--2022.4.8
Welcome.
本指南旨在提供对多种在线追踪技术,在线身份验证技术的介绍,以及创建并维护网络匿名身份的详细指导.
是为活动家,记者,科学家,律师,举报者以及在任何地方都受到压迫,审查,骚扰的好人而写.
本指南是一个开源的非营利性计划,根据 Creative Commons Attribution-NonCommercial 4.0 International(cc-by-nc-4.0),不受任何商业/政府机构赞助/认可.这意味着你可以免费将本指南用于除了商业用途外的任何目的.
如果你想要捐助此项目,点击此链接,该页面还包含此项目的目标.所有的捐款将在本项目的范围内严格使用.所有的捐赠和支出被记录在捐款页面上.
网络匿名指南
(或者”关于我如何开始担心并且爱上 隐私 匿名”)
Version 1.1.3, January 2022 by Anonymous Planet.
本指南还在完善中.虽然我已尽我所能去纠正问题和错误,以及提升内容质量,总体结构和阅读性,但该指南很可能永远不会”完成”.
鉴于没有人全知全能,以及人们总是犯错误,所以本指南中可能会有一些错误和过时的信息.请不要把这篇指南当作绝对的信仰或真理,因为它不是.本指南中在早期版本被写下的错误会在被发现后修正.但可能此时此刻仍有些错误存在(希望很少),不过被发现后会立刻纠正.
这篇指南已经被转移过,由于最近发生的一些事情(Ukraine).旧的指南在anonymousplanet.org,但是已经被移动到了https://anonymousplanet-ng.org.
你的体验可能有所不同,记得经常检查本指南的新版本.
随时使用Github Issues提交问题(请报告任何错误):gayhub
在这里讨论你的想法:
Github Discussions 聊天室的规则 MatrixElement Room
Matrix Space regrouping several rooms with similar interests
在这里关注我:
如果想联系我,请关注网站上更新的信息或者发邮件 contact@anonymousplanet-ng.org
如果你喜欢这个项目并且想支持托管费或提供资金给Tor出口节点之类的计划,请考虑捐赠.
有多种方法阅读这篇指南:
- 你想要理解网络隐私和匿名的现状,不过不想了解具体的技术细节只需要阅读Introduction,Requirements Understanding some basics of how some information … 以及 A final editorial note 部分
- 在第一条的基础上,你还想知道如何移除一些网络上关于你的信息,那么额外阅读一下这部分内容: Removing some traces of your identities on search engines and various platforms
- 在第二条的基础上,你还想安全可靠的创建网络匿名身份:阅读整个指南
阅读本指南时访问各种外部链接的注意事项:
- 旁边有一个
[Archive.org]链接的 文档/文件,用于通过Archive.org访问内容,以增加隐私和防止内容丢失.一些在archive.org上的链接尚未存档或已经过期,在这种情况下,我建议你在可能的情况下请求新的保存 YouTube视频旁边有一个Invidious链接,用于通过一个 invidious 实例获取内容(本例中是托管在荷兰的yewtu.be),以增强隐私.建议尽可能使用这些链接.查看gayhub[Archive.org]以获取更多信息Twitter链接旁边有一个[Nitter]链接,通过 Nitter 实例获取内容(本例中是nitter.net)以增强隐私.建议尽可能使用这些链接.查看gayhub[Archive.org]以获取更多信息wikipedia链接旁边有一个[wikiless]链接,通过 wikiless 实例(本例中是 Wikiless.org)访问内容,以增强隐私.建议尽可能的使用这些链接.查看wikiless[Archive.org]以获取更多信息Medium链接旁边有一个[Scribe.rip]链接,通过 Scribe.rip 实例访问内容,以增强隐私.建议尽可能的使用这些链接.查看scribe.rip[archive.org]以获取更多信息- 如果你以PDF或ODT的格式阅读本指南,你会注意到大量 ``` 代替双引号 “”.这些三引号用来将内容转换成 markdown/html 格式的代码块
如果你不想麻烦并且使用下列浏览器之一,只需要下载扩展:privacy-redirect[archive.org]
- Firefox:https://addons.mozilla.org/en-US/firefox/addon/privacy-redirect
- 基于Chromium的浏览器(Chrome,Brave,Edge):privacy-redirect[archive.org]
如果你因为付费的原因难以获取本指南引用的任意一篇学术文章,请随意使用Sci-Hub(wiki[wikiless][archive.org])或者LibGen(https://en.wikipedia.org/wiki/Library_Genesis [wikiless])寻找并阅读它们.因为科学应该是免费的.此外,如果你遇到了资源付费的问题,考虑使用https://12ft.io.
最后请注意本指南确实提及甚至推荐各类商业服务(比如 VPNs,CNDs,e-mail providers,hosting providers…),但是没有被其中的任何人以任何方式认可或赞助,没有任意服务提供者的推荐链接,也没有商业联系.本项目 100% 无利润并且只依靠捐款.
目录
- 前提条件以及限制
- 介绍
- 一些基础知识:信息是如何追溯到你的,以及如何防范
- 一般性准备
- 选择你的路线
- 适用于所有路线的步骤
- 洋葱浏览器路线
- Tails路线
- 适用于其他路线的步骤
- [为敏感活动准备一个备用笔记本]
- [一些推荐的笔记本]
- [BIOS/UEFI/固件设置]
- [物理修改来保护你的笔记本]
- Whonix路线
- [选择你的宿主系统(笔记本安装的系统)]
- [Linux宿主系统]
- [Mac宿主系统]
- [Windows宿主系统]
- [宿主系统上的Virtualbox]
- [选择你的连接方式]
- [获取匿名VPN/Proxy]
- [Whonix]
- [在VPN之上的Tor]
- [Whonix虚拟机]
- [选择访客工作站虚拟机]
- [Linux虚拟机(Whonix或者Linux)]
- [Win10虚拟机]
- [安卓虚拟机]
- [mac虚拟机]
- [KeePassXC]
- [安装VPN客户端(用现金/门罗币支付)]
- [(可选)当切断主机的时候只允许虚拟机访问网络以避免任何泄露]
- [最后步骤]
- Qubes路线
- [选择连接方式]
- [获取匿名VPN/Proxy]
- [注意事后推卸责任的可能性]
- [安装]
- [合上盖子的行为]
- [连接到公开wifi]
- [升级Quebes系统]
- [把Whonix从版本15升级到16]
- [设置VPN ProxyVM]
- [在Quebes系统里设置一个安全的浏览器(可选,但是推荐这样做)]
- [设置一个安卓虚拟机]
- [KeepPassXC]
- [创建网络匿名身份]
- Understanding the methods used to prevent anonymity and verify identity
- Captchas
- …
- Getting Online
- 创建新的身份
- Understanding the methods used to prevent anonymity and verify identity
- Backing up your work securely
- …
- Covering your tracks
- …
- Some low-tech old-school tricks
- …
- Some last OPSEC thoughts
- If you think you got burned
- …
- A small final editorial note
- …
- 附录:
- 附录A:安装windows
- 安装
- 隐私设置
- 附录B:Windows的附加隐私设置
- 附录G:宿主系统上的安全浏览器
- 附录M:用于抹除各种品牌的硬盘的BIOS/UEFI选项
- 附录N:关于智能手机和设备的警告
- 附录O:获取一个匿名VPN/代理
- 附录P:当Tor和VPN不可用时尽可能地安全上网
- 附录Q:使用远距离天线来从安全的距离连接公共wifi
- 附录T: 检查恶意文件
- 附录U: 如何在受监控的电脑上绕过一些本地设置
- 附录W: 虚拟化
- 附录X: 在恶劣的环境里使用Tor网桥
- 附录Y: 安装并使用洋葱浏览器
- 附录Z:使用比特币在线匿名支付(或者其他任何加密货币)
- 附录A2: 密码和密码短语的指导方针
- 附录A4: 对抗取证分析语言学
- 附录A5: 启用javascript的浏览器的额外预防措施
- 附录B2: 门罗币免责声明
- 附录B3: 威胁模型
- 附录A:安装windows
- …
- 参考
Pre-requisites and limitations
Pre-requisites
- 会英语(这里是中文)
- 成为德国的永久居民,德国法院已支持在网络平台上不使用真实姓名的合法性(§13 VI of the German Telemedia Act of 2007 1 2).或者,成为任意其他国家的居民,在那里你可以自己确认并验证本篇指南的合法性.
- 本指南会假定你已经可以使用一些个人(理想情况下不是一个 工作/共享 的设备)电脑(Windows/Linux/macOS)并且大致了解它如何工作.
- 耐心,因为这个过程可能花费几周时间才能完成,如果你想要阅读完所有内容.
- 有闲暇时间来进行这个过程(或者很多时间,取决于你选择的路线).
- 做好阅读很多参考的准备(一定要阅读它们),指南(不要跳过它们),以及完全遵循许多 how-to 指南(也不要跳过它们).
- 不要干坏事(认真的!)3
Limitations
本指南不是为了:
- 创建任意形式的机器账户(机器人).
- 创建冒名顶替别人的帐号(例如身份盗用)
- 帮助恶意行为者进行不道德,犯罪或非法活动(比如网络钓鱼,追踪,反侦察,信息混淆,骚扰,霸凌…)
- 被未成年人使用(译者注:年满十八岁者,请在家长陪同下观看🏩)
Introduction
TLDR:”一场奇怪的游戏.唯一的胜利方法就是不玩.”
用假名或艺术作品/商标名创建一个社交帐号很容易.在大多数情况下,足够保护你的身份作为下一个George Orwell.有很多人在 Facebook/Instagram/Twitter/Linkedln/TikTok/Snapchat/Reddit…上使用假名.但是其中的大多数都不是匿名的,可以很容易的被当地警察机构,OSINT5(Open-Source Inteligence,开源网络情报)社区的人以及 4chan7的trolls6(钓鱼,引战,人肉,整活…)追踪到真实身份.
这是件好事,因为大多数罪犯/引战者都不精通技术,所以通常很容易被识别.但同时这也是一件糟糕的事情,因为大多数政治立场不同的人,人权活动者以及举报者同样很容易被追踪.
本指南旨在提供对诸多反匿名技术,追踪技术,身份识别技术的介绍,以及可选的对于创建和维护 合理且真正的 网络匿名身份(包括安全的社交媒体帐号)的指导.这包括主流平台,而不仅仅只是那些隐私友好型平台.
重要的是理解本指南的目的是匿名,而不仅仅是隐私,即使对匿名不感兴趣,你在这里找到的大部分指南也会帮助你增强隐私和安全性.用于隐私,安全,匿名的工具和技术有很多重叠,但在一些点上它们有所区别:
- 隐私是关于人们知道你是谁但是不知道你在干什么.
- 匿名是关于人们知道你在干什么,但是不知道你是谁8.
(插图来源 9)
如果NSA,the FSB,Mark Zuckberberg,或者the Mossad决定找到你,这篇指南会使你幸免吗?很可能不会…Mossad将会做”Mossad things”10并且无论你多努力躲藏都可能会找到你 11.
你必须在更进一步之前考虑你的风险模型 12.
(Illustration by Randall Munroe, xkcd.com, licensed under CC BY-NC 2.5)
这篇指南会保护你的隐私不被OSINT机构比如Belingcat13,4chan的人肉搜索14以及其他无法访问NSA工具箱的人窃取吗?很可能,尽管对于4chan我不是很确定.
本指南基础的简化威胁模型:
(Note that the “magical amulets/submarine/fake your own death” jokes are quoted from the excellent article “This World of Ours” by James Mickens, 2014above10)
免责声明:除了笑话(以及魔法护符…).当然,也有高深的方法来减轻来自手段先进且经验丰富的攻击者的攻击,但那些不在本指南讨论范围内.理解这篇指南的威胁模型的局限性非常重要.因此,本指南不会加倍篇幅以描述高深的防范措施,因为这非常复杂并且需要极高的知识和能力水平,而这些能力不是这篇指南的受众可能具备的.
EFF提供了一些你需要根据你的活动考虑的安全场景.然而其中的一些提示可能不在这篇指南的范围内(更与隐私而不是匿名相关),不过仍值得当作例子一读.请看 https://ssd.eff.org/en/module-categories/security-scenarios[archive.org].
如果你想更深入了解威胁模型,请看Appendix B3: Threat modeling resources
你可能认为本指南没有合法用途,不过其实有很多16 17 18 19 20 21 22,比如:
- 逃避网络审查 23
- 规避网络迫害
- 规避网络跟踪,人肉以及骚扰
- 规避政府非法网络监视
- 网络匿名举报
- 网络匿名行动
- 网络匿名新闻
- 网络匿名合法行动
- 网络匿名学术活动(例如获得被封锁的科研资料).请参阅下面的注释.
- …
本指南是为那些 目的正当的个体 而写,他们可能没有足够的知识考虑网络匿名和隐私这样复杂的事物.
最后,使用本指南的风险自负.这里的任何事都不是合法建议,在使用前你应该验证是否符合当地法律(IANAL 24).你自己要”信任但验证25“所有信息(更好的是,”从不信任,永远验证”26).我强烈建议你提醒自己,并且如有疑问,不要犹豫用外部资源检查这篇指南的任何信息.请一定要向我报告你发现的任何错误,因为我乐意接受批评.即使严厉但是合理的批评也乐意接受,并会导致做出尽可能快的必要纠正.
Understanding some basics of how some information can lead back to you and how to mitigate some
除了浏览器cookies和广告外,有很多方法追踪到你,你的邮箱以及你的电话号码.并且如果你认为只有Mossad 或 NSA/FSB可以找到你,你想多了.
首先,你可以考虑用这些关于隐私和安全的资源学习更多基础
- The New Oil:https://theneoil.org [archive.org]
- Techlore videos:https://www.youtube.com/c/Techlore [invidious]
- Privacy Guides:https://privacyguides.org/ [archive.org]
- Privacy Tools:https://privacytools.io/ [archive.org]
- 注意这些网站可能包含 子公司/赞助 内容以及商品推销.本指南不拥护且不被任何商业实体以任何方式赞助.
如果你跳过这些,你真的应该考虑看Techlore Go Incognito项目(https://github.com/techlore-official/go-incognito [archive.org])的youtube视频系列作为入门介绍,在你更进一步之前:https://www.youtube.com/playlist?list=PL3KeV6Ui_4CayDGHw64OFXEPHgXLkrtJO [invidious].本指南会包含这个播放列表中的视频的许多话题,伴随更多细节和参考,以及一些额外的不被这个视频系列包含的主题.看完它们只会花你2-3个小时.
蒽,这里有一份不那么枯燥的列表,一些关于你可能被追踪以及被反匿名的途径:
Your Network
Your IP address
免责声明:整篇段落是关于你的公网IP而不是你的局域网IP.
注:局域网IP,通常是由DHCP协议动态分配的IP.
IP27地址是最为熟知且明显的追踪你的方法.这里的IP是源IP,用来连接互联网的那个,通常由ISP(互联网服务提供者)(XsDL,手机,网线,咖啡馆,酒吧,朋友,或者你的邻居[译者不建议这样做,否则可能会导致线下真人快打]).大多数国家都有数据保留政策28,要求将某人在某个时间/日期使用什么IP的日记保存长达数年甚至无限期.你的ISP可以告诉第三方机构你在具体的时间使用的具体的IP地址,尽管距离那时好几年.如果IP(原始IP)在任何时候以任何原因泄露,就可以直接用来追踪你.在许多国家,如果你不提供某种形式的身份识别(地址,身份证,真实姓名,邮箱…)给提供商将不能访问互联网.(对于译者所处的国家,我甚至不知道哪些信息被顺便提供了~)
不用多说,大多数平台(比如社交平台)还会保存(有时甚至是无限期)你注册和登陆他们服务时的IP地址.
这里有一些网络资源,你可以立即用来查找关于你目前的 公网IP 的一些信息:
- 查询IP:
- https://resolve.rs/
- https://www.dnsleaktest.com/(奖励,检查你的IP有没有DNS泄露)
- 找到你IP对应的地址或者任何IP对应的地址:
- 查询一个IP是否”可以”(在黑名单里)或者在公共资源里下载了一些”东西”:
- https://mxtoolbox.com/blacklists.aspx
- https://www.virustotal.com/gui/home/search
- https://iknowwhatyoudownload.com/ (对这个持保留态度,它可能不会展示任何有意思的事情并且数据源有限.这更像是娱乐而不是严肃的事情.)
- 一个IP的注册信息 (很可能是你的ISP的信息,ISP很可能知道该IP在任意时间被谁在使用)
- 检查一个IP的公开服务或者公开设备(尤其是泄露的智能设备):
- https://www.shodan.io/host/185.220.101.134 (把IP换成别的IP,示例的IP是Tor的退出码)
- 许多检查你IP的工具,比如黑名单检测器之类的:
- 你想知道自己是否通过Tor连接吗?
因为某些原因,我们需要混淆并隐藏原始IP(与身份证关联的那个)或者通过多种方式组合来尽可能隐藏它:
请注意,不幸的是,这些方案并不完美,还会导致一些性能问题31.
本指南会在之后解释这些.
Your DNS and IP requests
DNS的意思是”域名服务系统”32,还是浏览器(或者其他软件)用来查找某个服务的ip地址的协议.它是个庞大的”联系列表”(对老人来说是电话簿),工作类似查询一个姓名然后它返回电话号码,不过DNS返回的是IP地址.
浏览器每次想要获取某些服务比如通过www.google.com访问Google,你的浏览器(Chrome,Firefox,或者幽默一点,360安全浏览器,2345浏览器?)将会请求一次DNS服务以获取Google网络服务的IP地址.
这个视频从视觉上解释了DNS,假如你已经晕了:https://www.youtube.com/watch?v=vrxwXXytEuI[invidious]
通常,DNS服务由你的ISP提供,并且由你连接的网络自动配置.DNS服务也可能被用于数据保留政策或者出于某些原因而保留记录(例如为了投放广告而收集数据).因此,ISP有能力通过检查那些记录知道你在网络上做的任何事,这些记录反过来又可以被提供给你的敌人.更方便的是,对于你的敌人来说,DNS锁定33也是执行审查或者家长控制最简单的方式.对于某些网站(例如重定向 thepiratebay.org(盗版资源网站)到一些政府网站),ISP提供的DNS服务器将会给你一个不同的IP地址(而不是本来的IP).对于某些网站的锁定被全世界广泛使用34.
使用私人DNS服务或者你自己的DNS服务可以缓解这些问题,但另一个问题是大多数这样的DNS请求默认仍用明文(未加密)传输.即使你在隐私窗口浏览PornHub,用HTTPS和私人DNS服务,浏览器仍有极高几率给一些DNS服务器发送未加密的明文DNS请求,询问pornhub.com的IP地址是什么捏?.
因为请求未加密,ISP或者敌人仍可以监听(使用中间人攻击35)你的请求,知道并且很可能记录你正在查询的IP.即使使用私人DNS,ISP仍能篡改DNS响应.这使得用私人DNS服务毫无意义.
作为奖励,许多设备和应用使用硬编码的DNS服务器来绕过你可以设置的任何系统设置(也就是说,你设置了DNS,但等于没设置).举个例子,多数(70%)智能电视和大部分(46%)游戏终端36都是这样.对于这些设备来说,你可能不得不强迫它们37停止使用硬编码DNS服务,而这可能会让它们运行错误.
解决方案之一是使用加密的DNS协议,例如DoH(DNS over HTTPS38),DoT(DNS over TLS39),以及使用一个私人DNS服务器(本地托管的解决方案之一是pi-hole40,远程托管可以用nextdns.io,由VPN商提供,或者使用Tor网络).这可以防止ISP或者中间人监听你的请求…除非它没监听.
中间的小免责声明:本指南不一定认可或推荐Cloudflare服务即使它在这部分被多次提及以用来理解技术.
不幸的是,在大部分浏览器中(Chrome/Brave之类的),HTTPS连接使用的TLS协议会在SNI41握手过程中泄露域名(这可以在Cloudflare上查看:encrypted-sni[archive.org]).在写这篇指南的时候,只有基于Firefox的浏览器在某些网站上支持ECH(Encrypted Client Hello42,之前被叫做eSNI43),它会端对端加密所有内容(除了通过TLS/HTTPS使用的安全私有的DNS)并且允许你向第三方隐藏DNS请求44.这一选项默认不会被启用,所以你得自己开启.
除了只有有限的浏览器支持,在当前46仅有使用Cloudflare CDN的网络服务和CND45.这意味着ECH和eSNI不被大多数主流平台支持(至少在撰写本指南的时候),比如:
- Amazon,包括AWS,Twitch…
- Microsofn,包括Azure,OneDrive,Outlook,Office 365…
- Google,包括Gmail,Google cloud…
- Apple,包括iCloud,iMessage…
- YouTube
- Github
- …
一些国家,比如俄罗斯47和中国48可能(尽管文章没有验证)在网络层锁定ECH/eSNI握手,以监管和阻止网络审查被绕过.这意味着如果你不允许他们看到你在干什么,就不能和服务建立HTTPS连接.
