.gif)
Итак, вы хотите находиться в сети анонимно.
Отлично. Но сначала давайте определимся, что это значит.
Конфиденциальность и анонимность – понятия разные. Конфиденциальность - это контролируемый доступ к конфиденциальной информации. В Интернете мы обычно общаемся именно так. Для защиты трафика от злоумышленников мы используем сквозное шифрование (например, HTTPS, Signal и GnuPG). Но оно также и защищает то, что имеем, при полном шифровании диска для защиты наших устройств.
1) Что такое анонимность?
Анонимность - это аспект конфиденциальности. Мы говорим об управлении доступом к нашим личностям. То есть к тем, кем мы являемся. Сохраняя анонимность, мы можем более свободно выражать свои мысли, меньше заботясь о последствиях и ограничениях. А если наш уровень анонимности достаточен, злоумышленники не смогут собрать информацию о нас и, следовательно, отличить нас от всех остальных. Таким образом, образуется круг: анонимность защищает нашу конфиденциальность и предотвращает деанонимизацию.
Но анонимность допускает и компромиссы. Существуют степени анонимности. Имеется в виду, что цель браузера Tor - сделать всех пользователей примерно на примерно одном уровне анонимности. Однако, на практике это невозможно, учитывая, что браузер Tor используется на различном оборудовании. Но браузер Tor постоянно обновляется, поэтому все используют одинаковую версию. И есть всего несколько уровней безопасности, чтобы ограничить разнообразие. Не нужно еще забывать, что браузер довольно скептически относится к размеру окна, установке дополнительных надстроек и т.д.
Но даже с браузером Tor анонимность возрастает, как только мы создаем сетевые удостоверения. Например, адреса электронной почты и учетные записи на сайтах. Mirimir не анонимна. И ни один из персонажей, которых мы используем через Tor. Все они анонимны или под псевдонимом.
Некоторые из них очень похожи на Mirimir, выполняют похожие действия и пишут по-английски. Таким образом, они просто препятствуют поиску ссылок и обеспечивают более или менее убедительное прикрытие. А другие персонажи совсем другие и никогда не пишут по-английски. Либо пользуясь переводом Google Translate.
Другими словами, анонимность, псевдонимность и конфиденциальность различны в контексте данных и метаданных. Конфиденциальность - это защита данных и некоторых метаданных. Чтобы быть анонимными, мы должны защищать все данные и метаданные. А степень анонимности зависит как от наших целей, так и от нашей операционной безопасности (OPSEC (operation security)).
Некоторые метаданные невозможно (или, по крайней мере, очень сложно) скрыть. Местные злоумышленники могут не просто видеть, что мы пользуемся Интернетом, но и то, что мы делаем. Но они также могут видеть время нахождения в сети и модели трафика (бит в секунду и время). Это – метаданные, которые говорят о нас как о людях, скрывающих то, что мы делаем в Интернете. Но тут уж ничего не поделаешь, если только мы не воспользуемся каким-то не поддающимся обнаружению каналом.
Тем не менее, в идеале дистанционные злоумышленники просто видят активность с метаданными, которые ни с кем конкретно не связаны. По крайней мере, до тех пор, пока мы не создадим онлайн-персонаж в Интернете и не станем псевдонимными.
2) Зачем нужна анонимность в Интернете?
Анонимность помогает понять, почему вы хотите быть анонимным в сети. И сможете ли вы жить с требованиями и последствиями.
Мы ценим свободу.
Учитывая все авторитарные угрозы, свобода зависит от конфиденциальности. И в конечном итоге конфиденциальность зависит от анонимности или, по крайней мере, от псевдонимности. Но всё же, нужно иметь в виду, что это игра, в которой свобода - это то, как мы ведем счет.
3) Что нужно, чтобы быть анонимным в Интернете?
Всегда помните, что быть полностью анонимным в Интернете чрезвычайно сложно – и скорее всего, невозможно. Или, по крайней мере, очень долго. Это связано с тем, что АНБ (и другие национальные спецслужбы) могут перехватывать трафик и манипулировать им во многих точках по всему Интернету. Пожалуй, именно поэтому их называют врагами международного масштаба.
По крайней мере, некоторые из них с большой вероятностью могут собрать основную информацию в результате перехвата трафика обо всех 4,5 миллиардах пользователей Интернета. Например, IP-адреса, интернет-провайдеры, журналы трафика, использование шифрования и т.д. Но есть сомнение, что они могут хранить очень долго все эти данные или даже фактически анализировать их. Потому что их объем, возможно, слишком велик, и они распределены по многим тысячам устройств перехвата.
Поэтому вполне вероятно, что на основе различных критериев они должны выбрать, что именно сохранить и проанализировать. Например, IP-адреса, имена, адреса электронной почты, язык и ключевые слова, а также использование определенных протоколов шифрования, таких как Signal, GnuPG, Tor и VPN. Но вряд ли HTTPS, потому что он стал слишком распространенным. В одной статье упоминалось, что АНБ была не рада более широкому использованию VPN для торрент-загрузки и потоковой передачи контента с гео-ограниченным содержанием, потому что их использование тратит ресурсы, которые они предпочли бы припасти для серьезной работы.
Но вот в чем дело. Даже если они сохранили все необходимое для деанонимизации кого-то там, то на самом деле это требует анализа и сопоставления данных из нескольких перехватов. Поэтому маловероятно, что они делают это регулярно для всей информации, которую они сохранили. Также и маловероятно, что они смогут долго хранить даже такую «отфильтрованную информацию». И поэтому они должны выбрать то, что собираются хранить в долгосрочной перспективе. Это снижает вероятность того, что они долго хранят достаточный объем информации, чтобы деанонимизировать кого-то, кто был не так уж и интересен.
Вот поэтому, если вы хотите постоянно оставаться полностью анонимным в Интернете, то вы не захотите казаться интересной личностью в глазах глобальных противников.
И если вы действительно хотите сделать что-то, что может привлечь их внимание или внимание других трехбуквенных (TLA) агентств (например, ФБР), которые могут получить их помощь, вам нужно быть особенно осторожным. Вы должны строго отделить эту деятельность от своей личности в реальной жизни.
Использование онлайн-персонажей не обеспечивает анонимности, только псевдонимность. Однако вы можете использовать несколько персонажей, которые тщательно отделены друг от друга, и использовать их по очереди. Но чем дольше вы используете персонаж, тем менее псевдонимным (и более опасным) он становится.
Разумеется, важно надежно скрыть ваш IP-адрес, предоставленный интернет-провайдером, не рассчитывая на благоразумие третьей стороны, например, поставщика VPN или даже Tor. Но анонимность в Интернете - это гораздо больше, чем анонимный доступ в Интернет.
Всевозможные государственные учреждения и поставщики услуг знают, кто мы. И многие идентификаторы связывают все аспекты нашей жизни, Интернета и за его пределами:
• паспорта и водительские права
• почтовые адреса и городские номера
• номера мобильных телефонов и адреса электронной почты
• банковские счета
• кредитные и дебетовые карты
• аккаунты в социальных сетях
А еще есть материал, которым мы делимся в социальных сетях (при условии их использования). Мы выражаем свои интересы и мнение. Кроме того, наши семьи и друзья знают нас как в Интернете, так и за его пределами. И большинство из них не заботятся об анонимности или даже о конфиденциальности.
Допустим, вы получили ящик, который позволяет вам выходить в Интернет анонимно, назло любому злоумышленнику. Если бы вы продолжали делать то, что делаете сейчас - если вы несерьезно относитесь к анонимности - вы, вероятно, останетесь анонимными (или даже псевдонимными) не более чем на несколько минут. Может быть, день или два, если вы будете проявлять осторожность. Однако на то, чтобы вас поймать, могут потребоваться годы. Например, бывшая знаменитость, один из лидеров хакерской группировки LulzSec, заявил о себе на IRC много лет назад, когда впервые учился взлому. Но это так бы и не стало достоянием общественности, пока он не разозлил парня, который сохранил журналы этих чатов.
