Przewodnik po anonimowości online (https://anonymousplanet.org/)

Korzystanie na własne ryzyko. Nie traktuj tego przewodnika jako ostatecznej prawdy o wszystkim, ponieważ tak nie jest.

Spoiler: Spis treści

• Wprowadzenie:
• Zrozumienie podstaw tego, w jaki sposób niektóre informacje mogą prowadzić z powrotem do ciebie i jak złagodzić niektóre z nich:
  • Sieć:
    • Twój adres IP:
    • Żądania DNS i IP:
    • Urządzenia obsługujące RFID:
    • Urządzenia Wi-Fi i Bluetooth wokół ciebie:
    • Złośliwe/nieuczciwe punkty dostępu Wi-Fi:
    • Zanonimizowany ruch Tor/VPN:
    • Niektóre urządzenia mogą być śledzone nawet w trybie offline:
  • Identyfikatory sprzętu:
    • IMEI i IMSI (a tym samym numer telefonu):
    • Adres MAC sieci Wi-Fi lub Ethernet:
    • Adres MAC Bluetooth:
  • Procesor:
  • Systemy operacyjne i usługi telemetryczne aplikacji:
  • ogólnie urządzenia inteligentne:
  • Ty sam:
    • Twoje metadane, w tym geolokalizacja:
    • Cyfrowy odcisk palca, ślad i zachowanie online:
    • Wskazówki dotyczące prawdziwego życia i OSINT:
    • Twarz, głos, dane biometryczne i zdjęcia:
    • Phishing i inżynieria społeczna:
  • Złośliwe oprogramowanie, exploity i wirusy:
    • Złośliwe oprogramowanie w plikach/dokumentach/wiadomościach e-mail:
    • Złośliwe oprogramowanie i exploity w aplikacjach i usługach:
    • Złośliwe urządzenia USB:
    • Złośliwe oprogramowanie i backdoory w oprogramowaniu sprzętowym i systemie operacyjnym:
  • Pliki, dokumenty, zdjęcia i filmy:
    • Właściwości i metadane:
    • Znak wodny:
    • Rozpikselowane lub niewyraźne informacje:
  • Transakcje w kryptowalutach:
  • Kopie zapasowe/usługi synchronizacji w chmurze:
  • Odciski palców przeglądarki i urządzenia:
  • Lokalne wycieki danych i kryminalistyka:
  • Zła kryptografia:
  • Brak logowania, ale i tak zasady logowania:
  • Zaawansowane techniki ukierunkowane:
  • Dodatkowe zasoby:
  • Uwagi:
• Ogólne przygotowania:
  • Wybór trasy:
    • Ograniczenia czasowe:
    • Ograniczenia budżetowe/materiałowe:
    • Umiejętności:
    • Przeciwnicy (zagrożenia):
  • Kroki dla wszystkich tras:
    • Uzyskanie anonimowego numeru telefonu:
    • Zdobądź klucz USB:
    • Znajdź bezpieczne miejsca z przyzwoitym publicznym Wi-Fi:
  • Trasa TAILS:
    • Persistent Plausible Deniability przy użyciu Whonix w ramach TAILS:
  • Kroki dla wszystkich innych tras:
    • Zdobądź dedykowany laptop do wykonywania wrażliwych działań:
    • Kilka zaleceń dotyczących laptopów:
    • Ustawienia Bios/UEFI/Firmware laptopa:
    • Fizyczna ochrona laptopa:
  • Trasa Whonix:
    • Wybór systemu operacyjnego hosta (systemu operacyjnego zainstalowanego na laptopie):
    • Linux Host OS:
    • MacOS Host OS:
    • Windows Host OS:
    • Virtualbox na systemie operacyjnym hosta:
    • Wybierz metodę połączenia:
    • Uzyskaj anonimowy VPN/Proxy:
    • Whonix:
    • Tor przez VPN:
    • Whonix Maszyny wirtualne:
    • Wybierz maszynę wirtualną stacji roboczej gościa:
    • Maszyna wirtualna Linux (Whonix lub Linux):
    • Windows 10 Maszyna wirtualna:
    • Android Maszyna wirtualna:
    • MacOS Maszyna wirtualna:
    • KeepassXC:
    • Instalacja klienta VPN (płatna gotówką/Monero):
    • (opcjonalnie) umożliwiając tylko maszynom wirtualnym dostęp do Internetu, jednocześnie odcinając system operacyjny hosta, aby zapobiec wyciekom:
    • Ostatni krok:
  • Trasa Qubes:
    • Wybierz metodę połączenia:
    • Uzyskaj anonimowy VPN/Proxy:
    • Instalacja:
    • Lid Closure Behavior:
    • Połączenie z publiczną siecią Wi-Fi:
    • Aktualizacja Qubes OS:
    • Hardening Qubes OS:
    • Konfiguracja VPN ProxyVM:
    • Konfiguracja bezpiecznej przeglądarki w Qube OS (opcjonalne, ale zalecane):
    • Konfiguracja maszyny wirtualnej Android:
    • KeePassXC:
• Tworzenie anonimowej tożsamości online:
  • Zrozumienie metod używanych do zapobiegania anonimowości i weryfikacji tożsamości:
    • Captcha:
    • Weryfikacja telefoniczna:
    • Weryfikacja e-mail:
    • Sprawdzanie danych użytkownika:
    • Weryfikacja dowodu tożsamości:
    • Filtry IP:
    • Odciski palców przeglądarki i urządzenia:
    • Interakcja międzyludzka:
    • Moderacja użytkowników:
    • Analiza behawioralna:
    • Transakcje finansowe:
    • Logowanie za pomocą jakiejś platformy:
    • Rozpoznawanie twarzy na żywo i biometria (ponownie):
    • Ręczne przeglądy:
  • Getting Online:
    • Tworzenie nowych tożsamości:
    • System prawdziwych nazw:
    • Informacje o płatnych usługach:
    • Przegląd:
    • Jak udostępniać pliki lub czatować anonimowo:
    • Bezpieczne redagowanie dokumentów/obrazów/wideo/audio:
    • Przekazywanie poufnych informacji różnym znanym organizacjom:
    • Zadania konserwacyjne:
• Bezpieczne tworzenie kopii zapasowych:
  • Kopie zapasowe offline:
    • Kopie zapasowe wybranych plików:
    • Pełne kopie zapasowe dysku/systemu:
  • Kopie zapasowe online:
    • Pliki:
    • Informacje:
  • Synchronizacja plików między urządzeniami Online:
• Zacieranie śladów:
  • Zrozumienie dysków HDD i SSD:
    • Niwelowanie zużycia.
    • Operacje przycinania:
    • Garbage Collection:
    • Podsumowanie:
  • Jak bezpiecznie wymazać cały laptop/dysk, jeśli chcesz wymazać wszystko:
    • Linux (wszystkie wersje, w tym Qubes OS):
    • Windows:
    • MacOS:
  • Jak bezpiecznie usunąć określone pliki/foldery/dane na dysku HDD/SSD i pendrive'ach:
    • Windows:
    • Linux (bez Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Niektóre dodatkowe środki przeciwko kryminalistyce:
    • Usuwanie metadanych z plików/dokumentów/obrazów:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (non-Qubes):
    • Windows:
  • Usuwanie niektórych śladów tożsamości w wyszukiwarkach i na różnych platformach:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Search:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Kilka oldschoolowych sztuczek:
  • Ukryta komunikacja na widoku:
  • Jak wykryć, że ktoś przeszukiwał twoje rzeczy:
• Kilka ostatnich przemyśleń na temat OPSEC:
• Jeśli myślisz, że się sparzyłeś:
  • Jeśli masz trochę czasu:
  • Jeśli nie masz czasu:
• Mała końcowa uwaga redakcyjna