问题不止于此.HTTPS的TLS验证中有一部分叫做OCSP49,基于Firefox的浏览器使用该协议会以你访问的网站证书的串行数字的形式泄露元数据.然后攻击者就可以轻松找到你正在访问的网站,通过匹配证书数字50.这个问题可以通过使用OCSP stapling51缓解.不幸的是,尽管Firefox/Tor浏览器默认启用该设置,不过没有强制,而且还需要你所访问的网站支持才行,显然不是所有网站都支持.另外,基于Chromium的浏览器使用CRLSets52 53,这是一套不同的系统,可以说更好一点.
这份列表展示了各种浏览器如何处理OCSP:https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ [archive.org]
这是一张关于使用基于Firefox的浏览器可能遇到的问题的图:
最后,即使你使用支持ECH/eSNI和OCSP stapling的自定义的加密DNS服务器(DoH或DoT),可能仍无法解决问题,因为流量分析研究54表明仍可能可靠的识别和锁定不想要的请求.最近研究表明,只有DNS over Tor能有效保护DNS隐私,但就算如此仍可以被其他方法击败.(请看 your-anonymized-torvpn-traffic)
一些人还可能考虑使用Tor Hidden DNS Service或者ODoH(Oblivious DNS over HTTPS55)以进一步提升隐私/匿名性,但不幸的是据我所知,只有Cloudflare提供这些方法,如这几篇文章所写(https://blog.cloudflare.com/welcome-hidden-resolver/[Archive.org],https://blog.cloudflare.com/oblivious-dns/[Archive.org]).这些事有效且合理的安全措施,但是使用与否Cloudflare还是一个道德上的选择(不顾某些研究发现的风险56).
最后的最后,如果你认为自己精通Linux,还有一种可能来进一步提升隐私/匿名性-DoHoT.请看 https://github.com/alecmuffett/dohot[Archive.org].本指南在当前阶段不会帮助你了解这玩意,不过过一段时间可能会.
这里有一份图表总结了基于我个人了解的DNS&HTTPS隐私的当前状态.
至于你个人的日常使用(不那么敏感的),记住目前只有基于Firefox的浏览器支持ECH(之前是eSNI),并且在当前阶段只有访问背后使用Cloudflare CDN的网站时有效.如果你更喜欢基于Chrome的浏览器(这对某些人来说是可以理解的,因为有一些更好的内置功能,比如即使翻译),那么我推荐用Brave,Brave支持所有Chrome插件并且提供比Chrome更好的隐私管理.
故事并没有到此而至.因为就算做了这些,甚至加密了你的DNS并且使用所有可能的缓解手段.对任意服务器的简单IP请求大概还会允许敌人检测你访问了哪些网站,这仅仅因为大多数网站都有与其相关的唯一IP池,正如这里所解释的:https://blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address/[Archive.org].这意味着攻击者可以创建一个所有已知网站的数据集,比如可以包含网站所对应的IP池,然后根据你请求的IP在数据集中匹配.在大多数情况下,可能准确猜到你访问的网站,这就是说就算使用了OCSP stapling,ECH/eSNI,Encrypted DNS...攻击者还是能猜出你正在访问的网站.
因此,为了缓解所有这些问题(尽可能,尽全力), this guide will later recommend two solutions: Using Tor and a virtualized (请看 Appendix W: 虚拟化) multi-layered solution of VPN over Tor solution (DNS over VPN over Tor or DNS over TOR).其他的选项也会被解释(Tor over VPN,VPN only,No Tor/VPN)但不是很推荐.
Your RFID enabled devices
RFID-Radio-frenquency identification57,射频识别,这种技术用做非接触式支付和许多身份识别系统.当然,你的手机就是其中之一,可以通过NFC58进行RFID非接触式支付.和别的东西一样,这样的能力也可以用来通过各种方式追踪.
不幸的是,这并未被你的手机限制,而且你很可能一直随身带着一些允许RFID设备,比如:
- 允许非接触支付的信用卡
- 商店会员卡
- 交通支付卡
- 车钥匙
- 身份证或者驾照
- 护照
- 物品/服装 上的 价格/防盗 标签
- …
尽管这些不能被一个远程网络敌人用来反匿名你,但这些可以被用来缩小搜索范围,如果你在具体时间的大概位置暴露的话.例如,你不能排除一些商店会扫描(并且记录)所有通过门的RFID芯片.他们可能正在寻找他们的会员卡但同样会记录别人.这样的RFID标签可以追踪到你的身份以及用来反匿名.
更多信息在维基百科上:https://en.wikipedia.org/wiki/Radio-frequency_identification#Security_concerns[Wikiless][Archive.org],https://en.wikipedia.org/wiki/Radio-frequency_identification#Privacy[Wikiless][Archive.org]
缓解这个问题的唯一方法是身上不携带任何RFID标签或者放进法拉第笼.你还可以使用专门用来屏蔽RFID通信的钱包/袋子.其中许多由知名品牌比如Samsonite59生产.在进行敏感行动的时候你不应该携带这样的RFID设备.
请看 Appendix N: Warning about smartphones and smart devices
The Wi-Fi and Bluetooth devices around you
地理定位不只通过用移动天线三角测量来完成,还可以通过使用身边的wifi和蓝牙设备.操作系统制造者比如google(Android60)和Apple(IOS61)维护着一个大部分wifi接入点的数据库,以及它们的位置.当你的安卓手机或者iphone开机(并且不是飞行模式),它将会主动扫描(除非你在设置里禁止该功能)wifi接入点.你身边的蓝牙设备能比你在使用GPS的时候更精确地定位你.
这种主动且持续的探测之后会被作为遥测的一部分发送给 Google/Apple/Microsoft.问题在于探测数据是独一无二的因此可以被用来唯一标识用户以及用于追踪该用户.商店,比如说,可以使用这个技术来识别用户包括他们什么时候重返,什么时候进入商店以及他们在特定地点的停留时长.这里有一些深入描述这个问题的文章62 63 64.
这甚至允许在关闭GPS时仍然提供准确位置,还可以方便的记录全世界的所有wifi和蓝牙设备.而这些可以被第三方机构获取以用来追踪.
注意:如果你使用安卓手机,无论你做什么google都可能知道手机位置.你不能真正信任这些设置.整个操作系统是由一个想获取你的数据的公司开发的,请记住安卓系统是免费的,而你才是商品.
但这还不是wifi接入点能做的全部事情.最近发展的技术甚至允许某人准确追踪你的行动仅仅通过无线电干扰.这意味着通过传来的无线电信号就可能追踪你在建筑里的行动.这可能看起来像是锡箔帽阴谋论的主张,但是这里有参考65以及这项技术的实际应用的示范:http://rfpose.csail.mit.edu/[Archive.org],视频在 https://www.youtube.com/watch?v=HgDdaMy8KNE[Invidious]
有研究已经找到一种方法仅用wifi就能计算出在确定的空间内的人数,请看https://www.news.ucsb.edu/2021/020392/dont-fidget-wifi-will-count-you[Archive.org]
因此你可以想象这种技术的很多使用场景,比如记录进入特定建筑/机构(旅馆,医院,大使馆…)的人然后检测此人与谁见面,从而可以从外面监视他们.即使他们身上没带手机.
同样,这个问题只能通过身处和法拉第笼类似的建筑来缓解.
这是另一个使用相同技术的视频:https://www.youtube.com/watch?v=FDZ39h-kCS8[Invidious]
请看 Appendix N: Warning about smartphones and smart devices
关于这些问题,你能做的事不多.除非一开始就无法被识别.
Malicious/Rouge Wi-Fi Access Points
至少从2008年开始就有人使用这种叫做”Jasager”66的攻击方式,任何人都可以使用自己造的工具或者使用在市场上销售的设备比如 Wi-Fi Pineapple67来进行攻击.
这里有一些更详细的关于这个主题的视频:
- HOPE 2020,https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_%245_Microcontrollers.mp4
- YouTube,Hak5,Wi-Fi Pineapple Mark VII https://www.youtube.com/watch?v=7v3JR4Wlw4Q[Invidious]
这些设备可以被装进一个小包里然后掌管一定范围内wifi环境,例如,酒吧/餐厅/咖啡厅/酒店大厅.这些设备可以强制wifi客户端从当前连接的wifi掉线(使用 de-authentication,disassociation attacks68)同时在同意地点伪装成普通wifi网络,这些攻击会一直执行到你或者你的设备尝试连接 rouge AP(钓鱼wifi)为止.
然后它们会模拟一个强制门户69,页面和你尝试连接的wifi(例如机场wifi登录门户)一样.或者它们给你一个不受限制的网络,该网络是它们自己从同一个地方获得的.
一旦你连上了 Rouge AP,这个接入点就可以执行各种各样中间人攻击,以此来分析你的流量.攻击可能是重定向到流氓网站或者简单的流量嗅探,这些设备还可以轻松识别任何设备,例如尝试连接VPN服务器或者Tor Network的设备.
当你知道你想要反匿名的某个你不认识的人在一个拥挤的场所的时候,这种方法会很有用.对于敌人来说,通过DNS章节提到的流量分析方法可以辨认出你访问的任何网站无论使用HTTPS,DoT,DoH,ODoH,VPN或者Tor.
这些还可以用于提供给你精心制作的高级钓鱼网页,而这可能会收获你的证书或者尝试让你下载一个恶意的证书用以查看你加密后的流量.
如何缓解这些攻击?如果你确实连接了一个公共wifi,使用Tor,或者使用VPN+Tor(Tor over VPN)或者甚至(VPN over Tor)来混淆你的来自rouge AP的流量,当你仍然使用它的时候.
Your Anonymized Tor/VPN traffic
Tor和VPNs并不是万能方法.许多先进技术这些年一直在发展和学习以反匿名加密的Tor流量70.这些科技中的大部分都是关联性攻击,通过将你的网络流量和这样那样的记录或数据库关联起来.这里有一些例子:
- 关联指纹攻击:如下图所示,该攻击会识别加密的Tor流量(比如你访问的网站)基于分析加密的流量而不是解密它.其中一些方法在封闭世界模型拥有96%的成功率,而在开放世界模型下的效率目前仍未证明,并且很可能需要庞大的计算力资源,因此在未来一段时间内局部性网络攻击者几乎不可能使用这样的技术.不过这样的科技可以假设性的被一个高技术以及很可能国际性的攻击者使用,此攻击者还能够访问你的源网络以决定你的一些活动.一些研究报告71 72 73描述了此类攻击,以及他们的局限性.Tor项目本身发布了一篇关于此类攻击和缓解措施的文章:https://blog.torproject.org/new-low-cost-traffic-analysis-attacks-mitigations[Archive.org].
- 关联时间攻击:敌人可以获取源和目的的网络连接日记(比如IP或DNS,记住大多数VPN服务器和Tor节点是已知的并且被公开列出),可以通过时间关联来反匿名你,且不需要请求访问任何中间的Tor或VPN网络.该技术的一个真实使用案例是FBI在2013反匿名哈佛大学的炸弹威胁骗局75.
- 关联流量攻击: As illustrated (simplified) below, an adversary that has no access to detailed connection logs (cannot see that you used Tor or Netflix) but has access to data counting logs could see that you have downloaded 600MB on a specific time/date that matches the 600MB upload at the destination. This correlation can then be used to de-anonymize you over time.
这里有一些缓解方法:
- 不要访问与接入Tor/VPNs时的网络服务是相同的(ISP)的目标服务.例如,不要用校园网连接Tor来匿名访问校园服务.相反,使用不同的网络源(例如一个公共Wi-Fi)以阻止攻击者轻易的关联到你.
- 不要从一个明显被严重监控的网络(例如企业/政府网络)访问Tor/VPN,尝试找到一个不被监控的网络例如公共wifi或者住宅wifi.
- 考虑使用多层策略(例如本指南稍后会推荐的:VPN over Tor),这样攻击者虽然能够看到某人通过Tor连接到服务,但他不知道那是你,因为你连接的是VPN而不是Tor网络.
再次提醒,这些可能仍不足以对抗一个拥有广泛访问大量全球监视国际机构76.这样的攻击者无论你在哪里都可以访问对应的记录用来反匿名你.通常,这些攻击是叫做Sybil Attack77的一部分.此类攻击者超出这篇指南讨论范围内.
此外,本指南描述的所有其他方法例如行为分析还可能被直接用来反匿名Tor用户.(请看 Your Digital Fingerprint, Footprint, and Online Behavior)
我强烈推荐阅读这篇非常有水平,完全,以及深入的(并且更详细)的关于大多数已知的攻击向量的指南,在Tor上:https://github.com/Attacks-on-Tor/Attacks-on-Tor[Archive.org],以及这篇最近的研究刊物https://www.researchgate.net/publication/323627387_Shedding_Light_on_the_Dark_Corners_of_the_Internet_A_Survey_of_Tor_Research[Archive.org].
还有这个很不错的博客文章系列:https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html[Archive.org].
最近,这些攻击的其中一种尝试攻击Tor网络,详情请看:https://arstechnica.com/information-technology/2014/07/active-attack-on-tor-network-tried-to-decloak-users-for-five-months/[Archive.org].
最后,切记,使用Tor这种行为本身就已经非常可疑了78,并且使用Tor被某些人认为是恶意的79.
本篇指南稍后将基于从一开始就改变你的网络源(例如使用公共wifi)提出一些针对这类攻击的缓解措施.记住这类攻击通常被高水平,资源丰富以及有动机的攻击者使用,而有动机的攻击者超出本指南范围内.
免责声明: 还应该注意的是Tor并不是为了对抗国际机构而设计的.更多信息请看https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf[Archive.org],尤其是,”Part 3. Design goals and assumptions.”.
Some Devices can be tracked even when offline
你可能已经在动作/间谍/科幻电影或展览看过这个,主角永远是移除手机电池以确保手机无法使用.大多数人可能认为这有些矫枉过正.Well,不幸的是,并没有,目前至少对一些来说是这样:
这些设备会使用蓝牙Low-Energy技术84持续向附近的设备广播身份信息,即使设备已离线.厂商不直接访问那些设备(未接入互联网),而是使用BLE通过附近的设备来找到它们85.离线设备使用点对点、短距离的蓝牙通信来通过附近的在线设备来广播它们的状态.
厂商现在可以找到这样的设备并且把位置数据保存在一些数据库中,而这些数据之后可以被第三方机构或者他们自己以各种各样的目的(包括分析,广告投放,或者证据/情报收集)使用.
请看 Appendix N: Warning about smartphones and smart devices.
TLDR: 当你执行一些敏感活动的时候别带此类设备.
Your Hardware Identifiers
Your IMEI and IMSI (and by extension, your phone number)
IMEI(International Mobile Equipment Identity86,国际手机设备识别号)和IMSI(International Mobile Subscriber Identity87,国际手机订购者识别号)是由手机制造商和手机运营商创建的唯一数字.
IMEI直接联系到你正在使用的手机.手机运营商知道IMEI并且用它来追踪你,此外手机制造商也知道该数字.每次你的手机连接到手机网络,它将在网络上登记IMEI和IMSI(甚至不需要插入SIM卡).它还被许多应用使用(例如安卓银行软件滥用手机权限88),还被手机系统(安卓/苹果)用来识别该设备89.改变手机IMEI是可能的,不过很困难(而且在许多管辖中是不合法的90),但是用欧元(记住本指南为德国人而写)在跳蚤市场或者一些随机小商铺找到并购买一些旧的(但可以用)一次性手机很可能更简单便宜.
IMSI直接联系到你的手机订阅或预付费的套餐,并且和运营商提供的手机号码相关联.IMSI被硬编码到SIM里并且不可更改.记住每次你的手机连接到手机网络还会在网络上登记IMSI和IMEI.就像IMEI,IMSI也可以被一些手机软件和操作系统用于身份识别,并且正在被追踪.
如今,泄露你的(真正的)手机号码等同或更甚于泄露你的社会保障码/护照ID/国家身份证.
IMEI和IMSI有至少6种方式用来追踪你:
- 手机运行商订阅用户的记录通常会存储IMEI和IMSI以及用户信息的数据库.如果你用一个预付款的匿名SIM(匿名IMSI但是IMEI已知),他们会知道该手机属于你如果你在换SIM卡之前就使用手机(不同的匿名IMSI但是相同的已知IMEI).
- 手机运行商天线会方便的记录哪些IMEI和IMSI之间还保留一些连接数据.例如,他们知道并且记录具有这种IMEI/IMSI组合的手机连接到一组手机天线,以及每个天线的信号强度可以轻松对信号进行三角测量/地理定位.他们还知道其他手机(例如你真正的手机)在同一时间使用同一信号连接到同一天线,而这恰恰可以得出”一次性手机”总是和其他”已知手机”在同一地点/时间连接,从而每一次都会暴露一次性手机正被使用.这个信息被许多第三方机构用来精确定位/追踪你9192.
- 如果手机是以非匿名方式购买的,手机制造厂商可以通过IMEI追溯到手机的销售记录.实际上,他们保有每部手机的销售记录(包括序列号和IMEI) - 由哪个商店/人卖给了谁.而如果你使用的是在线(或者从知道你是谁的某人处)购买的手机,使用这些信息的确可以追溯到你.即使你没有被监控93拍到而且你使用现金购买的手机,他们仍然可以通过天线记录找到当时在那里(商店)的其他手机(在你口袋中的真实手机).
- 单独的IMSI也可以用来找你,因为目前大多数国家需要用户提供身份证以购买一张SIM卡(订阅式或预付式的),然后IMSI就与SIM卡购买者的身份相关联了.在仍可以用现金购买SIM卡的国家(比如UK),他们仍知道SIM卡在何时何地(哪个商店)被购买,这个信息之后可以被用于从商店处收集更多信息(例如IMEI例子中的监控录像).或者同样的使用天线记录找到当时在那里的其他手机.
- 手机系统厂商(Google/Apple for Android/IOS)还记录了和Google/Apple账户绑定的IMEI/IMSI标识以及使用它们的用户.他们也可以追溯手机在过去绑定的用户历史94.
- 世界各地的对你电话号码感兴趣的政府机构可以,并且使用了叫做”IMSI catchers”96的设备比如Stringray97,或者最近的Nyxcell98,这些设备可以模拟(用以欺骗)一个手机电线然后强制特定的IMSI(比如你的手机)连接以访问网络.一旦他们做到了,就可以使用各种各样的MITM35(Man-In-The-Middle Attacks)攻击,从而:
- Tap your phone (voice calls and SMS).
- 嗅探并且检查你的数据流量.
- 不需要控制你的手机就可以模拟你的手机号码.
- …
与该话题相关的Youtube视频: DEFCON Safe Mode - Cooper Quintin - Detecting Fake 4G Base Stations in Real-Time https://www.youtube.com/watch?v=siCk4pGGcqA[Invidious]
因为这些原因,在进行敏感活动之前,获得专门的匿名电话号码 以及/或者 一个拥有匿名的预付式SIM卡、不会以任何方式(过去或未来)联系到你的匿名一次性手机至关重要.(更多实际指导在Getting an anonymous Phone number章节).
尽管有一些手机厂商比如Purism的Librem系列99宣称会保护你的隐私,不过他们还是不支持IMEI随机化 - 而这一功能我认为是反侦察的关键,这类厂商应该提供,不过该方法不能避免SIM卡内的IMSI追踪,但它至少允许你保持同一部”一次性手机”,并且出于保护隐私只要切换SIM卡而不是手机和SIM卡都要换.
请看 Appendix N: Warning about smartphones and smart devices.
Your Wi-Fi or Ethernet MAC address
MAC地址100是你的物理网络接口(以太网或者wifi)的唯一标识,如果它没有被随机化的话,当然也可以用来追踪你.和IMEI一样,电脑和网卡制造商通常会记录销售记录(一般包括序列号,IMEI,MAC地址…)然后他们同样可以追踪有该MAC地址的电脑在何时何地卖给了谁.即使你是在超市用现金买的,超市里也可能有监控(或者超市外面),同样,销售时间/日期可以被用来找到谁在那里,通过查询那时的天线记录(IMEI/IMSI).
操作系统制造者(Google/Microsoft/Apple)会记录设备和MAC地址以此来识别设备(例如找到我的设备类型的服务).Apple可以查到特定MAC地址对应的Macbook之前绑定的Apple帐号,可能是你决定用MacBook做敏感活动之前的帐号,可能是把MacBook卖给你的用户但是他记得你的电邮/手机号.
你家里的路由器/wifi接入点记录了接入wifi的设备,这也可以用来查找谁在使用你的wifi,根据路由器/wifi接入点是否由ISP远程”管理”(通常是给客户提供路由器的情况),这种行为有时也可能由ISP远程(并且悄悄)执行.
一些商业设备出于各种目的会记录周围的MAC地址,例如道路堵塞101.
因此,再次申明,不要在进行敏感活动的时候携带手机.如果你使用自己的笔记本,那么隐藏MAC地址(以及蓝牙地址)至关重要,无论你在哪里使用,并且尤其注意不要泄露任何信息.谢天谢地,许多最近的操作系统目前支持或者允许MAC地址随机化(安卓,IOS,Linux和Win10),注意不包括macOS,即使是最新版本BigSur.
