- Сообщения
- 324
- Реакции
- 717
- Продажи
- 3
- Кешбек
- 1.25$
Как сохранить Анонимность? Векторы атаки
В данной статье я собираюсь рассмотреть технические и психологические факторы сохранения анонимности с различных углов. Всегда надо помнить, что безопасность это процесс, как говорил Брюс Шнайер и никогда не останавливаться на достигнутом. Волшебной таблетки нет — есть лишь ваш осознанный выбор и контроль.
Примем во внимание конкретные уровни опасности, различные технические способы и реализуем разные подходы в зависимости от степени вашей профессиональной паранойи и от вашего рабочего устройства.
1. Техническая часть
Что же у нас есть из различных программных и хардварных решений? А есть великое множество. Сейчас я кратко упомяну, а потом как из лего будем составлять различные варианты использования. Рассмотрим плюсы и минусы связок технологий.
Операционные системы:
обычные - Ubuntu, Kali, Windows,Kodachi
анонимные базовые - Tails, Subgraph OS, GrapheneOS
Безопасные - Whonix, Qubes OS
Железо: Librem Purism, Pixel, сетевой адаптер Alfa Awus, простые ноутбуки и телефоны
Отдельный софт: GPG, Virtualbox, KVM, Xen, Jabber,Matrix,Session,Veracrypt, Luks, Remmina,MAT,
signal,telegram, tox,bitmessage,juggernaut, conversations,tor browser, firefox,rdesktop, Linphone
Протоколы туннелирования: Openvpn, Wireguard, Shadowsocks,V2ray, Vless,Vmess,Trojan,Cloak, IKEv2,SSH
Анонимные сети: Tor, I2P, Zeronet, Freenet
Криптовалюты:
Базовые — bitcoin,litecoin, ethereum, usdt(trc-20),solana
Частично анонимные - zcash, verge, dash
Анонимные - monero
Типы шифрования: AES-256, ChaCha20, TwoFish,Serpent,ZRTP(VOIP)
Будем рассматривать сетапы от самых опасных к самым безопасным.
Связка 1
Windows c шифрованием bitlocker и тором, и телефон на ios с тор-браузером.
Данная связка подходит разве, что для офисных работников, которым захотелось посмотреть на этот ваш ужасный даркнет. Винда сливает тонны данных о деятельности, так же как и ios. Параллельное использование системы вместе с вашей основной деятельностью лишает последней безопасности.
Вердикт:
Не рекомендуется к использованию всем. Только для бабулек в даркнете.
Связка 2
Windows c veracrypt + virtualbox с Whonix с шифрованными контейнерами и android без гугл сервисов с полной торификацией системы или обфусцированными протоколами вроде Shadowsocks.
Если вы просто собираетесь купить что-либо незаконное или изучать какую-то деятельность. В принципе такая связка имеет место быть на самом начальном уровне. Однако помните, что рассчитывать на анонимность в виндоус пусть даже в виртуалке довольно сложно. Сама основная ОС да и постоянные взломы ее юзеров является угрозой.
Телефон же использовать только для мессенджеров,сайтов в тор-браузере без открытия файлов. Только для быстрого коннекта. Основная работа в виртуалках пк.
Вердикт:
Не рекомендуется.
Связка 3
Tails с флешки + bitcoin + telegram/jabber
Вердикт:
Такая связка допустима для базовых работников. Например для операторов, менеджеров. Помните что, bitcoin это отслеживаемая криптовалюта и полученные средства всегда отмывайте.
Связка 4
Шифрованная через Luks Ubuntu Linux + virtualbox Whonix в контейнерах veracrypt + monero
Настроен VPN на основной системе через Wireguard + V2ray для обфускации. И тор в виртуалках. Внутри виртуалки Workstation настроен дополнительный отдельный впн или отдельные чистые прокси для браузеров.
Вердикт:
Данная связка хорошо подходит для скрытия своего инкогнито. Вы можете заниматься очень опасной деятельности и быть для сайтов более менее чистым айпи. Только необходимо помнить о том,что второй впн внутри Whonix нужен лишь для защиты от опасных tor exit нод. Так что берите максимально анонимный провайдер. И используйте torsocks для прокидывания по тор потокам отдельных приложений, если нужно разделить деятельность.
Связка 5
Шифрованный Linux(или Qubes OS) + Whonix на kvm(или xen) + I2P и монеро для криптовалют.
Данная связка расписана в руководстве Whonix на их вики. По крайней мере для части с i2p.
Да вы можете запускать анонимную сеть внутри другой. И также работать с криптовалютой monero через onion домены.
Вердикт:
Очень безопасная связка, если нужно организовать замкнутую связь между членами опасной организации. Так как, внутри i2p есть встроенные сервисы, такие как почта,мессенджеры, и торрент. Вы можете быть полностью анонимным.
Связка 6
На полностью шифрованной Линукс системе Qubes OS в whonix виртуалках через соединение VPN+Tor вы ставите remmina или же remote-viewer и подключаетесь к системе whonix на вашем сервере через ssh, проброшенному по тор. Подробнее рассказывал в отдельной статье на конкурс «Whonix в облаке». Основная работа происходит там.
