Guide till anonymitet på nätet (av https://anonymousplanet.org/)

Användningen sker på egen risk. Ta inte den här guiden som en slutgiltig sanning för allt, för det är den inte.

Spoiler: Innehållsförteckning

• Introduktion:
• Förstå några grunder för hur viss information kan leda tillbaka till dig och hur du kan mildra vissa:
  • Ditt nätverk:
    • Din IP-adress:
    • Dina DNS- och IP-förfrågningar:
    • Dina RFID-aktiverade enheter:
    • Wi-Fis- och Bluetooth-enheter runt omkring dig:
    • Skadliga / Rogue Wi-Fi-åtkomstpunkter:
    • Din anonymiserade Tor/VPN-trafik:
    • Vissa enheter kan spåras även när de är offline:
  • Dina hårdvaruidentifierare:
    • Din IMEI och IMSI (och i förlängningen ditt telefonnummer):
    • Din Wi-Fi eller Ethernet MAC-adress:
    • Din Bluetooth MAC-adress:
  • Din CPU:
  • Operativsystem och telemetritjänster för appar:
  • Dina smarta enheter i allmänhet:
  • Dig själv:
    • Dina metadata, inklusive din geografiska placering:
    • Ditt digitala fingeravtryck, fotavtryck och onlinebeteende:
    • Dina ledtrådar om ditt verkliga liv och OSINT:
    • Ditt ansikte, din röst, din biometri och dina bilder:
    • Nätfiske och social ingenjörskonst:
  • Skadlig kod, exploateringar och virus:
    • Skadlig kod i dina filer/dokument/e-postmeddelanden:
    • Skadlig kod och exploateringar i dina appar och tjänster:
    • Skadliga USB-enheter:
    • Skadlig programvara och bakdörrar i din hårdvara, firmware och operativsystem:
  • Dina filer, dokument, bilder och videor:
    • Egenskaper och metadata:
    • Vattenmärkning:
    • Pixeliserad eller suddig information:
  • Dina transaktioner med kryptovalutor:
  • Dina molnbaserade säkerhetskopierings-/synkroniseringstjänster:
  • Fingeravtryck från din webbläsare och enhet:
  • Lokala dataläckor och kriminalteknik:
  • Dålig kryptografi:
  • Ingen loggning men loggning ändå policyer:
  • Några avancerade riktade tekniker:
  • Några bonusresurser:
  • Anteckningar:
• Allmänna förberedelser:
  • Välja din rutt:
    • Begränsningar i tid:
    • Budget/Materialbegränsningar:
    • Färdigheter:
    • Motståndare (hot):
  • Steg för alla rutter:
    • Skaffa ett anonymt telefonnummer:
    • Skaffa ett USB-minne:
    • Hitta några säkra platser med bra offentligt Wi-Fi:
  • TAILS-rutten:
    • Persistent Plausible Deniability med hjälp av Whonix inom TAILS:
  • Steg för alla andra rutter:
    • Skaffa en dedikerad bärbar dator för dina känsliga aktiviteter:
    • Några rekommendationer för bärbara datorer:
    • Bios/UEFI/Firmware-inställningar för din bärbara dator:
    • Fysiskt manipulationsskydd för din bärbara dator:
  • Whonix-rutten:
    • Välja ditt värd-OS (det OS som är installerat på din bärbara dator):
    • Linux Värd OS:
    • MacOS Värd OS:
    • Windows Värd OS:
    • Virtualbox på ditt värdoperativsystem:
    • Välj din anslutningsmetod:
    • Skaffa ett anonymt VPN/Proxy:
    • Whonix:
    • Tor över VPN:
    • Whonix Virtuella maskiner:
    • Välj din virtuella maskin för gästarbetsstation:
    • Linux virtuell maskin (Whonix eller Linux):
    • Windows 10 Virtuell maskin:
    • Android Virtuell maskin:
    • MacOS Virtuell maskin:
    • KeepassXC:
    • Installation av VPN-klient (kontant/Monero betalas):
    • (Valfritt) så att endast VM: erna kan komma åt internet medan de stänger av värdoperativsystemet för att förhindra läckage:
    • Sista steget:
  • Qubes-rutten:
    • Välj din anslutningsmetod:
    • Skaffa ett anonymt VPN/Proxy:
    • Installation:
    • Beteende vid stängning av locket:
    • Anslut till ett offentligt Wi-Fi:
    • Uppdatera Qubes OS:
    • Härdning av Qubes OS:
    • Konfigurera VPN ProxyVM:
    • Konfigurera en säker webbläsare inom Qube OS (valfritt men rekommenderas):
    • Konfigurera en Android VM:
    • KeePassXC:
• Skapa dina anonyma online-identiteter:
  • Förstå de metoder som används för att förhindra anonymitet och verifiera identitet:
    • Captchas:
    • Verifiering via telefon:
    • Verifiering av e-post:
    • Kontroll av användaruppgifter:
    • Verifiering av ID-bevis:
    • IP-filter:
    • Fingeravtryck från webbläsare och enheter:
    • Mänsklig interaktion:
    • Moderering av användare:
    • Beteendeanalys:
    • Finansiella transaktioner:
    • Inloggning med någon plattform:
    • Live Ansiktsigenkänning och biometri (igen):
    • Manuella granskningar:
  • Komma igång online:
    • Skapa nya identiteter:
    • Systemet med riktiga namn:
    • Om betaltjänster:
    • Översikt:
    • Så här delar du filer eller chattar anonymt:
    • Redigera dokument/bilder/videor/audio på ett säkert sätt:
    • Kommunicera känslig information till olika kända organisationer:
    • Underhållsuppgifter:
• Säkerhetskopiera ditt arbete på ett säkert sätt:
  • Säkerhetskopiering offline:
    • Säkerhetskopiering av utvalda filer:
    • Säkerhetskopior av hela disken/systemet:
  • Online-säkerhetskopior:
    • Filer:
    • Information:
  • Synkronisera dina filer mellan enheter Online:
• Att dölja dina spår:
  • Förstå HDD vs SSD:
    • Utjämning av slitage.
    • Trimningsoperationer:
    • Skräpuppsamling:
    • Slutsats:
  • Hur du säkert torkar hela din bärbara dator / hårddiskar om du vill radera allt:
    • Linux (alla versioner inklusive Qubes OS):
    • Windows:
    • MacOS:
  • Hur man säkert raderar specifika filer / mappar / data på din HDD / SSD och tumminnen:
    • Windows:
    • Linux (ej Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Några ytterligare åtgärder mot kriminalteknik:
    • Ta bort metadata från filer/dokument/bilder:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (ej Qubes):
    • Windows:
  • Ta bort vissa spår av dina identiteter på sökmotorer och olika plattformar:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Sök:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Några lågteknologiska knep av den gamla skolan:
  • Dold kommunikation i vanlig syn:
  • Hur man upptäcker om någon har sökt igenom dina saker:
• Några sista OPSEC-tankar:
• Om du tror att du har blivit bränd:
  • Om du har lite tid:
  • Om du inte har någon tid:
• En liten slutlig redaktionell anmärkning