 

[HEISENBERG]

Phishing i inżynieria społeczna.

Phishing to rodzaj ataku socjotechnicznego, w którym przeciwnik może próbować wydobyć od ciebie informacje, udając lub podszywając się pod coś/kogoś innego.


Typowym przypadkiem jest przeciwnik wykorzystujący atak typu man-in-the-middle lub fałszywy e-mail/telefon, aby poprosić o dane uwierzytelniające do usługi. Może to być na przykład e-mail lub podszywanie się pod usługi finansowe.


Takie ataki mogą być również wykorzystywane do pozbawienia kogoś anonimowości poprzez nakłonienie go do pobrania złośliwego oprogramowania lub ujawnienia danych osobowych w miarę upływu czasu.


Były one wykorzystywane niezliczoną ilość razy od pierwszych dni Internetu, a zwykły z nich nazywany jest "oszustwem 419" ( patrz https://en.wikipedia.org/wiki/Advance-fee_scam [Wikiless] [Archive.org]).


Oto dobry film, jeśli chcesz dowiedzieć się więcej o typach phishingu: Black Hat, Ichthyology: Phishing as a Science

[ Invidious].

 

[HEISENBERG]

Złośliwe oprogramowanie, exploity i wirusy.

Złośliwe oprogramowanie w plikach/dokumentach/wiadomościach e-mail.

Korzystając ze steganografii lub innych technik, łatwo jest osadzić złośliwe oprogramowanie w popularnych formatach plików, takich jak dokumenty Office, zdjęcia, filmy, dokumenty PDF....


Mogą to być proste linki śledzące HTML lub złożone złośliwe oprogramowanie.


Mogą to być proste obrazy o rozmiarze pikseli ukryte w wiadomościach e-mail, które wywołują zdalny serwer w celu uzyskania adresu IP użytkownika.


Mogą one wykorzystywać luki w przestarzałym formacie lub nieaktualnym czytniku. Takie exploity mogą być następnie wykorzystane do naruszenia bezpieczeństwa systemu.


Zobacz te dobre filmy, aby uzyskać więcej wyjaśnień na ten temat:

• Co to jest format pliku?
  [Invidious]
• Ange Albertini: Funky File Formats:
  [Invidious]

Zawsze należy zachować szczególną ostrożność. Aby złagodzić te ataki, niniejszy przewodnik zaleci później korzystanie z wirtualizacji (patrz Dodatek W: Wirtualizacja), aby złagodzić wyciek jakichkolwiek informacji nawet w przypadku otwarcia takiego złośliwego pliku.


Jeśli chcesz dowiedzieć się, jak spróbować wykryć takie złośliwe oprogramowanie, zobacz Dodatek T: Sprawdzanie plików pod kątem złośliwego oprogramowania

 

[HEISENBERG]

Złośliwe oprogramowanie i exploity w aplikacjach i usługach.

Używasz przeglądarki Tor Browser lub Brave Browser przez sieć Tor. Możesz używać ich przez VPN dla dodatkowego bezpieczeństwa. Należy jednak pamiętać, że istnieją exploity (hacki), które mogą być znane przeciwnikowi (ale nieznane dostawcy aplikacji/przeglądarki). Takie exploity mogą zostać wykorzystane do włamania się do systemu użytkownika i ujawnienia szczegółów umożliwiających jego anonimizację, takich jak adres IP lub inne szczegóły.


Prawdziwym przypadkiem użycia tej techniki była sprawa Freedom Hosting z 2013 roku, w której FBI umieściło złośliwe oprogramowanie za pomocą exploita przeglądarki Firefox na stronie Tor. Ten exploit pozwolił im ujawnić szczegóły dotyczące niektórych użytkowników. Niedawno doszło do godnego uwagi włamania SolarWinds, które naruszyło kilka amerykańskich instytucji rządowych poprzez umieszczenie złośliwego oprogramowania na oficjalnym serwerze aktualizacji oprogramowania.


W niektórych krajach złośliwe oprogramowanie jest po prostu obowiązkowe i/lub dystrybuowane przez samo państwo. Tak jest na przykład w Chinach w przypadku WeChat, który może być następnie wykorzystywany w połączeniu z innymi danymi do nadzoru państwowego.


Istnieją niezliczone przykłady złośliwych rozszerzeń przeglądarki, aplikacji na smartfony i różnych aplikacji, które zostały zainfekowane złośliwym oprogramowaniem na przestrzeni lat.


Oto kilka kroków w celu złagodzenia tego typu ataków:

• Nigdy nie należy mieć 100% zaufania do używanych aplikacji.
• Przed użyciem należy zawsze sprawdzić, czy używana jest zaktualizowana wersja takich aplikacji, a najlepiej zweryfikować każde pobranie za pomocą ich podpisu, jeśli jest dostępny.
• Nie powinieneś używać takich aplikacji bezpośrednio z systemu sprzętowego, ale zamiast tego użyj maszyny wirtualnej do przedzielenia.

Aby odzwierciedlić te zalecenia, niniejszy przewodnik poprowadzi Cię później w zakresie korzystania z wirtualizacji (patrz Dodatek W: Wirtualizacja), tak aby nawet jeśli Twoja przeglądarka / aplikacje zostaną naruszone przez wykwalifikowanego przeciwnika, ten przeciwnik utknie w piaskownicy bez możliwości uzyskania dostępu do informacji identyfikujących lub naruszenia bezpieczeństwa systemu.

 

[HEISENBERG]

Złośliwe urządzenia USB.

Istnieją łatwo dostępne komercyjne i tanie urządzenia "badUSB", które mogą wdrażać złośliwe oprogramowanie, rejestrować wpisywane dane, geolokalizować użytkownika, podsłuchiwać go lub przejąć kontrolę nad laptopem po prostu przez ich podłączenie. Oto kilka przykładów, które można już kupić.

