Guide till anonymitet på nätet (av https://anonymousplanet.org/)

Användningen sker på egen risk. Ta inte den här guiden som en slutgiltig sanning för allt, för det är den inte.

Spoiler: Innehållsförteckning

• Introduktion:
• Förstå några grunder för hur viss information kan leda tillbaka till dig och hur du kan mildra vissa:
  • Ditt nätverk:
    • Din IP-adress:
    • Dina DNS- och IP-förfrågningar:
    • Dina RFID-aktiverade enheter:
    • Wi-Fis- och Bluetooth-enheter runt omkring dig:
    • Skadliga / Rogue Wi-Fi-åtkomstpunkter:
    • Din anonymiserade Tor/VPN-trafik:
    • Vissa enheter kan spåras även när de är offline:
  • Dina hårdvaruidentifierare:
    • Din IMEI och IMSI (och i förlängningen ditt telefonnummer):
    • Din Wi-Fi eller Ethernet MAC-adress:
    • Din Bluetooth MAC-adress:
  • Din CPU:
  • Operativsystem och telemetritjänster för appar:
  • Dina smarta enheter i allmänhet:
  • Dig själv:
    • Dina metadata, inklusive din geografiska placering:
    • Ditt digitala fingeravtryck, fotavtryck och onlinebeteende:
    • Dina ledtrådar om ditt verkliga liv och OSINT:
    • Ditt ansikte, din röst, din biometri och dina bilder:
    • Nätfiske och social ingenjörskonst:
  • Skadlig kod, exploateringar och virus:
    • Skadlig kod i dina filer/dokument/e-postmeddelanden:
    • Skadlig kod och exploateringar i dina appar och tjänster:
    • Skadliga USB-enheter:
    • Skadlig programvara och bakdörrar i din hårdvara, firmware och operativsystem:
  • Dina filer, dokument, bilder och videor:
    • Egenskaper och metadata:
    • Vattenmärkning:
    • Pixeliserad eller suddig information:
  • Dina transaktioner med kryptovalutor:
  • Dina molnbaserade säkerhetskopierings-/synkroniseringstjänster:
  • Fingeravtryck från din webbläsare och enhet:
  • Lokala dataläckor och kriminalteknik:
  • Dålig kryptografi:
  • Ingen loggning men loggning ändå policyer:
  • Några avancerade riktade tekniker:
  • Några bonusresurser:
  • Anteckningar:
• Allmänna förberedelser:
  • Välja din rutt:
    • Begränsningar i tid:
    • Budget/Materialbegränsningar:
    • Färdigheter:
    • Motståndare (hot):
  • Steg för alla rutter:
    • Skaffa ett anonymt telefonnummer:
    • Skaffa ett USB-minne:
    • Hitta några säkra platser med bra offentligt Wi-Fi:
  • TAILS-rutten:
    • Persistent Plausible Deniability med hjälp av Whonix inom TAILS:
  • Steg för alla andra rutter:
    • Skaffa en dedikerad bärbar dator för dina känsliga aktiviteter:
    • Några rekommendationer för bärbara datorer:
    • Bios/UEFI/Firmware-inställningar för din bärbara dator:
    • Fysiskt manipulationsskydd för din bärbara dator:
  • Whonix-rutten:
    • Välja ditt värd-OS (det OS som är installerat på din bärbara dator):
    • Linux Värd OS:
    • MacOS Värd OS:
    • Windows Värd OS:
    • Virtualbox på ditt värdoperativsystem:
    • Välj din anslutningsmetod:
    • Skaffa ett anonymt VPN/Proxy:
    • Whonix:
    • Tor över VPN:
    • Whonix Virtuella maskiner:
    • Välj din virtuella maskin för gästarbetsstation:
    • Linux virtuell maskin (Whonix eller Linux):
    • Windows 10 Virtuell maskin:
    • Android Virtuell maskin:
    • MacOS Virtuell maskin:
    • KeepassXC:
    • Installation av VPN-klient (kontant/Monero betalas):
    • (Valfritt) så att endast VM: erna kan komma åt internet medan de stänger av värdoperativsystemet för att förhindra läckage:
    • Sista steget:
  • Qubes-rutten:
    • Välj din anslutningsmetod:
    • Skaffa ett anonymt VPN/Proxy:
    • Installation:
    • Beteende vid stängning av locket:
    • Anslut till ett offentligt Wi-Fi:
    • Uppdatera Qubes OS:
    • Härdning av Qubes OS:
    • Konfigurera VPN ProxyVM:
    • Konfigurera en säker webbläsare inom Qube OS (valfritt men rekommenderas):
    • Konfigurera en Android VM:
    • KeePassXC:
• Skapa dina anonyma online-identiteter:
  • Förstå de metoder som används för att förhindra anonymitet och verifiera identitet:
    • Captchas:
    • Verifiering via telefon:
    • Verifiering av e-post:
    • Kontroll av användaruppgifter:
    • Verifiering av ID-bevis:
    • IP-filter:
    • Fingeravtryck från webbläsare och enheter:
    • Mänsklig interaktion:
    • Moderering av användare:
    • Beteendeanalys:
    • Finansiella transaktioner:
    • Inloggning med någon plattform:
    • Live Ansiktsigenkänning och biometri (igen):
    • Manuella granskningar:
  • Komma igång online:
    • Skapa nya identiteter:
    • Systemet med riktiga namn:
    • Om betaltjänster:
    • Översikt:
    • Så här delar du filer eller chattar anonymt:
    • Redigera dokument/bilder/videor/audio på ett säkert sätt:
    • Kommunicera känslig information till olika kända organisationer:
    • Underhållsuppgifter:
• Säkerhetskopiera ditt arbete på ett säkert sätt:
  • Säkerhetskopiering offline:
    • Säkerhetskopiering av utvalda filer:
    • Säkerhetskopior av hela disken/systemet:
  • Online-säkerhetskopior:
    • Filer:
    • Information:
  • Synkronisera dina filer mellan enheter Online:
• Att dölja dina spår:
  • Förstå HDD vs SSD:
    • Utjämning av slitage.
    • Trimningsoperationer:
    • Skräpuppsamling:
    • Slutsats:
  • Hur du säkert torkar hela din bärbara dator / hårddiskar om du vill radera allt:
    • Linux (alla versioner inklusive Qubes OS):
    • Windows:
    • MacOS:
  • Hur man säkert raderar specifika filer / mappar / data på din HDD / SSD och tumminnen:
    • Windows:
    • Linux (ej Qubes OS):
    • Linux (Qubes OS):
    • MacOS:
  • Några ytterligare åtgärder mot kriminalteknik:
    • Ta bort metadata från filer/dokument/bilder:
    • TAILS:
    • Whonix:
    • MacOS:
    • Linux (Qubes OS):
    • Linux (ej Qubes):
    • Windows:
  • Ta bort vissa spår av dina identiteter på sökmotorer och olika plattformar:
    • Google:
    • Bing:
    • DuckDuckGo:
    • Yandex:
    • Qwant:
    • Yahoo Sök:
    • Baidu:
    • Wikipedia:
    • Archive.today:
    • Internet Archive:
• Några lågteknologiska knep av den gamla skolan:
  • Dold kommunikation i vanlig syn:
  • Hur man upptäcker om någon har sökt igenom dina saker:
• Några sista OPSEC-tankar:
• Om du tror att du har blivit bränd:
  • Om du har lite tid:
  • Om du inte har någon tid:
• En liten slutlig redaktionell anmärkning

 

[HEISENBERG]

Inledning.

TLDR för hela guiden: "Ett märkligt spel. Det enda vinnande draget är att inte spela".


Att skapa ett konto på sociala medier med en pseudonym eller ett artist-/varumärkesnamn är enkelt. Och det räcker i de flesta fall för att skydda din identitet som nästa George Orwell. Det finns gott om människor som använder pseudonymer överallt på Facebook/Instagram/Twitter/LinkedIn/TikTok/Snapchat/Reddit/... Men de allra flesta av dem är allt annat än anonyma och kan lätt spåras till sin verkliga identitet av din lokala polis, slumpmässiga personer inom OSINT (Open Source Intelligence) och troll på 4chan.


Detta är bra, eftersom de flesta brottslingar/troll inte är särskilt tekniskt kunniga och därför lätt kan identifieras. Men det är också en dålig sak eftersom de flesta politiska dissidenter, människorättsaktivister och visselblåsare också kan spåras ganska enkelt.


Denna uppdaterade guide syftar till att ge introduktion till olika avanonymiseringstekniker, spårningstekniker, id-verifieringstekniker och valfri vägledning för att skapa och upprätthålla rimligt anonyma identiteter online inklusive sociala mediekonton på ett säkert sätt. Detta inkluderar vanliga plattformar och inte bara integritetsvänliga sådana.