Однако большинство людей на самом деле не стремятся к полной анонимности. Это ограничение для бОльших возможностей, чем просто для чтения. Но как только вы начнете что-то делать, очень сложно оставаться анонимным. Утомительно писать без единого стиля. У вас не может быть серьезных разговоров. После того, как вы где-то зарегистрировались, арендовали VPS или сервер, вы создали личность.
Так или иначе, остановимся на анонимных онлайн-персонажах и способах их использования.
4) Сперва защитите Uplink (восходящее соединение), скройте свое местоположение и IP-адрес
Три ключевых критерия:
ваши настройки должны быть эффективными и безопасными
они не должны привлекать внимание
правдоподобные легенды
Цитируем @thegrugq:
«В отличие от Tor, VPN создают нам отличную легенду, например, - «Я использовал его для просмотра видео на Hulu» - намного безобиднее, чем «Я лишь пытался купить наркотики в Интернете»
Это вовсе не означает, что вам не нужно использовать Tor. Просто местные злоумышленники не должны видеть, что вы используете Tor или I2P. И никто из них не должен знать, что у вас хоть когда-либо возникала мысль об использовании Freenet. Более того, даже если у вас отменная OPSEC, мы не рекомендуем использовать Freenet.
5) Разделение - ключ к анонимности в Интернете
Чтобы использовать анонимный онлайн-персонаж, вы должны четко отделить деятельность этого персонажа от остальной части вашей жизни. Любое совмещение создает связь. А при наличии тесной связи анонимность данного образа исчезает. Ясно, что вы не можете использовать одни и те же адреса электронной почты и онлайн-аккаунты. Опасно даже посещать одни и те же сайты, если они не пользуются большой популярностью. Например, Reddit можно, но не отдельные сабреддиты. Вас можно идентифицировать по языку, стилю письма и использованию сленга.
Опасно даже проявлять одни и те же интересы или выражать одни и те же мнения. Особенно, если они нестандартные. Наконец, что бы вы ни делали, не играйте с собой в виртуальные игры, потому что люди хорошо это распознают.
Также разумно отделить каждого онлайн-персонажа от других. Таким образом, если у одного персонажа возникнут проблемы, ущерб будет невелик. И поэтому может быть вполне достаточно прекратить им пользоваться. Но если информация о нескольких персонажах может быть связана, к вам может быть проявлен интерес, тем больше риск вашей полной деанонимизации. И даже если вы не сделали ничего подозрительного, есть вероятность, что после этого за вами будут наблюдать.
Например, предположим, что вы арендуете VPS и открываете сайт Tor .onion. Допустим, вы арендовали VPS и управляете им анонимно через Tor. Но вы хотите предоставить контактный адрес электронной почты или опубликовать в социальных сетях информацию о сайте или что-нибудь еще. Если этот персонаж можно связать с тем, который вы использовали для аренды VPS - по адресу электронной почты, Биткоин кошельку или чем-то еще, - этого может быть достаточно, чтобы злоумышленники идентифицировали VPS. Затем они могут взломать сайт, собрать данные о пользователях, взять их на прицел и так далее. И это может в конечном итоге привести их к вам, в реальный мир.
Также очень важно разделение операционных систем.
Мы в основном использовали для этих целей программу VirtualBox из-за ее простоты и достаточной безопасности. Нет сомнений в том, что система Qubes имеет лучшую защиту от атак, но, возможно, с не меньшей вероятностью подвержена пассивной утечке, чем VirtualBox, при правильной настройке. И гораздо сложнее для изучения.
Тем не менее, все подходы к виртуализации более или менее уязвимы для резкого перехода с виртуальных машин на хост-машины. И как только злоумышленники или вредоносные программы достигают хоста, терять уже нечего. Если это для вас значительный риск, вы можете использовать разделение аппаратного обеспечения. Вместо использования виртуальных машин на хост-машинах вы можете использовать несколько физических машин, например, Raspberry Pi. Вы также можете использовать несколько хост-машин и разделить виртуальные машины в зависимости от требуемого уровня изоляции.
6) Постоянно врать может оказаться трудным
Делиться в Интернете своей личной информацией с семьей или друзьями и коллегами из реального мира рискованно. Так же как и делиться событиями из жизни в реальном мире с теми, кто знает вас как анонимного онлайн-персонажа. И то, и другое опасно, потому что люди любят сплетничать. Так что вы можете заработать репутацию или даже подвергнуться доксингу (доксинг - поиск или открытая публикация персональной информации о человеке со злым умыслом).
По нашему опыту, самое сложное - лгать и хранить секреты. У всех нас есть секреты. И все мы лжем, по крайней мере, иногда. Но тогда было бы много секретов. И трудно удержаться от того, чтобы делиться тем, что нам нравится, с теми, кто нам близок. Храня секреты, мы можем чувствовать себя нечестными или даже предателями. Людей действительно может обидеть то, что мы недостаточно им доверяем. А еще мы иногда испытываем гордость и хотим признания.
Но это часть понимания того, почему хочется анонимности в Интернете. И вы можете хотя бы прямо сказать об этом в сети. А можете просто винить в этом свою OPSEC.
Однако в реальном мире это не работает, так как там вы хотите выглядеть человеком, который даже не знает, что такое OPSEC. Потому что это само по себе было бы провалом OPSEC. Но все же, вам нужна правдоподобная легенда, так как другие обязательно будут интересоваться, что вы делаете в Интернете.
7) Учетные записи электронной почты и веб-браузеры
В свое время, когда мы все еще использовали Windows, мы думали об ее блокировке, чтобы предотвратить постоянную регистрацию журналов и утечку данных в Microsoft. Мы даже установили дополнительную оперативную память и запускали файлы подкачки в Windows на RAM-дисках. Использовали правила маршрутизатора, чтобы система Windows не могла получить адреса для Microsoft и связанных с ней компаний.
Затем мы отказались от Windows и перешли на Linux, который по большей части уважает конфиденциальность пользователей. Поэтому больше не нужно было беспокоиться насчет Windows и Microsoft.
Но нас по-прежнему беспокоили использование защищенных сервисов электронной почты и защита браузеров от вредоносных кодов, файлов Cookie, снятия отпечатков пальцев и отслеживания. Мы использовали несколько почтовых провайдеров на базе Tor, которых сейчас уже нет (помимо Freedom Hosting и Freedom Hosting II). И, конечно же, никакого Gmail или Chrome. Также внесли небольшие изменения в Firefox и установили несколько дополнений. Что имеем на данный момент:
AdBlock Plus
browser.newtabpage.enhanced;false
browser.privatebrowsing.autostart;true
Canvas Defender
Disable WebRTC
dom.storage.enabled;false
dom.webnotifications.serviceworker.enabled;false
extensions.pocket.enabled;false
font.internaluseonly.changed;false
media.peerconnection.enabled;false
NoScript
noscript.forbidWebGL;true
privacy.sanitize.pending;[{“id”:”shutdown”,”itemsToClear”:[“cache”,”cookies”,”history ”,”formdata”,”downloads”,”sessions”],”options”:{}}]
Privacy Badger
Smart Referer
toolkit.telemetry.reportingpolicy.firstRun;false
Но затем мы серьезно занялись разделением активности в Интернете на несколько хост-машин и виртуальных машин, используя комбинации сервисов VPN и Tor. После этого, волнения по поводу предотвращения снятия отпечатков пальцев и отслеживания браузера исчезли. Мы все еще используем большую часть из того, что смогли узнать, но расширение uMatrix нас не заинтересовало.
Например, все, что делает Mirimir, взаимосвязано, и с этим нет проблем. У нас есть Gravitar, привязанный к адресу электронной почты. Если нужно сделать что-то, что не связано с Mirimir, то мы используем новый персонаж в другой виртуальной машине, которая выходит в Интернет через новую вложенную цепочку VPN и Tor. Это как раз то, что устраняет связанность материала, а не какой-то набор дополнений в Firefox.