• Hak5, USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe [Archive.org]
• Hak5, O.MG Cable
  [Invidious]
• Keelog https://www.keelog.com/ [Archive.org]
• AliExpress https://www.aliexpress.com/i/4000710369016.html [Archive.org]

Takie urządzenia mogą być wszczepiane w dowolnym miejscu (kabel do ładowania, mysz, klawiatura, klucz USB ...) przez przeciwnika i mogą być używane do śledzenia użytkownika lub narażania na szwank jego komputera lub smartfona. Najbardziej znanym przykładem takich ataków jest prawdopodobnie Stuxnet z 2005 roku.


Chociaż można fizycznie sprawdzić klucz USB, przeskanować go różnymi narzędziami, sprawdzić różne komponenty, aby sprawdzić, czy są one oryginalne, najprawdopodobniej nigdy nie będziesz w stanie odkryć złożonego złośliwego oprogramowania osadzonego w prawdziwych częściach prawdziwego klucza USB przez wykwalifikowanego przeciwnika bez zaawansowanego sprzętu kryminalistycznego.


Aby złagodzić ten problem, nigdy nie należy ufać takim urządzeniom i podłączać ich do wrażliwego sprzętu. Jeśli korzystasz z urządzenia ładującego, powinieneś rozważyć użycie urządzenia blokującego dane USB, które pozwoli tylko na ładowanie, ale nie na transfer danych. Takie urządzenia blokujące dane są obecnie łatwo dostępne w wielu sklepach internetowych. Powinieneś również rozważyć całkowite wyłączenie portów USB w BIOS-ie komputera, chyba że ich potrzebujesz (jeśli możesz).

 

[HEISENBERG]

Złośliwe oprogramowanie i backdoory w oprogramowaniu sprzętowym i systemie operacyjnym.

To może brzmieć nieco znajomo, ponieważ zostało już częściowo omówione wcześniej w sekcji Twój procesor.


Złośliwe oprogramowanie i backdoory mogą być osadzone bezpośrednio w komponentach sprzętowych. Czasami te backdoory są implementowane przez samego producenta, takie jak IME w przypadku procesorów Intel. W innych przypadkach takie backdoory mogą być wdrażane przez stronę trzecią, która umieszcza się między zamówieniami nowego sprzętu a dostawą do klienta.


Takie złośliwe oprogramowanie i backdoory mogą być również wdrażane przez przeciwnika przy użyciu exploitów programowych. Wiele z nich nazywa się rootkitami w świecie technologii. Zazwyczaj tego typu złośliwe oprogramowanie jest trudniejsze do wykrycia i złagodzenia, ponieważ jest zaimplementowane na niższym poziomie niż przestrzeń użytkownika i często w samym oprogramowaniu układowym komponentów sprzętowych.


Czym jest oprogramowanie układowe? Firmware to niskopoziomowy system operacyjny dla urządzeń. Każdy komponent w komputerze prawdopodobnie posiada oprogramowanie układowe, w tym na przykład dyski twarde. Na przykład system BIOS/UEFI komputera jest rodzajem oprogramowania układowego.


Mogą one umożliwiać zdalne zarządzanie i umożliwiać pełną kontrolę nad systemem docelowym po cichu i ukradkiem.


Jak wspomniano wcześniej, są one trudniejsze do wykrycia przez użytkowników, ale mimo to można podjąć pewne ograniczone kroki, aby złagodzić niektóre z nich, chroniąc urządzenie przed manipulacją i stosując pewne środki (takie jak na przykład ponowne flashowanie biosu). Niestety, jeśli takie złośliwe oprogramowanie lub backdoor są zaimplementowane przez samego producenta, ich wykrycie i wyłączenie staje się niezwykle trudne.

 

[HEISENBERG]

Twoje pliki, dokumenty, zdjęcia i filmy.

Właściwości i metadane.

Dla wielu może to być oczywiste, ale nie dla wszystkich. Większość plików ma dołączone metadane. Dobrym przykładem są zdjęcia, które przechowują informacje EXIF, które mogą zawierać wiele informacji, takich jak współrzędne GPS, model aparatu/telefonu, który je zrobił i kiedy dokładnie zostało zrobione. Chociaż informacje te nie mogą bezpośrednio zdradzić, kim jesteś, mogą dokładnie określić, gdzie byłeś w danym momencie, co może pozwolić innym na korzystanie z różnych źródeł w celu znalezienia cię (na przykład CCTV lub inne nagrania zrobione w tym samym miejscu w tym samym czasie podczas protestu). Ważne jest, aby zweryfikować każdy plik umieszczony na tych platformach pod kątem wszelkich właściwości, które mogą zawierać jakiekolwiek informacje, które mogą prowadzić do ciebie.


Oto przykład danych EXIF, które mogą znajdować się na zdjęciu:

Nawiasem mówiąc, działa to również w przypadku filmów. Tak, filmy również mają geotagowanie i wiele osób nie zdaje sobie z tego sprawy. Oto na przykład bardzo wygodne narzędzie do geolokalizacji filmów z YouTube: https://mattw.io/youtube-geofind/location [Archive.org].


Z tego powodu zawsze trzeba być bardzo ostrożnym podczas przesyłania plików przy użyciu anonimowych tożsamości i sprawdzać metadane tych plików.


Nawet jeśli publikujesz prosty plik tekstowy, zawsze powinieneś dwukrotnie lub trzykrotnie sprawdzić go pod kątem wycieku informacji przed publikacją. Wskazówki na ten temat można znaleźć w sekcji Dodatkowe środki przeciwko kryminalistyce na końcu przewodnika.

 

[HEISENBERG]

Znak wodny.

Obrazy/wideo/audio.

Obrazy / filmy często zawierają widoczne znaki wodne wskazujące, kto jest właścicielem / twórcą, ale w różnych produktach istnieją również niewidoczne znaki wodne mające na celu identyfikację samego widza.


Tak więc, jeśli jesteś informatorem i myślisz o wycieku jakiegoś zdjęcia / pliku audio / wideo. Zastanów się dwa razy. Istnieją szanse, że mogą one zawierać niewidoczne znaki wodne, które zawierają informacje o tobie jako widzu. Takie znaki wodne można włączyć za pomocą prostego przełącznika, takiego jak Zoom (wideo lub audio) lub za pomocą rozszerzeń popularnych aplikacji, takich jak Adobe Premiere Pro. Mogą być one wstawiane przez różne systemy zarządzania treścią.


Niedawny przykład, w którym ktoś wyciekł nagranie ze spotkania Zoom, został złapany, ponieważ był oznaczony znakiem wodnym: https://theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org].