请看 Appendix N: Warning about smartphones and smart devices.
Your Bluetooth MAC address
蓝牙MAC有点像上面提到的MAC地址,不过它属于蓝牙设备.同样,因为制造商和系统制造者记录了这样的信息所以它可以被用来追踪你.它可能和销售 地点/时间/日期 相关联,然后通过 商店结算记录,监控或者相关移动天线记录 这类信息来追踪你,
操作系统有相应保护措施 - 随机化这些地址,但是仍然有漏洞102.
因为这个原因,并且除非你真的需要这个功能,你应该在BIOS/UEFI设置里完全禁用蓝牙,或者在系统设置里.
在win10,你需要在设备管理器里禁用然后启用蓝牙设备以强制随机化下次使用的地址,从而避免被追踪.
一般来说,和MAC地址相比蓝牙MAC不是大问题,因为蓝牙MAC地址经常随机化.
请看 Appendix N: Warning about smartphones and smart devices.
Your CPU
现代CPU103现在几乎都集成了隐藏的管理平台,比如臭名昭著的Intel管理引擎104和AMD平台安全处理器105.
这些管理平台相当于小型操作系统,只要开机就会直接在CPU上运行.这些系统拥有访问计算机网络的全部权限,因此可能被攻击者通过各种方式来反匿名你(例如直接访问或者病毒),像这些启发性视频展示的那样:BlackHat,如何Hack一台关机的电脑,或者在Intel管理平台运行未签名代码https://www.youtube.com/watch?v=9fhNokIgBMU[Invidious].
这些平台之前已经被几个安全漏洞106利用,以允许恶意软件控制目标系统.这些平台也被许多隐私行动者包括EFF和Libreboot指控为任何系统的后门107.
有一些不那么直接的方法108禁用一些CPU的Intel IME,并且你应该尽量这么做.对于AMD笔记本,你可以在BIOS设置里禁用PSP.
注意,为AMD辩护:目前为止且据我所知,ASP上没有安全漏洞和后门:请看 https://www.youtube.com/watch?v=bKH5nGLgi08&t=2834s[Invidious].此外,相比Intel IME,AMD PSP不提供任何远程管理能力.
如果你觉得有点不安全,且笔记本支持的话,你可以使用Libreboot或Coreboot109安装你自己的BIOS(注意Coreboot的确包含一些与其分支Libreboot不同的专有代码).
此外,一些CPU有无法修复的缺陷(尤其是Intel),可能被许多恶意软件利用.这里有一份关于影响最近的流行CPU此类漏洞的清单: https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability[Wikiless][Archive.org]
自己检查:
- 如果是Linux用户,可以用https://github.com/speed47/spectre-meltdown-checker[Archive.org]这个被大多数Linux发行版包括Whonix支持的程序检查有关Spectre/Meltdown攻击的CPU漏洞状态.
- windows用户,可以用inSpectre检查CPU漏洞状态 https://www.grc.com/inspectre.htm[Archive.org]
通过开启虚拟化软件设置可以减轻此类攻击,以及避免其中一些攻击.看这篇指南以获取更多信息 https://www.whonix.org/wiki/Spectre_Meltdown[Archive.org](警告: 这些会严重影响你的虚拟机的性能).
我将在本指南中介绍缓解这些问题的方法: 推荐在专用于进行敏感活动的匿名的笔记本上使用虚拟机,并且只接入匿名公用网络.
此外,相较于Intel我更推荐用AMD CPU. AMD YES!!
Your Operating Systems and Apps telemetry services
无论系统是安卓,IOS,Windows,macOS,或者甚至Ubuntu,大多数操作系统现在会默认收集遥测信息,即使你从未选择加入或退出110.一些系统像Windows甚至不允许完全关闭遥测,如果不使用技术调整的话.此类信息收集可能非常广泛,包括你的设备和使用情况的大量详细信息(元数据和数据).
这里纵览了5个流行操作系统的最新版本的信息收集情况:
- 安卓/Google
- 看看他们的隐私政策 https://policies.google.com/privacy
- 都柏林圣三一大学计算机科学与统计学院,爱尔兰手机隐私:测量IOS和安卓发送给苹果和Google的数据: https://www.scss.tcd.ie/doug.leith/apple_google.pdf[Archive.org]
- IOS/Apple
- 更多信息在 https://www.apple.com/legal/privacy/en-ww/[Archive.org] 和 https://support.apple.com/en-us/HT202100[Archive.org]
- 都柏林圣三一大学计算机科学与统计学院,爱尔兰手机隐私:测量IOS和安卓发送给苹果和Google的数据: https://www.scss.tcd.ie/doug.leith/apple_google.pdf[Archive.org]
- 苹果声称他们使用差分隐私技术112匿名化了这些数据,不过你得相信他们.
- Windows/微软
- MacOS
- Ubuntu
- 尽管Ubuntu是一个Linux分发版,现在也会手机遥测数据,不过相较于其他操作系统这些数据非常有限.更多细节在 https://ubuntu.com/desktop/statistics[Archive.org]
不仅操作系统会内置遥测服务,应用例如浏览器,邮箱客户端以及社交软件也一样.
理解这一点非常重要:这些遥测数据可以绑定到你的设备,将你去匿名化,还可能之后被一个可以获取到这些数据的攻击者用来对付你.
这并不意味着例如Apple的设备对于隐私来说是个糟糕的选择(尽管这可能正在改变113),但它们确实不是用于匿名(相对来说)的最好选择.他们可能避免让第三方机构知道你在做什么,但第三方机构不包括他们自己.绝大多数情况下,他们的确知道你是谁.
在本指南后面的部分,我们将会在本指南支持的操作系统中使用我们掌握的一切手段来禁用和锁定尽可能多的遥测,以此来缓解此类攻击向量.
请看 Appendix N: Warning about smartphones and smart devices
Your Smart devices in general
没错,你的智能手机就是一个先进的 监视/追踪设备:
- 记录你在任何时间说的任何东西(“Hey Siri”,”Hey Google”)
- 随时随地记录你的位置.
- 一直记录你周围的设备(蓝牙设备,wifi接入点).
- 记录你的爱好和健康数据(步数,屏幕使用时间,接触疾病,连接的设备的数据)
- 记录你所有的网络地址.
- 记录你所有的照片和视频(很可能还有拍摄地点).
- 很可能可以获取你的大多数已知的帐号包括社交媒体,信息以及财务账户.
即使你拒绝了110,数据也一直在被许多第三方机构115传输,处理,然后永久存储(八成还是没加密的114).
但这还不是全部,这一章不是叫做”智能手机”而是”智能设备”因为不仅仅你的手机可以监控你,其他任何智能设备都可以这样做:
- 你的智能手表?(Apple手表,安卓智能手表…)
- 你的健身设备和软件116117?(Strava118119,Fitbit120,Garmin,Polar121)
- 你的智能音箱?(Amazon Alexa122,Google Echo,Apple Homepod…)
- 你的智能交通工具?(汽车?电瓶车?)
- 你的智能标签?(Apple AirTag,Galaxy SmartTag,Tile…)
- 你的汽车?(是的,大多数现代汽车现在拥有先进的记录/追踪功能123)
- 其他智能设备?甚至有方便的搜索引擎专门用来在线寻找它们:
请看 Appendix N: Warning about smartphones and smart devices
总结: 不要在进行敏感行为的时候携带你的智能设备.
Yourself
Your Metadata including your Geo-Location
元数据指关于你个人活动的所有信息,不包括具体的活动内容.例如,这就像知道你刚刚接到了肿瘤医生的电话,然后你又给你的家人和朋友打了电话.你不知道具体的谈话内容,但是你可以通过元数据猜出来124.
这些元数据通常还包括你正在被手机,操作系统(安卓125/IOS),浏览器,应用软件,网站收集的位置.可能有几家公司可以随时126准确地知道你的位置,通过你的手机127.
这些位置信息已经作为”geofencing warrants”129的一部分被用于许多司法案例中,允许执法部门向公司(例如Google/Apple)查询出现在指定时间地点的所有设备.此外,位置数据甚至被隐私公司出售给可以方便使用该数据的军方单位130.这些搜查令正在被执法部门广泛使用131132133.
如果你想自己经历一下”genfencing warrant”是什么样的,这里有一个例子: https://wigle.net/.
现在让我们假设你使用VPN隐藏IP.社交平台知道你使用的VPN IP在11月4日的8点至1点活跃于某个账户,而VPN据称不保存记录因此不能根据VPN IP追溯到你的IP,不过你的ISP知道(或者至少可能知道)你在11.4日7:30至2点曾连接到相同的VPN服务商,但是不知道你做了什么.
问题是: 是否有某个地方的某人可以通过一个方便的数据库将这两条信息134用于关联分析?
你听说过爱德华 斯诺登吗135?现在是时候google他然后读他的书了136.顺便再看一下关于XKEYSCORE137138,MUSCULAR139,SORM140,Tempora141和PRISM142.
请看 “我们基于元数据杀了人”143或者IDF的著名推文 https://twitter.com/idf/status/1125066395010699264[Archive.org][Nitter].
请看 Appendix N: Warning about smartphones and smart devices
Your Digital Fingerprint, Footprint, and Online Behavior
这部分你应该看一下Netflix的纪录片”The Social Dilemma”144,我个人认为他们比其他任何人都更好地涵盖了这个话题.
指纹包括你打字的方式(文体)145146,你的行为表现147148.你点击的方式,你浏览的方式,你的浏览器使用的字体149.指纹识别用于根据用户的行为方式猜测某人的身份.You might be using specific pedantic words or making specific spelling mistakes that could give you away using a simple Google search for similar features because you typed comparably on some Reddit post 5 years ago using a not so anonymous Reddit account150.The words you type in a search engine alone can be used against you as the authorities now have warrants to find users who used specific keywords in search engines151.
社交媒体平台例如facebook/google还可以更进一步,在浏览器中记录你的行为.例如,他们可以记录你打的字即使你都没有发送/保存.想想你在gmail里写邮件草稿的时候,它会自动保存你输入的内容.所以它们也能记录你的点击和鼠标移动.
在大多数情况下他们只需要在你的浏览器中启用javascript(而在大多数浏览器包括Tor浏览器默认都会启用)就可以做到这些.即使javascript被禁用了,他们还有其他方法来获取你的指纹152.
尽管这些方法通常被用于营销目的和广告,但这些方法也可以用于指纹识别用户.这是因为你的行为是独特的或者足够独特,随着时间推移,你可能被去匿名化.
这里有一些例子:
- 专业的公司正在向,例如执法机构,出售产品,以用于分析社交网络活动,例如 https://mediasonar.com/
- 例如,作为身份认证的基础,一名用户的打字速度,按键按下,错误模式(比如在每7笔交易中按了”I”而不是”k”)以及鼠标移动可以建立该用户独特的行为模式153.一些商业服务例如TypingDNA(https://www.typingdna.com/[Archive.org])甚至提供这类分析来代替两步验证.
- 这种技术还被广泛用于CAPTCHAS154服务以验证你是一个”人”,以及指纹识别一个用户.
- 请看 Appendix A4: Counteracting Forensic Lingusitics.
分析算法可以将这些模式与其他用户进行匹配,然后将你匹配到一个不同的一直的用户.目前并不能确定这些数据是否已经被政府和执法机构使用,但很有可能在未来被使用.并且尽管这些技术目前大部分被用于广告/营销/验证码,在不久的将来可以并且很可能会被用于侦查中,以去匿名化用户.
这里有一个有趣的例子,你可以尝试自己查看其中一些行为: https://clickclickclick.click (很抱歉该网页并没有archive链接).随着时间推移你会看到一些有趣的东西(这需要启用javascript).
这里还有一个近期的例子展示了google chrome收集了你的哪些信息: https://web.archive.org/web/https://pbs.twimg.com/media/EwiUNH0UYAgLY7V?format=jpg&name=4096x4096
如果你不能看这个纪录片的话,这里还有一些关于这个主题的资源:
- 2017,社交网络中的行为分析,https://link.springer.com/10.1007/978-1-4614-7163-9_110198-1rc
- 2017,社交网络的积极和消极影响 https://www.sciencedirect.com/science/article/pii/S1877042811013747/pdf?md5=253d8f1bb615d5dee195d353dc077d46&pid=1-s2.0-S1877042811013747-main.pdf[Archive.org]
- 2015,使用社交网络数据进行行为和情绪分析 https://www.researchgate.net/publication/300562034_Using_Social_Networks_Data_for_Behavior_and_Sentiment_Analysis[Archive.org]
- 2016,关于社交网络中的用户行为分析的调查 https://www.academia.edu/30936118/A_Survey_on_User_Behaviour_Analysis_in_Social_Networks[Archive.org]
- 2019,社交网络和社交媒体中的影响和行为分析 https://sci-hub.se/10.1007/978-3-030-02592-2[Archive.org]
那么,如何应付这些呢?
- 本指南会使用一些工具来提供应对措施,但这些可能还不够.
- 你应该运用常识然后尝试在你的行为中找到你自己的模式,当使用匿名身份时要表现出不同的行为.这包括:
- 打字方式(速度,准确度…)
- 用词(注意你常用的表达方式)
- 你的回复方式(如果你通常讽刺别人,试着根据身份用不同的方式)
- 使用鼠标和点击的方法(尝试用不同的方式解决验证码)
- 在使用某些软件和浏览某些网站时的一些习惯(不用一直使用相同的菜单/按钮/链接来获取内容)
- …
你需要表演,像一个演员那样完全扮演一个角色.你需要变成一个不同的人,像那个人一样思考和行动.这不是一个科技式的应对措施而是人工的,只能靠你自己来做.
最后,在使用匿名身份时,可以采用新的习惯和避免泄露个人信息来迷惑那些算法.请看 Appendix A4: Counteracting Forensic Lingusitics.
Your Clues about your Real Life and OSINT
这些你在过去暴露的线索可能会指向你的真是身份.你可能和某些人聊过天或者在一些版块/论坛/Reddit发帖.在那些帖子里,你可能会泄露出一些关于你现实生活的信息,可能是回忆,经历或者线索,你分享的这些可能让一个有动机的攻击者建立出一个轮廓来缩小搜索范围.
一个真实发生过的可考据的例子是黑客Jeremy Hammond155被逮捕,他分享了关于他过去经历的一些细节从而导致他最后被抓住.
Bellingcat也有一些涉及到OSINT的案例156.看一下他们相当丰富(但可能有些过时)的工具集: https://docs.google.com/spreadsheets/d/18rtqh8EG2q1xBo2cLNyhIDuK9jrPGwYr9DI2UncoqJQ/edit#gid=930747607[Archive.org]
还可以在这里看到一些可用的OSINT工具列表,如果你想自己尝试的话:
- https://github.com/jivoi/awesome-osint[Archive.org]
- https://web.archive.org/web/20210426041234/https://jakecreps.com/tag/osint-tools/
- https://osintframework.com/
- https://recontool.org
这个Youtube的播放列表也很有意思: https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy[Invidious]
以及一些有趣的博客:
https://www.inteltechniques.com/podcast.html
任何时候都不应该使用你的匿名身份分享真实的个体的经历/细节,因为这些信息之后可能会导致你的真实身份被发现.在Creating new identities
Your Face, Voice, Biometrics, and Pictures
他人即地狱,即使你规避了上述所有方式,得益于人脸识别技术的广泛使用,你仍然没有脱离险境.
facebook已经使用人脸识别技术多年了157158,还用了别的方法(卫星图像)创建了世界各地的人的地图159.这种演变已经持续了多年,以至于我们现在可以说”失去了对自己脸的控制”160.
如果你在旅游景点散步,几分钟之内你很大概率上就会出现在某人的自拍里而且你并不知道.那个人然后可能会把自拍上传到一些平台上(推特,谷歌照片,ins,脸书,snapchat…).这些平台会对照片使用人脸识别算法,以为了更好/更方便地标记或者更好地组织你的照片库作为借口.除此以外,该图片可能会提供一个准确的时间且在多数情况下还会包含拍摄地点.即使这个人没有主动提供时间和地点,仍然可以通过其他方法猜测到161162.
这里有一些资源,你可以自己试一试:
- Bellingcat,通过逆向图片搜索来调查: https://www.bellingcat.com/resources/how-tos/2019/12/26/guide-to-using-reverse-image-search-for-investigations/[Archive.org]
- Bellingcat,使用俄罗斯新的图片识别站点SearchFace https://www.bellingcat.com/resources/how-tos/2019/02/19/using-the-new-russian-facial-recognition-site-searchface-ru/[Archive.org]
- Bellingcat, Dali, Warhol, Boshirov: Determining the Time of an Alleged Photograph from Skripal Suspect Chepiga https://www.bellingcat.com/resources/how-tos/2018/10/24/dali-warhol-boshirov-determining-time-alleged-photograph-skripal-suspect-chepiga/[Archive.org]
- Bellingcat,验证视频内容的高级教程 https://www.bellingcat.com/resources/how-tos/2017/06/30/advanced-guide-verifying-video-content/[Archive.org]
- Bellingcat,使用太阳和阴影定位 https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/[Archive.org]
- Bellingcat, Navalny Poison Squad Implicated in Murders of Three Russian Activists https://www.bellingcat.com/news/uk-and-europe/2021/01/27/navalny-poison-squad-implicated-in-murders-of-three-russian-activists/[Archive.org]
- Bellingcat,柏林刺杀案: 嫌疑人FSB杀手的新证据传递给德国调查人员 https://www.bellingcat.com/news/2021/03/19/berlin-assassination-new-evidence-on-suspected-fsb-hitman-passed-to-german-investigators/[Archive.org]
- Bellingcat,数字搜索教程: 调查沙特领导的盟军轰炸也门医院 https://www.youtube.com/watch?v=cAVZaPiVArA[Invidious]
- Bellingcat,数字搜索教程: 在调查中使用人脸识别 https://www.youtube.com/watch?v=awY87q2Mr0E[Invidious]
- Bellingcat,数字搜索教程: 在欧洲定位(据称)贪污的委内瑞拉官员 https://www.youtube.com/watch?v=bS6gYWM4kzY[Invidious]
Gait Recognition and Other Long-Range Biometrics
即使你没有在看着摄像头,它们仍会检测出你是谁163,观察你的表情164,分析你的步态165166167,读取你的唇形168,分析你眼睛的表现169,还有可能猜测你的政治派别170171.
与大众信仰和流行文化相反,仅仅改变走路的方式并不能骗过现代步态识别系统(例如你的鞋子里有些不舒服的东西),因为系统分析的是肌肉在整个身体上的提动方式,当你在进行某些动作时.掣肘现代步态识别技术的最好方式是穿宽松的衣服,这样可以掩盖肌肉运动的方式.
可以用于识别你的特征还有耳垂,耳垂实际上比指纹更具识别性,甚至颅骨形状也可以用来识别.所以说柔软的头部覆盖物例如巴拉克拉法帽不推荐用来掩盖身份-这会让你看起来很可疑,同时还能用来确定你颅骨的形状.
(图片来自 https://www.nature.com/articles/s41598-020-79310-1[Archive.org])
(图片来自https://rd.springer.com/chapter/10.1007/978-3-030-42504-3_15[Archive.org])
那些平台(谷歌、脸书)已经因为一些原因知道你是谁了:
- 因为你在这些平台上有个人资料,你自己确定了自己
- 即使你没填过个人资料,你还是会有一个,并且你甚至都不知道172173174175176
- 因为其他人在假期、聚会照片上标记、确认了你
- 因为其他人在联系人列表中给你的联系方式用了张头像,然后他们分享了
这里有一个微软Azure的demo https://azure.microsoft.com/en-us/services/cognitive-services/face/#demo,你可以尝试检测表情和比较不同照片的脸部.
政府知道你的身份因为他们有你的身份证/护照/驾照,并且通常还在数据库里保存了生物识别(指纹).政府会在CCTV网络里集成一些科技(通常由私企如 the Israeli Oosto177,Clearview AI178179,或者NEC180提供),用来寻找一些”有趣的人”181.还有一些严重监视公民的国家,例如中国已经广泛实施了人脸识别,用于多种目的182183,例如可能被用来识别少数民族184.一个由算法导致的简单的人脸识别错误可能毁掉你的生活185186.
这里有一些资源详述了目前法律机构使用的一些技术:
- CCC video explaining current Law Enforcement surveillance capabilities:https://media.ccc.de/v/rc3-11406-spot_the_surveillance#t=761[Archive.org]
- EFF SLS: https://www.eff.org/sls[Archive.org]
苹果正在推动FaceID成为主流,用它来登陆许多服务包括银行系统.
同样指纹识别也被许多手机制造商作为识别你自己的主要手段.一张有你手指的图片就可以被用来反匿名化你187188189190
你的声音也一样,可以被分析用于多种用途,正如Spotify最近的专利所示191.
在某些地方你的虹膜甚至都可以用来身份识别192.
不难想象,在近未来如果不提供独特的生物特征将无法注册或登陆(不妨重看Gattaca193,Person of Interest194,Minority Report195).同样不难想象,这些大型生物特征数据库对于一些感兴趣的第三方机构是多有用.