У нас было, наверное, более 100 учетных записей электронной почты, и большинство из них удалено или брошено. Примерно 25 из них мы проверяем хотя бы иногда. Mirimir, конечно, использует Riseup, и мы их очень любим. В противном случае мы используем тех провайдеров электронной почты, которые ладят с Tor, например, Cockmail, Protonmail и Tutanota. Как многие признаются, Cockmail создает впечатление чего-то неприличного, и некоторых это может обидеть. Но они предлагают несколько имен хостов электронной почты, которые вполне безопасны и подходят для культурного общества (например, airmail.cc, tfwno.gf и firemail.cc).
8) Анонимность в реальной жизни не существует
По сути, конфиденциальность и анонимность в реальной жизни не существуют. Уж слишком много наблюдения:
физическая среда
обычная почта
голосовая связь и передача данных
финансовые операции
активность в социальных сетях
государственные информаторы
Нас окружают камеры и микрофоны:
камеры наблюдения
сканеры автомобильных номеров
электронные системы взимания платы за проезд
смартфоны и другие устройства
Во многих городах сейчас широко распространены камеры наблюдения за пешеходами. На улице сканируются номера транспортных средств, а также для сбора платы за проезд на шоссе и мостах. Камеры наблюдения есть во многих помещениях: на работе, в коммерческих учреждениях, а сейчас и во многих домах. Сканеры автомобильных номеров везде: над головой, на дронах, самолетах, дирижаблях и спутниках. И действительно, у большинства из нас смартфоны и другие устройства с камерами и микрофонами, которыми злоумышленники могут управлять удаленно.
Также ведется наблюдение за обычной почтой. Вся корреспонденция и посылки фотографируются, многие подвергаются просвечиванию рентгеновскими лучами. А международная почта подлежит полному физическому таможенному досмотру.
Вся голосовая связь и передача данных, скорее всего, контролируются АНБ, которое может передавать информацию в национальные ведомства (такие как DEA (Администрация по контролю за соблюдением законов о наркотиках), DHS (Департамент Национальной Безопасности), (ФБР), IRS (налоговое управление) и USCIS (служба гражданства и иммиграции) в рамках программы SOP. Финансовые операции также тщательно проверяются, учитывая опасения, связанные с отмыванием денег и уклонением от уплаты налогов.
А еще есть социальные сети, где люди размещают слишком много информации - как о себе, так и о своих товарищах. Кроме того, после 11 сентября государственные учреждения все чаще поощряют людей сообщать о подозрительном поведении, преступной деятельности и подозрениях в терроризме. Это стало похоже на послевоенную Восточную Германию, где, по утверждениям, около 1% населения были информаторами для тайной полиции (Штази).
Следовательно, у нас есть конфиденциальность только там, где мы контролируем физическую среду и можем устранить устройства наблюдения, а также не сообщаем другим, что мы делаем.
Но сидеть в бункере может наскучить.
Есть один вариант. Как это ни странно, но возможно только в Интернете мы можем общаться с другими и сделать что-либо конфиденциально и даже анонимно.
Для того чтобы быть в сети, нужно подключиться к какому-либо интернет-провайдеру. Но, по крайней мере, мы можем использовать службы VPN, чтобы скрыть контент и IP-адреса от интернет-провайдера и других местных злоумышленников. В некоторых странах использование неавторизованных VPN запрещено. Но в остальном это достаточно обычное явление, когда мы не хотим особого внимания.
И как только у вас будет безобидное VPN-соединение, можно маршрутизировать через него данные, что обеспечит более надежную конфиденциальность и анонимность.
Мы имеем в виду, что в реальной жизни нет ничего лучше анонимных сетей. Мы не можем постоянно прятаться от общества. Во многих местах это незаконно и в любом случае привлекает внимание.
Но даже это нас ограничивает. Допустим, нам повезло спекулировать криптовалютой или организовать какой-то анонимный онлайн-бизнес, и мы хотим, чтобы часть этих денег находилась в реальной жизни. Или, может быть, нам понадобится аккаунт в Twitter, и нам необходима SMS-верификация. ВОзможно, мы захотим купить что-нибудь на рынке Даркнет через Tor. Или купить какое-то оборудование в реальной жизни, чтобы затем использовать анонимно в Интернете.
Любое из вышеперечисленных действий может создать дополнительную связь между нашей анонимной онлайн-активностью и реальным миром, и это риск. Или, по крайней мере, нас могли бы определить как представляющие интерес личности и выполнить тщательную проверку нашего подключения к Интернету. И наоборот, если бы мы уже были взяты на прицел на основании нашего подключения к Интернету, это могло бы привести к усилению контроля над нашей физической и финансовой деятельностью.
Анонимный перевод денег
Также крайне важно оплачивать товары анонимно. Возможно, лучшим вариантом по-прежнему является анонимный Биткоин, потому что его практически везде принимают. Для начала вам понадобится кошелек. Рекомендуем использовать приложение Electrum Appimage в системе Whonix. У каждого персонажа должен быть свой кошелек, в собственном экземпляре Whonix.
Но сначала убедитесь, что вы загрузили Electrum Appimage именно с сайта electrum.org, а не с другого сайта, который может распространять вредоносное ПО. Также получите файл сигнатуры и открытый ключ GnuPG Томаса Воегтлина. Обычно все они находятся в /home/user/Downloads. Итак, откройте там терминал.
Сначала проверьте сигнатуру:
gpg --verify electrum-3.3.8-x86_64.AppImage.asc electrum-3.3.8-x86_64.AppImage
Вам должно отобразиться следующее:
gpg: Дат подписи Thu 11 Jul 2019 07:26:15 AM MST используя RSA ключ ID 7F9470E6
gpg: Подпись принадлежит "Thomas Voegtlin ( ) <[email protected]>"
gpg: aka "ThomasV <[email protected]>"
gpg: aka "Thomas Voegtlin <[email protected]>"
gpg: ПРЕДУПРЕЖДЕНИЕ: Данный ключ не заверен доверенной подписью!
gpg: Нет никаких указаний на то, что подпись принадлежит владельцу.
Отпечаток первичного ключа: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Теперь убедитесь, что ключ GnuPG действительно принадлежит Томасу Воегтлину. Просмотрите его презентацию об Electrum в 2016 году и поставьте видео на паузу, когда на экране появится его отпечаток GnuPG. Вы увидите, что он соответствует «Отпечатку первичного ключа» в приведенных выше параметрах gpg:
6694 D8DE 7BE8 EE56 31BE
D950 2BD5 824B 7F94 70E6
Если вы планируете приобрести большое количество Биткоинов или другой криптовалюты, вы можете использовать аппаратные кошельки. На Биткоин-форуме есть ветка про них.
У каждого из наших персонажей есть собственный экземпляр Whonix с кошельком Electrum и Биткоин, который многократно смешивался с помощью различных сервисов. Таким образом, Биткоин в каждом из этих кошельков не связан с хранением Биткоинов в других кошельках. Кроме того, обычно в любой момент времени работает только один экземпляр Whonix. В любом случае, они достаточно изолированы друг от друга, и их не так легко найти. Хранить все это достаточно сложно, и нет необходимости усложнять аппаратные кошельки, которые постоянно нужно отслеживать и защищать.
В любом случае, учитывая рост повсеместного наблюдения, конфиденциальность в реальном мире практически невозможна. Таким образом, возможно, бессмысленно стремиться к значительной степени анонимности при покупке Биткоинов. И в любом случае вы можете анонимизировать Биткоин после покупки. Но даже в этом случае сложно покупать на биржах, учитывая требования правительства к отчетности.
Однако с помощью LocalBitcoins легко найти торговцев Биткоинами (продавцов и покупателей) в вашей стране. Вы можете проверить их репутацию, и есть служба условного депонирования для снижения риска мошенничества. Интересные способы оплаты включают:
Другой денежный депозит: лично, наличными в общественных местах.
