Здравствуйте, уважаемые читатели! В этой статье я собрал основные принципы цифровой гигиены. Эта информация будет полезна всем, кто ценит свободу, любит хранить секреты или занимается сомнительными делами.

Ключевые понятия

Конфиденциальность - возможность контролировать, кто имеет доступ к вашей информации. Например: шифрование переписки.

Анонимность - невозможность идентифицировать вас на основе ваших действий или данных. Например: использование Tor.

Правдоподобное отрицание - способность отрицать причастность к чему-либо или знание о чем-либо так, чтобы это звучало правдоподобно. Пример: вы зашифровали свои сообщения (с автоматическим уничтожением) и использовали Tor.

Безопасность - когда ничто из того, что вы используете, не было скомпрометировано.

0day - уязвимость, позволяющая получить несанкционированный доступ.

Централизация - когда всё привязано к одной компании.

Федерализация - когда всё в основном привязано к одной компании, но есть также небольшие независимые группы.

Децентрализация - когда есть много независимых лиц.

Что такое «поверхность атаки»?

Ваша «поверхность атаки» - это мишень, в которую злоумышленник бросает дротики.

• Конфиденциальность заключается в том, чтобы сделать эту мишень как можно меньше,
• анонимность - в том, чтобы скрыть мишень среди как можно большего числа других мишеней,
• а возможность отрицания - в том, чтобы злоумышленник не смог доказать существование этой мишени.

Представьте себе ситуацию, в которой вы учите друга пользоваться Monero, а мы находимся в будущем, где такое действие считается незаконным. Что понадобится правоохранительным органам, чтобы арестовать вас за это?

Разделение использования Интернета

Важно правильно разделять свои действия. Никакая технология не защитит вас, если вы не разделите свою работу и личную жизнь. Вы не должны заходить в свои публичные аккаунты в социальных сетях с чувствительной системы, равно как и заходить на форум с публичной системы.

Типы использования - существуют публичные, частные, анонимные и чувствительные.

Управление идентичностью - разделение идентичностей для разных веб-ресурсов.

Настройка ОС

Чтобы проще разделять виды деятельности, лучше всего использовать отдельное устройство с виртуальными машинами (по одному для каждого вида деятельности). Однако приведенная ниже конфигурация подходит для любого бюджета.

В QubesOS все это уже настроено за вас, но для долгосрочного использования это не так удобно и гибко. Здесь нет очистки ОЗУ или одноразового режима. Сами разработчики заявляют, что система оптимизирована для безопасности, а не для анонимности.

Выбор оборудования

К сожалению, на данный момент практически все компоненты любого устройства являются проприетарными, а это означает, что мы не можем прозрачно увидеть, как на самом деле работают порт HDMI, материнская плата, SSD, процессор, микрофон и т. д. Но вот несколько общих советов о том, как максимально эффективно использовать то, что доступно в настоящее время.

HSI - Host Security ID (Идентификатор безопасности хоста). Это удобный рейтинг безопасности, который fwupd присваивает вашей системе, где 3 - это уже нормальный уровень защиты, а 5 - на данный момент недостижимый. Он учитывает наиболее важные факторы, такие как:

• Secure Boot
• TPM
• Защита SPI
• Проверка режима отладки
• Возможность отката прошивки
• Подробные сведения о работе ОЗУ
• Безопасность ядра

В настоящее время существует 3 архитектуры:

• AMD (частично закрытый исходный код)
• Intel (закрытый исходный код)
• RISC-V (открытый исходный код)

Вы можете собрать ноутбук или ПК на базе любой из них. В любом случае вам придётся использовать компоненты с закрытым исходным кодом, что не идеально, так как в них постоянно обнаруживаются уязвимости, которые, как правило, не исправляются.

BIOS / UEFI - доступен Coreboot, который позволяет сделать программное обеспечение вашего устройства более открытым. Проверьте, какие материнские платы поддерживаются, и по возможности выбирайте именно их.

Сетевой адаптер - лучше всего покупать что-нибудь из семейства Atheros. Многие из них могут работать сразу после установки с свободными драйверами для Linux. Для некоторых конфигураций лучше простое LAN-соединение.