 

[HEISENBERG]

Nätfiske och social ingenjörskonst.

Phishing är en typ av socialteknisk attack där en motståndare kan försöka få ut information från dig genom att låtsas vara eller utge sig för att vara något/någon annat.


Ett typiskt fall är att en motståndare använder en man-in-the-middle-attack eller ett falskt e-postmeddelande/samtal för att be om dina inloggningsuppgifter för en tjänst. Detta kan t.ex. ske via e-post eller genom att utge sig för att vara en finansiell tjänst.


Sådana attacker kan också användas för att avanonymisera någon genom att lura dem att ladda ner skadlig kod eller avslöja personlig information över tid.


Dessa har använts otaliga gånger sedan internets tidiga dagar och den vanligaste kallas "419 scam" (se https://en.wikipedia.org/wiki/Advance-fee_scam [ Wikiless] [ Archive.org]).


Här är en bra video om du vill lära dig lite mer om olika typer av phishing: Black Hat, Ichthyology: Phishing som vetenskap

[ Invidious].

 

[HEISENBERG]

Skadlig kod, exploateringar och virus.

Skadlig kod i dina filer/dokument/e-postmeddelanden.

Med hjälp av steganografi eller andra tekniker är det lätt att bädda in skadlig kod i vanliga filformat som Office-dokument, bilder, videor, PDF-dokument osv.


Dessa kan vara så enkla som HTML-spårningslänkar eller komplexa riktade skadliga program.


Det kan vara enkla bilder i pixelstorlek som döljs i dina e-postmeddelanden och som ringer upp en fjärrserver för att försöka få din IP-adress.


Det kan handla om att utnyttja en sårbarhet i ett föråldrat format eller en föråldrad läsare. Sådana exploateringar kan sedan användas för att kompromettera ditt system.


Se dessa bra videor för mer förklaringar i frågan:

• Vad är ett filformat?
  [Invidious]
• Ange Albertini: Funky filformat:
  [Invidious]

Du bör alltid vara extremt försiktig. För att mildra dessa attacker kommer denna guide senare att rekommendera användning av virtualisering (se Bilaga W: Virtualisering) för att minska läckage av information även om du öppnar en sådan skadlig fil.


Om du vill lära dig hur du försöker upptäcka sådan skadlig kod, se Bilaga T: Kontrollera filer för skadlig kod

 

[HEISENBERG]

Skadlig kod och exploateringar i dina appar och tjänster.

Så du använder Tor Browser eller Brave Browser över Tor. Du kan använda dem via ett VPN för extra säkerhet. Men du bör komma ihåg att det finns exploateringar (hacks) som kan vara kända av en motståndare (men okända för app- / webbläsarleverantören). Sådana exploateringar kan användas för att kompromissa med ditt system och avslöja detaljer för att avanonymisera dig, t.ex. din IP-adress eller andra detaljer.


Ett verkligt exempel på användning av denna teknik var Freedom Hosting-fallet 2013 där FBI infogade skadlig kod med hjälp av en Firefox-exploit på en Tor-webbplats. Detta utnyttjande gjorde det möjligt för dem att avslöja detaljer om vissa användare. Mer nyligen inträffade det uppmärksammade SolarWinds-hacket, där flera amerikanska myndigheter utsattes för intrång genom att skadlig kod infogades i en officiell server för programuppdateringar.


I vissa länder är skadlig kod helt enkelt obligatorisk och/eller distribueras av staten själv. Så är t.ex. fallet i Kina med WeChat som sedan kan användas i kombination med andra data för statlig övervakning.


Det finns otaliga exempel på skadliga webbläsartillägg, smartphone-appar och olika appar som har infiltrerats med skadlig kod genom åren.


Här är några steg för att mildra denna typ av attack:

• Du ska aldrig lita till 100% på de appar du använder.
• Du bör alltid kontrollera att du använder den uppdaterade versionen av sådana appar före användning och helst validera varje nedladdning med hjälp av deras signatur om den är tillgänglig.
• Du bör inte använda sådana appar direkt från ett maskinvarusystem utan i stället använda en virtuell maskin för avskildhet.

För att återspegla dessa rekommendationer kommer den här guiden därför senare att vägleda dig i användningen av virtualisering (se Bilaga W: Virtualisering) så att även om din webbläsare/dina appar blir komprometterade av en skicklig motståndare, kommer den motståndaren att befinna sig fast i en sandlåda utan att kunna komma åt identifierande information eller kompromettera ditt system.

 

[HEISENBERG]

Skadliga USB-enheter.