Det är viktigt att förstå att syftet med denna guide är anonymitet och inte bara integritet, men många av de råd du hittar här kommer också att hjälpa dig att förbättra din integritet och säkerhet även om du inte är intresserad av anonymitet. Det finns en viktig överlappning i tekniker och verktyg som används för integritet, säkerhet och anonymitet, men de skiljer sig åt på någon punkt:

• Integritet handlar om att människor ska veta vem du är, men inte vad du gör.
• Anonymitet handlar om att folk vet vad du gör, men inte vem du är.

Kommer den här guiden att hjälpa dig att skydda dig mot NSA, FSB, Mark Zuckerberg eller Mossad om de är ute efter att hitta dig? Förmodligen inte ... Mossad kommer att göra "Mossad-grejer" och kommer förmodligen att hitta dig, oavsett hur hårt du försöker gömma dig.


Du måste överväga din hotmodell innan du går vidare.

Kommer den här guiden att hjälpa dig att skydda din integritet från OSINT-forskare som Bellingcat13, Doxing14 troll på 4chan15 och andra som inte har tillgång till NSA:s verktygslåda? Det är mer troligt. Men jag skulle inte vara så säker på 4chan.


Här är en grundläggande förenklad hotmodell för den här guiden:

Viktig ansvarsfriskrivning: Skämt åsido (magisk amulett...). Naturligtvis finns det också avancerade sätt att mildra attacker mot sådana avancerade och skickliga motståndare, men de ligger utanför ramen för den här guiden. Det är mycket viktigt att du förstår gränserna för hotmodellen i den här guiden. Och därför kommer den här guiden inte att bli dubbelt så stor för att hjälpa till med de avancerade begränsningarna, eftersom detta är alltför komplext och kommer att kräva mycket hög kunskap som inte förväntas av målgruppen för den här guiden.


EFF ger några säkerhetsscenarier för vad du bör tänka på beroende på din aktivitet. Även om några av dessa tips kanske inte ligger inom ramen för den här guiden (mer om integritet än anonymitet), är de ändå värda att läsa som exempel. Se https://ssd.eff.org/en/module-categories/security-scenarios [Archive.org].
Det finns också en hel del mer seriösa sätt att göra sin hotmodell på, t.ex:

• LINDDUN https://www.linddun.org/ [Archive. org]
• STRIDE https://en.wikipedia.org/wiki/STRIDE_(säkerhet ) [ Wikiless ] [ Archive.org]
• DREAD https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model ) [ Wikiless ] [ Archive.org]
• PASTA https://versprite.com/tag/pasta-threat-modeling/ [ Archive.org]

Och det finns en hel del andra också, se:

• https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/ [Archive. org]
• https://www.geeksforgeeks.org/threat-modelling/ [Archive. org]

Du kan hitta en introduktion till dessa på dessa projekt:

• OWASP https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html [Archive.org]
• Online Operations Security https://github.com/devbret/online-opsec/ [Archive.org]

 

[HEISENBERG]

Förstå grunderna för hur viss information kan leda tillbaka till dig och hur du kan minska risken för detta.

Det finns många andra sätt att spåra dig än via cookies och annonser i webbläsaren, din e-post och ditt telefonnummer. Och om du tror att det bara är Mossad eller NSA/FSB som kan hitta dig, har du väldigt fel.


Du kan överväga att titta på den här bra YouTube-spellistan som en introduktion innan du går vidare: https: //www.youtube.com/playlist?list=PL3KeV6Ui_4CayDGHw64OFXEPHgXLkrtJO [Invidious ] (från Go Incognito-projektet https://github.com/techlore-official/go-incognito [Archive.org]). Den här guiden kommer att täcka många av dessa ämnen med mer detaljer och referenser samt några ytterligare ämnen, som inte täcks av den serien, men jag skulle rekommendera serien som en introduktion, och det tar dig bara 2 eller 3 timmar att titta på allt.


Här är en icke uttömmande lista över några av de många sätt på vilka du kan spåras och avanonymiseras:

 

[HEISENBERG]

Ditt nätverk.

Din IP-adress.

Friskrivningsklausul: hela det här stycket handlar om din IP-adress på internet och inte din IP-adress i det lokala nätverket


Din IP-adress är det mest kända och uppenbara sättet som du kan spåras på. Den IP-adressen är den IP-adress som du använder vid källan. Det är där du ansluter till internet. Den IP:n tillhandahålls vanligtvis av din ISP (Internet Service Provider) (xDSL, mobil, kabel, fiber, café, bar, vän, granne). De flesta länder har bestämmelser om datalagring som innebär att loggar över vem som använder vilken IP vid en viss tidpunkt/datum måste sparas i upp till flera år eller på obestämd tid. Din internetleverantör kan berätta för en tredje part att du använde en viss IP vid en viss tidpunkt, flera år efteråt. Om den IP-adressen (den ursprungliga) läcker ut någon gång av någon anledning kan den användas för att spåra dig direkt. I många länder kan du inte få tillgång till internet utan att tillhandahålla någon form av identifiering till leverantören (adress, ID, riktigt namn, e-post ...).


Det är onödigt att säga att de flesta plattformar (t.ex. sociala nätverk) också kommer att behålla (ibland på obestämd tid) de IP-adresser som du använde för att registrera dig och logga in på deras tjänster.


Här är några online-resurser som du kan använda för att hitta lite information om din nuvarande offentliga IP just nu:

• Hitta din IP:
  
  • https://resolve.rs/
  • https://www.dnsleaktest.com/ (Bonus, kontrollera din IP för DNS-läckor)
• Hitta din IP-plats eller platsen för vilken IP som helst:
  
  • https://resolve.rs/ip/geolocation.html
• Ta reda på om en IP är "misstänkt" eller har laddat ner "saker" på vissa offentliga resurser:
  
  • https://www.virustotal.com/gui/home/search
  • https://iknowwhatyoudownload.com
• Registreringsinformation för en IP (troligen din internetleverantör eller internetleverantören för din anslutning som troligen vet vem som använder den IP:n när som helst):
  
  • https://whois.domaintools.com/
• Kontrollera om det finns öppna tjänster eller öppna enheter på en IP (särskilt om det finns läckande smarta enheter på den):
  
  • https://www.shodan.io/host/185.220.101.134 (ersätt IP med din IP eller någon annan, eller ändra i sökrutan, detta exempel på IP är en Tor Exit-nod)
• Olika verktyg för att kontrollera din IP, t.ex. kontrollprogram för svarta listor m.m:
  
  • https://www.whatismyip.com
  • https://browserleaks.com/
• Vill du veta om du är ansluten via Tor?
  
  • https://check.torproject.org

Av dessa skäl måste vi fördunkla ursprungs-IP:n (den som är kopplad till din identifiering) eller dölja den så mycket vi kan genom en kombination av olika medel:

• Använda en offentlig Wi-Fi-tjänst (gratis).
• Använda anonymitetsnätverket Tor (gratis).
• Använda VPN-tjänster anonymt (anonymt betalda med kontanter eller Monero).

Alla dessa kommer att förklaras senare i den här guiden.

 

[HEISENBERG]

Dina DNS- och IP-förfrågningar.

DNS står för "Domain Name System" och är en tjänst som används av din webbläsare (och andra appar) för att hitta IP-adresserna till en tjänst. Det är i stort sett en enorm "kontaktlista" (telefonbok för äldre) som fungerar på samma sätt som när man frågar efter ett namn och får tillbaka numret man ska ringa. Förutom att den returnerar en IP istället.


Varje gång din webbläsare vill komma åt en viss tjänst, t.ex. Google via www.google.com. Din webbläsare (Chrome eller Firefox) kommer att fråga en DNS-tjänst för att hitta IP-adresserna till Googles webbservrar.


Här är en video som förklarar DNS visuellt om du redan är förlorad:

[Invidious]


Vanligtvis tillhandahålls DNS-tjänsten av din internetleverantör och konfigureras automatiskt av det nätverk du ansluter till. Den här DNS-tjänsten kan också omfattas av bestämmelser om datalagring eller bara spara loggar av andra skäl (datainsamling för reklamändamål till exempel). Därför kommer denna internetleverantör att kunna berätta allt du gjorde online bara genom att titta på dessa loggar som i sin tur kan tillhandahållas till en motståndare. Bekvämt nog är detta också det enklaste sättet för många motståndare att tillämpa censur eller föräldrakontroll genom att använda DNS-blockering. De tillhandahållna DNS-servrarna kommer att ge dig en annan adress (än deras riktiga) för vissa webbplatser (som att omdirigera thepiratebay till någon regeringswebbplats). Sådan blockering tillämpas allmänt över hela världen för vissa webbplatser.


Att använda en privat DNS-tjänst eller din egen DNS-tjänst skulle mildra dessa problem, men det andra problemet är att de flesta av dessa DNS-förfrågningar som standard fortfarande skickas i klartext (okrypterad) över nätverket. Även om du surfar på PornHub i ett inkognitofönster, använder HTTPS och använder en privat DNS-tjänst, är chansen mycket hög att din webbläsare kommer att skicka en okrypterad DNS-förfrågan i klartext till vissa DNS-servrar som i princip frågar "Så vad är IP-adressen till www.pornhub.com?".