Вам следует избавиться от:

• микрофона
• веб-камеры
• звуковой карты
• Bluetooth.

Что касается мыши и клавиатуры, используйте проводные и самые простые из доступных моделей.

IoT - умные устройства упрощают нашу жизнь, но при этом делают нас более уязвимыми. Сети постоянно взаимодействуют и анализируют данные. По возможности следует свести к минимуму количество устройств, собирающих данные о вас; например, Alexa постоянно записывает и анализирует ваши слова, точно так же, как и ваши телефоны. Умные часы передают информацию о вашем местоположении, частоте пульса, сне и уровне активности. Наушники передают ваши геолокационные данные и время прослушивания. И вам даже не нужно быть подключенным к сети, чтобы ваша личность была раскрыта; некоторые умные устройства просто имеют уникальный отпечаток, а окружающие сети регистрируют их перемещения.

Устройство можно считать рискованным, если оно имеет что-либо из перечисленного ниже:

• GPS
• Микрофон
• Камера
• Bluetooth
• Wi-Fi
• Сотовый модем
• Синхронизация с облаком
• Сопутствующее приложение для телефона
• Датчики движения
• Датчики здоровья

Сеть

OpenWrt роутер - Интернет-провайдерам гораздо проще отслеживать трафик, анализируя его через модем, предоставленный вам. Чтобы этого избежать, мы настраиваем собственный маршрутизатор, чтобы получить контроль над участком между их сетью и нашей локальной сетью. Это поможет предотвратить отслеживание провайдером, по крайней мере, следующих данных:

• MAC-адрес каждого устройства в локальной сети
• Имена устройств
• Количество подключений и отключений
• Какой MAC-адрес соответствует какому IP-адресу в локальной сети

Здесь вы можете увидеть список устройств, поддерживаемых этим свободным ПО: https://openwrt.org/supported_devices После установки подключите его к вашему роутеру через LAN и просмотрите настройки. Я не рекомендую включать SSH. Обратите особое внимание на вкладку Zones (https://openwrt.org/docs/guide-user/firewall/start)

Tor заблокирован в некоторых странах, и если у нас нет возможности анонимно подключиться к Интернету (например, через спутник), необходимо использовать v2ray. Установите на своё устройство один из следующих клиентов:

• Android - v2rayNG, Nekobox
• Linux - Nekoray, v2rayN, v2rayA, Furious
• Windows - HiddifyN, v2rayN

Приобретите VPS, оплатив его XMR через анонимный адрес электронной почты. Список таких сервисов можно найти на сайте Kycnot.me.

Установите на сервере одну из следующих панелей управления:

• 3x-ui
• Marzban
• Hiddify Manager
• Remnawave
• S-UI

Но если трафик будет большим, это быстро заметят. Поэтому используют такие методы, как Domain Fronting. Для этого можно зарегистрировать бесплатную учетную запись на Fastly, создать новый CDN-сервис, отключить в нем TLS и включить WebSockets. Создайте фрагмент VCL:

if (req.http.Upgrade) {
return (upgrade);
}

Установите соединение.

DNS - используется для преобразования доменных имен в IP-адреса. Это устаревший протокол, не поддерживающий шифрование, что позволяет третьим лицам (например, интернет-провайдерам) отслеживать ваши DNS-запросы и, при желании, перехватывать их. Вот три решения этой проблемы:

• DoH - DNS over HTTPS (для следящего выглядит как обычный HTTPS-трафик)
• DNSCrypt (выглядит странно для шпиона)
• DoT - DNS over Tor (DNS проходит через Tor; выходной узел видит запросы)

Программное обеспечение

Старайтесь использовать только приложения с открытым исходным кодом. Также рекомендую самостоятельно компилировать каждое приложение. На GitHub к 99 % популярных приложений прилагаются простые инструкции, как легко собрать их самостоятельно. Таким образом, вы защитите себя от готовых бинарных файлов, которые могут содержать шпионское ПО. На этом сайте вы можете проверить, насколько анонимны ваши приложения - spywareitdaiuyfo2sqb5vsg7mek5cjabdr73luhnda57t2hyuzg7yyd.onion

Проверяем целостность файла, чтобы убедиться, что он не был повреждён или подделан во время передачи.

grep -F 'ubuntu.iso' SHA256SUMS.txt | sha256sum -c -

Проверьте подлинность файла, чтобы убедиться в его подлинности. (Проверка подписи)

Передача файлов

Небольшие файлы передаются с помощью OnionShare Крупные файлы передаются через Syncthing Оба приложения интуитивно понятны и широко используются.