Det finns lättillgängliga kommersiella och billiga "badUSB"-enheter som kan distribuera skadlig kod, logga ditt skrivande, geolokalisera dig, lyssna på dig eller ta kontroll över din bärbara dator bara genom att du ansluter dem. Här är några exempel som du redan kan köpa själv.

• Hak5, USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe [Archive.org]
• Hak5, O.MG-kabel
  [Invidious]
• Keelog https://www.keelog.com/ [Archive.org]
• AliExpress https://www.aliexpress.com/i/4000710369016.html [Arkiv.org]

Sådana enheter kan implanteras var som helst (laddningskabel, mus, tangentbord, USB-nyckel ...) av en motståndare och kan användas för att spåra dig eller kompromissa med din dator eller smartphone. Det mest anmärkningsvärda exemplet på sådana attacker är förmodligen Stuxnet 2005.


Även om du kan inspektera ett USB-minne fysiskt, skanna det med olika verktyg och kontrollera de olika komponenterna för att se om de är äkta, kommer du troligen aldrig att kunna upptäcka komplex skadlig kod som är inbäddad i äkta delar av ett äkta USB-minne av en skicklig motståndare utan avancerad kriminalteknisk utrustning.


För att motverka detta bör du aldrig lita på sådana enheter och ansluta dem till känslig utrustning. Om du använder en laddningsenhet bör du överväga att använda en USB-enhet som blockerar data och som endast tillåter laddning men inte någon dataöverföring. Sådana dataspärrar finns numera att köpa i många nätbutiker. Du bör också överväga att inaktivera USB-portar helt i datorns BIOS om du inte behöver dem (om du kan).

 

[HEISENBERG]

Skadlig programvara och bakdörrar i maskinvarans firmware och operativsystem.

Det här låter kanske bekant eftersom det delvis redan har behandlats tidigare i avsnittet Din CPU.


Skadlig kod och bakdörrar kan bäddas in direkt i dina hårdvarukomponenter. Ibland implementeras dessa bakdörrar av tillverkaren själv, t.ex. IME när det gäller Intel-processorer. Och i andra fall kan sådana bakdörrar implementeras av en tredje part som placerar sig mellan beställningar av ny maskinvara och kundleverans.


Sådan skadlig kod och sådana bakdörrar kan också implementeras av en motståndare som använder mjukvaruutnyttjande. Många av dessa kallas rootkits inom teknikvärlden. Vanligtvis är dessa typer av skadlig kod svårare att upptäcka och begränsa eftersom de implementeras på en lägre nivå än användarutrymmet och ofta i själva hårdvarukomponenternas inbyggda programvara.


Vad är fast programvara? Firmware är ett operativsystem på låg nivå för enheter. Varje komponent i din dator har förmodligen en inbyggd programvara, t.ex. dina hårddiskar. BIOS/UEFI-systemet i din maskin är till exempel en typ av fast programvara.


Dessa kan tillåta fjärrhantering och kan möjliggöra full kontroll på ett målsystem tyst och smygande.


Som tidigare nämnts är dessa svårare att upptäcka av användare men ändå vissa begränsade steg som kan vidtas för att mildra vissa av dem genom att skydda din enhet från manipulering och använda vissa åtgärder (som att blinka om bios till exempel). Tyvärr, om sådan skadlig kod eller bakdörr implementeras av tillverkaren själv, blir det extremt svårt att upptäcka och inaktivera dem.

 

[HEISENBERG]

Dina filer, dokument, bilder och videor.

Egenskaper och metadata.

Det här kan vara uppenbart för många, men inte för alla. De flesta filer har metadata kopplade till sig. Ett bra exempel är bilder som lagrar EXIF-information som kan innehålla mycket information, t.ex. GPS-koordinater, vilken kamera/telefonmodell som tog bilden och exakt när den togs. Även om den här informationen kanske inte direkt avslöjar vem du är, kan den berätta exakt var du befann dig vid ett visst tillfälle, vilket kan göra det möjligt för andra att använda olika källor för att hitta dig (CCTV eller andra bilder som tagits på samma plats vid samma tidpunkt under en protest till exempel). Det är viktigt att du kontrollerar alla filer som du lägger upp på dessa plattformar för att se om de innehåller information som kan leda tillbaka till dig.


Här är ett exempel på EXIF-data som kan finnas på en bild:

Förresten, detta fungerar också för videor. Ja, videor har också geo-taggning och många är mycket omedvetna om detta. Här är till exempel ett mycket bekvämt verktyg för att geo-locate YouTube-videor: https: //mattw.io/youtube-geofind/location [Archive.org]


Av denna anledning måste du alltid vara mycket försiktig när du laddar upp filer med dina anonyma identiteter och kontrollera metadata för dessa filer.


Även om du publicerar en enkel textfil bör du alltid dubbel- eller trippelkolla den för eventuella informationsläckor innan du publicerar den. Du hittar lite vägledning om detta i avsnittet Några ytterligare åtgärder mot kriminalteknik i slutet av guiden.

 

[HEISENBERG]

Vattenmärkning.

Bilder/Videor/Audio.

Bilder/videor innehåller ofta synliga vattenstämplar som anger vem som är ägare/skapare, men det finns också osynliga vattenstämplar i olika produkter som syftar till att identifiera tittaren själv.


Så om du är en visselblåsare och funderar på att läcka någon bild-, ljud- eller videofil. Tänk efter en extra gång. Det finns chanser att de kan innehålla osynlig vattenstämpel i dem som skulle innehålla information om dig som tittare. Sådana vattenstämplar kan aktiveras med en enkel omkopplare i som Zoom (Video eller Audio) eller med tillägg för populära appar som Adobe Premiere Pro. Dessa kan infogas av olika innehållshanteringssystem.


Ett färskt exempel där någon läckte en Zoom-mötesinspelning upptäcktes eftersom den var vattenstämplad: https: //theintercept.com/2021/01/18/leak-zoom-meeting/ [Archive.org]


Sådana vattenstämplar kan infogas av olika produkter med hjälp av steganografi och kan motstå komprimering och omkodning.