Наличные [депозит] в банкомате
Денежный депозит: [банк]
Денежный депозит: банковский депозит / лично
Другой (более рискованный) вариант поиска частных продавцов - это Bitcoin Forum /…/ Обмен валюты. А еще есть чат на основе IRC-протокола Bitcoin-otc для ведения переговоров о сделках, касающихся Биткоина, других криптовалют, наличных денег и т.д.
Но с другой стороны, Биткоин по своему характеру не является анонимным. Однако вы можете смешивать несколько раз через Tor, используя разные сервисы смешивания. Следующие микшеры работали в январе 2020 года. Но никогда не смешивайте за один раз больше, чем вы можете потерять. Даже если микшер работает с несколькими mBTC, нет гарантии, что он не украдет несколько сотен mBTC. По крайней мере, иногда.
BitCloak: Tor (5 подтверждений перед смешиванием)
Bitcoin Fog: Tor, Twitter (требует аккаунт; 6 подтверждений для депозитов; моментальный вывод)
Blender: clearnet, Tor (3 подтверждения перед смешиванием)
CryptoMixer: clearnet, Tor (0-1 подтверждений перед смешиванием)
Не доверяйте другим URL-адресам, пока вышеперечисленные нами сервисы работают. Bitcoin Fog - самый старый из работающих микшеров. Он смешал Биткоины как минимум с двух крупных краж, и, очевидно, успешно справился с этим. Некоторые утверждали, что он ворует или, по крайней мере, ненадежен. Однако пару лет назад у нас была только одна задержка депозита, но она была решена в течение двух дней.
Bitmixer закрылся в конце 2017 года, а BestMixer арестован полицией в конце 2019 года. GhostMixer был приобретен BitWhisk в конце 2019 года, но эта информация не проверена. Также не проверялся и Grams Helix. Он был украден в 2018 году, но сейчас вроде все в порядке.
Другой вариант - обмен через предполагаемую анонимную валюту Etherium. Хотя экосистема Etherium в значительной степени ориентирована на смартфоны, существуют также браузерные кошельки. Однако сохраняется значительная зависимость от Chrome.
Анонимная SMS-аутентификация
Онлайн-аккаунты все чаще и чаще требуют номера мобильных телефонов для подтверждения личности, особенно если вы пользуетесь VPN сервисами или Tor. А смартфоны – это кошмар для конфиденциальности/анонимности. Таким образом, использование его в целях аутентификации может уничтожить вашу анонимность.
У некоторых провайдеров работают виртуальные SMS-сервисы. Использовать бесплатные сервисы опасно, поскольку сообщения общедоступны. Но по нашему опыту, для Twitter не работают даже платные сервисы. Существуют также услуги по аренде SIM-карты, но обычно SIM-карта и страна аккаунта должны совпадать.
Кажется, ничего из этого не работает в Google и, как правило, при использовании Tor. В итоге мы купили адреса и аккаунты Gmail на /r/BitMarket. Хорошие продавцы также предоставляют дополнительные адреса электронной почты на случай блокировки учетной записи. Но нельзя быть уверенным, что продавцы не смогут забрать обратно аккаунты, поэтому неразумно рисковать действительно важными вещами.
Однако вы можете просто использовать свой смартфон, если вы его обезопасили и сделали входящее Интернет-соединение анонимным.
Анонимное получение посылок с торговых площадок Даркнет
Торговые площадки Даркнет достаточно анонимны. Но для получения товаров требуется адрес доставки.
Из недавнего научного обсуждения:
«Участники анонимной торговой площадки Silk Road не считали себя застрахованными от риска обнаружения и ареста, но в то же время и не мирились с ним. Теоретики рациональных решений считают, что противоправные решения ограничиваются ограниченным доступом к соответствующей информации. Криптовалютные рынки как сообщества совместного использования «незаконного капитала» обеспечивают расширенный и недорогой доступ к информации, позволяя обитателям рынка наркотиков делать более точные оценки риска задержания. Обилие информации о рынке наркотиков, доступной сторонникам закона, может способствовать ускорению инноваций на нелегальных рынках наркотиков, а также разработке ответных мер правоохранительных органов».
Так что действительно, площадки Даркнет еще являются и лучшим источником информации о шпионаже.
Использование легитимных служб почтовой доставки ненадежно. Основной подход - просто не привлекать внимания. Продавцы используют маскирующую упаковку, чтобы смешать и скрыть запахи от собак, а покупатели оценивают их по применяемым ими методам. Продавцы рекомендуют покупателям использовать настоящие имена, так как вымышленные привлекают внимание. То есть почтовые ведомства регистрируют информацию о том, кто получает почту по каждому конкретному адресу. Это довольно страшно.
Чтобы остаться анонимным, вы должны привлечь посредника. А именно прокси. Один из распространенных вариантов - отправить вещь другому человеку и забрать ее раньше, чем он сделает это. Возможно, кто-то находится в отпуске, но не прекращает доставку почты. Или тот, кто просто не проверяет почту оперативно. Может быть, даже недавно освободившаяся квартира или дом, куда все еще приходит почта.
Тем не менее, остается риск, что следователи обнаружат посылку и будут наблюдать за ее движением и доставкой. И, тем не менее, существует повсеместная слежка. Возможно, можно просто заплатить кому-нибудь, чтобы он забрал вашу посылку, а потом встретиться в нейтральном месте. Или вы можете просто заплатить кому-нибудь за получение почты или арендовать почтовый ящик. Однако и это уязвимо для наблюдения. В любом случае им нужно доверять. А если их припрут к стенке, они, скорее всего, вас просто бросят.
Другая опция – Dead Drops (анонимная, одноранговая, файлообменная оффлайн сеть со свободным доступом, накопитель с возможностью записи и возможностью работы без использования какого-либо стороннего софта). Это стандартная практика шпионов. И теперь это намного проще, учитывая геокешинг на основе GNSS/GIS. И, возможно, даже дроны. Вы можете найти торговую площадку в Даркнет или поставщика, который предлагает эту опцию, или, возможно, группу, которая предлагает услугу. Или просто установите Dead Drops, чтобы оградить себя от посредника.
В любом случае, рекомендуем почитать статьи на opaque.link и Bitcoin News. Для более серьезных целей - Drop Zone. Это анонимная местная торговая P2P площадка контрабанды, функционирующая в тестовой сети Биткоин.
Анонимная покупка товаров в реальном мире
Анонимная покупка товаров в реальном мире также ограничивается из-за повсеместной слежки. Конечно, мы можем ездить в магазины, которые находятся далеко, и платить наличными. И можем выключить телефоны и положить их в сумки Фарадея (при пошиве этих сумок используется ткань, прошитая огромным количеством медных нитей. Это и сумки, маленькие мешочки, кошельки, чехлы для паспорта и, теоретически, все что угодно. Патентованная медная ткань блокирует передачу сигнала с метки в частотном диапазоне от 10MHz до 20GHz, в то время как большинство «умных» карт передает сигнал на 13MHz и 15MHz.).
Но при наличии повсюду камер (даже над головой) и сканеров автомобильных номеров, скорее всего, будут вестись записи. И в любом случае во всех магазинах есть камеры видеонаблюдения для предотвращения рисков кражи и ограбления.
Обычно альтернативой является онлайн-покупка кредитной картой. И это гораздо хуже.
9) Анонимные сайты Tor .Onion
Подведем итоги:
Локальный хостинг - это очень простая и конфиденциальная, но при этом очень опасная вещь. Если злоумышленникам удается обнаружить местонахождение вашего сайта, будет также обнаружено и ваше.
Избегайте виртуального хостинга на .onion. Он прост, но очень уязвим. Почитайте про Freedom Hosting и Freedom Hosting II.
Несмотря на более низкий уровень конфиденциальности, хостинг на анонимно арендованном удаленном сервере VPS достаточно прост, и вы можете оставаться анонимным даже при обнаружении местоположения.
Хостинг на анонимно арендованных удаленных выделенных серверах с полным шифрованием диска - самый безопасный вариант. Но дорогой.