此外,所有这些信息都可以通过换脸技术196制作虚假信息来对付你(如果你已经被去匿名化了),而且已经被用于这些目的了198199.甚至还有现成的商业服务例如https://www.respeecher.com/[Archive.org]和https://www.descript.com/overdub[Archive.org].
请看这个demo: https://www.youtube.com/watch?v=t5yw5cR79VA[Invidious]
目前,有一些方法200可以被用于缓解(也只能缓解)人脸识别,当你在进行敏感活动的地点可能有CCTV部署的时候:
- 戴面具已经被证实可以防御一些人脸识别技术201,但不是全部202
- 戴帽子以防止高角度的闭路电视(从上方拍摄的)识别你的面部.对于正面拍摄的摄像头这种方法是无效的.
- 戴太阳镜以缓解对眼部特征的识别.
- 考虑戴特殊的太阳镜(不幸的是有点贵)”Reflectacles” https://www.reflectacles.com/[Archive.org].有个小研究表明这种墨镜可以有效防范IBM和亚马逊的人脸识别203.
- 以上所有都有可能毫无用处,因为之前提到的步态识别.但还是有一点希望的,如果你有一台3D打印机: https://gitlab.com/FG-01/fg-01[Archive.org]
(请注意如果你打算使用上面提到的手段进入安装了高级人脸识别系统的场所,这些特征本身就会让你显得比较可疑,可能导致被人工检查)
Phishing and Social Engineering
钓鱼203是社会工程学205的一种攻击方式,攻击者可以通过伪装成别人来获取你的信息.
一个典型的案例是攻击者使用中间人攻击35或者用钓鱼邮件/电话让你登陆某个服务以获取你的登陆凭据.这可以通过电子邮件或者伪装成商业服务来实现.
这样的攻击还可以被用于反匿名化某人,通过欺骗他们下载恶意软件或者泄露个人信息.预防方式只能是根据常识别被骗到.
在互联网的早些阶段这些攻击已经被使用了无数次,比如常用的419骗局(请看 https://en.wikipedia.org/wiki/Advance-fee_scam[Wikiless][Archive.org]).
如果你想了解更多钓鱼种类,可以看这个视频:Black Hat,Ichthyology: Phishing as a Science https://www.youtube.com/watch?v=Z20XNp-luNA[Invidious].
Malware, exploits, and viruses
Malware in your files/documents/e-mails
使用隐写术或者其他技术手段,可以很容易地把恶意软件嵌入到普通文件中,例如Office文档,图片,视频,PDF文档…
可以是简单的HTML追踪链接或者复杂的有针对性的恶意软件.
可以是藏在邮件里的几像素大小的图片206,能够让远程服务器尝试获取你的IP地址.
可以是过时的格式或者阅读器中的可被渗透的漏洞207.这些漏洞可以被用来破坏你的操作系统.
请看这些视频进一步了解:
- 什么是文件格式? https://www.youtube.com/watch?v=VVdmmN0su6E[Invidious]
- Ange Albertini: Funky File Formats:https://www.youtube.com/watch?v=hdCs6bPM4is[Invidious]
你应该时刻保持警惕.为了预防这些攻击,本指南之后会推荐使用虚拟化以防止泄露任何信息,即使是在打开了恶意文件的情况下.
如果你想要了解如何识别恶意软件,请看 Appendix T: Checking files for malware
Malware and Exploits in your apps and services
额,假设你在使用洋葱浏览器或者连接Tor的Brave浏览器,为了增加安全性你可能正在使用VPN.但是你要知道有一些漏洞208是攻击者知道的(但是软件/浏览器开发者不知道).这些漏洞可以被用来破坏你的系统然后泄露一些可以被用来反匿名化你的信息,例如IP地址或者其他类似的东西.
这种技术的一个真实使用案例是2013年FBI使用了一个Firefox浏览器漏洞在暗网网站Freedom Hosting209植入了病毒软件210,这个漏洞可以让他们揭露一些用户的信息.最近,著名的SolarWinds211攻击通过将恶意软件植入官方软件更新服务器骇入了多个美国政府机构.
在某些国家,恶意软件是强制的,并且/或者是政府自己发布的.举个例子,中国的微信212可以被用来和其他数据结合以用于政府监管213.
这些年有数不清的恶意浏览器插件,手机软件,和各种被恶意软件渗透的应用.
这里有一些步骤缓解这些攻击:
- 不要完全信任正在使用的软件.
- 在使用前一定要检查软件是否为最新版本,强烈推荐用对应的签名验证每次下载,如果可以的话.
- 不要在硬件系统直接使用这些软件,而应该使用虚拟机运行.
为了应用这些建议,本指南之后会教你使用虚拟机(请看附录W: 虚拟化),即使你的浏览器/软件被一个高明的攻击者入侵,攻击者会发现他被困在了沙盒里214,不能获取识别信息或者入侵你的系统.
Malicious USB devices
还真有现成的在售”badUSB”215设备,而且很便宜.”badUSB”可以部署恶意软件,记录你的键盘输入,定位,监听或者控制你的电脑,只需要把它插进去就行了.这里有一些链接出售这些设备:
- Hak5,USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe[Archive.org]
- Hak5,O.MG cable https://www.youtube.com/watch?v=V5mBJHotZv0[Invidious]
- Keelog https://www.keelog.com/[Archive.org]
- AliExpress https://www.aliexpress.com/i/4000710369016.html[Archive.org]
这些设备可以被攻击者在任何地方植入(充电线,鼠标,键盘,u盘…),然后可以用来追踪你或者入侵你的电脑、手机.此类攻击的著名例子是2005年的震网病毒216.
尽管你可以物理上检查一个u盘,用各种工具扫描它,检查它的各种组件来确定它是正品,但你在没有先进的 forensics equipment 情况下,几乎不可能发现由高明的攻击者在u盘原装配件里嵌入的恶意软件217.
为了预防这些,任何时候都不要相信这类设备并且把它们插入隐私设备.对于充电器,你应该考虑使用usb数据锁定设备,只允许充电不允许任何数据传输.这样的数据锁定设备在许多网店里都有现成的.还可以考虑在电脑BIOS里完全禁用usb接口,除非你需要它们(如果你可以的话).
Malware and backdoors in your Hardware Firmware and Operating System
这一章可能听起来有点熟悉,因为在之前的你的CPU章节已经涵盖了部分内容.
恶意软件和后门可以直接嵌入到你的硬件组件中.有时候这些后门是制造商自己放的,例如英特尔CPU里的IME.在其他情况下,这样的后门可以由第三方机构在硬件订购和客户交付之间实施218.
攻击者也可以使用软件漏洞部署这样的软件和后门,其中大多数在业内都叫做rootkits219.通常,这类恶意软件很难检测和防范,因为它们在比用户空间220更低的层面上实现,一般是在固件221或者就是自身就是硬件组件.
固件是什么?固件是设备的底层操作系统.电脑的每一个组件可能都有固件,例如硬盘.BIOS222/UEFI223系统就是固件的一种.
上面的攻击手段允许远程管理,可以悄悄地完全控制目标系统.
正如之前提到的,这些很难被用户检测到,但仍然可以采取一些有限的步骤来缓解一些攻击,保护你的电脑不被篡改和使用一些功能(比如重刷bios).不幸的是,如果恶意软件或后门是制造商自己插入的,要想检测和禁用它们是极其困难的.
Your files, documents, pictures, and videos
Properties and Metadata
这对许多人是显然易见的,但并非对所有人都如此.大多数文件都有附属的元数据,例如存储EXIF224信息的图片可以持有很多信息,例如GPS坐标,拍摄的摄像头/手机模组,以及精确的拍摄时间.尽管这些信息不会直接暴露你的身份,但可以精确地泄露你在特定时间的特定地点,这可以让别人用各种资源来锁定你(闭路电视,或者例如在抗议游行期间的相同地点相同时间的镜头).请务必要检查你要上传到平台上的任何文件的任何可能包含能追溯到你的信息的属性.
一个EXIF数据的例子:
(图片来自维基百科)
对于视频也是一样的,是的,视频也有地理标记,而且很多人都不知道.这里有一个非常方便的工具可以在地理上定位油管视频: https://mattw.io/youtube-geofind/location[Archive.org]
因此,在使用匿名身份上传文件时一定要非常非常小心,务必要检查文件的元数据.
即使你发表的是纯文本文件,在发表前也一定要再三检查是否有任何信息被泄露.在一些对抗电子取证的额外方法章节中有关于这些的教程,该章节在指南的最后部分.
WaterMarking
Pictures/Videos/Audio
图片和视频通常会包含可见的水印以标识拥有者或创建者,但是在许多产品中还包含不可见的水印,旨在标识使用者自身.
因此,如果你是一个举报人,想泄露一些图片,音频,视频文件.请三思.这些文件有一定几率会包含不可见的水印,而水印又包含了你作为使用者的信息.
这类水印例如在Zoom中可以用开关轻松开启(视频225或者音频226),或者作为流行软件的扩展227,例如Adobe Premiere Pro.许多内容管理系统都可以插入这玩意.
一个最近的例子是某个人泄露了一个Zoom会议回放而被逮捕,因为回放有水印: https://theintercept.com/2021/01/18/leak-zoom-meeting/[Tor Mirror][Archive.org]
许多产品228229230231都可以使用隐写术232(藏头诗🤭)插入这样的水印,并且可以抵御压缩233和重编码234235.
这样的水印不容易被发现,就算做了所有的努力,还是可以标识来源.
除了水印外,拍摄视频的相机(以及其他用来拍摄的设备)也可以用很多科技手段来鉴定,例如长度鉴定236,而这可能被用来去匿名化.
在使用已知商业平台发布视频/图片/音频文件时一定要非常非常小心,因为除了图片本身的细节以外,也可能包含这样的不可见水印.对于这玩意没有100%可靠的防护措施,你只能靠常识了~
Priting Watermarking
你知道你的打印机很可能也在监视你吗?即使它没有接入任何网络?这是许多在IT社区的人的共识,但对其他人不是这样.
是的…打印机可以被用来去匿名化你,请看EFF的文章:https://www.eff.org/issues/printers[Archive.org]
来自EFF的视频(虽然比较老但很贴切):https://www.youtube.com/watch?v=izMGMsIZK4U[Invidious]
许多打印机在每一张打印纸上都会打印一个不可见的水印,用于标识打印机本身.这叫做打印机隐写237.没有切实的方法来防范,只能在用打印机的时候提醒自己,确保它不会打印任何不可见水印.当你想匿名打印的时候这非常重要的.
这有个EFF整理的不会打印此类追踪点的打印机和品牌的列表(虽然比较老但很贴切): https://www.eff.org/pages/list-printers-which-do-or-do-not-display-tracking-dots[Archive.org]
Whonix的文档也有一些小窍门(https://www.whonix.org/wiki/Printing_and_Scanning[Archive.org]):
不要用彩色打印,一般来说水印在不使用彩色墨粉/墨盒的时候不会存在238.
Pixelized or Blurred Information
你有看过文字模糊的文档吗?你取笑过那些试图”优化”图像以恢复不可读信息的电影/系列吗?
没错,确实有可以从此类文件,视频,图像中复原信息的技术手段.
这里有个开源项目,你可以自己尝试从模糊化图片中复原文本:https://github.com/beurtschipper/Depix[Archive.org]
这确实是一个所有人都可以使用的开源项目,不难想象这种技术很可能已经被一些攻击者使用过.这可以被用来从公开文档中揭露一些模糊化信息,然后用来去匿名化你.
还有教程教你使用图片处理工具例如GIMP来实现这种技术:
https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b[Archive.org] https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d[Scribe.rip][Archive.org]
最后,你还可以在这里发现大量去模糊化资源: https://github.com/subeeshvasu/Awesome-Deblurring[Archive.org]
一些在线服务甚至能够某种程度上地自动处理,例如 Myheritage.com的优化工具:https://www.myheritage.com/photo-enhancer[Archive.org]
这是上面图片的处理结果:
当然,这个工具更像是”猜测”而不是真正地去模糊化,但使用各种逆向图片搜索图片也足够找到你了.
还有一些关于视频的去模糊化/去马赛克的技术: https://positive.security/blog/video-depixelation[Archive.org]
因此,请务必确保在发表任何文档之前仔细地编辑和整理.模糊化还远远不够,你应该完全涂黑/移除任何敏感数据,以避免攻击者试图复原数据.不要打马赛克,不要模糊化,放个黑方块在上面就行.
Your Cryptocurrencies transactions
和大部分人认为的相反,加密货币交易(比如比特币和以太币)并不是匿名的239.大多数加密货币可以通过各种方法进行精确追踪240241.
请记住他们在主页里说的话: https://bitcoin.org/en/you-need-to-know[Archive.org] https://bitcoin.org/en/protect-your-privacy[Archive.org]:”比特币不是匿名的”
主要的问题不是使用VPN/Tor地址设置一个随机的加密货币钱包来收钱(在这个点上,钱包是匿名的).问题主要是当你想要在法定货币(欧元,美元…)与加密货币之间转化的时候,几乎没有可行的现实选择,只能转移到交易所(例如Coinbase/Kraken/Bitstamp/Binance).这些交易所的钱包地址是已知的,还会保存交易的详细记录(鉴于KYC242金融监管),然后就可以使用金融系统243追溯到加密货币交易.
在我的印象里是有一些具有隐私性/匿名性的加密货币,例如门罗币,但就算是它们也有一些需要考虑的警告244245.
即使你使用Mixers或者Tumblers246(通过”混合它们”,专门提供”匿名”加密货币的服务),切记这仅仅是混淆247,并不是真正的匿名248.他们不仅只能做到混淆,而且可能会让你有麻烦,因为你的加密货币迟早会和一些在各种可疑环境下使用的”脏”加密货币交换249.
不过你也不是完全不能匿名使用比特币,实际上你可以一直匿名地使用,如果你使用的是来自安全且匿名的网络的比特币钱包,并且从来不提现.这意味着你要通过各种交易所来规避KYC/AML监管,并且避免从任何已知IP地址使用比特币网络.请看附录Z:使用比特币在线匿名支付(或者其他任何加密货币).
综上,使用加密货币且具有适当匿名性和隐私性的最好选择仍然是门罗币,最好不要使用任何其他加密货币用于进行敏感交易,除非你已经意识到其中的局限性和风险.请一定要阅读附录B2: 门罗币免责声明.
太长了我不想看辣:用门罗币!
Your Cloud backups/sync services
所有公司都在宣传他们使用端对端加密(E2EE),实际上几乎每一个通讯软件和网站(HTTPS)都是这样.苹果和谷歌一直宣传他们在安卓和苹果设备上使用加密技术.
但是对于你的备份呢?那些自动化的iCloud/谷歌云盘备份呢?
额,事实上大多数手机备份没有被完全地端对端加密,还会持有一些易于被第三方机构获取的信息.虽然他们声称数据是静态加密的,非常安全…除了他们通常会保存一把密钥,用于自己从中获取一些数据.这些密钥被他们用于索引你的内容,恢复你的账户,收集各种分析数据.
有专门的商业取证方案(Magnet Axiom250,Cellebrite Cloud251),可以让攻击者轻松分析你的云数据.
著名的例子:
- 苹果iCloud: https://support.apple.com/en-us/HT202303[Archive.org]: “iCloud中的信息同样使用端对端加密.如果你开启了iCloud备份,备份中会包含该密钥的一份拷贝以保护你的信息.这能够让你在不能获取iCloud钥匙链和信任的设备时仍能恢复你的信息.”
- 谷歌云盘和WhatsApp: https://faq.whatsapp.com/android/chats/about-google-drive-backups/[Archive.org]: “当备份的媒体和信息存储在谷歌云盘里时将不受WhatsApp端对端加密的保护.“ 请注意脸书/Whatsapp已经在2021年10月14日宣布推出的加密备份(https://about.fb.com/news/2021/10/end-to-end-encrypted-backups-on-whatsapp/[Archive.org]),应该能解决这个问题.
- Dropbox: https://www.dropbox.com/privacy#terms[Archive.org]: “为了提供这样那样的功能,Dropbox获取,存储,以及扫描你的资料.您给了我们这样做的权限,这种许可还会延伸至我们的附属公司以及可信任的第三方合作机构.”
- Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement[Archive.org]: 生产力和通讯产品,”当你在使用OneDrive,我们会收集你使用该服务的相关数据,以及你存储的内容,用来提供,改善,保护这些服务.例如索引你的OneDrive文档的内容,之后你就可以搜索它们,以及使用位置信息以允许你根据照片拍摄地点来搜索图片.“
不要相信存储你的敏感数据(之前没在本地加密过的)的云服务提供商,请一定要警惕他们的隐私声明.在大多数情况下,他们可以获取你的数据,并且提供给第三方机构,如果他们想的话252.
唯一解决方案就是你自己先加密一遍数据,然后再上传到此类服务上,或者干脆就不要用.
Your Browser and Device Fingerprints
浏览器和设备指纹253是系统/浏览器的属性/能力的集合.这些在大多数网站上用于无形的用户追踪,但也用于根据浏览器调整用户体验.例如,根据指纹,网站可以向手机用户提供一个”手机版网页”,又或者推荐一个特定的语言/地理版本.除了一些采用特定方法的技术,大部分技术适用于最近的浏览器,例如基于Chromium254的,或者Firefox.
在这里可以找到更详尽的信息:
- https://amiunique.org/links[Archive.org]
- https://brave.com/brave-fingerprinting-and-privacy-budgets/[Archive.org]
大多数时候,对于浏览器/操作系统,这些指纹会,不幸的是,独一无二或者几乎唯一.这表示如果你没有采取一些预防措施的话,即使你从网站上登出然后用不同的用户名登陆,你的指纹仍会保持不变.
攻击者可以使用这些指纹在多个服务中追踪你,即使你没在其中任何一个服务中注册过并且屏蔽了广告.如果你在服务之间拥有相同的指纹,那么这些指纹可以反过来用于将你去匿名化.
注意尽管一些浏览器和拓展会提供一些指纹保护措施,这些措施本身就可以用来追踪你,正如这里解释的那样: https://palant.info/2020/12/10/how-anti-fingerprinting-extensions-tend-to-make-fingerprinting-easier/[Archive.org]
本指南建议用虚拟化(请看附录W: 虚拟化)来防御,混淆,随机化一些指纹标识符,采用特定建议(请看附录A5: 对于启用js的浏览器的额外预防措施和附录V1: 加固你的浏览器),以及使用防指纹收集的浏览器(Brave和Tor),以此来缓解这些问题.
Microarchitectural Side-channel Deanonymization Attacks
这是一种公开的攻击方式,可以将拥有已知别名的用户去匿名化.例如,试图追踪记者身份的攻击者可以利用记者的公开推特帐号,将其匿名身份和公开身份联系起来.这会破坏身份隔离化,可能导致完整的去匿名化,即使是实行正确OPENSEC的用户.
该攻击被刊登在 https://leakuidatorplusteam.github.io/[Archive.org],可以通过一个浏览器扩展来缓解问题:
- https://chrome.google.com/webstore/detail/leakuidator%2B/hhfpajcjkikoocmmhcimllpinjnbedll(Chrome,Edge…)
- https://addons.mozilla.org/en-US/firefox/addon/leakuidatorplus/(Firefox,Tor…)
一般不推荐在Tor浏览器里俺扎u那个扩展,因为每安装一个扩展就会为浏览器指纹收集多提供一个额外的数据点.正因如此,此扩展只是一个临时解决方案,直到浏览器开发者实施了修复之前.
通过分离浏览器的分离身份或者甚至是虚拟机,都不足以规避这种攻击.不过,另一个解决方案是确保在你开始使用匿名身份的时候,完全关闭所有连结到其他身份的活动.这一漏洞只会在你主动登陆一个非匿名身份的时候才会生效,问题是这也会阻碍有效的工作流程,因为在多个身份之间进行多任务处理变成了不可能.
Local Data Leaks and Forensics
大多数人应该都通过看犯罪片知道了取证分析是什么,这些技术(通常用于法律执行)会对证据进行各种分析,当然也会包括你的电脑和手机.
尽管这些在你”受伤”时通常由攻击者来完成,但也可能在一次常规控制或者边境检查时随机进行.这些不相关的检查可能会向事先不了解相关活动的攻击者泄露秘密信息.
取证分析技术现在已经非常先进,可以从你的设备中揭露大量信息,即使设备被加密过256.这些技术已被全世界的执法机构广泛使用,我们应该谨慎考虑.
这里有一些关于智能手机的最近报道:
- UpTurn,The Widespread Power of U.S. Law Enforcement to Search Mobile Phones https://www.upturn.org/reports/2020/mass-extraction/[Archive.org]
- New-York Times,警察能够渗透进你的手机 https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html[Archive.org]
- Vice,记录表明,全国各地的警察现在可以解锁iphone https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police[Archive.org]
我强烈建议你阅读一下这些从取证分析检察员角度出发的文档:
- EnCase Forensic User Guide,http://encase-docs.opentext.com/documentation/encase/forensic/8.07/Content/Resources/External%20Files/EnCase%20Forensic%20v8.07%20User%20Guide.pdf[Archive.org]
- FTK Forensic ToolKit,https://accessdata.com/products-services/forensic-toolkit-ftk[Archive.org]
- SANS Digital Forensics and Incident Response Videos,https://www.youtube.com/c/SANSDigitalForensics/videos
最后,这里有一份来自约翰霍普金斯大学的关于ios/安卓安全的目前状态的详细文章,非常具有指导性: https://securephones.io/main.html257.