Takie znaki wodne mogą być wstawiane przez różne produkty wykorzystujące steganografię i mogą być odporne na kompresję i ponowne kodowanie.


Te znaki wodne nie są łatwe do wykrycia i mogą umożliwić identyfikację źródła pomimo wszelkich wysiłków.


Oprócz znaków wodnych, kamera używana do filmowania (a zatem urządzenie używane do filmowania) wideo może być również identyfikowana przy użyciu różnych technik, takich jak identyfikacja obiektywu, co może prowadzić do deanonimizacji.


Zachowaj szczególną ostrożność podczas publikowania filmów / zdjęć / plików audio ze znanych platform komercyjnych, ponieważ mogą one zawierać takie niewidoczne znaki wodne oprócz szczegółów w samych obrazach.

Drukowanie znaków wodnych.

Czy wiesz, że Twoja drukarka najprawdopodobniej również Cię szpieguje? Nawet jeśli nie jest podłączona do żadnej sieci? Zwykle jest to fakt znany wielu osobom ze społeczności IT, ale niewielu osobom z zewnątrz.


Tak ... Drukarki mogą być używane do deanonimizacji użytkownika, jak wyjaśnia EFF tutaj https://www.eff.org/issues/printers [Archive.org].


Z tym (starym, ale wciąż aktualnym) filmem wyjaśniającym, jak to zrobić z EFF:

[Invidious].


Zasadniczo wiele drukarek drukuje niewidoczny znak wodny umożliwiający identyfikację drukarki na każdej wydrukowanej stronie. Nazywa się to steganografią drukarki. Nie ma innego sposobu na złagodzenie tego zjawiska, jak tylko poinformowanie się o drukarce i upewnienie się, że nie drukuje ona żadnego niewidzialnego znaku wodnego. Jest to oczywiście ważne, jeśli zamierzasz drukować anonimowo.


Oto (stara, ale wciąż aktualna) lista drukarek i marek, które nie drukują takich kropek śledzących, dostarczona przez EFF https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org].


Oto także kilka wskazówek z dokumentacji Whonix(https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]):


Nigdy nie drukuj w kolorze, zwykle znaki wodne nie występują bez kolorowych tonerów/kartridży.

 

[HEISENBERG]

Rozpikselowane lub rozmyte informacje.

Czy kiedykolwiek widziałeś dokument z rozmytym tekstem? Czy kiedykolwiek śmiałeś się z tych filmów/seriali, w których "ulepszają" obraz, aby odzyskać pozornie niemożliwe do odczytania informacje?


Cóż, istnieją techniki odzyskiwania informacji z takich dokumentów, filmów i zdjęć.


Oto na przykład projekt open-source, który można wykorzystać do samodzielnego odzyskiwania tekstu z rozmytych obrazów: https://github.com/beurtschipper/Depix [Archive.org].

Jest to oczywiście projekt open-source dostępny dla wszystkich. Można sobie jednak wyobrazić, że takie techniki były już wcześniej wykorzystywane przez innych przeciwników. Można je wykorzystać do ujawnienia niewyraźnych informacji z opublikowanych dokumentów, które można następnie wykorzystać do usunięcia anonimowości.


Istnieją również samouczki dotyczące korzystania z takich technik przy użyciu narzędzi do edycji zdjęć, takich jak GIMP, takie jak : https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [Archive.org ], a następnie https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org].

Wreszcie, znajdziesz wiele zasobów do usuwania błędów tutaj: https://github.com/subeeshvasu/Awesome-Deblurring [Archive.org].


Niektóre usługi online mogą nawet pomóc ci zrobić to automatycznie do pewnego stopnia, na przykład narzędzie do ulepszania MyHeritage.com:


https://www.myheritage.com/photo-enhancer [Archive.org].


Oto wynik powyższego obrazu:

Oczywiście, to narzędzie jest bardziej jak "zgadywanie" niż rzeczywiste usuwanie plam w tym momencie, ale może być wystarczające, aby znaleźć cię za pomocą różnych usług wyszukiwania wstecznego obrazu.


Z tego powodu zawsze niezwykle ważne jest prawidłowe redagowanie i kuratorowanie każdego dokumentu, który chcesz opublikować. Rozmycie nie wystarczy i zawsze należy całkowicie zaczernić/usunąć wszelkie wrażliwe dane, aby uniknąć jakichkolwiek prób odzyskania danych przez przeciwnika.

 

[HEISENBERG]

Twoje transakcje w kryptowalutach.

Wbrew powszechnemu przekonaniu, transakcje kryptowalutowe (takie jak Bitcoin i Ethereum) nie są anonimowe. Większość kryptowalut można dokładnie śledzić za pomocą różnych metod


Pamiętaj, co mówią na swojej własnej stronie: https://bitcoin.org/en/you-need-to-know [ Archive.org] i https://bitcoin.org/en/protect-your-privacy [Archive.org]:


"Bitcoin nie jest anonimowy ".


Głównym problemem nie jest skonfigurowanie losowego portfela kryptowalutowego w celu otrzymania waluty za adresem VPN/Tor (w tym momencie portfel jest anonimowy). Problem pojawia się głównie wtedy, gdy chcesz zamienić pieniądze fiat (euro, dolary ...) na kryptowaluty, a następnie, gdy chcesz spieniężyć swoje kryptowaluty. Będziesz miał niewiele realistycznych opcji, ale przeniesiesz je na giełdę (taką jak Coinbase/Kraken/Bitstamp/Binance). Giełdy te mają znane adresy portfeli i będą przechowywać szczegółowe dzienniki (ze względu na przepisy finansowe KYC), a następnie mogą prześledzić te transakcje kryptograficzne do Ciebie za pomocą systemu finansowego.


Istnieją pewne kryptowaluty zapewniające prywatność/anonimowość, takie jak Monero, ale nawet one zawierają pewne ostrzeżenia, które należy wziąć pod uwagę.


Nawet jeśli korzystasz z Mixerów lub Tumblerów (usług specjalizujących się w "anonimizacji" kryptowalut poprzez ich "mieszanie"), pamiętaj, że jest to tylko zaciemnienie, a nie faktyczna anonimowość. Nie tylko są one tylko zaciemnieniem, ale mogą również narazić cię na kłopoty, ponieważ możesz skończyć na wymianie kryptowaluty na "brudną" kryptowalutę, która była używana w różnych wątpliwych kontekstach.


Nie oznacza to, że w ogóle nie można używać Bitcoina anonimowo. W rzeczywistości możesz używać Bitcoina anonimowo, o ile nie konwertujesz go na rzeczywistą walutę i korzystasz z portfela Bitcoin z bezpiecznej anonimowej sieci. Oznacza to, że należy unikać przepisów KYC/AML różnych giełd i unikać korzystania z sieci Bitcoin z dowolnego znanego adresu IP. Zobacz Załącznik Z: Anonimowe płatności online za pomocą BTC.