Отлично. Но сначала давайте определимся, что это значит.
Конфиденциальность и анонимность – понятия разные. Конфиденциальность - это контролируемый доступ к конфиденциальной информации. В Интернете мы обычно общаемся именно так. Для защиты трафика от злоумышленников мы используем сквозное шифрование (например, HTTPS, Signal и GnuPG). Но оно также и защищает то, что имеем, при полном шифровании диска для защиты наших устройств.
1) Что такое анонимность?
Анонимность - это аспект конфиденциальности. Мы говорим об управлении доступом к нашим личностям. То есть к тем, кем мы являемся. Сохраняя анонимность, мы можем более свободно выражать свои мысли, меньше заботясь о последствиях и ограничениях. А если наш уровень анонимности достаточен, злоумышленники не смогут собрать информацию о нас и, следовательно, отличить нас от всех остальных. Таким образом, образуется круг: анонимность защищает нашу конфиденциальность и предотвращает деанонимизацию.
Но анонимность допускает и компромиссы. Существуют степени анонимности. Имеется в виду, что цель браузера Tor - сделать всех пользователей примерно на примерно одном уровне анонимности. Однако, на практике это невозможно, учитывая, что браузер Tor используется на различном оборудовании. Но браузер Tor постоянно обновляется, поэтому все используют одинаковую версию. И есть всего несколько уровней безопасности, чтобы ограничить разнообразие. Не нужно еще забывать, что браузер довольно скептически относится к размеру окна, установке дополнительных надстроек и т.д.
Но даже с браузером Tor анонимность возрастает, как только мы создаем сетевые удостоверения. Например, адреса электронной почты и учетные записи на сайтах. Mirimir не анонимна. И ни один из персонажей, которых мы используем через Tor. Все они анонимны или под псевдонимом.
Некоторые из них очень похожи на Mirimir, выполняют похожие действия и пишут по-английски. Таким образом, они просто препятствуют поиску ссылок и обеспечивают более или менее убедительное прикрытие. А другие персонажи совсем другие и никогда не пишут по-английски. Либо пользуясь переводом Google Translate.
Другими словами, анонимность, псевдонимность и конфиденциальность различны в контексте данных и метаданных. Конфиденциальность - это защита данных и некоторых метаданных. Чтобы быть анонимными, мы должны защищать все данные и метаданные. А степень анонимности зависит как от наших целей, так и от нашей операционной безопасности (OPSEC (operation security)).
Некоторые метаданные невозможно (или, по крайней мере, очень сложно) скрыть. Местные злоумышленники могут не просто видеть, что мы пользуемся Интернетом, но и то, что мы делаем. Но они также могут видеть время нахождения в сети и модели трафика (бит в секунду и время). Это – метаданные, которые говорят о нас как о людях, скрывающих то, что мы делаем в Интернете. Но тут уж ничего не поделаешь, если только мы не воспользуемся каким-то не поддающимся обнаружению каналом.
Тем не менее, в идеале дистанционные злоумышленники просто видят активность с метаданными, которые ни с кем конкретно не связаны. По крайней мере, до тех пор, пока мы не создадим онлайн-персонаж в Интернете и не станем псевдонимными.
2) Зачем нужна анонимность в Интернете?
Анонимность помогает понять, почему вы хотите быть анонимным в сети. И сможете ли вы жить с требованиями и последствиями.
Мы ценим свободу.
Учитывая все авторитарные угрозы, свобода зависит от конфиденциальности. И в конечном итоге конфиденциальность зависит от анонимности или, по крайней мере, от псевдонимности. Но всё же, нужно иметь в виду, что это игра, в которой свобода - это то, как мы ведем счет.
3) Что нужно, чтобы быть анонимным в Интернете?
Всегда помните, что быть полностью анонимным в Интернете чрезвычайно сложно – и скорее всего, невозможно. Или, по крайней мере, очень долго. Это связано с тем, что АНБ (и другие национальные спецслужбы) могут перехватывать трафик и манипулировать им во многих точках по всему Интернету. Пожалуй, именно поэтому их называют врагами международного масштаба.
По крайней мере, некоторые из них с большой вероятностью могут собрать основную информацию в результате перехвата трафика обо всех 4,5 миллиардах пользователей Интернета. Например, IP-адреса, интернет-провайдеры, журналы трафика, использование шифрования и т.д. Но есть сомнение, что они могут хранить очень долго все эти данные или даже фактически анализировать их. Потому что их объем, возможно, слишком велик, и они распределены по многим тысячам устройств перехвата.
Поэтому вполне вероятно, что на основе различных критериев они должны выбрать, что именно сохранить и проанализировать. Например, IP-адреса, имена, адреса электронной почты, язык и ключевые слова, а также использование определенных протоколов шифрования, таких как Signal, GnuPG, Tor и VPN. Но вряд ли HTTPS, потому что он стал слишком распространенным. В одной статье упоминалось, что АНБ была не рада более широкому использованию VPN для торрент-загрузки и потоковой передачи контента с гео-ограниченным содержанием, потому что их использование тратит ресурсы, которые они предпочли бы припасти для серьезной работы.
Но вот в чем дело. Даже если они сохранили все необходимое для деанонимизации кого-то там, то на самом деле это требует анализа и сопоставления данных из нескольких перехватов. Поэтому маловероятно, что они делают это регулярно для всей информации, которую они сохранили. Также и маловероятно, что они смогут долго хранить даже такую «отфильтрованную информацию». И поэтому они должны выбрать то, что собираются хранить в долгосрочной перспективе. Это снижает вероятность того, что они долго хранят достаточный объем информации, чтобы деанонимизировать кого-то, кто был не так уж и интересен.
Вот поэтому, если вы хотите постоянно оставаться полностью анонимным в Интернете, то вы не захотите казаться интересной личностью в глазах глобальных противников.
И если вы действительно хотите сделать что-то, что может привлечь их внимание или внимание других трехбуквенных (TLA) агентств (например, ФБР), которые могут получить их помощь, вам нужно быть особенно осторожным. Вы должны строго отделить эту деятельность от своей личности в реальной жизни.
Использование онлайн-персонажей не обеспечивает анонимности, только псевдонимность. Однако вы можете использовать несколько персонажей, которые тщательно отделены друг от друга, и использовать их по очереди. Но чем дольше вы используете персонаж, тем менее псевдонимным (и более опасным) он становится.
Разумеется, важно надежно скрыть ваш IP-адрес, предоставленный интернет-провайдером, не рассчитывая на благоразумие третьей стороны, например, поставщика VPN или даже Tor. Но анонимность в Интернете - это гораздо больше, чем анонимный доступ в Интернет.
Всевозможные государственные учреждения и поставщики услуг знают, кто мы. И многие идентификаторы связывают все аспекты нашей жизни, Интернета и за его пределами:
• паспорта и водительские права
• почтовые адреса и городские номера
• номера мобильных телефонов и адреса электронной почты
• банковские счета
• кредитные и дебетовые карты
• аккаунты в социальных сетях
А еще есть материал, которым мы делимся в социальных сетях (при условии их использования). Мы выражаем свои интересы и мнение. Кроме того, наши семьи и друзья знают нас как в Интернете, так и за его пределами. И большинство из них не заботятся об анонимности или даже о конфиденциальности.
Допустим, вы получили ящик, который позволяет вам выходить в Интернет анонимно, назло любому злоумышленнику. Если бы вы продолжали делать то, что делаете сейчас - если вы несерьезно относитесь к анонимности - вы, вероятно, останетесь анонимными (или даже псевдонимными) не более чем на несколько минут. Может быть, день или два, если вы будете проявлять осторожность. Однако на то, чтобы вас поймать, могут потребоваться годы. Например, бывшая знаменитость, один из лидеров хакерской группировки LulzSec, заявил о себе на IRC много лет назад, когда впервые учился взлому. Но это так бы и не стало достоянием общественности, пока он не разозлил парня, который сохранил журналы этих чатов.