针对电脑,有许多且普遍的分析技术.不过大部分问题都可以通过加密整个硬盘,虚拟化(请看附录W: 虚拟化),以及分割来缓解.本指南之后会详细介绍如何防范此类威胁和技术.
Bad Cryptography
在信息安全领域有一个非常流行的说法:”不要搞自己的加密算法!”
我们不希望大家因为这句话而放弃在密码学领域的研究和创新,所以,建议大家谨慎”搞自己的加密算法”,因为搞出来的一定不会是好的加密算法:
- 搞出优秀的加密算法并不容易,通常需要多年的研究来开发和完善.
- 优秀的加密算法是透明的,而且不会是私有/闭源的,因此它可以被同行评审.
- 优秀的加密算法会经过仔细、缓慢的开发过程,并且很少由一个人单独完成.
- 优秀的加密算法通常在学术会议上展示和讨论,然后发表在各种期刊上.
- 优秀的加密算法在发行前,会经过大规模的同行评审.
- 正确使用和实施现有的优秀加密算法就已经是一个挑战了.
不过,还是有些人硬要这么干,并且发布各种使用他们自己发明的加密算法或者专有的闭源方法的生产应用/服务:
- 对于使用闭源或专有加密方法的软件/服务一定要小心.所有优秀的密码学标准都是公开的并且通过了同行评审,披露你使用的标准不应该有问题.
- 警惕那些使用”修改版”或者专有加密方法的软件/服务262
- 默认情况下,不要信任任何”自己搞的加密算法”,除非该算法通过了审核,同行评审,审查,以及得到了密码学社区的认可263264.
- 没有”军用级加密算法”这一说法265266267
密码学是一个非常复杂的领域,劣质的加密算法容易导致你被去匿名化.
在本指南的范围内,我们建议坚持使用具有完善,已公开,以及通过同行评审的密码学方法的软件/服务.
那么,在2021年应该做啥呢?你应该获取自己使用的每一个软件的技术细节然后检查它们使用的是”劣质加密算法”还是”优秀的加密算法”.一旦你获取了技术细节,你可以查看这个页面来判断: https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html[Archive.org]
这里有一些例子:
- 哈希:
- 最好: SHA-3或者BLAKE2268
- 相对还行:SHA-2(SHA-256,SHA-512)
- 别用: SHA-1,MD5(不幸的是仍然被广泛使用),CRC,MD6(几乎没人用)
- 文件/硬盘 加密:
- 最好:
- 有硬件加速的269:AES(Rijndael)-256结合HMAC-SHA-2或者HMAC-SHA-3(这也是Veracrypt,Bitlocker,Filevault 2,KeepassXC,以及LUKS默认使用的).最好是SHA-3.
- 非硬件加速的:和上面有硬件加速的一样,或者也可以考虑:
- ChaCha20270或者XChaCha20(你可以在Kryptor上使用ChaCha20 https://www.kryptor.co.uk,不幸的是,在Veracrypt上不可以).
- Serpent271
- TwoFish272
- 别用: 任何其他算法
- 最好:
- 密码存储:
- 最好: Argon2,scrypt
- 如果上面的用不了,使用bcrypt,如果这个也不能用那么PBKDF2(仅当作最后的手段)
- 对Argon2d持有怀疑态度,因为可以被一些边信道攻击破解.最好用Argon2i或者Argon2id
- 别用: SHA-3,SHA-2,SHA-1,MD5
- 浏览器安全(HTTPS):
- 最好: TLS 1.3(最好是支持ECH/eSNI的TLS1.3)或者至少是TLS 1.2(广泛使用的)
- 别用: 其他任何东西(TLS <=1.1,SSL<=3)
- 使用PGP/GPG签名消息/文件:
- 最好用ECDSA(ed25519)+ECDH(ec25519)或者RSA 4096位
- 可以考虑用比PGP/GPG更现代化的 Minisign: https://jedisct1.github.io/minisign/[Archive.org]
- 别用: RSA 2048位
- 最好用ECDSA(ed25519)+ECDH(ec25519)或者RSA 4096位
- SSH 密钥:
- ED25519(最好)或者RSA 4096位
- 不要用 RSA 2048位
- 警告: RSA和ED25519不具有”抗量子性”274,尽管它们目前还没有被破解,但也很可能在未来的某一天被破解.这只是个时间问题,而不在于RSA是否会被破解.因此,在没有更好选择的时候才会使用这些.
这有一些关于使用劣质加密算法的真实案例:
- Telegram: https://democratic-europe.eu/2021/07/20/cryptographers-uncover-four-vulnerabilities-in-telegram/[Archive.org]
- Telegram: https://buttondown.email/cryptography-dispatches/archive/cryptography-dispatches-the-most-backdoor-looking/[Archive.org]
- Cryptocat:https://web.archive.org/web/20130705051050/https://blog.crypto.cat/2013/07/new-critical-vulnerability-in-cryptocat-details/
- 这里还有些例子: https://www.cryptofails.com/[Archive.org]
Later this guide will not recommend “bad cryptography” and that should hopefully be enough to protect you?(没懂这句话啥意思…)
No logging but logging anyway polices
许多人认为面向隐私的服务,例如VPN或者e-mail供应商是安全的,鉴于他们的不登陆政策或者加密方案.不幸的是,许多人忘了这些提供商毕竟是合法的商业实体,会受到运营地所在国家的法律约束.
任意供应商都可能会被强制偷偷(而且不会让你知道(例如使用带有禁言令275的法庭命令或者国家安全令276))记录你的活动,然后将你去匿名化.这里有一些最近的例子:
- 2021,Proton,在瑞士当局命令下,Proton记录法国活动家的ip地址(源链接已不可用).
- 2021,WindScribe,服务器并未加密,因为服务器要允许政府机构进行中间人攻击277.
- 2021,DoubleVPN服务器,记录和账户信息被执法机构扣押278.
- 2021,总部位于德国的电邮供应商Tutanota被强制要求监视指定的账户长达3个月279
- 2020,Tutanota被强制要求植入后门以监听并且保存一位用户的未加密邮件的拷贝280(他们没有解密已保存的邮件).
- 2017,PureVPN被迫泄露一位用户的信息给FBI281.
- 2014,一位EarthVPN用户因为提供给荷兰警方的记录而被逮捕282
- 2013,安全电邮供应商Lavabit因为反抗一个秘密禁言令而停止营业283.
- 2011,HideMyAss用户被去匿名化,并且记录被提供给FBI284
一些供应商实施应用了权证金丝雀285,这允许用户知道供应商是否受此类命令约束,但据我们所知这玩意目前还没有被测试过.
最后,一些公司可能是某些国家的赞助前端,这是众所周知的(请看 the Crypto AG story286 和 Omnisec story287).
因为这些原因,无论供应商的声明是什么样的,为了你的隐私请一定不要相信他们.在大多数情况下,如果你的任一账户被此类命令针对,你都会是最后知道的人,甚至你可能一直被蒙在鼓里.
为了防范此类问题,在你需要使用VPN的时候,我们建议用现金支付,或者接入Tor然后使用门罗币支付,防止VPN服务商获取你的任何可识别信息.
如果VPN供应商对你一无所知,那么鉴于他们的”不登陆但反正会登陆”,就可以避免任何问题.
Some Advanced targeted techniques
(图片来自《窃听风暴》,一部我们非常推荐的电影)
高明的攻击者可以使用很多先进技术来绕过你的安全措施289,前提是他们已经知道你的设备位置.其中许多技术的细节可以在这里查看 https://cyber.bgu.ac.il/advanced-cyber/airgap[Archive.org](Air-Gap研究页面,Cyber-Security研究中心,本-古里安大学),这份报告中也有一些 https://www.welivesecurity.com/wp-content/uploads/2021/12/eset_jumping_the_air_gap_wp.pdf[Archive.org](ESET,JUMPING THE AIR GAP: 15 years of nation-state effort),包括:
- 需要植入恶意软件的攻击:
- 通过被恶意软件感染的路由器泄露数据: https://www.youtube.com/watch?v=mSNt4h7EDKo[Invidious]
- 通过摄像头观察背光键盘的灯光变化来获取数据: https://www.youtube.com/watch?v=1kBGDHVr7x0[Invidious]
- 通过一个安全性受损的摄像头泄露数据(可以先使用之前的攻击): https://www.youtube.com/watch?v=om5fNqKjj2M[Invidious]
- 从外面通过红外光信号与安全性受损的摄像头通信: https://www.youtube.com/watch?v=auoYKSzdOj4[Invidious]
- 通过声学分析一个物理隔离的电脑的风扇噪音来泄露数据: https://www.youtube.com/watch?v=v2_sZIfZkDQ[Invidious]
- 利用无人机通过一个植入恶意软件且物理隔离的电脑的硬盘LED灯光获取泄露的数据: https://www.youtube.com/watch?v=4vIu8ld68fc[Invidious]
- 通过电磁干扰,从一个插着植入恶意软件的usb设备的物理隔离的电脑上泄露信息 https://www.youtube.com/watch?v=E28V1t-k8Hk[Invidious]
- 通过声学分析被植入恶意软件的HDD硬盘的噪音来泄露信息: https://www.youtube.com/watch?v=H7lQXmSLiP8[Invidious]
- 通过来自受损的的(有恶意软件)物理隔离电脑的GSM频率来泄露信息: https://www.youtube.com/watch?v=RChj7Mg3rC4[Invidious]
- 通过受损显示设备的电磁辐射来泄露数据: https://www.youtube.com/watch?v=2OzTWiGl1rM&t=20sn
- 通过电磁波从一个受损的物理隔离的电脑泄露数据给放在法拉第笼里的智能手机: https://www.youtube.com/watch?v=yz8E5n1Tzlo[Invidious]
- 使用超声波让两台受损的物理隔离的电脑通信: https://www.youtube.com/watch?v=yz8E5n1Tzlo[Invidious]
- 从一台受损的物理隔离电脑把比特币钱包泄露给手机: https://www.youtube.com/watch?v=2WtiHZNeveY[Invidious]
- 通过屏幕亮度从一台受损的物理隔离电脑上泄露信息: https://www.youtube.com/watch?v=ZrkZUO2g4DE[Invidious]
- 通过震动泄露数据: https://www.youtube.com/watch?v=XGD343nq1dg[Invidious]
- 通过将内存条转换为wifi发射器来泄露数据: https://www.youtube.com/watch?v=vhNnc0ln63c[Invidious]
- 通过电源线泄露数据: https://arxiv.org/pdf/1804.04014.pdf[Archive.org]
- 不需要植入恶意软件的攻击:
- 通过从远处观察室内的一堵空白墙来获取室内的人数以及他们在做什么290.这里有证明: http://wallcamera.csail.mit.edu/[Archive.org]
- 通过室内的一袋反光零食重构整个房间291: https://arxiv.org/pdf/2001.04642.pdf[Archive.org]
- 通过测量地板震动来辨识个体,还能确定他们的健康情况和心情292: https://engineering.cmu.edu/news-events/news/2020/02/17-mauraders-map.html[Archive.org]
- 从远处观察灯泡来聆听房间里的声音293,不需要任何病毒软件: 证明:https://www.youtube.com/watch?v=t32QvpfOHqw[Invidious].需要注意的是这种攻击并不新鲜,早在2013年就有一些文章介绍此类技术294,你甚至可以自己买设备来操作:http://www.gcomtech.com/ccp0-prodshow/laser-surveillance-laser-listening.html[Archive.org]
这里还有个来自相同作者们的视频来解释这些主题: Black Hat, The Air-Gap Jumpers https://www.youtube.com/watch?v=YKRtFgunyj4[Invidious]
现实地讲,本指南对于对抗此类攻击者也爱莫能助,因为这种病毒软件可能是由制造商,中间人295,或者任何能够物理接触到物理隔离的电脑的人所植入到设备里的,不过还是有一些缓解措施:
- 当连接到一根不可信/不安全的电源线的时候就不要进行敏感活动了,避免电源线泄露.
- 不要在可能已被骇入的摄像头面前使用设备.
- 在隔音房间内使用设备,避免声音泄露.
- 在法拉第笼里使用设备,避免电磁波泄露.(?)
- 不要在灯管可以被外面看到的地方谈论敏感信息.
- 从不同/不可预测/线下的地方购买设备,这样设备感染病毒软件的可能性会降低.
- 除可信任的人以外,不要让任何人使用你的物理隔离电脑.
Some bonus resources
- 可以看一看Whonix关于数据收集技术的文档: https://www.whonix.org/wiki/Data_Collection_Techniques[Archive.org]
- 看一下这个服务 https://tosdr.org/[Archive.org](关于服务条款),有很多服务的服务条款的概览.
- 看一下https://www.eff.org/issues/privacy[Archive.org]来获取更多资源.
- 看一下这个https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects[Wikiless][Archive.org],概览一下所有已知的大规模监视项目,当前,以及过去.
- 看一下这个 https://www.gwern.net/Death-Note-Anonymity[Archive.org](就算你不知道死亡笔记是啥)
- 考虑找一下Michael Bazzell的书《开源网络情报技术》来阅读(截止撰写本文时是第八版,可以了解更多关于最近OSINT技术) https://inteltechniques.com/book1.html
- 最后,查阅 https://www.freehaven.net/anonbib/date.html[Archive.org]以获取最新的有关网络匿名的学术论文.
Notes
如果你仍然不相信此类信息可以被许多行动者用于追踪你,你可以在一些平台上查看关于你自己的统计数据,而且你要知道那些只统计了合法的数据请求,并不包括来自PRISM,MUSCULAR,SORM或者XKEYSCORE的数据.
- 谷歌透明度报告 https://transparencyreport.google.com/user-data/overview[Archive.org]
- 脸书透明度报告 https://transparency.facebook.com/[Archive.org]
- 苹果 https://www.apple.com/legal/transparency/[Archive.org]
- Cloudflare https://www.cloudflare.com/transparency/[Archive.org]
- Snapchat https://www.snap.com/en-US/privacy/transparency[Archive.org]
- Telegram https://t.me/transparency[Archive.org](需要安装telegram)
- 微软 https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report[Archive.org]
- 亚马逊 https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF[Archive.org]
- Dropbox https://www.dropbox.com/transparency[Archive.org]
- Discord https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d[Archive.org]
- Github https://github.blog/2021-02-25-2020-transparency-report/[Archive.org]
- 抖音 https://www.tiktok.com/safety/resources/transparency-report?lang=en[Archive.org]
- Reddit https://www.reddit.com/wiki/transparency[Archive.org]
- 推特 https://transparency.twitter.com/[Archive.org]
General Preparations
在开始本章之前,可以先看一下安全模型.基于目前各种情况,我们只推荐一种安全模型:
零信任安全26(“从不信任,总是验证”).
这里有一些关于零信任安全的资源:
- DEFCON,Zero Trust a Vision for securing Cloud,https://www.youtube.com/watch?v=euSsqXO53GY[Invidious]
- 来自NSA,采用零信任安全模型,https://media.defense.gov/2021/Feb/25/2002588479/-1/-1/0/CSI_EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF[Archive.org]
Picking your route
首先,这里有一份基础UML图表,基于你的技能/预算/时间/资源有对应的可用选择.
Timing limitations
- 完全没有时间:
- 选择洋葱路线
- 你只有极其有限的时间来学习,并且需要一个快速生效解决方案:
- 最佳选择是tails路线(不包括”持续且合理地扯皮”这部分)
- 有时间,并且有重要的动机来学习:
- 选择任何路线.
Budget/Material limitations
- 预算很捉急,甚至连使用电脑都很麻烦,或者你只有一个手机:
- 选择洋葱浏览器路线
- 只有一个笔记本而且买不起别的.笔记本用来应付工作,家庭,或者你的个人事物(或者全都有):
- 有一个没有被监控的备用电脑,可以专门用于进行敏感活动:
- 不过电脑比较老旧,配置较低(内存少于6G,硬盘小于250G,CPU有点绿色):
- 配置还行(内存大于8G,硬盘大于250G,CPU速度还行):
- 配置较高(16GB或者32GB内存,硬盘大于250G,CPU超快的):
- 任何路线都行,不过如果你的威胁模型允许的话,推荐Qubes OS.
- 如果是基于ARM的M1 MAC:
- 基于一些原因,不太可能:
- m1上虚拟机要想使用x86镜像,只能使用商业软件(Parallels),但Whonix不支持.
- Virtualbox目前不支持ARM架构.
- Whonix目前也不支持ARM架构.
- Tails也不支持ARM.
- Qubes OS也不支持.
- 基于一些原因,不太可能:
M1 mac的唯一选择就是使用洋葱浏览器.不过我们可以大胆假设一下,既然你买得起苹果m1,那再搞个备用的x86架构笔记本用于敏感活动应该也不是不行.
Skills
- 如果本指南的所有内容对你来说都像是火星文,也就是说你没有任何IT技能.考虑:
- 有一些IT技能,并且到目前为止的内容大部分都能理解,考虑:
- IT水平中上,并且本指南的部分内容你已经熟悉,考虑:
- 任何路线(推荐Qubes OS,如果可以的话).
- 精英黑客,”没有汤勺”,”蛋糕是个谎言”,已经使用了很多年”doas”(dedicated openbsd application subexecutor),并且”all your base is belong to us”,并且你对systemd有强烈的个人观点.
- 这篇指南对你没有意义,对你用Libreboot和HardenedBSD加固过的电脑也帮不上忙 ;-)
Adversarial considerations
在选择正确的路线之前,还要考虑一下威胁和攻击者.
Threats
- 如果你主要关心的是对你设备的取证检查,你应该考虑:
- 如果你主要担心的是远程攻击者可能会揭露你在多个平台上的网络身份,你应该考虑:
- 如果你想要全面系统地在事后推卸责任(做好事不留名😼)296297,尽管有些风险298299,考虑:
- tails路线,包括 “长久且合理的推诿” 这部分(请看Persistent Plausible Deniability using Whonix within Tails)
- Whonix路线(在Windows和Linux上都可以实现,不过Linux门槛要高一点).
- 如果处于一个比较恶劣的环境,单独使用Tor/VPN是不可能/危险/可疑的,考虑:
Adversaries
- 水平较低:
- 资源不足:
- 任意程度的积极性: 随便一条路线
- 资源中等:
- 积极性较低: 随便一条路线
- 积极性较高: TAILS,Whonix,Qubes OS路线
- 资源丰富:
- 积极性较低: 任意路线
- 积极性中上水平: TAILS,Whonix,Qubes OS路线
- 资源不足:
- 水平中等:
- 资源不足:
- 积极性较低: 任意路线
- 积极性中上: TAILS,Whonix,Qubes OS路线
- 资源中等:
- 积极性较低: 任意路线
- 积极性中上: TAILS,Whonix,Qubes OS路线
- 资源丰富:
- 积极性中上: TAILS,Whonix,Qubes OS路线
- 资源不足:
- 水平很高:
- 资源不足:
- 积极性较低: 任意路线
- 积极性中上: TAILS,Whonix,Qubes OS路线
- 资源中等:
- 积极性中上: TAILS,Whonix,Qubes OS路线
- 资源丰富:
- 积极性中上: TAILS,Whonix,Qubes OS路线(不过可能已经超出了本指南的范围,因为这可能是一个国际攻击者)
- 资源不足:
无论是哪种情况,你都应该读一下来自Whonix文档的这几篇文章,这能让你对你的选择有更深入的了解:
- https://www.whonix.org/wiki/Warning[Archive.org]
- https://www.whonix.org/wiki/Dev/Threat_Model[Archive.org]
- https://www.whonix.org/wiki/Comparison_with_Others[Archive.org]
你可能会问:”我怎么知道我处于一个会积极监视和锁定活动家的恶劣网络环境中呢?”
- 首先看一下这个: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship[Archive.org]
- 在Tor项目OONI(Open Observatory of Network Interference)的网站上检查一些数据300:https://explorer.ooni.org/
- 看一下https://censoredplanet.org/有没有你的国家的数据.
- 对于中国,可以看 https://gfwatch.org/和https://www.usenix.org/system/files/sec21-hoang.pdf[Archive.org]
- 使用OONI自己测试(在敌对环境中这可能有点冒险).
Steps for all routes
Getting used to using better passwords
Getting an anonymous Phone number
如果你不准备在大多数主流社交平台上创建匿名帐号,只是想匿名地上网冲浪或者你使用的平台允许不使用手机号注册,那么你可以跳过这一章.
Physical Burner phone and prepaid SIM card
GET A BURNER PHONE
这是相当容易的.保持你的手机开机然后放在家里.带一些现金然后去一些随机的跳蚤市场或者小商铺(最好是里外都没有监控,同时避免被拍照),只需要买最便宜的那一款,用现金支付,不需要提供任何个人信息.手机只要能用就行.
