicznych. Prosty błąd w rozpoznawaniu twarzy przez jakiś algorytm może zrujnować ci życie.


Oto kilka zasobów szczegółowo opisujących niektóre techniki stosowane obecnie przez organy ścigania:

• Wideo CCC wyjaśniające obecne możliwości nadzoru organów ścigania: https://media.ccc.de/v/rc3-11406-spot_the_surveillance#t=761 [ Archive.org]
• EFF SLS: https://www.eff.org/sls [Archive.org ]

Apple wprowadza FaceID do głównego nurtu i promuje jego wykorzystanie do logowania się w różnych usługach, w tym w systemach bankowych.


To samo dotyczy uwierzytelniania odcisków palców, które jest powszechnie stosowane przez wielu producentów smartfonów. Prosty obraz, na którym pojawiają się palce, może zostać wykorzystany do deanonimizacji użytkownika.


To samo dotyczy głosu, który może być analizowany do różnych celów, jak pokazano w niedawnym patencie Spotify.


Możemy śmiało wyobrazić sobie niedaleką przyszłość, w której nie będzie można tworzyć kont ani logować się nigdzie bez podania unikalnych danych biometrycznych (dobry moment na ponowne obejrzenie Gattaca, Person of Interest i Raportu mniejszości). Można sobie wyobrazić, jak przydatne mogą być te duże bazy danych biometrycznych dla niektórych zainteresowanych stron trzecich.
Ponadto wszystkie te informacje mogą być również wykorzystane przeciwko tobie (jeśli jesteś już pozbawiony anonimowości) przy użyciu deepfake poprzez tworzenie fałszywych informacji (zdjęcia, filmy, nagrania głosowe...) i były już wykorzystywane do takich celów. Istnieją nawet komercyjne usługi do tego celu, takie jak https://www.respeecher.com/ [ Archive.org] i https://www.descript.com/overdub [Archive.org].


Zobacz to demo:

[Invidious].


Obecnie istnieje kilka kroków, których można użyć, aby złagodzić (i tylko złagodzić) rozpoznawanie twarzy podczas wykonywania wrażliwych czynności, w których może być obecna telewizja przemysłowa:

• Nosić maskę na twarz, ponieważ udowodniono, że pokonują one niektóre technologie rozpoznawania twarzy, ale nie wszystkie.
• Nosić czapkę z daszkiem lub kapelusz, aby złagodzić identyfikację z kamer CCTV o wysokim kącie widzenia (filmujących z góry) przed zarejestrowaniem twarzy. Pamiętaj, że nie pomoże to w przypadku kamer skierowanych do przodu.
• Noś okulary przeciwsłoneczne oprócz maski na twarz i czapki z daszkiem, aby złagodzić identyfikację na podstawie cech oczu.
• Rozważ noszenie specjalnych okularów przeciwsłonecznych (niestety drogich) o nazwie " Reflectacles" https://www.reflectacles.com/ [Archive.org]. Przeprowadzono niewielkie badanie wykazujące ich skuteczność przeciwko rozpoznawaniu twarzy IBM i Amazon.

(Należy pamiętać, że jeśli zamierzasz korzystać z nich w miejscach, w których zainstalowano zaawansowane systemy rozpoznawania twarzy, środki te mogą również same w sobie oznaczać cię jako podejrzanego i uruchamiać kontrolę przez człowieka).