Eftersom den inte är krypterad kan din Internetleverantör och/eller någon annan motståndare fortfarande avlyssna (med hjälp av en Man-in-the-middle-attack) din begäran och få reda på och eventuellt logga vad din IP-adress letade efter. Samma Internetleverantör kan också manipulera DNS-svaren även om du använder en privat DNS. Det gör användningen av en privat DNS-tjänst värdelös.


Som en bonus kommer många enheter och appar att använda hårdkodade DNS-servrar som kringgår alla systeminställningar du kan ställa in. Detta är till exempel fallet med de flesta (70%) smarta TV-apparater och en stor del (46%) av spelkonsolerna. För dessa enheter måste du tvinga dem att sluta använda sin hårdkodade DNS-tjänst, vilket kan göra att de slutar fungera korrekt.


En lösning på detta är att använda krypterad DNS med DoH (DNS över HTTPS), DoT (DNS över TLS) med en privat DNS-server (detta kan vara självhostat lokalt med en lösning som pi-hole, fjärrhostat med en lösning som nextdns.io eller använda lösningsleverantören av din VPN-leverantör eller Tor-nätverket). Detta bör förhindra din internetleverantör eller någon mellanhand från att snoka på dina förfrågningar ... förutom att det kanske inte gör det.


Liten mellanliggande friskrivningsklausul: Den här guiden stöder eller rekommenderar inte nödvändigtvis Cloudflare-tjänster även om det nämns flera gånger i det här avsnittet för teknisk förståelse.


Tyvärr kommer TLS-protokollet som används i de flesta HTTPS-anslutningar i de flesta webbläsare (bland annat Chrome/Brave/Ungoogled-Chromium) att läcka domännamnet igen genom SNI-handskakningar (detta kan kontrolleras här på Cloudflare: https: //www.cloudflare.com/ssl/encrypted-sni/ [Archive.org]). När den här guiden skrivs är det bara Firefox-baserade webbläsare som stöder ECH (Encrypted Client Hello, tidigare känt som eSNI) på vissa webbplatser, vilket krypterar allt från början till slut (utöver att använda en säker privat DNS över TLS/HTTPS) och gör att du kan dölja dina DNS-förfrågningar från en tredje part. Och det här alternativet är inte heller aktiverat som standard, så du måste aktivera det själv.

Förutom det begränsade webbläsarstödet är det bara webbtjänster och CDN bakom Cloudflare CDN som stöder ECH/eSNI i det här skedet. Detta innebär att ECH och eSNI inte stöds (när denna guide skrivs) av de flesta vanliga plattformar som t.ex:

• Amazon (inklusive AWS, Twitch ...)
• Microsoft (inklusive Azure, OneDrive, Outlook, Office 365...)
• Google (inklusive Gmail, Google Cloud ...)
• Apple (inklusive iCloud, iMessage...)
• Reddit
• YouTube
• Facebook
• Instagram
• Twitter
• GitHub
• ...

Vissa länder som Ryssland och Kina blockerar ECH/eSNI-handskakningar på nätverksnivå för att möjliggöra snokning och förhindra att censur kringgås. Det betyder att du inte kommer att kunna upprätta en HTTPS-anslutning med en tjänst om du inte tillåter dem att se vad det var.


Frågorna slutar inte här. En del av HTTPS TLS-valideringen kallas OCSP och det här protokollet som används av Firefox-baserade webbläsare läcker metadata i form av serienumret för certifikatet för den webbplats du besöker. En motståndare kan sedan enkelt hitta vilken webbplats du besöker genom att matcha certifikatnumret. Det här problemet kan minskas genom att använda OCSP-häftning. Tyvärr är detta aktiverat men inte verkställt som standard i Firefox/Tor Browser. Men den webbplats du besöker måste också stödja det, och det gör inte alla. Chromium-baserade webbläsare använder å andra sidan ett annat system som kallas CRLSets som utan tvekan är bättre.


Här är en lista över hur olika webbläsare beter sig i förhållande till OCSP: https: //www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ [Archive.org]


Här är en illustration av problemet som du kan stöta på i Firefox-baserade webbläsare:

Slutligen, även om du använder en anpassad krypterad DNS-server (DoH eller DoT) med ECH/eSNI-stöd och OCSP-häftning, kanske det fortfarande inte räcker eftersom trafikanalysstudier har visat att det fortfarande är möjligt att på ett tillförlitligt sätt fingeravtrycka och blockera oönskade förfrågningar. Endast DNS över Tor kunde visa effektiv DNS-integritet i nyligen genomförda studier, men även det kan fortfarande besegras på andra sätt (se Din anonymiserade Tor/VPN-trafik).


Man kan också välja att använda en Tor Hidden DNS-tjänst eller ODoH (Oblivious DNS over HTTPS) för att ytterligare öka integriteten/anonymiteten, men tyvärr, så vitt jag vet, tillhandahålls dessa metoder endast av Cloudflare i skrivande stund (https://blog.cloudflare.com/welcome-hidden-resolver/ [Archive.org], https://blog.cloudflare.com/oblivious-dns/ [ Archive.org]). Jag tycker personligen att det här är genomförbara och rimligt säkra tekniska alternativ, men det är också ett moraliskt val om man vill använda Cloudflare eller inte (trots den risk som vissa forskare utgör).


Slutligen finns det också det här nya alternativet som heter DoHoT som står för DNS over HTTPS over Tor som också ytterligare kan öka din integritet/anonymitet och som du kan överväga om du är mer skicklig med Linux. Se https://github.com/alecmuffett/dohot [Archive.org]. Den här guiden kommer inte att hjälpa dig med detta i det här skedet, men det kan komma snart.


Här är en illustration som visar det nuvarande tillståndet för DNS och HTTPS-sekretess baserat på min nuvarande kunskap.

När det gäller din normala dagliga användning (icke-känslig), kom ihåg att endast Firefox-baserade webbläsare stöder ECH (tidigare eSNI) hittills och att det bara är användbart med webbplatser som finns bakom Cloudflare CDN i detta skede. Om du föredrar en Chrome-baserad version (vilket är förståeligt för vissa på grund av vissa bättre integrerade funktioner som on-the-fly Translation), skulle jag rekommendera att du använder Brave istället, som stöder alla Chrome-tillägg och erbjuder mycket bättre integritet än Chrome. Alternativt, om du inte litar på Brave, kan du också använda Ungoogled-Chromium (https://github.com/Eloston/ungoogled-chromium [Archive.org]).


Men historien slutar inte där rätt. Nu för efter allt detta, även om du krypterar din DNS och använder alla möjliga mildringar. Enkla IP-förfrågningar till vilken server som helst kommer förmodligen att göra det möjligt för en motståndare att fortfarande upptäcka vilken webbplats du besöker. Och detta beror helt enkelt på att de flesta webbplatser har unika IP-adresser knutna till sig, vilket förklaras här: https: //blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address/ [Archive.org]. Detta innebär att en motståndare kan skapa en datauppsättning av kända webbplatser, till exempel inklusive deras IP-adresser, och sedan matcha denna datauppsättning mot den IP-adress du begär. I de flesta fall kommer detta att resultera i en korrekt gissning av den webbplats du besöker. Detta innebär att trots OCSP-häftning, trots ECH/eSNI, trots användning av krypterad DNS ... kan en motståndare ändå gissa vilken webbplats du besöker.


För att mildra alla dessa problem (så mycket som möjligt och så bra som vi kan) kommer den här guiden därför senare att rekommendera två lösningar: Att använda Tor och en virtualiserad (se Bilaga W: Virtualisering) flerskiktslösning av VPN över Tor-lösning. Andra alternativ kommer också att förklaras (Tor över VPN, endast VPN, ingen Tor/VPN) men rekommenderas mindre.

 

[HEISENBERG]

Dina RFID-aktiverade enheter.

RFID står för Radio-frequency identification och är den teknik som används för bland annat kontaktlösa betalningar och olika identifieringssystem. Din smartphone är naturligtvis en av dessa enheter och har RFID-funktioner för kontaktlösa betalningar via NFC. Som med allt annat kan sådana funktioner användas för spårning av olika aktörer.


Men tyvärr är detta inte begränsat till din smartphone, och du bär förmodligen också med dig någon form av RFID-aktiverad enhet hela tiden, t.ex:

• Dina kontaktlösa kredit-/betalkort
• Dina lojalitetskort i butiken
• Dina betalkort för transport
• Dina arbetsrelaterade passerkort
• Dina bilnycklar
• Ditt nationella ID-kort eller körkort
• Ditt pass
• Pris/stöldskyddsmärkning på föremål/kläder
• ...

Även om alla dessa inte kan användas för att avanonymisera dig från en avlägsen online-motståndare, kan de användas för att begränsa en sökning om din ungefärliga plats vid en viss tidpunkt är känd. Det går till exempel inte att utesluta att vissa butiker effektivt skannar (och loggar) alla RFID-chip som passerar genom dörren. De kanske letar efter sina lojalitetskort men loggar också andra på vägen. Sådana RFID-taggar kan spåras till din identitet och möjliggöra avanonymisering.