关于你目前使用的手机的注意事项:把你的手机留在家里的目的是避免暴露你没在使用该设备.如果手机被关机了,这会创造一个元数据线索,然后被用来匹配手机关机的时间和一次性手机激活的时间.如果可以,让你的手机做一些事情(例如,看油管视频并且开启自动播放)来进一步隐藏元数据踪迹.这虽然不能完全避免被匹配,但如果你在买一次性手机的时候你原来的手机的使用模式相对可信,可以让匹配工作更加困难.
我们建议买个”老人机”,可以移除电池的那种(因为一些国家已经完全淘汰了1G-2G,所以如果你的手机网络仍然允许接入,可以考虑老款诺基亚).这是为了防止手机会自动发送/收集任何遥测/诊断数据.一次性手机永远不要接入任何wifi.
提醒: 警惕这里的一些卖家 https://therecord.media/malware-found-preinstalled-in-classic-push-button-phones-sold-in-russia/[Archive.org]
切记不要在任何可以关系到你的地理位置(例如家里,公司)打开一次性手机(即使都没插入SIM卡),以及和你其他已知智能手机相同的地点(因为该手机有容易关联到你的IMEI/IMSI).这好像是一个大负担,但其实并不是,因为这些一次性手机只会在设置/注册的过程中使用,以及偶尔用于验证.
在进行下一步之前,你应该测试一下手机能否正常工作.不过我们还是要重申一下,在你离开的时候请把手机放在家里(或者关机,如果你一定要带),然后在一个随机且不会追溯到你的地点测试一次性手机(同样,不要在监控前面进行,避开摄像头,注意你的周围),该地点不需要有wifi.
当你确定手机可以工作的时候,禁用蓝牙然后关机(方便的话把电池拔了),然后回家,恢复你的正常活动.然后进行下一步.
GETTING AN ANONYMOUS PRE-PAID SIM CARD
这是整篇指南最困难的地方.这是一个单点故障.因为各种KYC类型的规定301,不需要身份登记就能买到预付款SIM的地方越来越有限.
这里有个现在还能买到的地方的列表: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country[Archive.org]
你要能找到一个”不那么远”的地方,然后从物理上到那用现金买一些预付款SIM卡和充值卡,在去之前一定要核实下有没有强制要求登记的法案被通过(防止上面的wiki没更新).避开监控和摄像头,不要忘了买一些充值卡(if it is not a package),因为大多数预付款SIM卡在使用前要先充值.
在去之前,仔细检查一下卖预付款SIM卡的手机运营商是否需要任何形式的身份登记来激活和充值SIM卡.理想情况下,他们应该允许在你住的城市激活和充值SIM卡.
我们推荐来自英国的GiffGaff,因为他们”比较亲民”,激活和充值也不需要身份信息,而且甚至在网站上可以更改至多2次的电话号码.一张GiffGaff预付款SIM卡可以给你三个可用的电话号码.
在激活/充值后,回家之前,先把一次性手机关机.不要再让一次性手机开机,除非你待在一个不会泄露你身份的地点,并且最好是在带着一次性手机来之前,把真正的手机放在家里并且让它干点什么.
Online Phone Number
免责声明: 在根据自己选择的路线设置完一个安全的环境之前不要尝试.这一步需要联网,并且只应该使用匿名网络完成.不要用任何已知/不安全的网络来进行本章内容.请在完成任意一条路线之前跳过本章.
有许多商业服务提供号码来在线接受SMS信息,但其中的大部分都没有匿名性/隐私,而且很可能b用没有,因为大多数社交平台都限制了一个电话号码用于注册的次数.
有一些论坛和reddit版块(例如r/phoneverification)的用户会提供代接SMS信息的服务,当然要一些小费(使用paypal或者加密货币).不幸的是,基本上都是骗子,而且考虑到匿名性,风险很大.在任何情况下都不要走这条路.
至今为止,我们还未发现任何提供此类服务,接受现金支付(例如通过邮寄)并且信誉良好的服务商,不像VPN.但是有几个服务提供在线电话号码并且接受门罗币支付,匿名性相对还行(不过相较之前章节介绍的物理方法,这种不太推荐),可以考虑一下:
- 推荐: 不需要任何个人信息的(甚至不需要邮箱):
- (冰岛,接受门罗币) https://crypton.sh[Tor Mirror][Archive.org]
- (乌克兰,接受门罗币) https://virtualsim.net/[Archive.org]
- 需要个人信息(有效邮箱):
- (加利福尼亚,接受门罗币) https://mobilesms.io[Archive.org]
- (德国,接受门罗币) https://www.sms77.io/[Archive.org]
- (俄罗斯,接受门罗币) https://onlinesim.ru/[Archive.org]
这里可能还有一些 https://cryptwerk.com/companies/sms/xmr/[Archive.org].风险自负.
不过,假如你没钱呢?额,在这种情况下,你只能寄希望于免费服务了.这里有一些示例,风险自负:
免责声明:我们不会为其中任何供应商提供担保,因此我们还是建议你使用物理方法.如果使用网络号码,你只能依赖于门罗币的匿名性,不要使用任何需要任意形式的真实身份信息的服务.请务必看一下附录B2: 门罗币免责声明.
综上,从一个仍然支持现金支付,不需要身份登记来购买预付款SIM卡的物理地点更方便,更便宜,风险更低.但在你没有其他选择的时候,网络号码高低也能算个替代方案.
Get a USB key
如果你不准备在大多数主流社交平台上创建匿名帐号,只是想匿名地上网冲浪或者你使用的平台允许不使用手机号注册,那么你可以跳过这一章.
请准备至少一两个像样的u盘(最低限度是16G,推荐是32G的).
不要买也不要用一些用自加密作噱头的设备,比如这些: https://syscall.eu/blog/2018/03/12/aigo_part1/[Archive.org]
有一些可能有奇效302,但大多数都是没有啥实际保护措施的花哨玩意303.
Find some safe places with decent public Wi-Fi
你需要找一些可以使用公共可用wifi(不需要任何帐号/身份登记,避开监控)进行敏感活动的安全地点.
可以是任何不会直接联系到你的地点(家/公司),并且你在那可以不受干扰地使用一段时间wifi.另外,这还应该是一个你干活时不会被任何人”注意到”的地方.
如果你认为星巴克是一个好主意,那么你要考虑到:
- 很可能所有的门店里都有监控,而且监控记录的保存时间是未知的.
- 大多数情况下你需要买杯咖啡来获得wifi接入码.如果你使用电子支付买了杯咖啡,他们就能将你的wifi连接和身份绑定.
情境认知很关键,你需要时刻注意周围环境,并且避开一些旅游景点就像那里被埃博拉感染了一样.当有人在自拍,拍抖音,或者在ins上上传一些旅游照片时,你要避免出现在任何人的任何照片/视频里.如果你不幸中招,请牢记那些照片很有可能最终会发布到网上(公开或者私人),带有完整的附属元数据(时间/日期/地理位置),以及你的脸.这些可能会被脸书/谷歌/Yandex/苹果索引,甚至是所有三个字母的机构(NSA,FBI…😇).
While this will not be available yet to your local police officers, it could be in the near future.
最好有3-5个分开的可选地点,避免使用同一个地点两次.本指南里的多个步骤将会需要在未来数周内进行多次外出.
为了更好的安全性,还可以考虑从一个安全的距离连接到这些地方.请看附录Q:使用远距离天线来从安全的距离连接公共wifi
The Tor Browser route
本章会帮你配置好匿名冲浪的最简单容易的方式.这绝对不是最佳方法,在下面有更先进的方法-拥有更好的安全性以及对抗攻击者的防御措施.不过,洋葱浏览器是一种比较直接的方式,在没有预算,时间,技能,以及使用量有限的情况下可以快速且匿名地冲浪.
那么,什么是洋葱浏览器呢?洋葱浏览器(https://www.torproject.org/[Archive.org])是类似Safari/火狐/Chrome/Edge/Brave的浏览器,设计时考虑了隐私和匿名.
洋葱不同于其他浏览器的地方在于它会通过Tor网络使用洋葱路由连接到网络.推荐你先看一下洋葱项目官方的介绍视频: https://www.youtube.com/watch?v=JWII85UlzKw[Invidious].之后,你应该去他们的主页看一下他们的概览:https://2019.www.torproject.org/about/overview.html.en[Archive.org].不需要深入太多技术细节,洋葱浏览器是一种一劳永逸地用各种设备匿名浏览互联网的方案.对大多数人来说够用了,电脑和手机端都可以使用.
这里有几种为所有主流操作系统设置洋葱浏览器的方法.
Windows, Linux, and macOS
Android
- 前往:
- Play商店: https://play.google.com/store/apps/details?id=org.torproject.torbrowser
- F-Droid商店: 虽然商店里还没有,不过你可以依照指示手动添加 https://support.torproject.org/tormobile/tormobile-7/[Archive.org]
- 安装
- 打开洋葱浏览器
- 启动之后,点击右上方的设置图标
- 选择”Config Bridge”然后阅读附录X: 在恶劣的环境里使用Tor网桥
- 如有必要(在阅读上面的附录之后),启用网桥并且选择你想用的类型:
- Obfs4
- Meek-Azure
- Snowflake
个人而言,如果你需要使用网桥(对于非敌对性的环境是没必要的),最好选择Meek-Azure.即使你在中国然后想”翻墙”,meek-azure网桥应该也能奏效.这应该是混淆Tor活动的最佳选择,微软的服务器一般不会被锁定.
- 快完成了
和电脑版一样,你需要知道在Tor浏览器里有安全级别.在安卓,你可以通过下列步骤来设置:
- 点击menu(右下角)
- 点击设置
- 前往隐私和安全性部分
- 点击安全设置
你可以在这里找到每个级别的详细信息: https://tb-manual.torproject.org/security-settings/[Archive.org],不过这有个总结:
- 标准(默认):
- 启用所有功能(包括javascript)
- 进阶:
- 在非HTTPS网站上禁用js
- 一些字体和符号被禁用
- 所有视频的重播都是”点击播放”(默认禁用)
- 最高:
- 全局禁用js
- 一些字体和符号被禁用
- 所有视频的重播都是”点击播放”(默认禁用)
我们建议在大多数情况下选择进阶级别.在你认为你在浏览可疑或者危险的网站时,又或者你是个偏执狂,你可以启用最高级别.
如果你极度偏执,默认使用”最高”级别,如果网站因为禁用了js而不可用,可以考虑降级到”进阶”级别.
不过在使用一些网站的时候,进阶级别应该和一些额外防范措施一起使用,请看附录A5: 启用javascript的浏览器的额外预防措施
好了,现在可以用安卓设备匿名上网冲浪咯~
iOS
免责声明:Onion浏览器,继2018发行的一个版本之后,因为WebRTC而有一个IP泄露漏洞.它仍是IOS版唯一受官方认可的用于Tor网络的浏览器.用户在使用它时应多加小心,并检查是否有DNS泄露.
尽管官方的Tor浏览器还没有IOS版的,但有一个被Tor项目认可的叫做洋葱浏览器的替代品304.
- 前往 https://apps.apple.com/us/app/onion-browser/id519296448
- 安装
- 禁用wifi和蜂窝数据
- 启动洋葱浏览器
- 启动之后,点击右上角的设置按钮(之前禁用wifi和蜂窝数据是防止浏览器自动连接,以及允许访问这些选项).
- 选择”网桥设置”然后阅读附录X: 在恶劣的环境里使用Tor网桥
- 如有必要(在阅读上面的附录之后),启用网桥并且选择你想用的类型:
- Obfs4
- Meek-Azure
- Snowflake
个人而言,如果你需要使用网桥(对于非敌对性的环境是没必要的),最好选择Meek-Azure.即使你在中国然后想”翻墙”,meek-azure网桥应该也能奏效.这应该是混淆Tor活动的最佳选择,微软的服务器一般不会被锁定.
- 快完成了
和电脑版一样,你需要知道在Tor浏览器里有安全级别.在ios,你可以通过下列步骤来设置:
点击盾牌按钮(左上角)
你有三个级别可以选择
Gold: 如果你比较多疑,偏执,或者在浏览你认为危险的网站时可以使用.
禁用js
禁用网络套接字,定位,XHR
没有视频或音频
超链接不可以打开应用
WebRTC被锁定
HTTP/HTTPS混合被锁定
广告和弹窗被锁定
Silver:
- 允许一部分javascript
- 禁用网络套接字,定位,XHR
- 没有视频或音频
- 超链接不可以打开应用
- WebRTC被锁定
- HTTP/HTTPS混合被锁定
- 广告和弹窗被锁定
Bronze(不推荐):
- 允许js
- 允许视频和音频
- 超链接不可以打开应用
- WebRTC未被锁定
- HTTP/HTTPS混合未被锁定
- 广告和弹窗被锁定
推荐在大多数情况下使用”Silver”级别.在你认为你在浏览可疑或者危险的网站时,又或者你是个偏执狂,你可以使用”Gold”级别.Gold模式很可能会破坏大部分依赖javascript的网页.
因为在Silver模式下js被启用,请看附录A5: 启用javascript的浏览器的额外预防措施.
好了,现在可以用水果手机匿名上网冲浪咯~
Important Warning
这一条路线最简单,但不是为了对抗技术高超的攻击者而设计的.不过它可以在任何设备上使用,无论配置如何.这一路线还很容易受到关联性攻击(请看匿名Tor/VPN流量),并且对你设备上的任何东西都不可见(可能是恶意软件,漏洞,病毒,远程管理软件,家长控制…).额,如果你的威胁模型相当低,那么这条路线应该够用了.
如果你有时间,想学习一点新东西,我们推荐前往其他路线,因为它们能提供更好的安全性,防范更多风险,同时大大降低你的攻击面.
The Tails route
本章会帮你设置好tails系统,如果你处于下列情况之一:
- 买不起一台备用电脑
- 备用电脑太老旧了,性能不行
- 你技术水平比较低
- 就是要用tails(任性😤)
Tails305的意思是失忆型匿名即时操作系统.tails可以从u盘里启动,被设计为不留痕迹,并且强制所有网络连接都要通过tor网络.
把u盘插入电脑,开机,然后你会得到一个注重隐私和匿名的完整操作系统.在关机的同时,任何东西都会被清除,除非你把东西保存在了其他地方.
tails惊人地直截了当,用你现有的资源,不需要学习太多东西,就可以在短时间内上手.它还有大量文档和教程.
警告: Tails自带的软件并不总是最新的,同样Tor浏览器也不一定是最新版.请确保使用的是最新版本的tails,并且在使用tails自带的软件的时候一定要非常小心,因为它们可能有漏洞并且会暴露你的位置306.
不过tails还是有一些缺点:
- Tails使用Tor,因此你冲浪只能使用Tor浏览器.仅这一点就会让大多数你想在其上创建匿名帐号的平台觉得你很可疑(关于这点之后会有更详细的解释).
- ISP(你的或者某些公用wifi)也会知道你在使用Tor,这也会他们觉得你很可疑.
- Tails不包含(默认)一些你之后可能会使用的软件,如果你想运行一些特定的软件,事情就会变得有点复杂.(例如安卓模拟器)
- Tails使用的Tor浏览器尽管非常安全,但同时也会被大多数平台检测到,许多平台会因此阻碍你创建匿名身份.
- Tails不能避免你遭遇5美元扳手11.
- 正如之前解释的,Tails不足以从一个拥有足够资源的攻击者手上保护你.
重要提示: 如果你的电脑被监控/监视,并且实施了一些局部限制,请阅读附录U: 如何在受监控的电脑上绕过一些本地设置.
你还应该读一下tails的文档,警告,以及限制,在进行下一步之前 https://tails.boum.org/doc/about/warnings/index.en.html[Archive.org]
考虑到他们的文档非常棒,我们会将你重定向到他们的制作精良且维护良好的教程:
https://tails.boum.org/install/index.en.html[Archive.org],选择你的路线然后继续.
如果你因为网络审查或者其他问题而不能使用Tor,你可以照着教程尝试使用Tor网桥: https://tails.boum.org/doc/anonymous_internet/tor/index.en.html[Archive.org],关于这个在Tor的文档上有更多信息 https://2019.www.torproject.org/docs/bridges[Archive.org]
如果你觉得使用Tor很危险/可疑,请看附录P:当Tor和VPN不可用时尽可能地安全上网.
Tor Browser settings on Tails
用tor浏览器的时候,你应该点击那个小盾牌按钮(右上角,靠近地址栏)然后选择你的安全级别(请看https://tb-manual.torproject.org/security-settings/[Archive.org]以获取更多细节).一般有三个等级.
- 标准(默认):
- 启用所有功能(包括javascript)
- 进阶:
- 在非HTTPS网站上禁用js
- 一些字体和符号被禁用
- 所有视频的重播都是”点击播放”(默认禁用)
- 最高:
- 全局禁用js
- 一些字体和符号被禁用
- 所有视频的重播都是”点击播放”(默认禁用)
我们建议在大多数情况下选择进阶级别.在你认为你在浏览可疑或者危险的网站时,又或者你是个偏执狂,你可以启用最高级别.使用最高级别很可能会破坏大部分依赖javascript的网页.
临时重要警告: 请看微架构侧信道去匿名化攻击.
如果你极度偏执,默认使用”最高”级别,如果网站因为禁用了js而不可用,可以考虑降级到”进阶”级别.
最后,在Tails上使用进阶级别的Tor浏览器时,请看一下附录A5: 启用javascript的浏览器的额外预防措施.
当你完成后,电脑里会有一个能运行的Tails,前往创建网络匿名身份进行下一步,或者如果你想要长久且合理的推诿,请继续下一章.
Persistent Plausible Deniability using Whonix within Tails
请查看 https://github.com/aforensics/HiddenVM[Archive.org]
This project is a clever idea of a one-click self-contained VM solution that you could store on an encrypted disk using plausible deniability296(请看Whonix路线的第一章,还有一些关于合理推诿的解释,以及[如何安全地删除硬盘/固态硬盘以及U盘上的特定文件/文件夹/数据]-这部分在指南的末尾).
这可以创造一个混合了Tails和Whonix路线里的虚拟化选项的系统.
备注: 请看Whonix路线中的[Pick your connectivity method]以了解更多关于流动隔离的知识.
简而言之:
- 可以从u盘里运行非持久性tails(按照他们的建议)
- 可以用第二个容器持久存储虚拟机,可以正常加密或者使用Veracrypt合理推诿功能(例如可以是Whonix虚拟机).
- 可以利用新增的Tor流动隔离的功能(请看[Tor over VPN]了解更多关于流动隔离的信息).
在这种情况下,正如项目大纲陈列的那样,在你电脑上没有任何关于你活动的痕迹,敏感工作可以用存储在隐藏容器里的虚拟机做,而这很难一般的攻击者发现.
这一选择有意思的地方在于”轻装旅行”,以及在持之以恒地工作时对抗取证分析攻击.只需要两个u盘(一个放tails,另一个保存持久的Whonix系统并使用Veracrypt加密).一个u盘只需要存放tails,第二个u盘存放随机垃圾,但有一个可以用于合理推诿的诱饵硬盘卷.
你可能会好奇这会不会导致”Tor over Tor”体系,并不会.Whonix虚拟机将会通过透明网络直连互联网,而不是通过Tails洋葱路由.
未来,这一功能可能由Whonix项目本身支持,正如他们在这里解释的: https://www.whonix.org/wiki/Whonix-Host[Archive.org],但到目前为止,还没有向最终用户推荐.
请记住利用合理推诿的加密并不是万能钥匙,在拷问下也没什么用.实际上,根据你的对手是谁(威胁模型),完全不用Veracrypt(之前是TrueCrypt)是一个明智的决定,正如这个证明所展示的那样: https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm[Archive.org]
合理推诿只在对抗不会使用物理手段的软性合法对手时有效.
请看 https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis[Wikiless][Archive.org]
注意事项: 请看[附录K:考虑使用额外的固态硬盘]以及[理解硬盘和固态硬盘],如果你考虑用外接固态硬盘存储这种虚拟机的话:
- 不要在固态硬盘上使用隐藏卷,因为Veracrypt不支持/不推荐307.
- 使用文件容器而不是加密卷.
- 确保你知道如何正确地清理外接固态硬盘里的数据.
下面是我的实现过程:
Frist Run
- 安装最新版本的HiddenVM: https://github.com/aforensics/HiddenVM/releases[Archive.org]
- 安装最新XFCE版的Whonix https://www.whonix.org/wiki/VirtualBox/XFCE[Archive.org]
- 准备一个用veracrypt加密过的u盘
- 在u盘里创建一个隐藏卷(建议至少16GB)
- 在公开的卷里,放一些正常文件作诱饵.