Dessa vattenstämplar är inte lätta att upptäcka och kan göra det möjligt att identifiera källan trots alla ansträngningar.


Förutom vattenstämplar kan den kamera som används för att filma (och därmed den enhet som används för att filma) en video också identifieras med hjälp av olika tekniker, t.ex. linsidentifiering, vilket kan leda till avanonymisering.


Var extremt försiktig när du publicerar videor/bilder/ljudfiler från kända kommersiella plattformar eftersom de kan innehålla sådana osynliga vattenstämplar utöver detaljer i själva bilderna.

Vattenmärkning av utskrift.

Visste du att din skrivare troligen spionerar på dig också? Även om den inte är ansluten till något nätverk? Detta är vanligtvis ett känt faktum av många människor i IT-samhället men få utomstående människor.


Ja ... Dina skrivare kan användas för att avanonymisera dig såväl som förklaras av EFF här https://www.eff.org/issues/printers [Archive.org]


Med den här (gamla men fortfarande relevanta) videon som förklarar hur från EFF också:

[Invidious]


I grund och botten kommer många skrivare att skriva ut en osynlig vattenstämpel som möjliggör identifiering av skrivaren på varje tryckt sida. Det finns inget riktigt sätt att mildra detta utan att informera dig själv om din skrivare och se till att den inte skriver ut något osynligt vattenstämpel. Detta är naturligtvis viktigt om du tänker skriva ut anonymt.


Här är en (gammal men fortfarande relevant) lista över skrivare och märken som inte skriver ut sådana spårningspunkter som tillhandahålls av EFF https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots [Archive.org]


Här är också några tips från Whonix-dokumentationen (https://www.whonix.org/wiki/Printing_and_Scanning [Archive.org]):


Skriv aldrig ut i färg, vanligtvis finns vattenstämplar inte utan färgtoner / patroner.

 

[HEISENBERG]

Pixeliserad eller suddig information.

Har du någonsin sett ett dokument med suddig text? Har du någonsin gjort narr av de filmer/serier där de "förbättrar" en bild för att återskapa information som till synes är omöjlig att läsa?


Det finns tekniker för att återskapa information från sådana dokument, videor och bilder.


Här är till exempel ett projekt med öppen källkod som du själv kan använda för att återställa text från några suddiga bilder: https: //github.com/beurtschipper/Depix [Archive.org]

Detta är naturligtvis ett projekt med öppen källkod som är tillgängligt för alla att använda. Men du kan förmodligen föreställa dig att sådana tekniker förmodligen har använts tidigare av andra motståndare. Dessa kan användas för att avslöja suddig information från publicerade dokument som sedan kan användas för att avanonymisera dig.


Det finns också handledning för att använda sådana tekniker med hjälp av fotoredigeringsverktyg som GIMP, till exempel: https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b [Archive.org] följt av https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d [Archive.org]

Slutligen hittar du massor av resurser för avblurning här: https: //github.com/subeeshvasu/Awesome-Deblurring [Archive. org]


Vissa onlinetjänster kan till och med hjälpa dig att göra detta automatiskt i viss utsträckning som MyHeritage.com förbättringsverktyg:


https://www.myheritage.com/photo-enhancer [Archive. org]


Här är resultatet av ovanstående bild:

Naturligtvis är detta verktyg mer som "gissning" än verkligen deblurring vid denna tidpunkt, men det kan räcka för att hitta dig med hjälp av olika omvända bildsökningstjänster.


Av denna anledning är det alltid extremt viktigt att du korrekt redigerar och kuraterar alla dokument som du kanske vill publicera. Det räcker inte med att sudda ut och du bör alltid helt svartmarkera/ta bort all känslig data för att undvika alla försök att återskapa data från någon motståndare.

 

[HEISENBERG]

Dina transaktioner med kryptovalutor.

I motsats till vad många tror är kryptotransaktioner (som Bitcoin och Ethereum) inte anonyma. De flesta kryptovalutor kan spåras exakt genom olika metoder


Kom ihåg vad de säger på sin egen sida: https: //bitcoin.org/en/you-need-to-know [Archive. org ] och https://bitcoin.org/en/protect-your-privacy [Archive.org]:


"Bitcoin är inte anonymt "


Huvudfrågan är inte att ställa in en slumpmässig Crypto-plånbok för att få lite valuta bakom en VPN / Tor-adress (vid denna tidpunkt är plånboken anonym). Problemet är främst när du vill konvertera Fiat-pengar (euro, dollar ...) till Crypto och sedan när du vill tjäna pengar på din Crypto. Du kommer att ha få realistiska alternativ än att överföra dem till en börs (t.ex. Coinbase / Kraken / Bitstamp / Binance). Dessa börser har kända plånboksadresser och kommer att hålla detaljerade loggar (på grund av KYC finansiella regler) och kan sedan spåra tillbaka dessa kryptotransaktioner till dig med hjälp av det finansiella systemet.


Det finns några kryptovalutor med integritet / anonymitet i åtanke som Monero men även de har några och varningar att tänka på.


Även om du använder Mixers eller Tumblers (tjänster som specialiserar sig på att "anonymisera" kryptovalutor genom att "blanda dem"), kom ihåg att detta bara är fördunkling och inte faktisk anonymitet. Inte bara är de bara fördunklande utan de kan också sätta dig i trubbel eftersom du kan sluta växla ditt krypto mot "smutsigt" krypto som användes i olika tvivelaktiga sammanhang.


Detta betyder inte att du inte kan använda Bitcoin anonymt alls. Du kan faktiskt använda Bitcoin anonymt så länge du inte konverterar det till faktisk valuta och använder en Bitcoin-plånbok från ett säkert anonymt nätverk. Det betyder att du bör undvika KYC/AML-regler från olika börser och undvika att använda Bitcoin-nätverket från någon känd IP-adress. Se Bilaga Z: Betala anonymt online med BTC.