Mer information på Wikipedia: https: //en.wikipedia.org/wiki/Radio-frequency_identification#Security_concerns [ Wikiless ] [ Archive.org ] och https://en.wikipedia.org/wiki/Radio-frequency_identification#Privacy [ Wikiless ] [ Archive.org]


Det enda sättet att mildra detta problem är att inte ha några RFID-taggar på sig eller att skydda dem igen med hjälp av en typ av faradaybur. Du kan också använda specialiserade plånböcker / fickor som specifikt blockerar RFID-kommunikation. Många av dessa tillverkas nu av välkända varumärken som Samsonite.

 

[HEISENBERG]

Wi-Fis- och Bluetooth-enheter runt omkring dig.

Geolokalisering görs inte bara med hjälp av mobilantennens triangulering. Det görs också med hjälp av Wi-Fis- och Bluetooth-enheter i din omgivning. Operativsystemtillverkare som Google (Android) och Apple (IOS) har en praktisk databas med de flesta Wi-Fi-åtkomstpunkter, Bluetooth-enheter och deras plats. När din Android-smartphone eller iPhone är påslagen (och inte i flygläge), kommer den att passivt skanna (om du inte specifikt inaktiverar den här funktionen i inställningarna) Wi-Fi-åtkomstpunkter och Bluetooth-enheter runt omkring dig och kommer att kunna geolokalisera dig med större precision än när du använder en GPS.


Detta gör det möjligt för dem att tillhandahålla exakta platser även när GPS är avstängd, men det gör det också möjligt för dem att hålla ett bekvämt register över alla Bluetooth-enheter över hela världen. Detta kan sedan användas av dem eller tredje part för spårning.


Obs: Om du har en Android-smartphone vet Google förmodligen var den är, oavsett vad du gör. Du kan inte riktigt lita på inställningarna. Hela operativsystemet är byggt av ett företag som vill ha dina uppgifter. Kom ihåg att om det är gratis så är det du som är produkten.


Men det är inte vad alla dessa Wi-Fis-åtkomstpunkter kan göra. Nyligen utvecklad teknik kan till och med göra det möjligt för någon att spåra dina rörelser exakt bara baserat på radiostörningar. Vad detta innebär är att det är möjligt att spåra din rörelse inuti ett rum / byggnad baserat på de radiosignaler som passerar igenom. Detta kan tyckas vara ett konspirationsteoretiskt påstående, men här är referenserna med demonstrationer som visar denna teknik i aktion: http://rfpose.csail.mit.edu/ [Archive.org] och videon här:

[Invidious]


Man kan därför föreställa sig många användningsområden för sådan teknik, t.ex. att registrera vem som går in i specifika byggnader/kontor (t.ex. hotell, sjukhus eller ambassader) och sedan upptäcka vem som träffar vem och därigenom spåra dem utifrån. Även om de inte har någon smartphone på sig.

Återigen kan en sådan fråga endast mildras genom att vara i ett rum / byggnad som skulle fungera som en Faraday-bur.


Här är en annan video av samma typ av teknik i aktion:

[Invidious]

 

[HEISENBERG]

Skadliga/ovana Wi-Fi-åtkomstpunkter.

Dessa har använts åtminstone sedan 2008 med hjälp av en attack som kallas "Jasager" och kan utföras av vem som helst med hjälp av egenbyggda verktyg eller med hjälp av kommersiellt tillgängliga enheter som Wi-Fi Pineapple.


Här är några videor som förklarar mer om ämnet:

• HOPE 2020, https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_$5_Microcontrollers.mp4
• YouTube, Hak5, Wi-Fi Pineapple Mark VII
  [Invidious]

Dessa enheter får plats i en liten väska och kan ta över Wi-Fi-miljön på alla platser inom deras räckvidd. Till exempel en bar/restaurang/café/hotellobby. Dessa enheter kan tvinga Wi-Fi-klienter att koppla bort sig från sitt nuvarande Wi-Fi (med hjälp av avautentisering, disassociation-attacker) samtidigt som de spoofar de normala Wi-Fi-nätverken på samma plats. De kommer att fortsätta att utföra denna attack tills din dator eller du själv bestämmer dig för att försöka ansluta till den oseriösa AP.


Dessa enheter kan sedan efterlikna en portal med exakt samma layout som det Wi-Fi du försöker få åtkomst till (t.ex. en registreringsportal för Wi-Fi från en flygplats). Eller så kan de bara ge dig öppen tillgång till internet som de själva får från samma plats.


När du är ansluten via Rogue AP kan denna AP utföra olika man-in-the-middle-attacker för att analysera din trafik. Det kan handla om skadliga omdirigeringar eller bara enkel trafiksniffning. Dessa kan sedan enkelt identifiera alla klienter som till exempel försöker ansluta till en VPN-server eller till Tor-nätverket.


Detta kan vara användbart när du vet att någon du vill avanonymisera befinner sig på en plats med mycket folk, men du vet inte vem. Detta skulle göra det möjligt för en sådan motståndare att eventuellt fingeravtrycka alla webbplatser du besöker trots användning av HTTPS, DoT, DoH, ODoH, VPN eller Tor med hjälp av trafikanalys som påpekats ovan i DNS-avsnittet.


Dessa kan också användas för att noggrant skapa och servera dig avancerade nätfiskewebbsidor som skulle skörda dina referenser eller försöka få dig att installera ett skadligt certifikat som gör att de kan se din krypterade trafik.

 

[HEISENBERG]

Din anonymiserade Tor/VPN-trafik.

Tor och VPN är inga mirakelmedel. Många avancerade tekniker har utvecklats och studerats för att avanonymisera krypterad Tor-trafik genom åren. De flesta av dessa tekniker är korrelationsattacker som på ett eller annat sätt korrelerar din nätverkstrafik till loggar eller dataset. Här är några klassiska exempel:

• Korrelationsattack med fingeravtryck: Som illustreras (förenklat) nedan kommer denna attack att fingeravtrycka din krypterade trafik (som de webbplatser du besökte) bara baserat på analysen av din krypterade trafik (utan att dekryptera den). Det kan göra det med en enorm 96% framgångsgrad. Ett sådant fingeravtryck kan användas av en motståndare som har tillgång till ditt källnätverk för att räkna ut en del av din krypterade aktivitet (t.ex. vilka webbplatser du besökte).

Attacker med korrelationstiming: Som illustreras (förenklat) nedan kan en motståndare som har tillgång till nätverksanslutningsloggar (IP eller DNS till exempel, kom ihåg att de flesta VPN-servrar och de flesta Tor-noder är kända och offentligt listade) vid källan och på destinationen korrelera tidpunkterna för att avanonymisera dig utan att kräva någon åtkomst till Tor- eller VPN-nätverket däremellan. Ett verkligt användningsfall av denna teknik gjordes av FBI 2013 för att avanonymisera ett bombhot vid Harvard University.

Attacker med korrelationsräkning: Som illustreras (förenklat) nedan kan en motståndare som inte har tillgång till detaljerade anslutningsloggar (kan inte se att du använde Tor eller Netflix) men som har tillgång till dataräkningsloggar se att du har laddat ner 600 MB på en specifik tid/datum som matchar 600 MB-uppladdningen på destinationen. Denna korrelation kan sedan användas för att avanonymisera dig över tid.

Det finns sätt att mildra dessa, t.ex:

• Använd inte Tor/VPN för att komma åt tjänster som finns i samma nätverk (ISP) som destinationstjänsten. Anslut t.ex. inte till Tor från ditt universitetsnätverk för att komma åt en universitetstjänst anonymt. Använd istället en annan källpunkt (t.ex. ett offentligt Wi-Fi) som inte lätt kan korreleras av en motståndare.
• Använd inte Tor/VPN från ett uppenbart övervakat nätverk (t.ex. ett företags- eller myndighetsnätverk), utan försök istället hitta ett oövervakat nätverk, t.ex. ett offentligt Wi-Fi eller ett Wi-Fi i ett bostadsområde.
• Använd flera lager (t.ex. det som kommer att rekommenderas i den här guiden senare: VPN över Tor) så att en motståndare kanske kan se att någon anslöt till tjänsten via Tor men inte kan se att det var du eftersom du var ansluten till ett VPN och inte Tor-nätverket.

Tänk på att detta kanske inte räcker mot en motiverad global motståndare med bred tillgång till global massövervakning. En sådan motståndare kan ha tillgång till loggar, oavsett var du befinner dig, och kan använda dessa för att avanonymisera dig.


Tänk också på att alla andra metoder som beskrivs i den här guiden, t.ex. beteendeanalys, också kan användas för att avanonymisera Tor-användare indirekt (se vidare Ditt digitala fingeravtryck, fotavtryck och onlinebeteende).