Однако большинство людей на самом деле не стремятся к полной анонимности. Это ограничение для бОльших возможностей, чем просто для чтения. Но как только вы начнете что-то делать, очень сложно оставаться анонимным. Утомительно писать без единого стиля. У вас не может быть серьезных разговоров. После того, как вы где-то зарегистрировались, арендовали VPS или сервер, вы создали личность.
Так или иначе, остановимся на анонимных онлайн-персонажах и способах их использования.
4) Сперва защитите Uplink (восходящее соединение), скройте свое местоположение и IP-адрес
Три ключевых критерия:
ваши настройки должны быть эффективными и безопасными
они не должны привлекать внимание
правдоподобные легенды
Цитируем @thegrugq:
«В отличие от Tor, VPN создают нам отличную легенду, например, - «Я использовал его для просмотра видео на Hulu» - намного безобиднее, чем «Я лишь пытался купить наркотики в Интернете»
Это вовсе не означает, что вам не нужно использовать Tor. Просто местные злоумышленники не должны видеть, что вы используете Tor или I2P. И никто из них не должен знать, что у вас хоть когда-либо возникала мысль об использовании Freenet. Более того, даже если у вас отменная OPSEC, мы не рекомендуем использовать Freenet.
5) Разделение - ключ к анонимности в Интернете
Чтобы использовать анонимный онлайн-персонаж, вы должны четко отделить деятельность этого персонажа от остальной части вашей жизни. Любое совмещение создает связь. А при наличии тесной связи анонимность данного образа исчезает. Ясно, что вы не можете использовать одни и те же адреса электронной почты и онлайн-аккаунты. Опасно даже посещать одни и те же сайты, если они не пользуются большой популярностью. Например, Reddit можно, но не отдельные сабреддиты. Вас можно идентифицировать по языку, стилю письма и использованию сленга.
Опасно даже проявлять одни и те же интересы или выражать одни и те же мнения. Особенно, если они нестандартные. Наконец, что бы вы ни делали, не играйте с собой в виртуальные игры, потому что люди хорошо это распознают.
Также разумно отделить каждого онлайн-персонажа от других. Таким образом, если у одного персонажа возникнут проблемы, ущерб будет невелик. И поэтому может быть вполне достаточно прекратить им пользоваться. Но если информация о нескольких персонажах может быть связана, к вам может быть проявлен интерес, тем больше риск вашей полной деанонимизации. И даже если вы не сделали ничего подозрительного, есть вероятность, что после этого за вами будут наблюдать.
Например, предположим, что вы арендуете VPS и открываете сайт Tor .onion. Допустим, вы арендовали VPS и управляете им анонимно через Tor. Но вы хотите предоставить контактный адрес электронной почты или опубликовать в социальных сетях информацию о сайте или что-нибудь еще. Если этот персонаж можно связать с тем, который вы использовали для аренды VPS - по адресу электронной почты, Биткоин кошельку или чем-то еще, - этого может быть достаточно, чтобы злоумышленники идентифицировали VPS. Затем они могут взломать сайт, собрать данные о пользователях, взять их на прицел и так далее. И это может в конечном итоге привести их к вам, в реальный мир.
Также очень важно разделение операционных систем.
Мы в основном использовали для этих целей программу VirtualBox из-за ее простоты и достаточной безопасности. Нет сомнений в том, что система Qubes имеет лучшую защиту от атак, но, возможно, с не меньшей вероятностью подвержена пассивной утечке, чем VirtualBox, при правильной настройке. И гораздо сложнее для изучения.
Тем не менее, все подходы к виртуализации более или менее уязвимы для резкого перехода с виртуальных машин на хост-машины. И как только злоумышленники или вредоносные программы достигают хоста, терять уже нечего. Если это для вас значительный риск, вы можете использовать разделение аппаратного обеспечения. Вместо использования виртуальных машин на хост-машинах вы можете использовать несколько физических машин, например, Raspberry Pi. Вы также можете использовать несколько хост-машин и разделить виртуальные машины в зависимости от требуемого уровня изоляции.
6) Постоянно врать может оказаться трудным
Делиться в Интернете своей личной информацией с семьей или друзьями и коллегами из реального мира рискованно. Так же как и делиться событиями из жизни в реальном мире с теми, кто знает вас как анонимного онлайн-персонажа. И то, и другое опасно, потому что люди любят сплетничать. Так что вы можете заработать репутацию или даже подвергнуться доксингу (доксинг - поиск или открытая публикация персональной информации о человеке со злым умыслом).
По нашему опыту, самое сложное - лгать и хранить секреты. У всех нас есть секреты. И все мы лжем, по крайней мере, иногда. Но тогда было бы много секретов. И трудно удержаться от того, чтобы делиться тем, что нам нравится, с теми, кто нам близок. Храня секреты, мы можем чувствовать себя нечестными или даже предателями. Людей действительно может обидеть то, что мы недостаточно им доверяем. А еще мы иногда испытываем гордость и хотим признания.
Но это часть понимания того, почему хочется анонимности в Интернете. И вы можете хотя бы прямо сказать об этом в сети. А можете просто винить в этом свою OPSEC.
Однако в реальном мире это не работает, так как там вы хотите выглядеть человеком, который даже не знает, что такое OPSEC. Потому что это само по себе было бы провалом OPSEC. Но все же, вам нужна правдоподобная легенда, так как другие обязательно будут интересоваться, что вы делаете в Интернете.
7) Учетные записи электронной почты и веб-браузеры
В свое время, когда мы все еще использовали Windows, мы думали об ее блокировке, чтобы предотвратить постоянную регистрацию журналов и утечку данных в Microsoft. Мы даже установили дополнительную оперативную память и запускали файлы подкачки в Windows на RAM-дисках. Использовали правила маршрутизатора, чтобы система Windows не могла получить адреса для Microsoft и связанных с ней компаний.
Затем мы отказались от Windows и перешли на Linux, который по большей части уважает конфиденциальность пользователей. Поэтому больше не нужно было беспокоиться насчет Windows и Microsoft.
Но нас по-прежнему беспокоили использование защищенных сервисов электронной почты и защита браузеров от вредоносных кодов, файлов Cookie, снятия отпечатков пальцев и отслеживания. Мы использовали несколько почтовых провайдеров на базе Tor, которых сейчас уже нет (помимо Freedom Hosting и Freedom Hosting II). И, конечно же, никакого Gmail или Chrome. Также внесли небольшие изменения в Firefox и установили несколько дополнений. Что имеем на данный момент:
AdBlock Plus
browser.newtabpage.enhanced;false
browser.privatebrowsing.autostart;true
Canvas Defender
Disable WebRTC
dom.storage.enabled;false
dom.webnotifications.serviceworker.enabled;false
extensions.pocket.enabled;false
font.internaluseonly.changed;false
media.peerconnection.enabled;false
NoScript
noscript.forbidWebGL;true
privacy.sanitize.pending;[{“id”:”shutdown”,”itemsToClear”:[“cache”,”cookies”,”history ”,”formdata”,”downloads”,”sessions”],”options”:{}}]
Privacy Badger
Smart Referer
toolkit.telemetry.reportingpolicy.firstRun;false
Но затем мы серьезно занялись разделением активности в Интернете на несколько хост-машин и виртуальных машин, используя комбинации сервисов VPN и Tor. После этого, волнения по поводу предотвращения снятия отпечатков пальцев и отслеживания браузера исчезли. Мы все еще используем большую часть из того, что смогли узнать, но расширение uMatrix нас не заинтересовало.
Например, все, что делает Mirimir, взаимосвязано, и с этим нет проблем. У нас есть Gravitar, привязанный к адресу электронной почты. Если нужно сделать что-то, что не связано с Mirimir, то мы используем новый персонаж в другой виртуальной машине, которая выходит в Интернет через новую вложенную цепочку VPN и Tor. Это как раз то, что устраняет связанность материала, а не какой-то набор дополнений в Firefox.