Sammantaget, IMHO, är det bästa alternativet för att använda Crypto med rimlig anonymitet och integritet fortfarande Monero och du bör helst inte använda någon annan för känsliga transaktioner om du inte är medveten om de begränsningar och risker som är inblandade. Vänligen läs denna Monero Disclaimer.

 

[HEISENBERG]

Dina molnbaserade säkerhetskopierings- och synkroniseringstjänster.

Alla företag gör reklam för att de använder end-to-end-kryptering (E2EE). Detta gäller för nästan alla meddelandeappar och webbplatser (HTTPS). Apple och Google gör reklam för att de använder kryptering på sina Android-enheter och sina iPhones.


Men hur är det med dina säkerhetskopior? De automatiserade säkerhetskopiorna av iCloud / Google-enheten du har?


Tja, du borde förmodligen veta att de flesta av dessa säkerhetskopior inte är helt krypterade från slut till slut och kommer att innehålla en del av din information som är lätt tillgänglig för en tredje part. Du kommer att se deras påståenden om att data är krypterade i vila och säkra från någon ... Förutom att de vanligtvis behåller en nyckel för att komma åt en del av uppgifterna själva. Dessa nycklar används för att de ska kunna indexera ditt innehåll, återställa ditt konto och samla in olika analyser.


Det finns specialiserade kommersiella kriminaltekniska lösningar tillgängliga (Magnet Axiom, Cellebrite Cloud) som hjälper en motståndare att enkelt analysera dina molndata.


Anmärkningsvärda exempel:

• Apple iCloud: https://support.apple.com/en-us/HT202303 [Archive.org ] : "Meddelanden i iCloud använder också end-to-end-kryptering. Om du har iCloud Backup aktiverat innehåller din säkerhetskopia en kopia av nyckeln som skyddar dina meddelanden. Detta säkerställer att du kan återställa dina meddelanden om du förlorar åtkomsten till iCloud Keychain och dina betrodda enheter. ".
• Google Drive och WhatsApp: https: //faq.whatsapp.com/android/chats/about-google-drive-backups/ [Archive.org]: "Media och meddelanden som du säkerhetskopierar skyddas inte av WhatsApp end-to-end-kryptering när de finns i Google Drive. ".
• Dropbox: https: //www.dropbox.com/privacy#terms [Archive. org] "För att tillhandahålla dessa och andra funktioner har Dropbox åtkomst till, lagrar och skannar dina saker. Du ger oss tillstånd att göra dessa saker, och detta tillstånd omfattar även våra dotterbolag och betrodda tredje parter som vi arbetar med."
• Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement [Archive.org]: Produktivitets- och kommunikationsprodukter, "När du använder OneDrive samlar vi in data om din användning av tjänsten, samt det innehåll du lagrar, för att tillhandahålla, förbättra och skydda tjänsterna. Exempel är att indexera innehållet i dina OneDrive-dokument så att du kan söka efter dem senare och använda platsinformation för att göra det möjligt för dig att söka efter foton baserat på var fotot togs".

Du bör inte lita på molnleverantörer med dina (inte tidigare och lokalt krypterade) känsliga data och du bör vara försiktig med deras integritetsanspråk. I de flesta fall kan de komma åt dina uppgifter och lämna ut dem till en tredje part om de vill.


Det enda sättet att motverka detta är att kryptera dina data på egen hand och sedan bara ladda upp dem till sådana tjänster.

 

[HEISENBERG]

Fingeravtryck från din webbläsare och enhet.

Din webbläsares och enhets fingeravtryck är en uppsättning egenskaper/funktioner för ditt system/din webbläsare. Dessa används på de flesta webbplatser för osynlig användarspårning men också för att anpassa webbplatsens användarupplevelse beroende på webbläsaren. Webbplatser kan t.ex. ge en "mobil upplevelse" om du använder en mobil webbläsare eller föreslå en specifik språklig/geografisk version beroende på ditt fingeravtryck. De flesta av dessa tekniker fungerar med nyare webbläsare som Chromium-baserade webbläsare (t.ex. Chrome) eller Firefox om man inte vidtar särskilda åtgärder.


Du kan hitta mycket detaljerad information och publikationer om detta på dessa resurser:

• https://amiunique.org/links [Archive. org]
• https://brave.com/brave-fingerprinting-and-privacy-budgets/ [Archive. org]

För det mesta kommer dessa fingeravtryck tyvärr att vara unika eller nästan unika för din webbläsare/ditt system. Detta innebär att även om du loggar ut från en webbplats och sedan loggar in igen med ett annat användarnamn, kan ditt fingeravtryck förbli detsamma om du inte vidtagit försiktighetsåtgärder.


En motståndare kan sedan använda sådana fingeravtryck för att spåra dig på flera olika tjänster, även om du inte har något konto på någon av dem och använder annonsblockering. Dessa fingeravtryck kan i sin tur användas för att avanonymisera dig om du behåller samma fingeravtryck mellan olika tjänster.


Det bör också noteras att även om vissa webbläsare och tillägg erbjuder fingeravtrycksmotstånd, kan detta motstånd i sig också användas för att fingeravtrycka dig som förklaras här https://palant.info/2020/12/10/how-...xtensions-tend-to-make-fingerprinting-easier/ [Archive.org]


Denna guide kommer att mildra dessa problem genom att mildra, fördunkla och randomisera många av dessa fingeravtrycksidentifierare genom att använda virtualisering (se bilaga W: Virtualisering) och genom att använda webbläsare som är resistenta mot fingeravtryck.

 

[HEISENBERG]

Lokala dataläckor och kriminalteknik.

De flesta av er har förmodligen sett tillräckligt många kriminalserier på Netflix eller TV för att veta vad kriminalteknik är. Dessa är tekniker (vanligtvis arbetar för brottsbekämpning) som kommer att utföra olika analyser av bevis. Detta kan naturligtvis inkludera din smartphone eller bärbara dator.