Jag rekommenderar också starkt att du läser denna mycket bra, kompletta och grundliga guide om många attackvektorer på Tor: https: //github.com/Attacks-on-Tor/Attacks-on-Tor [Archive. org] samt denna nya forskningspublikation https://www.researchgate.net/public...ners_of_the_Internet_A_Survey_of_Tor_Research [Archive.org]


Samt denna fantastiska serie blogginlägg: https: //www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html [Archive. org]


(Till deras försvar bör det också noteras att Tor inte är utformat för att skydda mot en global motståndare. För mer information se https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf [Archive. org] och specifikt "Part 3. Designmål och antaganden").


Slutligen, kom ihåg att användning av Tor redan kan betraktas som en misstänkt aktivitet och att dess användning kan betraktas som skadlig av vissa.


Den här guiden kommer senare att föreslå några åtgärder för att mildra sådana attacker genom att ändra ditt ursprung från början (till exempel genom att använda offentliga Wi-Fi).

 

[HEISENBERG]

Vissa enheter kan spåras även när de är offline.

Du har säkert sett det i action-, spion- och sci-fi-filmer och -serier: huvudpersonerna tar alltid ur batteriet ur sina telefoner för att se till att de inte kan användas. De flesta människor skulle tycka att det är överdrivet. Men tyvärr inte, det börjar nu bli sant, åtminstone för vissa enheter:

• iPhones och iPads (IOS 13 och senare)
• Samsung-telefoner (Android 10 och senare)
• MacBooks (MacOS 10.15 och senare)

Sådana enheter kommer att fortsätta att sända identitetsinformation till närliggande enheter även när de är offline med Bluetooth Low-Energy. De har inte direkt tillgång till enheterna (som inte är anslutna till internet) utan använder istället BLE för att hitta dem via andra enheter i närheten. De använder i princip peer-to-peer Bluetooth-kommunikation med kort räckvidd för att sända ut sin status via närliggande online-enheter.


De kan nu lokalisera sådana enheter och spara platsen i en databas som sedan kan användas av tredje part eller av dem själva för olika ändamål (t.ex. analys, reklam eller bevis- eller underrättelseinhämtning).

 

[HEISENBERG]

Identifierare för din maskinvara.

Din IMEI och IMSI (och i förlängningen ditt telefonnummer).

IMEI (International Mobile Equipment Identity) och IMSI (International Mobile Subscriber Identity) är unika nummer som skapas av mobiltelefontillverkare och mobiltelefonoperatörer.


IMEI är direkt knutet till den telefon du använder. Detta nummer är känt och spåras av mobiltelefonoperatörerna och är känt av tillverkarna. Varje gång din telefon ansluter till mobilnätet registreras IMEI-numret i nätet tillsammans med IMSI-numret (om ett SIM-kort är isatt, men det behövs inte ens). IMEI används också av många applikationer (t.ex. bankappar som missbrukar telefonens behörighet på Android) och operativsystem för smartphones (Android/IOS) för identifiering av enheten. Det är möjligt, men svårt (och inte olagligt i många jurisdiktioner) att ändra IMEI på en telefon, men det är förmodligen enklare och billigare att bara hitta och köpa en gammal (fungerande) Burner-telefon för några euro (den här guiden gäller för Tyskland, kom ihåg det) på en loppmarknad eller i någon slumpmässig liten butik.


IMSI är direkt kopplat till det mobilabonnemang eller förbetalda abonnemang som du använder och är i princip kopplat till ditt telefonnummer av din mobiloperatör. IMSI är hårdkodat direkt på SIM-kortet och kan inte ändras. Kom ihåg att varje gång din telefon ansluter till mobilnätet registrerar den också IMSI på nätet tillsammans med IMEI. Precis som IMEI används IMSI också av vissa applikationer och operativsystem för smartphones för identifiering och spåras. Vissa länder i EU upprätthåller t.ex. en databas med IMEI/IMSI-associationer för att underlätta för brottsbekämpande myndigheter.


Att lämna ut sitt (riktiga) telefonnummer är idag i princip detsamma eller bättre än att lämna ut sitt personnummer/passnummer/nationella ID.


IMEI och IMSI kan spåras tillbaka till dig på minst 6 olika sätt:

• Mobiloperatörens abonnentloggar, som vanligtvis lagrar IMEI tillsammans med IMSI och deras databas med abonnentinformation. Om du använder ett förbetalt anonymt SIM-kort (anonymt IMSI men med ett känt IMEI) kan de se att den här mobilen tillhör dig om du har använt den mobiltelefonen tidigare med ett annat SIM-kort (annat anonymt IMSI men samma kända IMEI).
• Mobiloperatörens antennloggar, som lämpligen loggar vilka IMEI och IMSI, loggar även viss anslutningsdata. De vet och loggar t.ex. att en telefon med denna IMEI/IMSI-kombination är ansluten till en uppsättning mobilantenner och hur stark signalen till var och en av dessa antenner var, vilket gör det enkelt att triangulera/geolokalisera signalen. De vet också vilka andra telefoner (t.ex. din riktiga telefon) som samtidigt var anslutna till samma antenner med samma signal, vilket gör det möjligt att veta exakt att den här "kontantkortstelefonen" alltid var ansluten på samma plats/tid som den andra "kända telefonen" som dyker upp varje gång kontantkortstelefonen används. Denna information kan användas av olika tredje parter för att geolokalisera/spåra dig ganska exakt.
• Tillverkaren av telefonen kan spåra försäljningen av telefonen med hjälp av IMEI om telefonen köptes på ett icke-anonymt sätt. De kommer att ha loggar över varje telefonförsäljning (inklusive serienummer och IMEI), till vilken butik/person den såldes till. Och om du använder en telefon som du har köpt på nätet (eller av någon som känner dig). Den kan spåras till dig med hjälp av den informationen. Även om de inte hittar dig på CCTV och du köpte telefonen kontant, kan de fortfarande hitta vilken annan telefon (din riktiga i fickan) som fanns där (i den butiken) vid den tidpunkten/datumet genom att använda antennloggarna.
• Enbart IMSI kan också användas för att hitta dig eftersom de flesta länder nu kräver att kunderna uppger ett ID när de köper ett SIM-kort (abonnemang eller förbetalt). IMSI är då knutet till identiteten på köparen av kortet. I de länder där SIM-kortet fortfarande kan köpas med kontanter (t.ex. Storbritannien) vet man fortfarande var (i vilken butik) det köptes och när. Denna information kan sedan användas för att hämta information från själva butiken (t.ex. CCTV-bilder som i IMEI-fallet). Antennloggarna kan också användas för att ta reda på vilken annan telefon som fanns där vid försäljningstillfället.
• Tillverkarna av operativsystem för smartphones (Google/Apple för Android/IO) har också loggar över IMEI/IMSI-identifieringar som är knutna till Google/Apple-konton och vilka användare som har använt dem. Även de kan spåra telefonens historia och vilka konton den tidigare har varit knuten till.
• Myndigheter runt om i världen som är intresserade av ditt telefonnummer kan använda och använder speciella enheter som kallas "IMSI catchers", t.ex. Stingray eller Nyxcell. Dessa enheter kan imitera (förfalska) en mobiltelefonantenn och tvinga en specifik IMSI (din telefon) att ansluta till den för att få tillgång till mobilnätet. När de väl har gjort det kan de använda olika MITM-attacker (Man-In-The-Middle Attacks) som gör det möjligt för dem att
  • Avlyssna din telefon (röstsamtal och SMS).
  • Sniffa och undersöka din datatrafik.
  • Utge sig för att vara ditt telefonnummer utan att kontrollera din telefon.
  • ...

Här är också en bra YouTube-video om detta ämne: DEFCON Safe Mode - Cooper Quintin - Upptäcka falska 4G-basstationer i realtid

[Invidious]


Av dessa skäl är det avgörande att få ett anonymt telefonnummer och / eller en anonym brännartelefon med ett anonymt förbetalt simkort som inte är knutet till dig på något sätt (tidigare eller nuvarande) för att utföra känsliga aktiviteter (se mer praktisk vägledning i Få ett anonymt telefonnummer avsnitt).


Även om det finns vissa tillverkare av smartphones som Purism med sin Librem-serie som hävdar att de har din integritet i åtanke, tillåter de fortfarande inte IMEI-randomisering, vilket jag anser är en viktig antispårningsfunktion som bör tillhandahållas av sådana tillverkare. Även om denna åtgärd inte kommer att förhindra IMSI-spårning inom SIM-kortet, skulle det åtminstone göra det möjligt för dig att behålla samma "brännartelefon" och bara byta SIM-kort istället för att behöva byta båda för integritet.

 

[HEISENBERG]

Din MAC-adress för Wi-Fi eller Ethernet.

MAC-adressen är en unik identifierare som är knuten till ditt fysiska nätverksgränssnitt (trådbundet Ethernet eller Wi-Fi) och kan naturligtvis användas för att spåra dig om den inte är slumpmässig. Precis som i fallet med IMEI brukar tillverkare av datorer och nätverkskort föra loggar över sina försäljningar (som brukar innehålla saker som: serienummer, IMEI, MAC-adresser, ...) och det är återigen möjligt för dem att spåra var och när datorn med MAC-adressen i fråga såldes och till vem. Även om du köpte den kontant i ett snabbköp kan snabbköpet fortfarande ha CCTV (eller en CCTV precis utanför den butiken) och återigen kan tid/datum för försäljningen användas för att ta reda på vem som var där med hjälp av mobiloperatörens antennloggar vid den tidpunkten (IMEI/IMSI).