Вердикт:
Довольно медленно, но крайне эффективно. Никакие взломы системы или анализ траффика не позволят вам потерять ваше инкогнито. Даже после компрометации злоумышленник окажется только в тор-виртуалке на сервере. И еще оттуда выбраться это целая дилемма.
2. Векторы атаки
В данной главе мы с вами пофантазируем, откуда же могут напасть на вас и как деанонимизировать. Зная примерный источник, можно предположить какие методы понадобятся именно вам для сохранения инкогнито.
Первым делом давайте кратко скажу вам какие есть инструменты для вычисления вас.
Уязвимости: В операционной системе, в мессенджере, в устройстве, В реализации протоколов, в сайтах, в браузере, в шифровании
Социальная инженерия: Звонки, сообщения, фейковые сайты, коллеги,покупатели
Заложенные бэкдоры: в ос, в железе, в приложениях
Личные связи: Ваши коллеги, сотрудники,друзья,знакомые
Идентификаторы и отпечатки: mac,imei,номер,ip,отпечаток браузера, canvas,отпечаток голоса
Глобальные технологии: Нейросети для распознавания лиц, Анализ трафика и задержек, страны 14 глаз и их массовое отслеживание
Человеческий фактор: Ошибки ведущие к деанону
Денежный след: Карты,переводы,криптовалюты с открытым блокчейном, налоговая
Примеры атак
Атака 1
Вам пишет коллега по сетевой работе. Присылает ссылку на какую-то важную информацию. Вы ее открываете и там нужно скачать документ. Вы скачиваете и открыв его в вашей системе получаете слив вашей информации или установку бэкдора. При этом документ может быть совершенно адекватный и антивирус ничего не показать.
Меры предосторожности:
Открывать любые файлы, ссылки в виртуалке. Особенно, если источник отправки данных, связан с какой-то опасной деятельности, пусть он и знаком вам.
Атака 2
Вы работаете в анонимном незаконном проекте. Однако вы параллельно используете популярные банковские приложения в обычной жизни и подтверждаете их право на сбор голосового отпечатка.
Далее общаясь с клиентами вы иногда используете голосовые сообщения. Впоследствии, когда вас решили вычислить некий человек скачал ваше голосовое и используя административный ресурс пробил ваш отпечаток голоса.
Меры предосторожности:
Никогда не общаться по голосу в опасной сетевой деятельности.
Атака 3
Вы с детства любили определенного певца и создаете никнеймы,из его имени и нескольких цифр.
Ваш конкурент решил вас слить и нанял профессионального онлайн детектива. Тот вычислил открытую информацию о вас и пробил по различным ботам. Нашел ваш старый никнейм в сервисе стриминговой музыке. Постепенно он раскопал по цепочке ваше реальное имя.
Меры предосторожности:
Никаких пересечений почтовых ящиков, имен, названий с вашими реальными увлечениями быть не должно.
Атака 4
Вышла новая уязвимость в jabber-клиенте, который вы используете.
Вы думали, что вы очень умный человек и используйте отличный мессенджер с шифрованием. Впоследствии вас взломали и систему скомпрометировали.
Меры предосторожности:
Всегда обновлять ПО, как можно чаще. И также использовать опасные программы, связанные с вашей деятельностью только через виртуалку. Так вы хотя бы не рискуете деаноном.
Атака 5
Вы купили себе новый впн сервер для обхода блокировок роскомнадзора. И используете его также для опасной деятельности. Вроде провайдер проверенный, и оплата была криптой.
Однако к вам неожиданно заявляется полиция. Где же вы прокололись?
Меры предосторожности:
Вы не проверили, где находится этот сервер. Кто им владеет и в чьей он юрисдикции.
Да и в целом доверять только одному впн вашу безопасность это недопустимо.
3. Профессиональные уровни угроз
Рассмотрим то, насколько велико у ваших будущих деанонимизаторов будет желание вычислить вас. В соответствии с этим продумаем насколько, адекватно будет для вас то или иное решение для безопасности.
Ведь все мы пониманием, что разных людей будут вычислять совершенно по разному и с совершенно разными ресурсами.
Уровень 1 - Вы почти что обыватель. Примерная ваша профессия может быть оператор, журналист, менеджер незаконного проекта.
Вы должны быть готовы к базовым сетевым атакам,социальной инженерии, а также уметь держать язык за зубами. Для вас допустимо использование мобильного устройства, но со строгим разделением одно устройство одна личность.
То есть подразумевается,что для безопасной и анонимной работы вы используете либо пк на анонимной ос, либо отдельный телефон прошитый, шифрованный и чистый без симки через анонимные сети+VPN. Рекомендуется использование шифрованных мессенджеров jabber,Matrix,Session
В идеале на телефоне должен быть настроено второе пространство через Shelter, Insular. И в нем приложение для быстрого удаление инфы по тревожной кнопке Wasted. Запрещается использование приложений крупных компаний вроде такси,соц.сетей, гео. Только опенсорс аналоги с f-droid.