Även om dessa kan göras av en motståndare när du redan blivit "bränd", kan de också göras slumpmässigt under en rutinkontroll eller en gränskontroll. Dessa orelaterade kontroller kan avslöja hemlig information för motståndare som inte hade någon tidigare kunskap om sådana aktiviteter.


Tekniken för kriminalteknik är nu mycket avancerad och kan avslöja en häpnadsväckande mängd information från dina enheter, även om de är krypterade. Dessa tekniker används i stor utsträckning av brottsbekämpande myndigheter över hela världen och bör övervägas.


Här är några aktuella resurser som du bör läsa om din smartphone:

• UpTurn, The Widespread Power of U.S. Law Enforcement to Search Mobile Phones https://www.upturn.org/reports/2020/mass-extraction/ [Archive.org]
• New-York Times, Polisen kan förmodligen bryta sig in i din telefon https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html [Archive.org]
• Vice, Cops runt om i landet kan nu låsa upp iPhones, Records Show https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police [Archive. org]

Jag rekommenderar också starkt att du läser några dokument från ett rättsmedicinskt undersökarperspektiv som t.ex:

• EnCase Forensic User Guide, http://encase-docs.opentext.com/doc...al Files/EnCase Forensic v8.07 User Guide.pdf [Archive.org]
• FTK Forensic Toolkit, https://accessdata.com/products-services/forensic-toolkit-ftk [Archive.org]
• SANS Digital Forensics and Incident Response Videos, https://www.youtube.com/c/SANSDigitalForensics/videos

Och slutligen, här är detta mycket instruktiva detaljerade dokument om det aktuella läget för IOS/Android-säkerhet från John Hopkins University: https: //securephones.io/main.html.


När det gäller din bärbara dator är de kriminaltekniska metoderna många och utbredda. Många av dessa problem kan minskas genom att använda fullständig diskkryptering, virtualisering (se Bilaga W: Virtualisering) och avskildhet. Den här guiden kommer senare att beskriva sådana hot och tekniker för att minska dem.

 

[HEISENBERG]

Dålig kryptografi.

Det finns ett vanligt ordspråk bland infosec-folk: "Rulla inte ditt eget krypto!".


Och det finns skäl för det:


Personligen skulle jag inte vilja att människor avskräcktes från att studera och innovera inom kryptofältet på grund av det ordspråket. Så istället skulle jag rekommendera människor att vara försiktiga med "Rulla ditt eget krypto" eftersom det inte nödvändigtvis är bra krypto.

• Bra kryptografi är inte lätt och det tar vanligtvis år av forskning att utveckla och finjustera.
• Bra kryptografi är transparent och inte proprietär / sluten källkod så att den kan granskas av kamrater.
• Bra kryptografi utvecklas noggrant, långsamt och sällan ensamt.
• Bra kryptografi presenteras och diskuteras vanligtvis på konferenser och publiceras i olika tidskrifter.
• Bra kryptografi genomgår omfattande peer review innan den släpps fri för användning i naturen.
• Att använda och implementera befintlig bra kryptografi på rätt sätt är redan en utmaning.

Detta hindrar dock inte vissa från att göra det ändå och publicera olika produktionsappar/tjänster med hjälp av deras egentillverkade kryptografi eller proprietära metoder med sluten källkod.

• Du bör vara försiktig när du använder appar/tjänster som använder sluten källkod eller proprietära krypteringsmetoder. Alla bra kryptostandarder är offentliga och peer review-granskade och det borde inte vara något problem att avslöja vilken du använder.
• Du bör vara försiktig med appar/tjänster som använder en "modifierad" eller proprietär kryptografisk metod.
• Som standard bör du inte lita på någon "Roll your own crypto" förrän den har granskats, peer-reviewed, vetted och accepterats av kryptografigemenskapen.
• Det finns inget sådant som "militärklassat krypto".

Kryptografi är ett komplext ämne och dålig kryptografi kan lätt leda till att du avanonymiseras.


I samband med den här guiden rekommenderar jag att du håller dig till appar/tjänster som använder väletablerade, publicerade och peer review-granskade metoder.


Så, vad ska man föredra och vad ska man undvika från och med 2021? Du måste leta upp själv för att få de tekniska detaljerna för varje app och se om de använder "dåligt krypto" eller "bra krypto". När du väl har fått de tekniska detaljerna kan du kolla den här sidan för att se vad den är värd: https: //latacora.micro.blog/2018/04/03/cryptographic-right-answers.html [Archive.org]


Här är några exempel:

• Hashes:
  
  • Föredrar: SHA256 (används ofta), SHA512 (föredras) eller SHA-3
  • Undvik: SHA-1, SHA-2, MD5 (används tyvärr fortfarande i stor utsträckning), CRC, MD6 (används sällan)
• Kryptering av filer/diskar:
  
  • Företrädesvis:
    
    • Hårdvaruaccelererad: AES 256 bitar med HMAC-SHA-2 eller HMAC-SHA-3 (detta är vad Veracrypt, Bitlocker, Filevault 2, KeepassXC och LUKS använder)
    • Icke-hårdvaruaccelererad: Samma som accelererat ovan eller om tillgängligt föredra ChaCha20 eller XChaCha20 (Du kan använda ChaCha20 med Kryptor https://www.kryptor.co.uk, tyvärr är det inte tillgängligt med Veracrypt).
  • Undvik att använda: I stort sett allt annat
• Lagring av lösenord:
  
  • Föredrar: argon2, scrypt, bcrypt, SHA-3 eller om det inte är möjligt åtminstone PBKDF2 (endast som en sista utväg)
  • Undvik: naken SHA-2, SHA-1, MD5
• Säkerhet i webbläsare (HTTPS):
  