Operativsystemtillverkare (Google/Microsoft/Apple) kommer också att föra loggar över enheter och deras MAC-adresser i sina loggar för enhetsidentifiering (till exempel tjänster av typen Hitta min enhet). Apple kan berätta att MacBook med denna specifika MAC-adress var knuten till ett specifikt Apple-konto tidigare. Kanske ditt innan du bestämde dig för att använda MacBook för känsliga aktiviteter. Kanske till en annan användare som sålde den till dig men minns din e-post / ditt nummer från när försäljningen skedde.


Din hemrouter/Wi-Fi-åtkomstpunkt håller loggar över enheter som registrerat sig på Wi-Fi, och dessa kan också nås för att ta reda på vem som har använt ditt Wi-Fi. Ibland kan detta göras på distans (och i tysthet) av internetleverantören, beroende på om routern/Wi-Fi-åtkomstpunkten "hanteras" på distans av internetleverantören (vilket ofta är fallet när de tillhandahåller routern till sina kunder).


Vissa kommersiella enheter registrerar MAC-adresser som rör sig runt i olika syften, t.ex. trafikstockningar.


Det är därför viktigt att du inte tar med dig din telefon när du utför känsliga aktiviteter. Om du använder din egen bärbara dator är det viktigt att dölja MAC-adressen (och Bluetooth-adressen) var du än använder den och vara extra försiktig så att du inte läcker någon information. Tack och lov har många nya operativsystem nu funktionen eller möjligheten att slumpa MAC-adresser (Android, IOS, Linux och Windows 10) med det anmärkningsvärda undantaget MacOS som inte stöder den här funktionen ens i den senaste Big Sur-versionen.

 

[HEISENBERG]

Din Bluetooth MAC-adress.

Din Bluetooth MAC är som den tidigare MAC-adressen, förutom att den är för Bluetooth. Återigen kan den användas för att spåra dig, eftersom tillverkare och operativsystemstillverkare för loggar över sådan information. Den kan knytas till en försäljningsplats/tidpunkt/datum eller konton och kan sedan användas för att spåra dig med hjälp av sådan information, butiksfaktureringsinformation, CCTV eller mobilantennens loggar i korrelation.


Operativsystem har skydd för att slumpa bort dessa adresser, men de är fortfarande utsatta för sårbarheter.


Av denna anledning, och såvida du inte verkligen behöver dem, bör du bara inaktivera Bluetooth helt i BIOS / UEFI-inställningarna om möjligt eller i operativsystemet annars.


På Windows 10 måste du inaktivera och aktivera Bluetooth-enheten i själva enhetshanteraren för att tvinga en randomisering av adressen för nästa användning och förhindra spårning.

 

[HEISENBERG]

Din CPU.

Alla moderna processorer integrerar nu dolda hanteringsplattformar, till exempel den numera ökända Intel Management Engine och AMD Platform Security Processor.


Dessa hanteringsplattformar är i princip små operativsystem som körs direkt på din CPU så länge de har ström. Dessa system har full åtkomst till datorns nätverk och kan användas av en motståndare för att avanonymisera dig på olika sätt (t.ex. genom direktåtkomst eller med hjälp av skadlig kod), vilket visas i denna upplysande video: BlackHat, How to Hack a Turned-Off Computer, eller Att köra osignerad kod i Intel Management Engine

[ Invidious].


Dessa har redan tidigare drabbats av flera säkerhetsbrister som gjort det möjligt för skadlig kod att ta kontroll över målsystem. Dessa anklagas också av många integritetsaktörer, inklusive EFF och Libreboot, för att vara en bakdörr till alla system.


Det finns några inte så enkla sätt att inaktivera Intel IME på vissa processorer, och du bör göra det om du kan. För vissa AMD-bärbara datorer kan du inaktivera det i BIOS-inställningarna genom att inaktivera PSP.


Observera att till AMDs försvar, hittills och AFAIK, fanns det inga säkerhetsproblem som hittades för ASP och inga bakdörrar heller: Se

[Invidious]. Dessutom tillhandahåller AMD PSP inga fjärrhanteringsfunktioner i motsats till Intel IME.


Om du känner dig lite mer äventyrlig kan du installera ditt eget BIOS med Libreboot eller Coreboot om din bärbara dator stöder det (var medveten om att Coreboot innehåller en del egen kod till skillnad från dess gaffel Libreboot).


Dessutom har vissa processorer ofixbara brister (särskilt Intel-processorer) som kan utnyttjas av olika skadliga program. Här är en bra aktuell lista över sådana sårbarheter som påverkar nyligen utbredda processorer:


https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability [Wikiless] [Archive.org]

• Om du använder Linux kan du kontrollera sårbarhetsstatusen för din CPU för Spectre/Meltdown-attacker med hjälp av https://github.com/speed47/spectre-meltdown-checker [Archive.org] som finns som ett paket för de flesta Linux-distributioner, inklusive Whonix.
• Om du använder Windows kan du kontrollera sårbarhetsstatusen för din CPU med hjälp av inSpectre https://www.grc.com/inspectre.htm [Archive.org]

Vissa av dessa kan undvikas med hjälp av inställningar i virtualiseringsprogram som kan mildra sådana exploateringar. Se den här guiden för mer information https://www.whonix.org/wiki/Spectre_Meltdown [Archive. org] (varning: dessa kan allvarligt påverka prestandan hos dina virtuella datorer).


Jag kommer därför att mildra några av dessa problem i den här guiden genom att rekommendera användning av virtuella maskiner på en dedikerad anonym bärbar dator för dina känsliga aktiviteter som endast kommer att användas från ett anonymt offentligt nätverk.

 

[HEISENBERG]

Telemetritjänster för dina operativsystem och appar.

Oavsett om det är Android, iOS, Windows, MacOS eller till och med Ubuntu. De mest populära operativsystemen samlar nu in telemetriinformation som standard, även om du aldrig har valt eller valt bort det från början. Vissa, som Windows, tillåter inte ens att telemetri inaktiveras helt utan några tekniska justeringar. Denna informationsinsamling kan vara omfattande och omfatta ett häpnadsväckande antal detaljer (metadata och data) om dina enheter och deras användning.


Här är bra översikter över vad som samlas in av de 5 populära operativsystemen i deras senaste versioner:

• Android/Google:
  
  • Läs bara deras integritetspolicy https://policies.google.com/privacy [Archive.org]
  • School of Computer Science & Statistics, Trinity College Dublin, Irland Sekretess för mobila handenheter: Measuring The Data iOS and Android Send to Apple And Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive.org]
• IOS/Apple:
  
  • Mer information finns på https://www.apple.com/legal/privacy/en-ww/ [Archive. org ] och https://support.apple.com/en-us/HT202100 [ Archive.org]
  • School of Computer Science & Statistics, Trinity College Dublin, Irland Mobile Handset Privacy: Measuring The Data iOS and Android Send to Apple And Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf [Archive.org]
  • Apple hävdar att de anonymiserar dessa data med hjälp av differentierad integritet, men du måste lita på dem på den punkten.
• Windows/Microsoft:
  
  • Fullständig lista över nödvändiga diagnostiska data: https: //docs.microsoft.com/en-us/wi...indows-diagnostic-data-events-and-fields-2004 [Archive.org]
  • Fullständig lista över valfria diagnostiska data: https: //docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data [Archive.org]
• MacOS:
  
  • Mer information på https://support.apple.com/guide/mac-help/share-analytics-information-mac-apple-mh27990/mac [Archive.org]
• Ubuntu:
  
  • Trots att Ubuntu är en Linux-distribution samlar Ubuntu numera också in telemetridata. Dessa data är dock ganska begränsade jämfört med de andra. Mer information finns på https://ubuntu.com/desktop/statistics [Archive. org]

Det är inte bara operativsystemen som samlar in telemetritjänster, utan även appar som webbläsare, e-postklienter och appar för sociala nätverk som är installerade på ditt system.


Det är viktigt att förstå att dessa telemetridata kan knytas till din enhet och bidra till att avanonymisera dig och därefter kan användas mot dig av en motståndare som får tillgång till dessa data.


Det betyder inte att Apple-enheter är dåliga val för att skydda din integritet, men de är definitivt inte de bästa valen för (relativ) anonymitet. De kanske skyddar dig från att tredje part vet vad du gör, men inte från dig själv. Med all sannolikhet vet de säkert vem du är.


Senare i den här guiden kommer vi att använda alla medel som står till vårt förfogande för att inaktivera och blockera så mycket telemetri som möjligt för att mildra denna attackvektor i de operativsystem som stöds i den här guiden.

 

[HEISENBERG]

Dina smarta enheter i allmänhet.