- 在隐藏卷里,放入HiddenVM的Appimage文件
- 在隐藏卷里,放入Whonix XFCE镜像
- 启动Tails
- 设置键盘布局
- 选择额外设置,然后设置一个管理员(root)密码(安装HiddenVM的时候需要)
- 启动完成
- 连接到一个安全的wifi(这是后续步骤的必要前提)
- 进入utilities然后解锁Veracrypt(隐藏)卷(别忘了检查隐藏卷)
- 启动HiddenVM
- 当提示选择一个文件夹的时候,选择隐藏卷的根目录(Whonix镜像存放的位置)
- 让程序继续运行(这会在tails里一键安装Virtualbox)
- 导入Whonix镜像(请看Whonix虚拟机)
注意,导入过程中如果出现了类似”NS_ERROR_INVALID_ARG(0x80070057)”的错误,很可能是因为隐藏卷中没有足够的空间容纳Whonix.Whonix自己推荐32GB的空闲空间,但实际上没必要,10GB就足够运行了.你可以通过把Whonix后缀”.OVA”变成”.TAR”来绕开这个错误,然后使用Tails解压.解压完成之后把OVA文件删除,然后导入其他文件,然后应该就能运行了.
Subsequent Runs
- 启动tails
- 连接到wifi
- 解锁隐藏卷
- 启动HiddenVM软件
- 这应该会自动打开Virtualbox然后陈列你之前运行过的虚拟机
Steps for all other routes
Get a dedicated laptop for your sensitive activities
最好有一台不会轻易追溯到自己的备用笔记本(使用现金匿名支付,并且使用与之前提到的手机和SIM卡相同的防范措施).只是推荐,并不强制,因为本指南将会帮你尽可能地加固电脑以防止任何形式的数据泄露.在你的网络身份和真实身份之间会有几道防线,这应该能阻止绝大部分攻击者将你去匿名化,除非他们是有大量资源的国家/国际人员.
电脑最好是一台干净的新装系统的笔记本(系统是Windows,linux或者macOS),不用于任何日常活动,以及离线(从来没联过网).对于windows,如果在清洁安装之前使用过了,不要激活它(重装系统,不要用密钥激活).特别的,对于苹果电脑,它之前不应该以任何方式联系到你的真实身份.也就是说,从一个不认识你的陌生人手里用现金买一台二手的.
这是为了防患于未然,以防网络泄露(包括系统和应用的遥测数据)会暴露笔记本使用过程中的任意特殊标识(MAC地址,蓝牙地址,产品密钥…).此外,也是为了防止你在弃置笔记本后会被追溯到.
如果你因为一些目的而在之前用了这台电脑(例如用于日常活动),它的所有硬件标识可能已经被微软或苹果知道并且登记了.假如之后其中任一标识暴露了(通过病毒,遥测数据,漏洞,人工错误…),它们就可能追溯到你.
笔记本应该至少有250GB硬盘空间,至少6G的内存(最好8G或16G),并且应该可以同时运行多个虚拟机.电池需要足够运行几个小时.
笔记本可以用硬盘或者固态.每个选择都有相应的优点和缺点,之后会提到.
该笔记本将来执行的所有网络步骤最好是在一个安全的地点使用安全的网络例如公开wifi来完成(请看找到一些有正经公开wifi的安全地点).不过有几步需要先离线完成.
Some laptop recommendations
如果可以,强烈推荐使用”商业版本”的笔记本(不是用户/游戏版笔记本).例如联想的ThinkPad(我个人最爱).
这是因为商业版笔记本相比大部分用户版(华硕,微星,技嘉,宏基…),通常会有更好更多以及长期支持的自定义安全功能:
- 更好的自定义安全启动设置(你可以有选择地管理所有key,而不是仅仅使用标准的key)
- 除BIOS/UEFI密码外,还有硬盘/固态密码.
- AMD笔记本更有意思,在BIOS/UEFI设置里面默认提供了禁用AMD PSP(Intel IME的AMD平替版)的选项.而且据我所知,AMD PSP被审核过了,和IME相反,没有发现有任何”邪恶的”功能308.不过,如果你想进行Qubes系统路线,请考虑使用Intel处理器,因为Qubes系统anti-evil-mail系统不支持AMD309.
- BIOS里有安全抹除工具(对固态/NVMe硬盘尤其有用,请看附录M:用于抹除各种品牌的硬盘的BIOS/UEFI选项).
- 更好控制禁用/启用选择的外围设备(USB接口,wifi,蓝牙,摄像头,麦克风…).
- 利用虚拟化实现更好的安全功能.
- 原生反篡改保护.
- BIOS/UEFI更新的长期支持(以及后续的BIOS/UEFI安全更新).
- 其中一些支持Libreboot
Bios/UEFI/Firmware Settings of your laptop
PC
这些设置可以通过电脑启动菜单访问,这里有个来自HP的教程,解释进入各种电脑的BIOS的所有方法: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs[Archive.org]
一般来说进入BIOS的方法是在开机的时候(进入操作系统前)按特定的按键(F1,F2,F10,F12或者DEL).
进入之后,你需要应用一些推荐的设置:
- 如果可以,完全禁用蓝牙.
- 如果可以并且有生物识别功能(指纹扫描),禁用.不过,你可以为启动(预启动)添加一个额外的生物识别检测,但不包括进入BIOS/UEFI设置.
- 禁用网络摄像头和麦克风.
- 启用BIOS/UEFI密码,密码用密码短语而不是”密码”,确保在进行下列操作时需要该密码:
- 进入BIOS/UEFI设置
- 改变启动顺序
- 开机/关机
- 如果有硬盘/固态密码这个功能那就启用.该功能会给存储器自身添加一个额外的密码,可以防止存储器在其他电脑上不用密码就使用.请注意这个功能是某些制造商特有的,可能需要从一个完全不同的电脑上用特定的软件解锁该存储器.
- 确保不提供BIOS/UEFI密码就不能访问启动设置(启动顺序).
- 禁用USB/HDMI或者其他任何接口(以太,火线,SD卡…).
- 禁用Intel ME(不过失败的几率很高).
- 禁用AMD PSP(IME的AMD平替版本,请看CPU)
- 如果你打算用Qubes系统请禁用安全启动,因为系统可能不支持310.如果你用Linux/windows的话就保持开启.
- 检查下你的BIOS有没有一个用于硬盘/固态的安全抹除选项,在需要的时候这会比较方便.
只有在”需要用”的基础上才启用上述禁用的功能,然后用过之后再禁用.这可以缓解一些攻击-当笔记本被锁定但仍然开着的情况下被查封,或者你不得不迅速关机然后其他人占用了它(这一主题本指南之后会解释).
ABOUT SECURE BOOT
什么是安全启动呢311?简单来说,这是一个UEFI里的安全功能,设计用来防止电脑从未用存储在UEFI固件中的特定密钥签名的bootloader启动操作系统.
当操作系统(或者bootloader312)支持安全启动时,你可以把bootloader的密钥存储在UEFI固件里,然后这可以防止启动任何未经授权的操作系统(例如usb即时系统).
安全启动设置被密码保护,该密码是你设置用来进入BIOS/UEFI设置的.如果你有密码,那么可以禁用安全启动然后允许启动未签名系统.这可以防范一些邪恶女仆攻击(稍后会解释这个).
多数情况下,安全启动默认会被禁用,或者在”setup”模式下被启用,而这一模式允许启动任意系统.为了让安全启动生效,你的操作系统首先得支持,然后给bootloader签名,把签名密钥放入UEFI固件里.之后,你得去BIOS/UEFI设置里保存这些密钥,然后把安全启动从设置模式改为用户模式(或者是自定义模式).
再之后,只有UEFI固件能够验证其bootloader完整性的操作系统能够启动.
大部分笔记本在安全启动设置里有一些已经保存的默认密钥.通常,这些密钥来自厂商或者一些公司,例如微软.所以,这表示默认情况下,即使在安全启动模式下也能启动一些u盘里的系统: Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla…不过目前Qubes系统完全不支持安全启动.
在一些笔记本里,你可以管理这些密钥然后通过”自定义模式”来移除那些你不想要的,如果你想的话,还可以只授权你自己可以进行签名的bootloader.
所以说,安全启动到底保护了你哪里?它可以避免笔记本启动带有脏东西(例如嵌入式病毒软件)的未签名bootloader(OS提供者的).
安全启动不能保护到的地方:
- 安全启动不会加密你的硬盘,攻击者仍然可以只移除笔记本硬盘,然后用不同的机器提取数据.所以没有加密整块硬盘的安全启动b用没有.
- 安全启动不会保护你不受一个已签名bootloader攻击,而它可能被破坏并且被厂商自己签名了(例如微软的windows).大多数主流linux分发版近段时间都被签名了,并且开启了安全启动.
- 安全启动和其他操作系统一样有瑕疵和漏洞.如果你运行的是一个老旧的笔记本并且享受不到最新的BIOS/UEFI更新,这些漏洞会被保留.
此外,有几种攻击可能可以对抗安全启动,下列技术视频里有详细(深度)介绍:
- Defcon 22,https://www.youtube.com/watch?v=QDSlWa9xQuA[Invidious]
- BlackHat 2016,https://www.youtube.com/watch?v=0fZdL3ufVOI[Invidious]
所以,安全启动可以作为一个额外功能用来抵抗某些攻击者,但不是全部.安全启动本身不会加密你的硬盘.它是一个额外的层次,但也就那样.
我还是建议尽可能开启它.
Mac
花点时间看下教程然后设置一个固件密码: https://support.apple.com/en-au/HT204455[Archive.org]
根据这个文档,你还应该启用固件密码重置保护(Catalina中可用): https://support.apple.com/en-gb/guide/security/sec28382c9ca/web
这一功能可以降低一些攻击者使用硬件渗透来禁用/绕过固件密码的可能性.提醒一下,这也会在返修mac时阻止苹果工作人员进入固件.
Physically Tamper protect your laptop
有时候,你不可避免地会把电脑独自留在某个地方.你也不可能晚上抱着电脑睡觉,白天去任何地方都带着电脑.你不应该让任何人有机会动过你的电脑并且还不会被你发现.这是对抗一些不会使用5美元扳手的有限性敌人的最有用的办法11.
你要知道,在你电脑里装一个键盘记录器或者拷贝一份你的硬盘然后使用取证技术检测其中是否包含加密数据(之后会提到),对一些高手来说很容易.
这有个使用Nali Polish(和glitter)的廉价好方法来确保你的电脑不被动手脚: https://mullvad.net/en/help/how-tamper-protect-laptop/[Archive.org]313(有图片).
尽管这是一个好方法,但是它会引起怀疑,因为它太”显眼”了,可能会暴露出你”有某些东西要藏起来”.不过,有更多巧妙的方法来达成这一目的.例如,可以给电脑后盖的螺丝钉拍一个近距离特写,或者在其中一颗螺丝内放少量蜡烛,而这看起来就像是普通的灰尘.然后你可以通过对比图片来判断电脑有没有被动过手脚.如果攻击者不是很小心,那么螺丝的方向可能会有轻微变化(把它们拧到之前的状态).或者螺丝头底部的蜡烛与之前相比有些损失.
该技术还可以用于usb接口,你可以放一点点蜡烛在插口里面,如果插入了u盘那么里面的蜡烛就会损失一点.
在风险较大的环境里,在正常使用电脑之前先检查下它有没有被动手脚.
The Whonix route
Picking your Host OS (the OS installed on your laptop)
这一路线会大量使用虚拟机314,会要求一个宿主系统来运行虚拟机软件.有三个推荐的选择:
- Linux(除了Qubes系统)
- Windows 10/11(最好是家庭版本,因为没有Bitlocker)
- macOS(Catalina到Monterey之间)
此外,你的mac目前或者曾经与一个苹果帐号绑定过的概率很高(在购买的时候或者之后登陆),所以如果有硬件标识泄露,这些标识可能会导向你.
根据你的威胁模型,Linux也一定是匿名的最佳选择.这是因为使用windows在系统层面上允许我们方便容易地使用合理推诿296(又名可否认加密315).虽然windows同时也是一个隐私梦魇316,但它是唯一容易设置的使用全局合理推诿的选项.Windows的遥测以及遥测封锁也有大量记录,而这应该可以缓解许多问题.
所以,什么是合理否认呢?你可以和一个请求访问你的设备/数据的攻击者合作而不泄露你的真实秘密.通过可否认加密实现299.
一个合法的软性敌人可能会问你笔记本的密码是什么,开始你可以拒绝给出任何密码(“我有权保持沉默”,”我有不自证其罪的权利”),但是一些国家正在实施法律317318来免除这些权利(因为恐怖分子和”为孩子们考虑”).在这种情况下,你只能说出密码或是因为藐视法庭而面临坐牢.而这正好是合理推诿能够起作用的地方.
然后你可以说出一个密码,但这个密码只能获取”似是而非的数据”(一个诱饵系统).取证分析很清楚你可能隐藏了数据,但是他们没法证明(如果你的方法正确).你已经合作过了,调查人员可以获取到一些东西但那不是你真正想要隐藏的.因为举证责任应该站在他们那一边,他们没有其他选择只能相信你,除非他们能证明你隐藏了数据.
这一功能可以在系统层面实现(一个替身系统和一个隐藏的系统),或者在文件层面实现,你会有一个加密的文件容器(类似一个压缩文件),根据不同的密码会展示不同的文件.
这也表示你可以设置你自己的高级”合理推诿”体系,使用任何宿主系统并存储例如在一个Veracrypt隐藏卷容器里的虚拟机(小心在宿主系统里的痕迹,如果宿主系统是持久的,可能需要清理.请看[!Some addtional measures against forensics]章节).有一个利用Tails实现的项目(https://github.com/aforensics/HiddenVM[Archive.org]),会让你的宿主系统不持久,然后在Tails里实现合理推诿.
在windows系统里,合理推诿是你应该使用家庭版的理由(不是专业版).这是因为专业版原生提供一个加密整个硬盘的系统(Bitlocker319),而这个功能家庭版没有.之后在家庭版里可以使用第三方开源软件来实现加密整个硬盘.这能给你一个恰当(似是而非)的借口来使用该软件.而在专业版上使用这样的软件就很可疑.
关于linux的注意事项: 所以,linux和合理推诿呢?是的,用Linux也可能实现合理推诿.更多信息在之后的Linux宿主系统章节里.
但是,加密并不是魔法,会涉及到一些风险:
Threats with encryption
The 5$ WRENCH
记住有或者没有合理推诿的加密都不是万能钥匙,在线下真人快打的时候也没什么用.实际上,根据你的对手可能是谁(威胁模型),不使用Veracrypt(之前是TrueCrypt)是一个明智的决定,这篇证明很好地诠释了:https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm[Archive.org]
合理推诿只在对抗不会诉诸物理手段的软性合法攻击者时有效.如果你的威胁模型中包含硬性攻击者,请避免使用有能力合理推诿的软件(例如Veracrypt).所以,在这种情况下windows用户应该安装专业版作为宿主系统,然后使用Bitlocker.
请看https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis[Wikiless][Archive.org]
EVIL-MAID ATTACK
邪恶女仆攻击320的实现过程是在你离开的时候某人对你的电脑的动手动脚.克隆你的硬盘,安装恶意软件或者按键记录器.如果他们可以克隆你的硬盘,那么他们就能用此时的硬盘镜像与查收时的硬盘对比.如果你在这期间再次使用了电脑,取证分析检查员就可能通过查看本应是空的/未使用的空间在两个镜像之间的变动,来证明存在隐藏的数据.这会变成证明存在隐藏数据的有力证据.如果他们在电脑里(软件或者硬件)安装了一个按键记录器或者恶意软件,当他们查封时就可以从你这轻松获得密码供以后使用.这类攻击可以在你家里完成,旅馆里,入境点,或者任何你没有看管你设备的地方.
可以通过下列步骤防范攻击(就像之前推荐的):
- 基本的篡改保护(之前解释过)来避免在你不知情的情况下物理进入笔记本内部.这可以防止他们在你不知情的情况下克隆硬盘以及安装物理按键记录器.
- 使用有密码保护的BIOS/UEFI来禁用所有的u盘接口(之前解释过).同样,他们不能用u盘开机(前提是没有物理进入主板重设BIOS)然后克隆硬盘或者安装基于软件的恶意软件,例如按键记录器.
- 设置BIOS/UEFI/固件密码来防止启动任何未授权设备里的未授权系统.
- 一些系统和加密软件有[!Anti Evil Maind (AEM)]保护,可以启用.例如Windows/Veracrypt和QubesOS(只在英特尔处理器上).
COLD-BOOT ATTACK
冷启动攻击321比邪恶女仆攻击更狡猾,但可以作为邪恶女仆攻击的一部分,因为它也需要攻击者在你使用设备时或者之后,掌控你的电脑.
像视频里展示的那样,这个想法非常简单322,攻击者理论上可以在你关机后迅速从特殊u盘里启动设备,然后复制RAM里的数据(内存).如果usb接口被禁用,或者耗时较长,他们可以打开它然后使用喷雾或者其他化学物质(例如液氮)冷却内存,以避免内存清空,然后就可以复制内容来分析了.这一内存dump可能包含解锁设备的密钥.稍后可以运用一些原则来防范.
在合理推诿的情况下,已经有一些取证研究323可以用一个简单的取证检查技术性证明隐藏数据的存在(不需要冷启动/邪恶女仆攻击),但这些受到其他研究324以及Veracrypt维护团队325的质疑,所以我们目前不需要太担心.
用于防范邪恶女仆攻击的方法用在冷启动上时,需要一些额外的设置:
- 如果系统或者加密软件允许,你应该考虑加密在内存中的密钥(用Windows/Veracrypt是可能实现的,之后会解释).请看 https://sourceforge.net/p/veracrypt/discussion/technical/thread/3961542951/[Archive.org]
- 启用如果在Veracrypt里插入设备后就从内存中擦除密钥的设置.
- 限制睡眠待机的使用,用关机或者休眠代替,以避免在电脑进入睡眠后解密密钥还存储在内存中.这是因为睡眠会保持内存通电,用于更快恢复电脑的运行状态.只有休眠和关机会确保清除内存中的密钥326.
请看 https://www.whonix.org/wiki/Cold_Boot_Attack_Defense[Archive.org]和https://www.whonix.org/wiki/Protection_Against_Physical_Attacks[Archive.org].
对于linux用户,这里有一些有趣的工具可以用来防范这些:
- https://github.com/0xPoly/Centry[Archive.org](不过好像已经不维护了)
- https://github.com/hephaest0s/usbkill[Archive.org](也好像不维护了)
- https://github.com/Lvl4Sword/Killer[Archive.org]
- https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks[Archive.org]
- (仅Qubes系统,英特尔cpu)https://github.com/QubesOS/qubes-antievilmaid
ABOUT SLEEP, HIBERNATION, AND SHUTDOWN
如果你想要更好的安全性,就应该在每次暂离电脑的时候彻底关机,或者合上盖子.这应该清除以及/或者释放内存,防御冷启动攻击.不过这会有点小麻烦,因为你每次都要重新开机然后对各种软件输入超级多的密码.重新打开各种虚拟机和其他软件.鉴于这太麻烦,你还可以使用休眠(Qubes系统不支持).因为整块硬盘是加密过的,休眠自身不会造成很大的安全风险,不过会关机然后清除内存,同时允许之后方便地恢复电脑状态.你绝对不能做的是使用标准睡眠功能,这会保持电脑开机,以及内存通电.这是针对之前讨论的邪恶女仆和冷启动攻击的攻击向量,因为通电的内存中保存了用于硬盘的加密密钥(加密或者没有),可能被高技术力的攻击者窃取.
我们会在之后提供关于在各种系统里启用休眠的教程(除了Qubes系统),假如你不想每次都关机的话.
LOCAL DATA LEAKS (TRACES) AND FORENSICS EXAMINATION
正如之前提过的,这是你在电脑上执行任何活动时,从操作系统和软件中泄露的数据和痕迹.这些大多数适用于加密的文件容器(不管有没有合理推诿),而不是操作系统范围的加密.这样的泄露在整个系统被加密的情况下是”不太重要”的(如果你没有被强制说出密码).
举个例子,你有一个用Veracrypt加密过的u盘,以及启用了合理推诿.根据你挂载u盘时输入的密码,它会打开诱饵文件夹或者敏感文件夹.在诱饵文件夹里,有一些诱饵文件/数据,在敏感文件夹里,有敏感文档/数据.
在所有情况下,你会(最有可能)用windows自带的文件管理器,mac系统的Finder,或者任何其他工具打开文件夹,然后做你想做的事情.可能你会在敏感文件夹里编辑文档,搜索文件,删除文件抑或用VLC观看敏感视频.
ok,所有的软件和操作系统可能会保存记录,以及使用痕迹.这可能会包括文件夹/文件/驱动的完整路径,访问时间,文件的暂时缓存,在每个软件中的”最近打开”列表,可以索引驱动的文件索引系统,甚至是缩略图.
这里有一些关于这种泄露的例子:
WINDOWS:
- 在windows注册表里的shellbags会悄悄存储访问各种卷/文件/文件夹的历史记录327.
- windows索引默认保留用户文件夹中存在的文件的痕迹328.
- windows和许多软件里的最近访问列表(所谓的弹出菜单)会保存最近访问的文件的痕迹329.
- 在各种记录里的痕迹,请看这个海报以了解详情:https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download[Archive.org]
MACOS:
- Gatekeeper330和XProtect会在本地数据库和文件属性中追踪你的下载历史.