Рекомендуется использование Tails для быстрой работы вместо мобильного устройства. Возможен Whonix, если вам необходимы расширенные связки и больше удобства.
Уровень 2 - Вы управляете каким-то незаконным бизнесом или совершили опасное преступление. В более менее масштабном режиме. Это например администратор онион форума, хакер, организация.
Тут необходима дисциплина и строгое следование поставленным правилам сохранения анонимности и безопасной работы.
Для вас допустимы заходы в сеть только с отдельного шифрованного полнодисковым шифрованием пк, в идеале с nuke паролем на случай непредвиденной ситуации. Внутри может стоять две системы - одна для отвода глаз windows на отдельном разделе. И скрыто в загрузчике также доп система на Linux.
Далее внутри шифрованной системы работа с виртуалок whonix в идеале на Qubes OS или на kvm. На основной системе включен отдельный оплаченный через монеро с тора впн. Внутри виртуалок соответственно тор. И отдельные средства для оплат в идеале монеро или битки никак не связанные с вашей личностью и полученные только изнутри самой деятельности.
Связи с людьми должны происходить только анонимные с помощью анонимных мессенджеров вроде Jabber,Matrix,Tox не связанных с вами и никогда не пересекаться с реальными друзьями,знакомыми. То есть ваш проверенный друган никак не может участвовать в вашей деятельности и впоследствии в случае чего быть точкой отказа.
Никаких мобильных телефонов и номеров. Максимум использование VOIP телефонии с шифрованием ZRTP, приобретенной анонимно.
Выводы средств вами должны производиться самостоятельно без использования обменников btc, которые могут сопоставить вашу личность. С помощью monero.
Информация о вашем проекте должна храниться либо локально с полным шифрованием без записанного где-либо пароля. Либо на проверенных offshore удаленных серверах также зашифрованной.
Также оцените уровень доступа к определенной чувствительной информации всех ваших сотрудников и не забывайте производить проверки их лояльности.
Уровень 3 - Вы угроза №1. Это может быть некий террорист, мощный оппозиционер, политик, глава крупной хакерской группы.
Вы должны понимать в таком случае на ваше вычисление будут приложены все силы государства, иногда даже не одного. При такой угрозе вы должны сделать максимум во всех сферах своей жизни и не допускать ошибок. Только тогда есть шансы на сохранение анонимности.
Представьте, что каждый ваш шаг отслеживается тысячей глаз. Сейчас я не буду упоминать физическую безопасность.
Касательно сетевой вам необходимо настроить полный максимум. Идеальный сетап — это использование сетевого модема с левой сим для доступа с периодической сменой имей и сим или полной заменой. Периодическая смена дислокации в определенные промежутки времени(на ваше усмотрение).
На чистом пк свободном от железных бэкдоров ставится Qubes OS, и настраиваются шифрованные отдельные виртуалки Whonix + Виртуалка для VPN(можно дабл в разных странах если позволяет скорость вашего сетевого соединения) в виде шлюза. И через Whonix внутри подключатесь через tor к анонимного рабочему столу на вашем личном или арендованном у проверенного провайдера в оффшоре сервере. В случае компрометации сервера, даже к вашей виртуалке ни у кого доступа нет.
Пароли можно хранить локально в шифрованном keepass в локальной шифрованной системе на пк. А на удаленной который должна тоже работать только через тор или i2p производить свою деятельность, координировать людей или что вы там делаете)
Ваш софт должен постоянно обновляться и быть только опенсорс. Помните на ваше вычисление работают глобальные мощности. И любая открытая новая уязвимость или big data большой корпорации позволит вас деанонимизировать. К слову поэтому важно использовать многослойные цепочки технологий и систем. Чтобы одна такая ошибка не позволяла полностью потерять безопасность всей системы. Все звенья должны быть разделены.
Денежные потоки должны быть только анонимные в монеро. В идеале если отдельные, не связанные с вами лично ваши люди через сеть будут первоначально получать средства и конвертировать их в монеро для вас. Кошельки ваши для получения делайте одноразовые. Для покупок физических вам потребуется реальный отмыв средств и отдельные организации для легального якобы бизнеса в идеале через посредников. Разумеется они не будут откуда средства и кто вы.
В идеале для написания вами текстов пользуйтесь решениями для упрощения текстов или локальными нейросетями,чтобы убрать ваш специфический стиль.
Общение голосом внутри ваших проектов недопустимо.
Соответственно место вашей дислокации не должен знать никто. В идеале это должна быть страна с идеальными законами и максимально не способная на выдачу вас в случае чего.
Послесловие:
Во-первых советую понять, что тут нет прям конкретного расписанного решения от и до. Но есть множество вариантов, которые при минимальном опыте вы сможете использовать в различных ситуациях. Процесс настройки своей безопасности — это всегда сугубо индивидуально.
Во-вторых без знаний любой расписанный мануал никогда вам не поможет. Поэтому всегда увидев новые способы, необычные решения, термины гуглите, изучайте и будет вам счастье.
Всем удачи. Живите свободно и анонимно!