Du fattar; din smartphone är en avancerad spionerings-/spårningsenhet som:

• Registrerar allt du säger när som helst ("Hej Siri", "Hej Google").
• Registrerar din plats vart du än går.
• Alltid registrerar andra enheter runt omkring dig (Bluetooth-enheter, Wi-Fi-åtkomstpunkter).
• Registrerar dina vanor och hälsodata (steg, skärmtid, exponering för sjukdomar, data från anslutna enheter)
• Registrerar alla dina nätverksplatser.
• Registrerar alla dina bilder och videor (och troligen var de togs).
• Har med största sannolikhet tillgång till de flesta av dina kända konton, inklusive sociala medier, meddelanden och finansiella konton.

Data överförs även om du väljer bort det, bearbetas och lagras på obestämd tid (troligen okrypterat) av olika tredje parter.


Men det är inte allt, det här avsnittet kallas inte "Smartphones" utan "Smarta enheter" eftersom det inte bara är din smartphone som spionerar på dig. Det är också alla andra smarta enheter du kan ha.

• Din smarta klocka (Apple Watch, Android Smartwatch ...)
• Dina fitness-enheter och appar? (Strava, Fitbit, Garmin, Polar, ...)
• Din smarta högtalare? (Amazon Alexa, Google Echo, Apple Homepod ...)
• Din smarta transport? (Bil? Skoter?)
• Dina smarta taggar? (Apple AirTag, Galaxy SmartTag, Tile ...)
• Din bil? (Ja, de flesta moderna bilar har avancerade loggnings / spårningsfunktioner idag)
• Någon annan smart enhet? Det finns till och med praktiska sökmotorer som är dedikerade till att hitta dem online:
  
  • https://www.shodan.io/
  • https://censys.io/
  • https://www.zoomeye.org/

 

[HEISENBERG]

Gör det själv.

Dina metadata inklusive din geografiska placering.

Dina metadata är all information om dina aktiviteter utan det faktiska innehållet i dessa aktiviteter. Det är till exempel som att veta att du har blivit uppringd av en onkolog och sedan ringt din familj och dina vänner i tur och ordning. Du vet inte vad som sades under samtalet, men du kan gissa dig till vad det var bara utifrån metadata.


Dessa metadata inkluderar också ofta din plats som skördas av smartphones, operativsystem (Android / iOS), webbläsare, appar, webbplatser. Oddsen är att det finns flera företag som vet exakt var du befinner dig när som helst på grund av din smartphone.


Dessa platsdata har redan använts i många rättsfall som en del av "geofence warrants" som gör det möjligt för brottsbekämpande myndigheter att be företag (som Google/Apple) om en lista över alla enheter som finns på en viss plats vid en viss tidpunkt. Dessutom säljs dessa platsdata till och med av privata företag till militären, som sedan kan använda dem på ett bekvämt sätt.


Låt oss nu säga att du använder ett VPN för att dölja din IP. Den sociala medieplattformen vet att du var aktiv på det kontot den 4 november från 8:00 till 13:00 med den VPN-IP: n. VPN håller enligt uppgift inga loggar och kan inte spåra tillbaka den VPN-IP till din IP. Din internetleverantör vet dock (eller kan åtminstone veta) att du var ansluten till samma VPN-leverantör den 4 november från 7:30 till 14:00 men vet inte vad du gjorde med den.


Frågan är: Finns det någon någonstans som möjligen skulle ha båda delarna av informationen tillgänglig för korrelation i en bekväm databas?


Har du hört talas om Edward Snowden? Nu är det dags att googla på honom och läsa hans bok. Läs också om XKEYSCORE, MUSCULAR, SORM, Tempora och PRISM.


Se "We kill people based on Metadata" eller denna berömda tweet från IDF [ Archive.org] [ Nitter].

 

[HEISENBERG]

Ditt digitala fingeravtryck, fotavtryck och onlinebeteende.

Det här är den del där du bör titta på dokumentären "The Social Dilemma" på Netflix eftersom de täcker detta ämne mycket bättre än någon annan IMHO.


Detta inkluderar är hur du skriver (stylometri), hur du beter dig. Sättet du klickar på. Sättet du surfar på. De teckensnitt du använder i din webbläsare. Fingeravtryck används för att gissa vem någon är genom det sätt som användaren beter sig på. Du kanske använder specifika pedantiska ord eller gör specifika stavfel som kan avslöja dig med en enkel Google-sökning efter liknande funktioner eftersom du skrev på ett liknande sätt i ett Reddit-inlägg för 5 år sedan med hjälp av ett inte så anonymt Reddit-konto.


Sociala medieplattformar som Facebook/Google kan gå ett steg längre och registrera ditt beteende i själva webbläsaren. De kan t.ex. registrera allt du skriver även om du inte skickar det/sparar det. Tänk på när du skriver ett e-postmeddelande i Gmail. Det sparas automatiskt medan du skriver. De kan också registrera dina klick och markörrörelser.


Allt de behöver för att uppnå detta i de flesta fall är Javascript aktiverat i din webbläsare (vilket är fallet i de flesta webbläsare, inklusive Tor Browser som standard).


Även om dessa metoder vanligtvis används för marknadsföringsändamål och reklam, kan de också vara ett användbart verktyg för fingeravtryck av användare. Detta beror på att ditt beteende troligen är ganska unikt eller tillräckligt unikt för att du med tiden kan avanonymiseras.


Här är några exempel:

• Som grund för autentisering kan till exempel en användares skrivhastighet, tangenttryckningar, felmönster (till exempel att av misstag trycka på ett "l" istället för ett "k" i tre av sju transaktioner) och musrörelser fastställa personens unika beteendemönster. Vissa kommersiella tjänster som TypingDNA (https://www.typingdna.com/ [Archive.org]) erbjuder till och med sådan analys som ersättning för tvåfaktorsautentisering.
• Denna teknik används också ofta i CAPTCHAS-tjänster för att verifiera att du är "mänsklig" och kan användas för att ta fingeravtryck av en användare.

Analysalgoritmer skulle sedan kunna användas för att matcha dessa mönster med andra användare och matcha dig med en annan känd användare. Det är oklart om sådana data redan används eller inte av myndigheter och brottsbekämpande organ, men det kan bli så i framtiden. Och även om detta nu mest används för reklam/marknadsföring/captchas-ändamål. Det kan och kommer förmodligen att användas för utredningar på kort eller medellång sikt för att avanonymisera användare.


Här är ett roligt exempel som du kan prova själv för att se några av dessa saker i aktion: https: //clickclickclick.click (inga arkivlänkar för den här, tyvärr). Du kommer att se att det blir intressant med tiden (detta kräver Javascript aktiverat).


Här är också ett nytt exempel som bara visar vad Google Chrome samlar in om dig: https: //web.archive.org/web/https://pbs.twimg.com/media/EwiUNH0UYAgLY7V?format=jpg&name=4096x4096


Här är några andra resurser i ämnet om du inte kan se den här dokumentären:

• 2017, Behavior Analysis in Social Networks, https://link.springer.com/10.1007/978-1-4614-7163-9_110198-1 [Archive.org]
• 2017, Social Networks and Positive and Negative Affect https://www.sciencedirect.com/scien...c077d46&pid=1-s2.0-S1877042811013747-main.pdf [Archive.org]
• 2015, Using Social Networks Data for Behavior and Sentiment Analysis https://www.researchgate.net/public...orks_Data_for_Behavior_and_Sentiment_Analysis [Archive.org]
• 2016, A Survey on User Behavior Analysis in Social Networks https://www.academia.edu/30936118/A_Survey_on_User_Behaviour_Analysis_in_Social_Networks [Archive.org]
• 2019, Influence and Behavior Analysis in Social Networks and Social Media https://sci-hub.do/10.1007/978-3-030-02592-2 [ Archive.org]

Så hur kan du mildra detta?

• Den här guiden kommer att ge några tekniska begränsningar med hjälp av Fingerprinting-resistenta verktyg, men de kanske inte är tillräckliga.
• Du bör använda sunt förnuft och försöka identifiera dina egna mönster i ditt beteende och bete dig annorlunda när du använder anonyma identiteter. Detta inkluderar:
  
  • Sättet du skriver på (hastighet, noggrannhet...).
  • Vilka ord du använder (var försiktig med dina vanliga uttryck).
  • Vilken typ av svar du använder (om du är sarkastisk som standard, försök att ha ett annat förhållningssätt med dina identiteter).
  • Hur du använder musen och klickar (försök att lösa Captchas på ett annat sätt än du brukar)
  • De vanor du har när du använder vissa appar eller besöker vissa webbplatser (använd inte alltid samma menyer/knappar/länkar för att nå ditt innehåll).
  • ...

I grund och botten måste du agera och helt och hållet anta en roll som en skådespelare skulle göra för en föreställning. Du måste bli en annan person, tänka och agera som den personen. Detta är inte en teknisk begränsning utan en mänsklig sådan. Du kan bara förlita dig på dig själv för det.


I slutändan är det mest upp till dig att lura dessa algoritmer genom att anta nya vanor och inte avslöja verklig information när du använder dina anonyma identiteter.