Ogólnie rzecz biorąc, IMHO, najlepszą opcją korzystania z kryptowalut z rozsądną anonimowością i prywatnością jest nadal Monero i najlepiej nie używać żadnych innych do wrażliwych transakcji, chyba że jesteś świadomy ograniczeń i związanego z tym ryzyka. Prosimy o zapoznanie się z zastrzeżeniami dotyczącymi Monero.

 

[HEISENBERG]

Usługi tworzenia kopii zapasowych/synchronizacji w chmurze.

Wszystkie firmy reklamują korzystanie z szyfrowania end-to-end (E2EE). Dotyczy to prawie każdej aplikacji do przesyłania wiadomości i strony internetowej (HTTPS). Apple i Google reklamują stosowanie szyfrowania na swoich urządzeniach z Androidem i iPhone'ach.


Ale co z kopiami zapasowymi? Te zautomatyzowane kopie zapasowe iCloud/dysku Google, które posiadasz?


Cóż, prawdopodobnie powinieneś wiedzieć, że większość tych kopii zapasowych nie jest w pełni zaszyfrowana i będzie zawierać niektóre z twoich informacji łatwo dostępnych dla osób trzecich. Zobaczysz ich twierdzenia, że dane są zaszyfrowane w spoczynku i bezpieczne dla każdego... Z wyjątkiem tego, że zwykle przechowują klucz, aby uzyskać dostęp do niektórych danych. Klucze te są używane do indeksowania treści, odzyskiwania konta i gromadzenia różnych danych analitycznych.


Dostępne są wyspecjalizowane komercyjne rozwiązania kryminalistyczne (Magnet Axiom, Cellebrite Cloud), które pomogą przeciwnikowi z łatwością analizować dane w chmurze.


Godne uwagi przykłady:

• Apple iCloud: https://support.apple.com/en-us/HT202303 [Archive.org]: "Wiadomości w iCloud również korzystają z szyfrowania end-to-end. Jeśli włączona jest Kopia zapasowa iCloud, kopia zapasowa zawiera kopię klucza chroniącego Wiadomości. Zapewnia to możliwość odzyskania Wiadomości w przypadku utraty dostępu do pęku kluczy iCloud i zaufanych urządzeń. ".
• Dysk Google i WhatsApp: https://faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Kopie zapasowe multimediów i wiadomości nie są chronione przez kompleksowe szyfrowanie WhatsApp, gdy znajdują się na Dysku Google. ".
• Dropbox: https://www.dropbox.com/privacy#terms [Archive.org] "Aby zapewnić te i inne funkcje, Dropbox uzyskuje dostęp do Twoich rzeczy, przechowuje je i skanuje. Udzielasz nam pozwolenia na wykonywanie tych czynności, a pozwolenie to rozciąga się na nasze podmioty stowarzyszone i zaufane strony trzecie, z którymi współpracujemy".
• Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Produkty związane z wydajnością i komunikacją, "Gdy korzystasz z OneDrive, zbieramy dane dotyczące korzystania przez Ciebie z usługi, a także przechowywanej przez Ciebie zawartości, w celu świadczenia, ulepszania i ochrony usług. Przykłady obejmują indeksowanie zawartości dokumentów OneDrive, aby można je było później wyszukać, oraz wykorzystywanie informacji o lokalizacji, aby umożliwić wyszukiwanie zdjęć na podstawie miejsca ich wykonania".

Nie powinieneś ufać dostawcom usług w chmurze, jeśli chodzi o Twoje (nie zaszyfrowane wcześniej i lokalnie) wrażliwe dane i powinieneś być ostrożny wobec ich zapewnień o prywatności. W większości przypadków mogą oni uzyskać dostęp do danych i udostępnić je stronom trzecim, jeśli zechcą.


Jedynym sposobem na złagodzenie tego jest szyfrowanie danych po swojej stronie, a następnie przesyłanie ich tylko do takich usług.

 

[HEISENBERG]

Odciski palców przeglądarki i urządzenia.

Odciski palców przeglądarki i urządzenia to zestaw właściwości/zdolności systemu/przeglądarki. Są one używane na większości stron internetowych do niewidocznego śledzenia użytkownika, ale także do dostosowywania doświadczenia użytkownika strony internetowej w zależności od jego przeglądarki. Na przykład strony internetowe będą w stanie zapewnić "wrażenia mobilne", jeśli użytkownik korzysta z przeglądarki mobilnej lub zaproponować określoną wersję językową/geograficzną w zależności od odcisku palca. Większość z tych technik działa z najnowszymi przeglądarkami, takimi jak przeglądarki oparte na Chromium (takie jak Chrome) lub Firefox, chyba że zostaną podjęte specjalne środki.


Wiele szczegółowych informacji i publikacji na ten temat można znaleźć w tych zasobach:

• https://amiunique.org/links [Archive.org]
• https://brave.com/brave-fingerprinting-and-privacy-budgets/ [Archive.org].

W większości przypadków te odciski palców będą niestety unikalne lub prawie unikalne dla przeglądarki/systemu. Oznacza to, że nawet jeśli wylogujesz się ze strony internetowej, a następnie zalogujesz się ponownie przy użyciu innej nazwy użytkownika, twój odcisk palca może pozostać taki sam, jeśli nie podejmiesz środków ostrożności.


Przeciwnik może następnie użyć takich odcisków palców do śledzenia użytkownika w wielu usługach, nawet jeśli nie ma on konta w żadnej z nich i korzysta z blokowania reklam. Te odciski palców mogą z kolei zostać wykorzystane do deanonimizacji użytkownika, jeśli zachowa on ten sam odcisk palca między usługami.


Należy również zauważyć, że chociaż niektóre przeglądarki i rozszerzenia oferują odporność na odciski palców, odporność ta sama w sobie może być również wykorzystana do pobierania odcisków palców, jak wyjaśniono tutaj https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org].


Niniejszy przewodnik złagodzi te kwestie, łagodząc, zaciemniając i randomizując wiele z tych identyfikatorów odcisków palców za pomocą wirtualizacji (patrz Dodatek W: Wirtualizacja) i używając przeglądarek odpornych na odciski palców.

 

[HEISENBERG]

Lokalne wycieki danych i kryminalistyka.

Większość z was prawdopodobnie widziała wystarczająco dużo seriali kryminalnych na Netflixie lub w telewizji, aby wiedzieć, czym są kryminalistycy. Są to technicy (zwykle pracujący dla organów ścigania), którzy przeprowadzają różne analizy dowodów. Może to oczywiście obejmować smartfon lub laptop.