Как хранить пароли

Для каждого сервиса следует использовать уникальные длинные пароли, поскольку в случае взлома одного сайта хакер узнает ваш пароль и сможет с помощью метода перебора получить доступ к вашим другим учетным записям. Запомнить все свои пароли невозможно, поэтому лучше всего использовать единый менеджер паролей и хранить все свои пароли в приложении с открытым исходным кодом KeePass:

• Используйте разные пароли для каждой учетной записи, желательно разной длины (это важно для сохранения анонимности).
• Создайте отдельный файл Keepass для каждой виртуальной машины
• Тщательно ознакомьтесь с функциями приложения и постарайтесь сделать его максимально безопасным.

Почему телефонные номера несовместимы с анонимностью

Правоохранительные органы имеют доступ к полной истории местоположений любой SIM-карты - как прошлым, так и настоящим - с точностью до нескольких метров. Единственный способ анонимно использовать SIM-карту - воспользоваться услугами SaaS-провайдера, который не требует KYC-верификации и принимает оплату в Monero.

Связь

Чаты - Исходя из информации, которую мы собрали к этому моменту, мы понимаем, что нам необходимо использовать Tor и шифровать наши сообщения. Мы выбираем способ связи в зависимости от конкретной задачи. Для многих задач Simplex на данный момент является самым простым вариантом. Это полностью открытый проект с открытым исходным кодом, вы можете настроить собственный сервер, сообщения шифруются по протоколу E2EE, есть возможность отключить ведение журнала чата, а для регистрации не требуется предоставлять личные данные. Хорошие варианты:

• Jabber
• Tox (собеседник может увидеть ваш IP)

Не доверяйте шифрованию на стороне сервера - для таких случаев существует простой метод шифрования PGP. Чтобы воспользоваться им, вам нужно поделиться своим публичным ключом с собеседником; он отправляет вам сообщение, зашифрованное этим ключом, и теперь только вы можете его расшифровать, в то время как сервер увидит лишь зашифрованный текст.

Приложения с графическим интерфейсом:

• Kleopatra
• Seahorse (Passwords and Keys)
• GpgFrontend

Стилометрия - анализ стиля письма с целью установления личности автора. Как снизить риски:

• Вносите разнообразие в стиль письма, структуру предложений и лексику или используйте локальный LLM для переработки сообщений перед отправкой.
• Старайтесь не использовать характерные особенности пунктуации или орфографии.
• Используйте инструменты для перефразирования или ИИ-помощников, чтобы разнообразить свой стиль письма.

Метаданные

Основные характеристики метаданных:

• Кто (номер, адрес электронной почты, пароль, имя пользователя, IP-адрес)
• Когда (время суток, продолжительность сеанса)
• Где (геолокация, IP-адрес)
• Как (ОС, версия приложения, тип устройства)
• Размер (длина сообщения, файлы)

Независимо от того, какими инструментами вы пользуетесь, различные стороны будут собирать данные о вашей сетевой активности. Все интернет-данные отправляются пакетами. Ваш интернет-провайдер может видеть размер, время и адрес назначения каждого пакета, даже если данные зашифрованы. У каждого веб-сайта есть уникальный паттерн пакетов, отправляемых туда и обратно, который можно идентифицировать с помощью искусственного интеллекта. Это означает, что даже если данные зашифрованы, они могут с высокой степенью точности определить, какие сайты вы посещали и когда. Чтобы противостоять этому, вам нужно комбинировать различные методы анонимизации трафика.