 

[HEISENBERG]

Dina ledtrådar om ditt verkliga liv och OSINT.

Det här är ledtrådar som du kan ge över tid som kan peka på din verkliga identitet. Du kanske pratar med någon eller postar på någon styrelse/forum/Reddit. I dessa inlägg kan du med tiden läcka information om ditt verkliga liv. Det kan handla om minnen, erfarenheter eller ledtrådar som du delat med dig av och som sedan kan göra det möjligt för en motiverad motståndare att bygga upp en profil för att begränsa sin sökning.


Ett verkligt och väldokumenterat fall av detta var gripandet av hackaren Jeremy Hammond, som med tiden delade med sig av flera detaljer om sitt förflutna och senare avslöjades.


Det finns också några fall som involverar OSINT på Bellingcat. Ta en titt på deras mycket informativa (men något föråldrade) verktygslåda här: https: //docs.google.com/spreadsheet...NyhIDuK9jrPGwYr9DI2UncoqJQ/edit#gid=930747607 [Archive.org]


Du kan också se några praktiska listor över några tillgängliga OSINT-verktyg här om du till exempel vill prova dem på dig själv:

• https://github.com/jivoi/awesome-osint [Arkiv. org]
• https://jakecreps.com/tag/osint-tools/ [Arkiv. org]
• https://osintframework.com/
• https://recontool.org
• https://github.com/jivoi/awesome-osint [Archive.org ]

Samt denna intressanta spellista på YouTube: https: //www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy [ Invidious]


Samt dessa intressanta podcasts:


https://www.inteltechniques.com/podcast.html


Du bör aldrig någonsin dela med dig av verkliga personliga erfarenheter/detaljer med hjälp av dina anonyma identiteter som senare kan leda till att din riktiga identitet hittas.

 

[HEISENBERG]

Ditt ansikte, din röst, din biometri och dina bilder.

"Helvetet är andra människor", även om du undviker alla metoder som anges ovan är du inte ute ur skogen än tack vare den utbredda användningen av avancerad ansiktsigenkänning av alla.


Företag som Facebook har använt avancerad ansiktsigenkänning i åratal och har använt andra medel (satellitbilder) för att skapa kartor över "människor" runt om i världen. Denna utveckling har pågått i flera år till den punkt där vi nu kan säga "Vi förlorade kontrollen över våra ansikten".


Om du går på en turistplats kommer du troligen att dyka upp i någons selfie inom några minuter utan att veta om det. Den personen kommer sedan att ladda upp selfien på olika plattformar (Twitter, Google Photos, Instagram, Facebook, Snapchat ...). Dessa plattformar kommer sedan att tillämpa algoritmer för ansiktsigenkänning på dessa bilder under förevändning att möjliggöra bättre/enklare taggning eller för att bättre organisera ditt fotobibliotek. Utöver detta kommer samma bild att tillhandahålla en exakt tidsstämpel och i de flesta fall geolokalisering av var den togs. Även om personen inte tillhandahåller en tidsstämpel och geolokalisering kan den fortfarande gissas med andra medel.


Här är några resurser för att till och med försöka detta själv:

• Bellingcat, Guide till hur man använder omvänd bildsökning för utredningar: https: //www.bellingcat.com/resource...sing-reverse-image-search-for-investigations/ [Archive.org]
• Bellingcat, Använda den nya ryska ansiktsigenkänningswebbplatsen SearchFace https://www.bellingcat.com/resource...ussian-facial-recognition-site-searchface-ru/ [Archive.org]
• Bellingcat, Dali, Warhol, Boshirov: Att bestämma tiden för ett påstått fotografi från den Skripal-misstänkte Chepiga https://www.bellingcat.com/resource...e-alleged-photograph-skripal-suspect-chepiga/ [Archive. org]
• Bellingcat, Avancerad guide för verifiering av videoinnehåll https://www.bellingcat.com/resources/how-tos/2017/06/30/advanced-guide-verifying-video-content/ [Archive.org]
• Bellingcat, Using the Sun and the Shadows for Geolocation https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ [Archive.org]
• Bellingcat, Navalnyjs giftpatrull inblandad i morden på tre ryska aktivister https://www.bellingcat.com/news/uk-...icated-in-murders-of-three-russian-activists/ [Archive. org]
• Bellingcat, Mordet i Berlin: Nya bevis på misstänkt FSB-hitman överlämnade till tyska utredare https://www.bellingcat.com/news/202...ed-fsb-hitman-passed-to-german-investigators/ [Archive. org]
• Bellingcat, Handledning i digital forskning: Undersökning av en saudiskledd koalitions bombning av ett sjukhus i Jemen
  [Invidious]
• Bellingcat, handledning i digital forskning: Använda ansiktsigenkänning i utredningar
  [Invidious]
• Bellingcat, handledning i digital forskning: Geolokalisering av (påstådda) korrupta venezuelanska tjänstemän i Europa
  [Invidious]

Även om du inte tittar på kameran kan de ändå räkna ut vem du är, se dina känslor, analysera din gång och förmodligen gissa din politiska tillhörighet.

Dessa plattformar (Google/Facebook) vet redan vem du är av några anledningar:

• För att du har eller har haft en profil hos dem och du har identifierat dig själv.
• Även om du aldrig skapade en profil på dessa plattformar har du fortfarande en utan att ens veta om det.
• För att andra personer har taggat dig eller identifierat dig på sina semester- eller festbilder.
• För att andra människor har lagt upp en bild på dig i sin kontaktlista, som de sedan har delat med sig av.

Här finns också en insiktsfull demo av Microsoft Azure som du kan prova själv på https://azure.microsoft.com/en-us/services/cognitive-services/face/#demo där du kan upptäcka känslor och jämföra ansikten från olika bilder.


Myndigheterna vet redan vem du är eftersom de har dina ID/Pass/Körkortsbilder och ofta har lagt till biometri (fingeravtryck) i sin databas. Samma regeringar integrerar dessa tekniker (som ofta tillhandahålls av privata företag som israeliska AnyVision, Clearview AI eller NEC) i sina CCTV-nätverk för att leta efter "personer av intresse". Och vissa hårt övervakade stater som Kina har infört en utbredd användning av ansiktsigenkänning för olika ändamål, bland annat för att identifiera etniska minoriteter. Ett enkelt fel i en algoritms ansiktsigenkänning kan förstöra ditt liv.


Här är några resurser som beskriver några tekniker som används av brottsbekämpning idag:

• CCC-video som förklarar nuvarande övervakningsmöjligheter för brottsbekämpning: https: //media.ccc.de/v/rc3-11406-spot_the_surveillance#t=761 [Archive.org]
• EFF SLS: https: //www.eff.org/sls [Archive. org]

Apple gör FaceID mainstream och driver sin användning av det för att logga in dig i olika tjänster inklusive banksystemen.


Samma sak gäller för fingeravtrycksautentisering som många smarttelefontillverkare använder för att autentisera sig. En enkel bild där dina fingrar syns kan användas för att avanonymisera dig.


Detsamma gäller din röst som kan analyseras för olika ändamål, vilket visas i Spotifys senaste patent.


Vi kan säkert föreställa oss en nära framtid där du inte kommer att kunna skapa konton eller logga in någonstans utan att tillhandahålla unik biometri (ett bra tillfälle att se om Gattaca, Person of Interest och Minority Report). Och du kan säkert föreställa dig hur användbara dessa stora biometriska databaser kan vara för vissa intresserade tredje parter.
Dessutom kan all denna information också användas mot dig (om du redan är avanonymiserad) med hjälp av deepfake genom att skapa falsk information (bilder, videor, röstinspelningar ...) och har redan använts för sådana ändamål. Det finns till och med kommersiella tjänster för detta som är lättillgängliga, t.ex. https://www. respeecher.com/ [Archive. org] och https://www.descript.com/overdub [ Archive.org].


Se denna demo:

[Invidious]


För närvarande finns det några steg som du kan använda för att mildra (och endast mildra) ansiktsigenkänning när du utför känsliga aktiviteter där CCTV kan vara närvarande:

• Bär ansiktsmask eftersom det har visat sig att de kan motverka vissa tekniker för ansiktsigenkänning, men inte alla.
• Bär en basebollkeps eller hatt för att förhindra att ditt ansikte identifieras av CCTV-apparater som filmar från hög vinkel (ovanifrån). Kom ihåg att detta inte hjälper mot framåtriktade kameror.
• Bär solglasögon utöver ansiktsmasken och basebollkepsen för att minska risken för identifiering från ögats funktioner.
• Överväg att bära speciella solglasögon (dyra, tyvärr) som kallas " Reflectacles" https://www.reflectacles.com/ [Archive.org]. Det fanns en liten studie som visade deras effektivitet mot IBM och Amazon ansiktsigenkänning.

(Observera att om du avser att använda dessa där avancerade system för ansiktsigenkänning har installerats, kan dessa åtgärder också flagga dig som misstänkt av sig själva och utlösa en mänsklig kontroll).