Chociaż mogą one zostać wykonane przez przeciwnika, gdy już zostałeś "spalony", mogą one również zostać wykonane losowo podczas rutynowej kontroli lub kontroli granicznej. Te niepowiązane kontrole mogą ujawnić tajne informacje przeciwnikom, którzy nie mieli wcześniej wiedzy o takich działaniach.


Techniki kryminalistyczne są obecnie bardzo zaawansowane i mogą ujawnić oszałamiającą ilość informacji z urządzeń, nawet jeśli są one zaszyfrowane. Techniki te są szeroko stosowane przez organy ścigania na całym świecie i powinny być brane pod uwagę.


Oto kilka najnowszych zasobów, które powinieneś przeczytać na temat swojego smartfona:

• UpTurn, The Widespread Power of U.S. Law Enforcement to Search Mobile Phones https://www.upturn.org/reports/2020/mass-extraction/ [Archive.org]
• New-York Times, The Police Can Probably Break Into Your Phone https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html [Archive.org]
• Vice, Cops Around the Country Can Now Unlock iPhones, Records Show https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police [Archive.org]

Gorąco polecam również zapoznanie się z niektórymi dokumentami z perspektywy biegłego sądowego, takimi jak:

• EnCase Forensic User Guide, http://encase-docs.opentext.com/doc...al Files/EnCase Forensic v8.07 User Guide.pdf [Archive.org]
• FTK Forensic Toolkit, https://accessdata.com/products-services/forensic-toolkit-ftk [Archive.org]
• SANS Digital Forensics and Incident Response Videos, https://www.youtube.com/c/SANSDigitalForensics/videos

I wreszcie, oto bardzo pouczający szczegółowy dokument na temat obecnego stanu bezpieczeństwa IOS/Android z Uniwersytetu Johna Hopkinsa: https://securephones.io/main.html.


Jeśli chodzi o laptopa, techniki kryminalistyczne są liczne i szeroko rozpowszechnione. Wiele z tych kwestii można złagodzić, stosując pełne szyfrowanie dysku, wirtualizację (patrz Dodatek W: Wirtualizacja) i kompartmentalizację. Niniejszy przewodnik szczegółowo opisuje takie zagrożenia i techniki ich łagodzenia.

 

[HEISENBERG]

Zła kryptografia.

Wśród społeczności infosec istnieje częste powiedzenie: "Nie twórz własnych kryptowalut!".


I są ku temu powody:


Osobiście nie chciałbym, aby ludzie zniechęcali się do studiowania i wprowadzania innowacji w dziedzinie kryptowalut z powodu tego porzekadła. Zamiast tego zalecałbym ludziom ostrożność z "Roll your own crypto", ponieważ niekoniecznie jest to dobra kryptowaluta.

• Dobra kryptografia nie jest łatwa i zwykle wymaga lat badań, aby ją rozwinąć i dopracować.
• Dobra kryptografia jest przejrzysta i nie jest zastrzeżona / o zamkniętym kodzie źródłowym, dzięki czemu może być sprawdzana przez rówieśników.
• Dobra kryptografia jest rozwijana ostrożnie, powoli i rzadko w pojedynkę.
• Dobra kryptografia jest zwykle prezentowana i omawiana na konferencjach oraz publikowana w różnych czasopismach.
• Dobra kryptografia jest poddawana szczegółowej wzajemnej weryfikacji, zanim zostanie udostępniona do użytku na wolności.
• Prawidłowe wykorzystanie i wdrożenie istniejącej dobrej kryptografii jest już wyzwaniem.

Nie powstrzymuje to jednak niektórych przed robieniem tego i publikowaniem różnych aplikacji / usług produkcyjnych przy użyciu własnej kryptografii lub zastrzeżonych metod zamkniętego oprogramowania.

• Należy zachować ostrożność podczas korzystania z aplikacji/usług wykorzystujących zamknięte lub zastrzeżone metody szyfrowania. Wszystkie dobre standardy kryptograficzne są publiczne i recenzowane, więc nie powinno być problemu z ujawnieniem tego, którego używasz.
• Należy uważać na aplikacje/usługi korzystające ze "zmodyfikowanych" lub zastrzeżonych metod kryptograficznych.
• Domyślnie nie powinieneś ufać żadnemu "Roll your own crypto", dopóki nie zostanie ono poddane audytowi, wzajemnej weryfikacji, weryfikacji i zaakceptowane przez społeczność kryptograficzną.
• Nie ma czegoś takiego jak "kryptografia klasy wojskowej".

Kryptografia to złożony temat, a zła kryptografia może łatwo doprowadzić do utraty anonimowości.


W kontekście tego przewodnika zalecam trzymanie się aplikacji/usług korzystających z dobrze ugruntowanych, opublikowanych i zweryfikowanych metod.


Co więc preferować, a czego unikać w 2021 roku? Będziesz musiał sam sprawdzić, aby uzyskać szczegóły techniczne każdej aplikacji i zobaczyć, czy używają "złego krypto" czy "dobrego krypto". Po uzyskaniu szczegółów technicznych możesz sprawdzić tę stronę, aby zobaczyć, co jest warta: https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org].


Oto kilka przykładów:

• Hasła:
  
  • Preferowane: SHA256 (powszechnie używany), SHA512 (preferowany) lub SHA-3
  • Unikać: SHA-1, SHA-2, MD5 (niestety nadal powszechnie używane), CRC, MD6 (rzadko używane).
• Szyfrowanie plików/dysków:
  
  • Preferowane:
    
    • Akcelerowane sprzętowo: AES 256 bitów z HMAC-SHA-2 lub HMAC-SHA-3 (tego używają Veracrypt, Bitlocker, Filevault 2, KeepassXC i LUKS).
    • Bez akceleracji sprzętowej: Tak samo jak w przypadku akceleracji powyżej lub jeśli jest dostępna, preferuj ChaCha20 lub XChaCha20 (możesz użyć ChaCha20 z Kryptor https://www.kryptor.co.uk, niestety nie jest on dostępny z Veracrypt).
  • Unikać: Prawie wszystkiego innego
• Przechowywanie haseł:
  
  • Preferuj: argon2, scrypt, bcrypt, SHA-3 lub jeśli to niemożliwe przynajmniej PBKDF2 (tylko w ostateczności)
  • Unikaj: gołe SHA-2, SHA-1, MD5
• Bezpieczeństwo przeglądarki (HTTPS):
  
  • Preferowane: TLS 1.3 (najlepiej TLS 1.3 z obsługą ECH/eSNI) lub przynajmniej TLS 1.2 (szeroko stosowany).
  • Unikaj: Cokolwiek innego (TLS =<1.1, SSL =<3)
• Podpisywanie za pomocą PGP/GPG:
  
  • Preferowane ECDSA (ed25519)+ECDH (ec25519) lub RSA 4096 bitów*.
  • Unikać: RSA 2048 bitów
• Klucze SSH:
  
  • ED25519 (preferowane) lub RSA 4096 bitów*
  • Unikać: RSA 2048 bitów
• Ostrzeżenie: RSA i ED25519 nie są niestety postrzegane jako "odporne na kwanty" i chociaż nie zostały jeszcze złamane, prawdopodobnie zostaną złamane pewnego dnia w przyszłości. Prawdopodobnie jest to tylko kwestia czasu, a nie tego, czy RSA zostanie kiedykolwiek złamane. Są one więc preferowane w tych kontekstach z powodu braku lepszej opcji.