Сотовые вышки предоставляют точную информацию о том, кто, когда и откуда совершал каждый звонок. В отличие от сетей или других платформ, личность каждого подключенного телефона известна, а его местоположение можно определить с помощью триангуляции через сотовые вышки. Этих метаданных достаточно для полной деанонимизации и отслеживания большинства действий. Проще говоря, анонимность несовместима с сотовыми вышками, и их следует полностью избегать.

Отпечатки - для взаимодействия с веб-сайтами ваш браузер предоставляет определенные данные, которые являются уникальными и позволяют идентифицировать вас. Вы можете увидеть примеры своих данных на этих сайтах: deviceinfo.me, coveryourtracks.eff.org, tb-fingerprinting.tiiny.site. Вот почему вам следует использовать браузер Tor или Librewolf, поскольку они делают многие из этих индикаторов одинаковыми, но вам все равно нужно варьировать свою активность, чтобы запутать след.

Данные файлов - Все файлы имеют метаданные, но некоторые из них хранят важную информацию, такую как документы или изображения. Чтобы бороться с этим, вам нужно использовать утилиту exiftool.

Данные изображений - Помимо данных EXIF, изображения могут раскрыть вашу личность следующими способами:

• по теням, позволяющим определить время суток (bellingcat.com/resources/2021/05/18/unsure-when-a-video-or-photo-was-taken-how-to-tell-by-measuring-the-length-of-shadows)
• перспектива для определения расстояния (bellingcat.com/resources/2023/09/07/measuring-up-how-to-calculate-the-size-of-objects-in-open-source-material)
• метод перебора после сужения области поиска (youtube.com/watch?v=cMsaj4SSwCw)
• Изучение природного окружения или других деталей для определения местоположения
• Использование уже известных сведений, таких как часовые пояса или регионы
• Геопространственный анализ, как с помощью искусственного интеллекта, так и вручную. По сути, почти каждое место имеет отличительные черты, и большинство изображений можно отследить почти до самого источника. Безопаснее всего не публиковать изображения во время занятий, критичных с точки зрения анонимности.

Расписание - ваши две личности могут быть связаны на основе совпадающих временных интервалов активности. Это относится к сообщениям на форумах, входам в учетные записи, коммитам в Git, твитам и любой форме взаимодействия. Используя все эти собранные метаданные, ваше расписание можно сопоставить с анонимной личностью.

Текст - Наш письменный и устный язык уникален и часто раскрывает информацию о нас. Кто вы, ваши интересы и навыки, и даже контент, который вы потребляете - всё это можно определить по вашему языку и интерпретировать с помощью стилометрии (статистического анализа письменного языка). В частности, то, как мы говорим и пишем - например, выбор слов, сленг, грамматика, ссылки, речевые паттерны и многое другое - всё это раскрывает информацию.

Рассмотрим несколько примеров:

• Если в ваших сообщениях на форумах используется определенный сленг, злоумышленник может примерно оценить ваш возраст, что может составить 2–3 бита информации.
• Если ваши тексты неизменно носят высокотехнический характер и содержат ссылки и формулировки, характерные для определенной области, злоумышленник может примерно угадать вашу профессию, уровень знаний и навыков, что может составить более 10 бит информации.
• Метафоры, выбор слов или использование нескольких языков могут раскрыть вашу этническую принадлежность, местонахождение или прочитанный вами контент.

Внешность - Ваши физические характеристики являются уникальными и могут быть использованы злоумышленником в зависимости от имеющейся у него информации. Если злоумышленник знает, как вы выглядите, в каком регионе или городе вы живете, он может применить методы перебора для вашей идентификации, в зависимости от имеющихся у него ресурсов. Например, найти человека гораздо проще, если известны его рост и цвет волос, а также основная информация о нем. Обычно утечка информации происходит только через письменные или устные сообщения, и этого можно избежать, не обсуждая и не упоминая физические характеристики.

Социальный профиль - информация о том, с кем вы взаимодействуете - является одним из наиболее часто собираемых элементов поведенческих метаданных злоумышленниками и чрезвычайно полезен. От журналов вызовов сотовых вышек до IP-адресов - информация о том, кто с кем общался, постоянно сохраняется. Даже большинство мессенджеров, несмотря на использование шифрования, допускают утечку метаданных о том, кто с кем общается. Когда злоумышленник узнает, с кем вы связаны, вся информация об этом человеке становится актуальной для построения вашего профиля. Вот простой пример: Увидев, что вы ранее публично общались с Алисой, злоумышленник начинает расследование в отношении нее. Он находит публичный форум, а затем ваш аккаунт с тем же анонимным именем пользователя на этом форуме, что дает ему дополнительные данные (ваши сообщения на форуме) для деанонимизации.