  • Föredrar: TLS 1.3 (helst TLS 1.3 med stöd för ECH/eSNI) eller åtminstone TLS 1.2 (används ofta)
  • Undvik att använda: Allt annat (TLS =<1.1, SSL =<3)
• Signering med PGP/GPG:
  
  • Föredra ECDSA (ed25519)+ECDH (ec25519) eller RSA 4096 bitar*
  • Undvik: RSA 2048 bitar
• SSH-nycklar:
  
  • ED25519 (föredras) eller RSA 4096 bitar*
  • Undvik att använda: RSA 2048 bitar
• Varning för: RSAoch ED25519 ses tyvärr inte som "Quantum Resistant" och även om de inte har brutits ännu, kommer de förmodligen att brytas någon gång i framtiden. Det är förmodligen bara en fråga om när snarare än om RSA någonsin kommer att brytas. Så dessa föredras i dessa sammanhang på grund av bristen på ett bättre alternativ.

Här är några verkliga fall av problem med dålig kryptografi:

• Telegram: https: //buttondown.email/cryptograp...ography-dispatches-the-most-backdoor-looking/ [Archive.org]
• Cryptocat: https: //web.archive.org/web/2013070...-critical-vulnerability-in-cryptocat-details/
• Några andra exempel kan hittas här: https: //www.cryptofails.com/ [Archive. org]

 

[HEISENBERG]

Policyer för ingen loggning men loggning ändå.

Många tror att integritetsinriktade tjänster som VPN- eller e-postleverantörer är säkra på grund av deras policyer om att inte logga eller deras krypteringssystem. Tyvärr glömmer många av dessa människor att alla dessa leverantörer är juridiska kommersiella enheter som omfattas av lagarna i de länder där de är verksamma.


Vilken som helst av dessa leverantörer kan tvingas att i tysthet (utan din vetskap, t.ex. med hjälp av ett domstolsbeslut med munkavle eller ett nationellt säkerhetsbrev) logga din aktivitet för att avanonymisera dig. Det har nyligen förekommit flera exempel på detta:

• 2021, DoubleVPN-servrar, loggar och kontoinformation beslagtagna av brottsbekämpande myndigheter
• 2021, Den Tysklandsbaserade e-postleverantören Tutanota tvingades övervaka specifika konton i 3 månader
• 2020, Den Tysklandsbaserade e-postleverantören Tutanota tvingades implementera en bakdörr för att fånga upp och spara kopior av en användares okrypterade e-post (de dekrypterade inte den lagrade e-posten)
• 2017 tvingades PureVPN att lämna ut information om en användare till FBI.
• 2014, EarthVPN-användare arresterades baserat på loggar som levererats till den nederländska polisen.
• 2014 avanonymiserades en HideMyAss-användare och loggar lämnades till FBI.
• 2013, Lavabit, leverantör av säker e-post, stänger ner efter att ha kämpat mot en hemlig munkavleorder.

Vissa leverantörer har infört en Warrant Canary som skulle göra det möjligt för deras användare att ta reda på om de har äventyrats av sådana order, men detta har inte testats ännu såvitt jag vet.


Slutligen är det nu välkänt att vissa företag kan vara sponsrade frontend för vissa statliga motståndare (se Crypto AG-berättelsen och Omnisec-berättelsen).


Av dessa skäl är det viktigt att du inte litar på sådana leverantörer för din integritet trots alla deras påståenden. I de flesta fall kommer du att vara den sista personen som får veta om något av dina konton var föremål för sådana order och du kanske aldrig får veta det alls.


För att mildra detta, i fall där du vill använda en VPN, kommer jag att rekommendera att du använder en kontant / Monero-betald VPN-leverantör över Tor för att förhindra att VPN-tjänsten känner till någon identifierbar information om dig.

 

[HEISENBERG]

Några avancerade riktade tekniker.

Det finns många avancerade tekniker som kan användas av skickliga motståndare för att kringgå dina säkerhetsåtgärder, förutsatt att de redan vet var dina enheter finns. Många av dessa tekniker beskrivs i detalj här https://cyber.bgu.ac.il/advanced-cyber/airgap [Archive.org] (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israel) och inkluderar:

• Attacker som kräver att en skadlig kod implanteras i någon enhet:
  
  • Exfiltrering av data via en router infekterad med skadlig kod:
    [Invidious].
  • Exfiltrering av data genom observation av ljusvariationer i ett bakgrundsbelyst tangentbord med en komprometterad kamera:
    [Invidious]
    
    • Exfiltrering av data genom en komprometterad säkerhetskamera (som först kunde använda den tidigare attacken)
      [Ovidkommande]
    • Kommunikation från utomstående till komprometterade säkerhetskameror via IR-ljussignaler:
      [Ovidkommande]
  • Exfiltrering av data från en komprometterad dator med luftgap genom akustisk analys av FAN-ljuden med en smartphone
    [Invidious]
  • Exfiltrering av data från en luftburen dator infekterad med skadlig kod genom HD-lampor med en drönare
    [Ovidkommande]
  • Exfiltrering av data från en USB-malware på en luftburen dator genom elektromagnetiska störningar
    [Invidious]
  • Exfiltrering av data från en HDD-enhet infekterad med skadlig kod genom dolt akustiskt brus
    [Invidious]
  • Exfiltrering av data via GSM-frekvenser från en komprometterad (med skadlig kod) luftburen dator
    [Invidious]
  • Exfiltrering av data genom elektromagnetiska emissioner från en komprometterad Display-enhet
    [Invidious]
  • Exfiltrering av data via magnetiska vågor från en komprometterad luftburen dator till en smartphone som förvaras i en Faraday-väska
    [Invidious]
  • Kommunikation mellan två komprometterade luftburna datorer med hjälp av ultraljudsvågor
    [Invidious]
  • Exfiltrering av Bitcoin-plånbok från en komprometterad luftgapad dator till en smartphone
    [Ovidkommande]
  • Exfiltrering av data från en komprometterad luftgapad dator med hjälp av skärmens ljusstyrka
    [Invidious]
  • Exfiltrering av data från en komprometterad luftgapad dator genom vibrationer
    [Invidious]
  • Exfiltrering av data från en komprometterad luftgapad dator genom att förvandla RAM till en Wi-Fi-emitter
    [Invidious]
  • Exfiltrering av data från en komprometterad luftgapad dator genom kraftledningar https://arxiv.org/abs/1804.04014 [Archive.org]
• Attacker som inte kräver någon skadlig kod:
  