У нас было, наверное, более 100 учетных записей электронной почты, и большинство из них удалено или брошено. Примерно 25 из них мы проверяем хотя бы иногда. Mirimir, конечно, использует Riseup, и мы их очень любим. В противном случае мы используем тех провайдеров электронной почты, которые ладят с Tor, например, Cockmail, Protonmail и Tutanota. Как многие признаются, Cockmail создает впечатление чего-то неприличного, и некоторых это может обидеть. Но они предлагают несколько имен хостов электронной почты, которые вполне безопасны и подходят для культурного общества (например, airmail.cc, tfwno.gf и firemail.cc).
8) Анонимность в реальной жизни не существует
По сути, конфиденциальность и анонимность в реальной жизни не существуют. Уж слишком много наблюдения:
физическая среда
обычная почта
голосовая связь и передача данных
финансовые операции
активность в социальных сетях
государственные информаторы
Нас окружают камеры и микрофоны:
камеры наблюдения
сканеры автомобильных номеров
электронные системы взимания платы за проезд
смартфоны и другие устройства
Во многих городах сейчас широко распространены камеры наблюдения за пешеходами. На улице сканируются номера транспортных средств, а также для сбора платы за проезд на шоссе и мостах. Камеры наблюдения есть во многих помещениях: на работе, в коммерческих учреждениях, а сейчас и во многих домах. Сканеры автомобильных номеров везде: над головой, на дронах, самолетах, дирижаблях и спутниках. И действительно, у большинства из нас смартфоны и другие устройства с камерами и микрофонами, которыми злоумышленники могут управлять удаленно.
Также ведется наблюдение за обычной почтой. Вся корреспонденция и посылки фотографируются, многие подвергаются просвечиванию рентгеновскими лучами. А международная почта подлежит полному физическому таможенному досмотру.
Вся голосовая связь и передача данных, скорее всего, контролируются АНБ, которое может передавать информацию в национальные ведомства (такие как DEA (Администрация по контролю за соблюдением законов о наркотиках), DHS (Департамент Национальной Безопасности), (ФБР), IRS (налоговое управление) и USCIS (служба гражданства и иммиграции) в рамках программы SOP. Финансовые операции также тщательно проверяются, учитывая опасения, связанные с отмыванием денег и уклонением от уплаты налогов.
А еще есть социальные сети, где люди размещают слишком много информации - как о себе, так и о своих товарищах. Кроме того, после 11 сентября государственные учреждения все чаще поощряют людей сообщать о подозрительном поведении, преступной деятельности и подозрениях в терроризме. Это стало похоже на послевоенную Восточную Германию, где, по утверждениям, около 1% населения были информаторами для тайной полиции (Штази).
Следовательно, у нас есть конфиденциальность только там, где мы контролируем физическую среду и можем устранить устройства наблюдения, а также не сообщаем другим, что мы делаем.
Но сидеть в бункере может наскучить.
Есть один вариант. Как это ни странно, но возможно только в Интернете мы можем общаться с другими и сделать что-либо конфиденциально и даже анонимно.
Для того чтобы быть в сети, нужно подключиться к какому-либо интернет-провайдеру. Но, по крайней мере, мы можем использовать службы VPN, чтобы скрыть контент и IP-адреса от интернет-провайдера и других местных злоумышленников. В некоторых странах использование неавторизованных VPN запрещено. Но в остальном это достаточно обычное явление, когда мы не хотим особого внимания.
И как только у вас будет безобидное VPN-соединение, можно маршрутизировать через него данные, что обеспечит более надежную конфиденциальность и анонимность.
Мы имеем в виду, что в реальной жизни нет ничего лучше анонимных сетей. Мы не можем постоянно прятаться от общества. Во многих местах это незаконно и в любом случае привлекает внимание.
Но даже это нас ограничивает. Допустим, нам повезло спекулировать криптовалютой или организовать какой-то анонимный онлайн-бизнес, и мы хотим, чтобы часть этих денег находилась в реальной жизни. Или, может быть, нам понадобится аккаунт в Twitter, и нам необходима SMS-верификация. ВОзможно, мы захотим купить что-нибудь на рынке Даркнет через Tor. Или купить какое-то оборудование в реальной жизни, чтобы затем использовать анонимно в Интернете.
Любое из вышеперечисленных действий может создать дополнительную связь между нашей анонимной онлайн-активностью и реальным миром, и это риск. Или, по крайней мере, нас могли бы определить как представляющие интерес личности и выполнить тщательную проверку нашего подключения к Интернету. И наоборот, если бы мы уже были взяты на прицел на основании нашего подключения к Интернету, это могло бы привести к усилению контроля над нашей физической и финансовой деятельностью.
Анонимный перевод денег
Также крайне важно оплачивать товары анонимно. Возможно, лучшим вариантом по-прежнему является анонимный Биткоин, потому что его практически везде принимают. Для начала вам понадобится кошелек. Рекомендуем использовать приложение Electrum Appimage в системе Whonix. У каждого персонажа должен быть свой кошелек, в собственном экземпляре Whonix.
Но сначала убедитесь, что вы загрузили Electrum Appimage именно с сайта electrum.org, а не с другого сайта, который может распространять вредоносное ПО. Также получите файл сигнатуры и открытый ключ GnuPG Томаса Воегтлина. Обычно все они находятся в /home/user/Downloads. Итак, откройте там терминал.
Сначала проверьте сигнатуру:
gpg --verify electrum-3.3.8-x86_64.AppImage.asc electrum-3.3.8-x86_64.AppImage
Вам должно отобразиться следующее:
gpg: Дат подписи Thu 11 Jul 2019 07:26:15 AM MST используя RSA ключ ID 7F9470E6
gpg: Подпись принадлежит "Thomas Voegtlin ( ) <[email protected]>"
gpg: aka "ThomasV <[email protected]>"
gpg: aka "Thomas Voegtlin <[email protected]>"
gpg: ПРЕДУПРЕЖДЕНИЕ: Данный ключ не заверен доверенной подписью!
gpg: Нет никаких указаний на то, что подпись принадлежит владельцу.
Отпечаток первичного ключа: 6694 D8DE 7BE8 EE56 31BE D950 2BD5 824B 7F94 70E6
Теперь убедитесь, что ключ GnuPG действительно принадлежит Томасу Воегтлину. Просмотрите его презентацию об Electrum в 2016 году и поставьте видео на паузу, когда на экране появится его отпечаток GnuPG. Вы увидите, что он соответствует «Отпечатку первичного ключа» в приведенных выше параметрах gpg:
6694 D8DE 7BE8 EE56 31BE
D950 2BD5 824B 7F94 70E6
Если вы планируете приобрести большое количество Биткоинов или другой криптовалюты, вы можете использовать аппаратные кошельки. На Биткоин-форуме есть ветка про них.
У каждого из наших персонажей есть собственный экземпляр Whonix с кошельком Electrum и Биткоин, который многократно смешивался с помощью различных сервисов. Таким образом, Биткоин в каждом из этих кошельков не связан с хранением Биткоинов в других кошельках. Кроме того, обычно в любой момент времени работает только один экземпляр Whonix. В любом случае, они достаточно изолированы друг от друга, и их не так легко найти. Хранить все это достаточно сложно, и нет необходимости усложнять аппаратные кошельки, которые постоянно нужно отслеживать и защищать.
В любом случае, учитывая рост повсеместного наблюдения, конфиденциальность в реальном мире практически невозможна. Таким образом, возможно, бессмысленно стремиться к значительной степени анонимности при покупке Биткоинов. И в любом случае вы можете анонимизировать Биткоин после покупки. Но даже в этом случае сложно покупать на биржах, учитывая требования правительства к отчетности.
Однако с помощью LocalBitcoins легко найти торговцев Биткоинами (продавцов и покупателей) в вашей стране. Вы можете проверить их репутацию, и есть служба условного депонирования для снижения риска мошенничества. Интересные способы оплаты включают:
Другой денежный депозит: лично, наличными в общественных местах.