Oto kilka rzeczywistych przypadków złej kryptografii:

• Telegram: https://buttondown.email/cryptograp...ography-dispatches-the-most-backdoor-looking/ [Archive.org]
• Cryptocat: https://web.archive.org/web/2013070...-critical-vulnerability-in-cryptocat-details/
• Kilka innych przykładów można znaleźć tutaj: https://www.cryptofails.com/ [Archive.org]

 

[HEISENBERG]

Brak logowania, ale zasady logowania i tak.

Wiele osób uważa, że usługi zorientowane na prywatność, takie jak VPN lub dostawcy poczty e-mail, są bezpieczne ze względu na ich politykę braku logowania lub schematy szyfrowania. Niestety, wiele z tych samych osób zapomina, że wszyscy ci dostawcy są legalnymi podmiotami komercyjnymi podlegającymi prawu krajów, w których działają.


Każdy z tych dostawców może zostać zmuszony do cichego (bez wiedzy użytkownika (na przykład za pomocą nakazu sądowego z nakazem kneblowania lub listu bezpieczeństwa narodowego) rejestrowania aktywności użytkownika w celu pozbawienia go anonimowości. Ostatnio pojawiło się kilka takich przykładów:

• 2021, serwery DoubleVPN, dzienniki i informacje o koncie przejęte przez organy ścigania
• 2021, Niemiecki dostawca poczty Tutanota został zmuszony do monitorowania określonych kont przez 3 miesiące.
• 2020, niemiecki dostawca poczty Tutanota został zmuszony do wdrożenia backdoora w celu przechwycenia i zapisania kopii niezaszyfrowanych wiadomości e-mail jednego z użytkowników (nie odszyfrowano przechowywanych wiadomości e-mail).
• 2017, PureVPN został zmuszony do ujawnienia FBI informacji o jednym z użytkowników.
• 2014, użytkownik EarthVPN został aresztowany na podstawie logów dostarczonych holenderskiej policji.
• 2014, użytkownik HideMyAss został pozbawiony anonimowości, a logi zostały przekazane FBI.
• 2013, dostawca bezpiecznej poczty elektronicznej Lavabit zostaje zamknięty po walce z tajnym nakazem kneblowania.

Niektórzy dostawcy wdrożyli korzystanie z Warrant Canary, który pozwoliłby ich użytkownikom dowiedzieć się, czy zostali narażeni na szwank przez takie nakazy, ale o ile mi wiadomo, nie zostało to jeszcze przetestowane.


Wreszcie, obecnie wiadomo, że niektóre firmy mogą być sponsorowanymi front-endami dla niektórych przeciwników państwowych (patrz historia Crypto AG i Omnisec).


Z tych powodów ważne jest, aby nie ufać takim dostawcom w zakresie prywatności, pomimo wszystkich ich twierdzeń. W większości przypadków będziesz ostatnią osobą, która dowie się, czy którekolwiek z twoich kont było celem takich zamówień i możesz nigdy się o tym nie dowiedzieć.


Aby to złagodzić, w przypadkach, w których chcesz korzystać z VPN, zalecam korzystanie z dostawcy VPN opłacanego gotówką / monero zamiast Tora, aby uniemożliwić usłudze VPN poznanie jakichkolwiek możliwych do zidentyfikowania informacji o tobie.

 

[HEISENBERG]

Niektóre zaawansowane techniki ukierunkowane.

Istnieje wiele zaawansowanych technik, które mogą być wykorzystane przez wykwalifikowanych przeciwników do ominięcia środków bezpieczeństwa, pod warunkiem, że wiedzą już, gdzie znajdują się urządzenia. Wiele z tych technik zostało szczegółowo opisanych tutaj https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israel) i obejmują one:

• Ataki, które wymagają złośliwego oprogramowania wszczepionego w jakieś urządzenie:
  
  • Exfiltracja danych przez router zainfekowany złośliwym oprogramowaniem [ang:
    [Invidious].
  • Eksfiltracja danych poprzez obserwację zmian światła w podświetlanej klawiaturze za pomocą zainfekowanej kamery:
    [Invidious]
    
    • Eksfiltracja danych przez skompromitowaną kamerę bezpieczeństwa (która mogła najpierw wykorzystać poprzedni atak)
      [Niepozorne]
    • Komunikacja z zewnątrz do skompromitowanych kamer bezpieczeństwa za pomocą sygnałów świetlnych IR:
      [Invidious]
  • Eksfiltracja danych ze skompromitowanego komputera z hermetyzacją poprzez analizę akustyczną odgłosów FAN za pomocą smartfona.
    [Invidious]
  • Eksfiltracja danych z komputera zainfekowanego złośliwym oprogramowaniem poprzez diody LED HD za pomocą drona
    [Invidious]
  • Eksfiltracja danych ze złośliwego oprogramowania USB na komputerze z izolacją powietrzną poprzez zakłócenia elektromagnetyczne
    [Invidious]
  • Eksfiltracja danych z zainfekowanego złośliwym oprogramowaniem dysku twardego poprzez ukryty hałas akustyczny
    [Invidious]
  • Eksfiltracja danych poprzez częstotliwości GSM z zainfekowanego (złośliwym oprogramowaniem) komputera z izolacją powietrzną
    [Niepozorne]
  • Eksfiltracja danych poprzez emisje elektromagnetyczne z zainfekowanego urządzenia wyświetlającego
    [Niepozorne]
  • Eksfiltracja danych przez fale magnetyczne ze skompromitowanego komputera z osłoną powietrzną do smartfona przechowywanego w torbie Faradaya.
    [Niepozorne]
  • Komunikacja między dwoma zainfekowanymi komputerami za pomocą ultradźwiękowych fal dźwiękowych
    [Invidious]
  • Eksfiltracja portfela Bitcoin z zainfekowanego komputera do smartfona
    [Invidious]
  • Eksfiltracja danych ze skompromitowanego komputera z podsłuchem za pomocą jasności wyświetlacza
    [Podstępne]
  • Wykradanie danych z zainfekowanego komputera z izolacją powietrzną za pomocą wibracji
    [Podstępne]
  • Wykradanie danych z zainfekowanego komputera z dostępem do powietrza poprzez przekształcenie pamięci RAM w emiter Wi-Fi
    [Invidious]
  • Eksfiltracja danych ze skompromitowanego komputera przez linie energetyczne https://arxiv.org/abs/1804.04014 [Archive.org]
• Ataki, które nie wymagają złośliwego oprogramowania:
  