  • Observera en glödlampa på avstånd för att lyssna på ljudet i rummet utan någon skadlig kod: Demonstration:
    [Invidious]

Här är också en bra video från samma författare för att förklara dessa ämnen: Svart hatt, luftgapet hoppare

[Ovidkommande]


Realistiskt sett kommer den här guiden att vara till liten hjälp mot sådana motståndare eftersom dessa malwares kan implanteras på enheterna av en tillverkare eller någon i mitten eller av någon med fysisk tillgång till den luftgapade datorn, men det finns fortfarande några sätt att mildra sådana tekniker:

• Utför inte känsliga aktiviteter när du är ansluten till en opålitlig/osäker kraftledning för att förhindra kraftledningsläckor.
• Använd inte dina enheter framför en kamera som kan komprometteras.
• Använd dina enheter i ett ljudisolerat rum för att förhindra ljudläckage.
• Använd dina enheter i en faradaybur för att förhindra elektromagnetiska läckor.
• Prata inte om känslig information där glödlampor kan observeras utifrån.
• Köp dina enheter från olika/oberäkneliga/offline-platser (butiker) där sannolikheten för att de ska infekteras med sådan skadlig kod är lägre.
• Låt inte någon annan än betrodda personer få tillgång till dina datorer med luftgap.

 

[HEISENBERG]

Några bonusresurser.

• Ta en titt på Whonix-dokumentationen om datainsamlingstekniker här: https: //www.whonix.org/wiki/Data_Collection_Techniques [Archive.org]
• Du kanske också tycker om att titta på den här tjänsten https://tosdr.org/ [Archive. org] (Terms of Services, Didn't Read) som ger dig en bra översikt över de olika ToS för många tjänster.
• Ta en titt på https://www.eff.org/issues/privacy [Archive. org] för några fler resurser.
• Ta en titt på https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects [ Wikiless] [ Archive.org] för att få en översikt över alla kända massövervakningsprojekt, nuvarande och tidigare.
• Ta en titt på https://www.gwern.net/Death-Note-Anonymity [Archive. org] (även om du inte känner till Death Note).
• Överväg att hitta och läsa Michael Bazzells bok "Open Source Intelligence Techniques" (8: e upplagan när detta skrivs för att ta reda på mer om de senaste OSINT-teknikerna) https://inteltechniques.com/book1.html [Archive.org]
• Slutligen, kolla https://www.freehaven.net/anonbib/date.html [Archive.org] för de senaste akademiska artiklarna relaterade till Online Anonymity.

 

[HEISENBERG]

Notera.

Om du fortfarande inte tror att sådan information kan användas av olika aktörer för att spåra dig kan du se lite statistik för dig själv för vissa plattformar och komma ihåg att de endast redovisar de lagliga dataförfrågningarna och inte räknar saker som PRISM, MUSCULAR, SORM eller XKEYSCORE som förklarats tidigare:

• Googles transparensrapport https://transparencyreport.google.com/user-data/overview [Archive.org]
• Facebooks transparensrapport https://transparency.facebook.com/ [Archive. org]
• Apple Transparency Report https://www.apple.com/legal/transparency/ [Archive. org]
• Cloudflare Transparensrapport https://www.cloudflare.com/transparency/ [Archive. org]
• Snapchat Transparensrapport https://www.snap.com/en-US/privacy/transparency [Archive.org]
• Telegram Transparency Report https://t.me/transparency [Archive. org ] (kräver telegram installerat)
• Microsoft Transparency Report https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report [Archive.org ]
• Amazon Transparency Report https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF [Archive.org ]
• Dropbox transparensrapport https://www.dropbox.com/transparency [Archive.org]
• Discord Transparensrapport https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d [Archive.org ]
• GitHub Transparensrapport https://github.blog/2021-02-25-2020-transparency-report/ [Archive. org]
• Snapchat Transparensrapport https://www.snap.com/en-US/privacy/transparency/ [Archive.org ]
• TikTok Transparensrapport https://www.tiktok.com/safety/resources/transparency-report?lang=en [Archive. org]
• Reddit Transparensrapport https://www.reddit.com/wiki/transparency [Archive. org]
• Twitter Transparensrapport https://transparency.twitter.com/ [Archive.org]

 

[HEISENBERG]

Allmänna förberedelser.

Personligen är det i samband med den här guiden också intressant att ta en titt på din säkerhetsmodell. Och i det här sammanhanget har jag bara en att rekommendera:


Zero-Trust Security ("Lita aldrig på, verifiera alltid").


Här är några olika resurser om vad Zero-Trust Security är:

• DEFCON, Zero Trust en vision för att säkra molnet,
  [Invidious]
• Från NSA själva, Embracing a Zero Trust Security Model, https://media.defense.gov/2021/Feb/..._EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF [Archive.org]

 

[HEISENBERG]

Välj din rutt.

Här är ett litet grundläggande UML-diagram som visar dina alternativ. Se detaljerna nedan.

 

[HEISENBERG]

Tidsbegränsningar.

• Du har mycket begränsad tid att lära dig och behöver en lösning som fungerar snabbt:
  
  • Ditt bästa alternativ är att välja Tails-vägen (med undantag för avsnittet om ihållande plausibel förnekelse).
• Du har tid och ännu viktigare vilja att lära dig:
  
  • Välj vilken väg som helst.