Наличные [депозит] в банкомате
Денежный депозит: [банк]
Денежный депозит: банковский депозит / лично
Другой (более рискованный) вариант поиска частных продавцов - это Bitcoin Forum /…/ Обмен валюты. А еще есть чат на основе IRC-протокола Bitcoin-otc для ведения переговоров о сделках, касающихся Биткоина, других криптовалют, наличных денег и т.д.
Но с другой стороны, Биткоин по своему характеру не является анонимным. Однако вы можете смешивать несколько раз через Tor, используя разные сервисы смешивания. Следующие микшеры работали в январе 2020 года. Но никогда не смешивайте за один раз больше, чем вы можете потерять. Даже если микшер работает с несколькими mBTC, нет гарантии, что он не украдет несколько сотен mBTC. По крайней мере, иногда.
BitCloak: Tor (5 подтверждений перед смешиванием)
Bitcoin Fog: Tor, Twitter (требует аккаунт; 6 подтверждений для депозитов; моментальный вывод)
Blender: clearnet, Tor (3 подтверждения перед смешиванием)
CryptoMixer: clearnet, Tor (0-1 подтверждений перед смешиванием)
Не доверяйте другим URL-адресам, пока вышеперечисленные нами сервисы работают. Bitcoin Fog - самый старый из работающих микшеров. Он смешал Биткоины как минимум с двух крупных краж, и, очевидно, успешно справился с этим. Некоторые утверждали, что он ворует или, по крайней мере, ненадежен. Однако пару лет назад у нас была только одна задержка депозита, но она была решена в течение двух дней.
Bitmixer закрылся в конце 2017 года, а BestMixer арестован полицией в конце 2019 года. GhostMixer был приобретен BitWhisk в конце 2019 года, но эта информация не проверена. Также не проверялся и Grams Helix. Он был украден в 2018 году, но сейчас вроде все в порядке.
Другой вариант - обмен через предполагаемую анонимную валюту Etherium. Хотя экосистема Etherium в значительной степени ориентирована на смартфоны, существуют также браузерные кошельки. Однако сохраняется значительная зависимость от Chrome.
Анонимная SMS-аутентификация
Онлайн-аккаунты все чаще и чаще требуют номера мобильных телефонов для подтверждения личности, особенно если вы пользуетесь VPN сервисами или Tor. А смартфоны – это кошмар для конфиденциальности/анонимности. Таким образом, использование его в целях аутентификации может уничтожить вашу анонимность.
У некоторых провайдеров работают виртуальные SMS-сервисы. Использовать бесплатные сервисы опасно, поскольку сообщения общедоступны. Но по нашему опыту, для Twitter не работают даже платные сервисы. Существуют также услуги по аренде SIM-карты, но обычно SIM-карта и страна аккаунта должны совпадать.
Кажется, ничего из этого не работает в Google и, как правило, при использовании Tor. В итоге мы купили адреса и аккаунты Gmail на /r/BitMarket. Хорошие продавцы также предоставляют дополнительные адреса электронной почты на случай блокировки учетной записи. Но нельзя быть уверенным, что продавцы не смогут забрать обратно аккаунты, поэтому неразумно рисковать действительно важными вещами.
Однако вы можете просто использовать свой смартфон, если вы его обезопасили и сделали входящее Интернет-соединение анонимным.
Анонимное получение посылок с торговых площадок Даркнет
Торговые площадки Даркнет достаточно анонимны. Но для получения товаров требуется адрес доставки.
Из недавнего научного обсуждения:
«Участники анонимной торговой площадки Silk Road не считали себя застрахованными от риска обнаружения и ареста, но в то же время и не мирились с ним. Теоретики рациональных решений считают, что противоправные решения ограничиваются ограниченным доступом к соответствующей информации. Криптовалютные рынки как сообщества совместного использования «незаконного капитала» обеспечивают расширенный и недорогой доступ к информации, позволяя обитателям рынка наркотиков делать более точные оценки риска задержания. Обилие информации о рынке наркотиков, доступной сторонникам закона, может способствовать ускорению инноваций на нелегальных рынках наркотиков, а также разработке ответных мер правоохранительных органов».
Так что действительно, площадки Даркнет еще являются и лучшим источником информации о шпионаже.
Использование легитимных служб почтовой доставки ненадежно. Основной подход - просто не привлекать внимания. Продавцы используют маскирующую упаковку, чтобы смешать и скрыть запахи от собак, а покупатели оценивают их по применяемым ими методам. Продавцы рекомендуют покупателям использовать настоящие имена, так как вымышленные привлекают внимание. То есть почтовые ведомства регистрируют информацию о том, кто получает почту по каждому конкретному адресу. Это довольно страшно.
Чтобы остаться анонимным, вы должны привлечь посредника. А именно прокси. Один из распространенных вариантов - отправить вещь другому человеку и забрать ее раньше, чем он сделает это. Возможно, кто-то находится в отпуске, но не прекращает доставку почты. Или тот, кто просто не проверяет почту оперативно. Может быть, даже недавно освободившаяся квартира или дом, куда все еще приходит почта.
Тем не менее, остается риск, что следователи обнаружат посылку и будут наблюдать за ее движением и доставкой. И, тем не менее, существует повсеместная слежка. Возможно, можно просто заплатить кому-нибудь, чтобы он забрал вашу посылку, а потом встретиться в нейтральном месте. Или вы можете просто заплатить кому-нибудь за получение почты или арендовать почтовый ящик. Однако и это уязвимо для наблюдения. В любом случае им нужно доверять. А если их припрут к стенке, они, скорее всего, вас просто бросят.
Другая опция – Dead Drops (анонимная, одноранговая, файлообменная оффлайн сеть со свободным доступом, накопитель с возможностью записи и возможностью работы без использования какого-либо стороннего софта). Это стандартная практика шпионов. И теперь это намного проще, учитывая геокешинг на основе GNSS/GIS. И, возможно, даже дроны. Вы можете найти торговую площадку в Даркнет или поставщика, который предлагает эту опцию, или, возможно, группу, которая предлагает услугу. Или просто установите Dead Drops, чтобы оградить себя от посредника.
В любом случае, рекомендуем почитать статьи на opaque.link и Bitcoin News. Для более серьезных целей - Drop Zone. Это анонимная местная торговая P2P площадка контрабанды, функционирующая в тестовой сети Биткоин.
Анонимная покупка товаров в реальном мире
Анонимная покупка товаров в реальном мире также ограничивается из-за повсеместной слежки. Конечно, мы можем ездить в магазины, которые находятся далеко, и платить наличными. И можем выключить телефоны и положить их в сумки Фарадея (при пошиве этих сумок используется ткань, прошитая огромным количеством медных нитей. Это и сумки, маленькие мешочки, кошельки, чехлы для паспорта и, теоретически, все что угодно. Патентованная медная ткань блокирует передачу сигнала с метки в частотном диапазоне от 10MHz до 20GHz, в то время как большинство «умных» карт передает сигнал на 13MHz и 15MHz.).
Но при наличии повсюду камер (даже над головой) и сканеров автомобильных номеров, скорее всего, будут вестись записи. И в любом случае во всех магазинах есть камеры видеонаблюдения для предотвращения рисков кражи и ограбления.
Обычно альтернативой является онлайн-покупка кредитной картой. И это гораздо хуже.
9) Анонимные сайты Tor .Onion
Подведем итоги:
Локальный хостинг - это очень простая и конфиденциальная, но при этом очень опасная вещь. Если злоумышленникам удается обнаружить местонахождение вашего сайта, будет также обнаружено и ваше.
Избегайте виртуального хостинга на .onion. Он прост, но очень уязвим. Почитайте про Freedom Hosting и Freedom Hosting II.
Несмотря на более низкий уровень конфиденциальности, хостинг на анонимно арендованном удаленном сервере VPS достаточно прост, и вы можете оставаться анонимным даже при обнаружении местоположения.
Хостинг на анонимно арендованных удаленных выделенных серверах с полным шифрованием диска - самый безопасный вариант. Но дорогой.