  • Obserwowanie żarówki z pewnej odległości w celu nasłuchiwania dźwięku w pomieszczeniu bez złośliwego oprogramowania: Demonstracja:
    [Invidious]

Tutaj znajduje się również dobre wideo od tych samych autorów wyjaśniające te tematy: Black Hat, The Air-Gap Jumpers

[Invidious]


Realistycznie rzecz biorąc, ten przewodnik będzie mało pomocny w walce z takimi przeciwnikami, ponieważ te złośliwe oprogramowanie może zostać wszczepione na urządzenia przez producenta lub kogoś w środku lub przez każdego, kto ma fizyczny dostęp do komputera z luką powietrzną, ale nadal istnieją pewne sposoby na złagodzenie takich technik:

• Nie wykonuj wrażliwych czynności, gdy jesteś podłączony do niezaufanej / niezabezpieczonej linii energetycznej, aby zapobiec wyciekom linii energetycznej.
• Nie używaj urządzeń przed kamerą, która może zostać naruszona.
• Korzystaj z urządzeń w dźwiękoszczelnym pomieszczeniu, aby zapobiec wyciekom dźwięku.
• Używaj urządzeń w klatce Faradaya, aby zapobiec wyciekom elektromagnetycznym.
• Nie rozmawiaj o poufnych informacjach w miejscach, w których żarówki mogą być obserwowane z zewnątrz.
• Kupuj swoje urządzenia w różnych / nieprzewidywalnych / offline miejscach (sklepach), gdzie prawdopodobieństwo zainfekowania ich takim złośliwym oprogramowaniem jest niższe.
• Nie zezwalaj nikomu na dostęp do swoich komputerów, z wyjątkiem zaufanych osób.

 

[HEISENBERG]

Kilka dodatkowych zasobów.

• Zapoznaj się z dokumentacją Whonix dotyczącą technik gromadzenia danych tutaj: https://www.whonix.org/wiki/Data_Collection_Techniques [Archive.org].
• Możesz również zapoznać się z tym serwisem https://tosdr.org/ [Archive.org] (Terms of Services, Didn't Read), który daje dobry przegląd różnych ToS wielu usług.
• Więcej informacji można znaleźć na stronie https://www.eff.org/issues/privacy [Archive.org].
• Zajrzyj na stronę https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects [ Wikiless] [Archive.org], aby uzyskać przegląd wszystkich znanych projektów masowej inwigilacji, obecnych i przeszłych.
• Zajrzyj na stronę https://www.gwern.net/Death-Note-Anonymity [Archive.org] (nawet jeśli nie wiesz o Death Note).
• Rozważ znalezienie i przeczytanie książki Michaela Bazzella "Open Source Intelligence Techniques" (8. wydanie w chwili pisania tego tekstu, aby dowiedzieć się więcej o najnowszych technikach OSINT) https://inteltechniques.com/book1.html [Archive.org].
• Wreszcie, sprawdź https://www.freehaven.net/anonbib/date.html [Archive.org], aby zapoznać się z najnowszymi artykułami akademickimi związanymi z anonimowością online.

 

[HEISENBERG]

Uwagi.

Jeśli nadal nie uważasz, że takie informacje mogą być wykorzystywane przez różne podmioty do śledzenia cię, możesz zobaczyć statystyki dla niektórych platform i pamiętaj, że są one rozliczane tylko za zgodne z prawem żądania danych i nie będą liczyć takich rzeczy jak PRISM, MUSCULAR, SORM lub XKEYSCORE wyjaśnione wcześniej:

• Google Transparency Report https://transparencyreport.google.com/user-data/overview [Archive.org]
• Facebook Transparency Report https://transparency.facebook.com/ [Archive.org]
• Apple Transparency Report https://www.apple.com/legal/transparency/ [Archive.org]
• Cloudflare Transparency Report https://www.cloudflare.com/transparency/ [Archive.org]
• Raport przejrzystości Snapchata https://www.snap.com/en-US/privacy/transparency [Archive.org]
• Raport przejrzystości telegramu https://t.me/transparency [Archive.org] (wymaga zainstalowanego telegramu)
• Raport przejrzystości Microsoft https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report [Archive.org]
• Amazon Transparency Report https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF [Archive.org]
• Raport przejrzystości Dropbox https://www.dropbox.com/transparency [Archive.org]
• Raport przejrzystości Discord https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d [Archive.org]
• Raport przejrzystości GitHub https://github.blog/2021-02-25-2020-transparency-report/ [Archive.org]
• Raport przejrzystości Snapchat https://www.snap.com/en-US/privacy/transparency/ [Archive.org]
• Raport przejrzystości TikTok https://www.tiktok.com/safety/resources/transparency-report?lang=en [Archive.org]
• Raport przejrzystości Reddit https://www.reddit.com/wiki/transparency [Archive.org]
• Raport o przejrzystości Twittera https://transparency.twitter.com/ [Archive.org]

 

[HEISENBERG]

Preparaty ogólne.

Osobiście, w kontekście tego przewodnika, interesujące jest również spojrzenie na swój model bezpieczeństwa. I w tym kontekście mam tylko jeden do polecenia:


Zero-Trust Security ("Nigdy nie ufaj, zawsze weryfikuj").


Oto kilka różnych zasobów na temat tego, czym jest Zero-Trust Security:

• DEFCON, Zero Trust a Vision for Securing Cloud,
  [Invidious].
• Od samego NSA, Embracing a Zero Trust Security Model, https://media.defense.gov/2021/Feb/..._EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF [Archive.org].

 

[HEISENBERG]

Wybieranie trasy.

Oto mały podstawowy diagram UML przedstawiający dostępne opcje. Zobacz szczegóły poniżej.

 

[HEISENBERG]

Ograniczenia czasowe.

• Masz bardzo ograniczony czas na naukę i potrzebujesz szybko działającego rozwiązania:
  
  • Najlepszą opcją jest skorzystanie z metody Tails (z wyłączeniem części dotyczącej wiarygodnego zaprzeczania).
• Masz czas i, co ważniejsze, chęć do nauki:
  
  • Wybierz dowolną trasę.