Финансы

Основная цель криптовалюты - заменить фиатную валюту.

Monero - это по-настоящему анонимная криптовалюта, в отличие от многих других. Скрытые адреса Monero автоматически генерируют одноразовые адреса для каждой транзакции, что делает невозможным отслеживание истории транзакций кошелька. Кольцевые подписи создают группу криптографических подписей, в которую входит как минимум один реальный участник, но нет возможности идентифицировать фактического отправителя. Технология RingCT скрывает сумму, потраченную в каждой транзакции. Поскольку отследить детали транзакций Monero невозможно, один Monero фактически равен другому и является полностью взаимозаменяемым.

Биржи DEX - не доверяйте свои данные сомнительным операторам и не проходите процедуру KYC на централизованных биржах. В настоящее время существует платформа Haveno - платформа с открытым исходным кодом, предназначенная для обмена Monero на фиатные валюты (такие как USD, EUR и GBP) или другие криптовалюты (например, BTC, ETH и BCH). Используйте на свой страх и риск

Cамостоятельный хостинг

Если вы разработчик или у вас есть разработчики, вам следует отказаться от Github и Gitlab, поскольку они не заинтересованы в вашей конфиденциальности или анонимности. Хорошим вариантом с открытым исходным кодом является Forgejo.

Отрицаемость

Вы должны использовать систему в режиме Live, иначе все журналы вашей активности сохраняются на вашем жестком диске, которые можно проанализировать в любое время. С оперативной памятью все сложнее, особенно если она зашифрована.

Где хранить Monero - в официальном приложении и использовать только при подключении к доверенному узлу (вашему собственному). Сид-фразу можно хранить например в Keepass на чувствительной виртуальной машине. В других кошельках храните не более $9999, иначе полиция может законно украсть их у вас.

Скрытие данных в изображениях - для этого можно использовать приложение steghide. Изображение должно быть в 20 раз больше, чем скрываемый файл.

Скрытие файла:

steghide embed -cf _coverfile_ -ef _embedfile_ -sf _destination_

Чтение файла:

steghide embed -sf _input_

Примечания:

• Используйте сложные пароли
• Используйте уникальные изображения
• Избегайте изображений с мелкими деталями.
• Избегайте любых изменений файлов, иначе данные будут потеряны.

Скрытие архивов в видео - можно выполнить с помощью zulucrypt-gui. Преимущество этого метода заключается в том, что вы можете опровергнуть существование архива, если никто не сможет найти оригинал.

Высокая доступность - Если у вас есть сервис, он должен работать круглосуточно. Когда злоумышленник хочет получить информацию, например, о физическом местоположении скрытого сервиса, он будет использовать простои как индикатор, чтобы постепенно сузить круг потенциальных местоположений, пока не сможет предпринять решительные действия против оставшихся подозреваемых.

Отключение электроэнергии - Злоумышленник может поручить вашему поставщику электроэнергии временно отключить электроснабжение, чтобы проверить, сможет ли он отключить определенный веб-сайт или человека. Ваш скрытый сервис, работающий дома, должен быть доступен даже без подключения к основной электросети с помощью генератора.

Поддержка сообщества

Запустите узел Tor бесплатно, тем самым способствуя децентрализации сети Tor. Избегайте запуска узлов Tor в Германии или Нидерландах, поскольку там их непропорционально много.

Майните Monero - таким образом вы защищаете валюту от атак 51% и получаете комиссию. Вы можете запустить его на любом устройстве с процессором.

Разместите Simplex серверы, настроив их для работы исключительно с сетью Onion. Это повысит вашу безопасность и позволит вам общаться с другими пользователями.

Спасибо за прочтение статьи. Вероятно, вы узнали что-то новое и полезное.