- Spotlight索引
- 最近访问列表
- 暂存文件夹保存软件使用和文件使用的各种痕迹.
- 系统记录
- …
LINUX:
- Tracker索引
- bash历史(~/.bash_history)
- USB记录
- 最近使用列表
- Linux记录
- …
取证分析可以使用这些泄露数据(请看本地数据泄露和取证分析)来证明存在被隐藏的数据,打消你使用合理推诿的企图,然后找出和你各种敏感活动相关的东西.
因此实施各种步骤来避免取证分析利用这些东西很重要,通过阻止和清除这些泄露/痕迹,然后更重要的是使用完整硬盘加密,虚拟化,以及隔离化.
取证分析不能从进入不了的系统中提取本地泄露的数据.你可以通过擦除硬盘或者安全地抹除虚拟机来清除大多数痕迹(而在固态硬盘上这一过程并不如你认为的那么容易).
一些清理技术将在本指南最后的”掩盖你的踪迹”章节介绍.
ONLINE DATA LEAKS
无论你是否用了简单的加密或者合理推诿加密.即使你在电脑里掩盖了踪迹.仍有风险会在网络上泄露数据然后暴露隐藏数据的存在.
遥测是你的敌人.就像之前提到的,系统和软件的遥测数据会在线发送数量惊人的隐私信息.
在windows里,这样的数据可以被用于证明电脑里存在隐藏系统/卷,并且可以在微软公司里随时获取.因此,务必用掌握的所有手段禁用和锁定遥测.无论用的是什么系统.
Conclusion
永远不要在未加密的系统上进行敏感活动.并且即使它已经加密,也不要在宿主机里进行敏感活动.相反,应该使用虚拟机来有效孤立和隔离活动,以及避免泄露本地数据.
如果你对Linux知之甚少,或者你想使用系统层面上的合理推诿,我们建议为了方便性使用Windows(或者回到Tails路线),本指南会帮助你尽可能地加固电脑来防止泄露,对Linux和Mac也是一样.
如果你对系统层面的合理推诿不感兴趣,然后想要学着使用Linux,我们强烈推荐选择Linux或者Qubes系统路线,当然电脑的硬件条件要允许.
在所有情况下,宿主系统永远不要直接用于进行敏感活动.宿主系统仅用于连接公用wifi接入点.当你在进行敏感活动的时候就不要使用它了,最好也不要用于日常活动.
可以看一下 https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs[Archive.org]
Linux Host OS
之前说过,不推荐将日常用电脑用于敏感活动,或者至少不要用原来的操作系统做.这样做可能会导致不必要的数据泄露,还可能被用来去匿名.如果你有一台备用电脑,你应该重装下系统.假如你不想要抹除所有数据然后重新开始,可以考虑用Tails,或者自行承担风险.
我建议初始化安装的时候全程离线,防止泄露任何数据.
你要知道,尽管名声在外,但主流linux分发版(例如Ubuntu)相比其他系统例如macOS和windows,安全性也没有更好.看看这个就知道为什么了 https://madaidans-insecurities.github.io/linux.html[Archive.org]
Full disk encryption
Ubuntu或Debian系统有两条路线可选:
- 使用LUKS:
- 没有合理推诿:
- (推荐,简单易用)作为安装的一部分进行加密:https://ubuntu.com/tutorials/install-ubuntu-desktop[Archive.org]
- 这个过程会格式化整个存储器(清洁安装)
- 查看”Encrypt the new Ubuntu installation for security”
- (繁琐)安装之后加密:https://help.ubuntu.com/community/ManualFullSystemEncryption[Archive.org]
- (推荐,简单易用)作为安装的一部分进行加密:https://ubuntu.com/tutorials/install-ubuntu-desktop[Archive.org]
- 有合理推诿: 请看 [The Detached Headers Way]章节
- 没有合理推诿:
- 用Veracrypt
- 不论用不用合理推诿: 请看 [The Veracrypt Way]章节
对于其他分发版,你只能自己摸索了,不过大体上是差不多的.通常来说,在安装时进行加密比较简单.
Note about plausible deniability on Linux
在Linux上实现合理推诿是可以的,有几种方法331.以下是我们推荐的一些方式的更多细节.这些方式需要有较高的Linux使用水平.
THE DETACHED HEADERS WAY
尽管本指南还不支持,通过使用独立的LUKS头部,还是可能在Linux上实现某种形式的合理推诿.更多细节在这里:https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encrypted_system_using_a_detached_LUKS_header[Archive.org]
THE VERACRYPT WAY
用Veracrypt实现系统级的完整硬盘加密(而不是LUKS)进而实现合理推诿,从技术上来说是可行的.Veracrypt本身不支持这个(只有windows支持系统级加密),需要对许多命令进行调整.不推荐菜鸟用户使用,使用风险自担.
实现步骤还没有整合到本指南,但可以在这里找到:http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/post/5779e55aae7fc06e4758(需要用Tor浏览器访问该网址).
Reject/Disable any telemetry
- 安装过程中,确保不允许弹出的任何数据收集政策.
- 如果不确定,只需要确保没有启用任何遥测,可以按照这个教程去做:https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your-pc/[Archive.org]
- 其他分发版: 自己摸索.
Disable anything unnecessary
- 禁用蓝牙:https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/[Archive.org],或者
sudo systemctl disable bluetooth.service --force - 禁用索引(Ubuntu > 19.04 默认启用),照着这个教程: https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html,或者用以下命令:
sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service如果报错一些服务不存在,不用管sudo tracker reset -hard
HIBERNATION
前面说过,除了关机和休眠不要使用别的睡眠功能,以此来防范一些邪恶女仆和冷启动攻击.不幸的是,许多linux分发版包括Ubuntu默认禁用了这一功能.可以启用它,但是不一定有用.下列操作风险自担.如果你不想做,就永远不要使用睡眠而是直接关机(并且设置合盖操作为关机而不是睡眠).
照着下面任一教程来启用休眠:
- https://www.how2shout.com/linux/how-to-hibernate-ubuntu-20-04-lts-focal-fossa/[Archive.org]
- http://www.lorenzobettini.it/2020/07/enabling-hibernation-on-ubuntu-20-04/[Archive.org]
- https://blog.ivansmirnov.name/how-to-set-up-hibernate-on-ubuntu-20-04/[Archive.org]
启用休眠后,把合盖的操作改为休眠,Ubuntu 20.04版本可以看这个教程:http://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu-20-04/[Archive.org],18.04可以看这个:https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/[Archive.org].还没有适用于Ubuntu 21.04或者 21.10的教程,但上面的20.04版本的应该也可以用.
但是,休眠不会直接从内存中清除密钥.以牺牲一些性能为代价,可以考虑加密交换文件,教程在这:https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap[Archive.org]
如果你休眠地够快,这些设置应该足以抵抗冷启动攻击.
Enable MAC address ramdomization
- Ubuntu:https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses[Archive.org].
- 其他分发版:自己摸索,但应该和Ubuntu差不多.
- 这个教程应该还能用:https://josh.works/shell-script-basics-change-mac-address[Archive.org]
Hardening Linux
给Linux新用户的轻度介绍:https://www.youtube.com/watch?v=Sa0KqbpLye4[Invidious]
更加深入了解以及一些高级选项,参考:
- 相当不错的指南:https://madaidans-insecurities.github.io/guides/linux-hardening.html[Archive.org]
- 相当不错的wiki:https://wiki.archlinux.org/title/Security[Archive.org]
- 基于上面指南和wiki的脚本:https://codeberg.org/SalamanderSecurity/PARSEC[Archive.org]
- 这些工具可以帮助加固Linux内核:
- Lynis:https://github.com/CISOfy/lynis
- Kconfig-hardened-check:https://github.com/a13xp0p0v/kconfig-hardened-check
- Debian系统可以考虑用KickSecure:https://www.whonix.org/wiki/Kicksecure[Archive.org]
- 一篇有趣的文章:http://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html[Archive.org]
Setting up a safe Browser
macOS Host OS
注意: 目前,本指南不推荐M1芯片的mac,因为VirtualBox还不支持这一架构.可以使用付费软件例如VMWare或者Parallels,但不在本指南讨论范围内.
之前说过,不推荐将日常用电脑用于敏感活动,或者至少不要用原来的操作系统做.这样做可能会导致不必要的数据泄露,还可能被用来去匿名.如果你有一台备用电脑,你应该重装下系统.假如你不想要抹除所有数据然后重新开始,可以考虑用Tails,或者自行承担风险.
我建议初始化安装的时候全程离线,防止泄露任何数据.
During the install
- 保持离线
- 禁用所有弹出的数据分享请求,包括位置服务
- 不要登陆Apple
- 不要启用Siri
Hardening macOS
新手看这里: https://www.youtube.com/watch?v=lFx5icuE6Io[Invidious]
深入了解: https://www.bejarano.io/hardening-macos/[Archive.org]
在离线安装之后要进行一些设置:
ENABLE FIRMWARE PASSWORD WITH “DISABLE-RESET-CAPABILITY” OPTION
首先,依照Apple官方教程设置一个固件密码: https://support.apple.com/en-us/HT204455[Archive.org]
不过,一些攻击仍然可能有效.攻击者可能禁用这个密码,所以你还要照着这个教程来防止固件密码被任何人禁用,包括Apple官方:https://support.apple.com/en-gb/guide/security/sec28382c9ca/web[Archive.org]
ENABLE HIBERNATION INSTEAD OF SLEEP
同样,关机以及在合盖后清除加密密钥是为了防止一些冷启动和邪恶女仆攻击.要么关机,要么休眠,除此之外不要用别的.在mac上,休眠功能甚至有一个特殊选项专门用来在休眠时清除内存中的加密密钥(然而在其他系统上你只能依赖内存清理).不过设置里没有现成的选项,所以需要用几个命令来启用休眠:
- 打开终端
- 运行:
sudo pmset -a destroyfvkeyonstandby 1- 这一指令会让mac在待机的时候销毁Filevault密钥(睡眠)
sudo pmset -a hibernatemode 25- 这一指令会让mac在睡眠期间关闭内存,而不是做一个保持内存供电的混合休眠.这会导致唤醒速度变慢,但会延长电池寿命.
现在当你把mac盖子合上的时候,它会休眠而不是睡眠,可以防范冷启动攻击.
此外,还应该设置一个自动化睡眠(设置 > 能量),mac会在你一段时间不使用后自动进入休眠.
DISABLE UNNECESSARY SERVICES
你用一些不必要的设置:
- 蓝牙
- 摄像头和麦克风
- 位置服务
- Airdrop
- 索引
PREVENT APPLE OSCP CALLS
这里披露了一些来自Big Sur系统的不太出名的”未阻止遥测数据”:https://sneak.berlin/20201112/your-computer-isnt-yours/[Archive.org]
你可以阻止OCSP报告,通过下面的命令:
sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'
不过在行动前还是要自己解决一些实际问题,这个页面是一个好的开始:https://blog.jacopo.io/en/post/apple-ocsp/[Archive.org]
这取决于你.我们会阻止它因为我们不希望在没有具体同意的情况下,从系统到主板有任何遥测.
ENABLE FULL DISK ENCRYPTION (FILEVAULT)
根据这个教程,你应该使用Filevault实现全盘加密:https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption[Archive.org]
启用的时候要小心.不要把恢复密钥存储在Apple上(这应该不成问题,因为目前阶段应该处于离线状态).你应该不希望一个第三方机构拥有你的恢复密钥.
MAC ADDRESS RANDOMIZATION
非常不幸,macOS没有为随机化mac地址提供一个原生且方便的方式,所以你得自己手动实现.在每次重启后这都会被重置,然后你每次都得重做,来确保你在连接各种Wifi的时候没有使用你真实的MAC地址.
使用以下命令:
- (关闭wifi)
networksetup -setairportpower en0 off - (改变mac地址)
sudo ifconfig en0 ether 88:63:11:11:11:11 - (打开wifi)
networksetup -setairportpower en0 on
Setting up a safe Browser
Windows Host OS
之前说过,不推荐将日常用电脑用于敏感活动,或者至少不要用原来的操作系统做.这样做可能会导致不必要的数据泄露,还可能被用来去匿名.如果你有一台备用电脑,你应该重装下系统.假如你不想要抹除所有数据然后重新开始,可以考虑用Tails,或者自行承担风险.
我建议初始化安装的时候全程离线,防止泄露任何数据.
Installation
看这里:附录A:安装windows
入门教程:https://www.youtube.com/watch?v=vNRics7tlqw[Invidious]
Setting up a safe Browser
建议开启mac地址随机化:
设置 -> 网络和Internet -> Wlan -> 开启随机硬件地址
或者你也可以用这个免费软件:https://technitium.com/tmac/[Archive.org]
Setting up a safe Browser
Enable some addtional privacy settings on your Host OS
WINDOWS HOST OS ENCRYPTION
IF YOU INTEND TO USE SYSTEM-WIDE PLAUSIBLE DENIABILITY
推荐用Veracrypt332用于全硬盘加密,文件加密以及合理推诿,Veracrypt是知名软件TrueCrypt的分支,但后者已经弃用并且不再维护了.它可以用来:
- 全硬盘简单加密(用一个密码短语加密)
- 带有合理推诿的全硬盘加密(这表示根据启动时输入的密码,会进入不同的系统).
- 简单加密的文件容器(这是一个很大的文件,可以在Veracrypt里挂载,就像一个外部硬盘一样,在其中存储加密文件).
- 有合理推诿的文件容器(根据挂载时使用的密码,会得到不同的内容).
据我所知,这是Windows家庭版上唯一(方便易用门槛低)免费,开源然后公开审计333,还提供合理推诿的加密软件.
从这里下载:https://www.veracrypt.fr/en/Downloads.html[Archive.org]
安装之后,花点时间看一下下面的设置,可以帮助防御一些攻击:
- 在Veracrypt选项334里以5-15%的性能作为代价加密内存.这一设置会禁用休眠(当休眠时不会主动清除密钥),改为加密整块内存来抵御冷启动攻击.该功能的更多细节在这里:https://sourceforge.net/p/veracrypt/discussion/technical/thread/3961542951/[Archive.org]
- 启用当新设备插入时清除内存中密钥的Veracrypt选项(system > settings > security > clear keys from memory if a new device is inserted).这在电脑被查封时仍然开机(但是锁定了)的情况下会有点帮助.
- 启用将挂载的卷作为可移除卷的Veracrypt选项(Settings > Preferences > Mount volume as removable media).这会防止Windows在事件记录中写入关于挂载的记录335,以及避免一些本地数据泄露.
- 如果你感觉有什么奇怪的事情发生,要小心谨慎,要有良好的环境意识.尽快把电脑关机.
如果你不想用加密内存(因为性能原因),至少应该启用休眠而不是睡眠.这虽然不会清除内存中的密钥(仍然可能被冷启动攻击),但如果你的内存有足够的时间来衰退,至少也能一定程度上地缓解.
更多细节在[Route A and B: Simple Encryption using Veracrypt (Windows tutorial)]
IF YOU DO NOT INTEND TO USE SYSTEM-WIDE PLAUSIBLE DENIABILITY
这种情况下,推荐用Bitlocker而不是Veracrypt来加密整个硬盘.原因是相比Veracrypt,Bitlocker不具有使用合理推诿的可能性.如果你说出了密码,硬性攻击者就没有动力继续进行”加强版”审讯了.
一般来说你需要安装Windows Pro版本,BitLockr的安装过程非常直接.
基本上,你可以看这个教程来完成:https://support.microsoft.com/en-us/windows/turn-on-device-encryption-0c453637-bc88-5f74-5105-741561aae838[Archive.org]
这里是具体步骤:
- 点击windows开始菜单
- 输入 Bitlocker
- 点击 管理Bitlocker
- 在系统盘上点击 开启Bitlocker
- 遵循以下步骤
- 如果弹窗让你在微软账户中存储恢复密钥,请拒绝.
- 只把恢复密钥放在另一个外接加密硬盘里.为了绕开这个,用微软打印软件把恢复密钥打印成PDF,然后把密钥保存在文件夹里,之后要删除这个密钥文件.
- 加密整个硬盘(不要只加密已使用的空间)
- 使用 新加密模式
- 运行 Bitlocker检查
- 重启
- 加密过程应该会在后台运行(你可以通过点击Bitlocker图标来检查)
不幸的是这还不够.经过这一步骤,Bitlocker密钥可能只是按原样存储在电脑的TPM芯片里,这很有问题因为密钥可以在某些情况下轻松被提取出来336337338339.
为了减轻这种情况,根据微软的建议,你需要启用一些额外的选项340:
- win+r
- gpedit.msc(这是组策略编辑器)
- 定位到 Computer Configuration > Administrative Templates > Windows Components > BitLocker > Operating System Drives
- 双击”启动时需要额外验证”
- 点击”配置TPM启动PIN”然后设置它为”需要TMP的启动pin”
- 双击”允许用于启动的增强PINS”
- 点击 “启用”(这可以让我们设置一个密码而不是PIN)
- 双击”启动时需要额外验证”
- 关闭组策略编辑器
- 以管理员权限启动cmd
manage-bde -portectors -delete c:(这回删除现有的保护:你不再需要的恢复密钥)manage-bde -protectors -add c: -TPMAndPIN(这会弹窗让你设置预启动密码)- 输入密码短语
manage-bde -status- 现在应该能看到在C盘下面的”密钥保护”的选项”TPM and PIN”
- 完成
现在当你重启电脑的时候,你应该需要:
- BIOS/UEFI启动密码
- SSD/HDD解锁密码(如果BIOS支持该功能)
- 一个你刚才设置的BItlocker预启动Pin界面,你需要输入密码
- 最后需要输入登陆密码
ENABLE HIBERNATION (OPTIONAL)
再说一遍,永远不要使用睡眠/搁置功能来抵御冷启动和邪恶女仆攻击.而是用关机或者休眠.因此你应该改变电脑合盖或者锁定后的功能,把睡眠改成休眠.
(注意,如果之前用Veracrypt加密了RAM,那么就不能再用休眠了)
原因在于休眠实际上会把电脑完全关机然后清除内存,而睡眠会一直让内存通电(包括加密密钥),这会让电脑被冷启动攻击.
默认下,win10/11不提供休眠,你得依照这一教程自己开启:https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/disable-and-re-enable-hibernation[Archive.org]
- 打开管理员中断
powercfg.exe /hibernate on- 然后运行
powercfg /h /type full- 这个命令会让休眠模式完全开启,会完全清除内存(尽管不安全).
之后进入电源设置:
- 控制面板
- 系统&安全性
- 电源设置
- 选择电源按钮的功能
- 把一切选项都改成休眠或者关机
- 回到电源设置
- 选择 Change Plan Setting
- 选择高级电源设置
- 把每个电源计划的睡眠值都改为0(从不)
- 之后就可以开启休眠了
- 禁用所有唤醒计时器
Deciding which sub-route you will take
现在可以在下列选项中选择一个:
- 路线A: 简单加密当前的系统
- 好处:
- 不需要擦除笔记本
- 不会有本地数据泄露的问题
- 固态硬盘也能正常工作
- 任何系统都行
- 简单
- 坏处
- 你可能会被攻击者强迫说出密码和所有的秘密,也没有合理推诿
- 在线数据泄露的威胁
- 好处:
- 路线B: 简单加密当前的系统,之后在文件自身上使用合理推诿:
- 好处:
- 不需要擦除笔记本
- 固态硬盘也能正常工作
- 任何系统都行
- 对于”软性”攻击者可以用合理推诿
- 坏处:
- 在线数据泄露的威胁
- 本地数据泄露的威胁(要清除这些泄露需要更多工作)
- 好处:
- 路线C: 合理推诿加密你的操作系统(笔记本上会运行一个”隐藏系统”和一个”诱饵系统”):
如你所见,路线C仅仅比其他路线多了两个隐私优势,而且只在对抗软性合法攻击者时有效.记得 <�strong><�a href=”https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis">https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis<�/a><�/strong><�sup><�a href=”https://wikiless.org/wiki/Rubber-hose_cryptanalysis">[Wikiless]<�/a><�/sup><�sup><�a href=”https://web.archive.org/web/https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis">[Archive.org]<�/a><�/sup>
选择哪条路线取决于你自己,路线A是最简单的.
一定要经常检查Veracrypt是否有新版本以此让你受益于最近的补丁,尤其在Windows大型更新之前一定要检查,因为更新windows可能会破坏Veracrypt bootloader然后让你进入重启死循环.
注意默认情况下Veracrypt总是建议使用QWERTY的系统密码(可以试试显示密码).这可能会导致一些问题,如果你的启动输入使用的是笔记本键盘(例如AZERTY),因为你会在QWERTY布局下设置密码,然后在启动的时候用AZERTY布局输入.所以,在测试启动的时候检查下BIOS使用的是什么键盘布局.你可能会仅仅因为QWERTY/AZERTY混淆而进不了系统,如果你的BIOS启动使用AZERTY,你需要在Veracrypt里用QWERTY模式下输入密码.
ROUTE A AND B: SIMPLE ENCRYPTION USING VERACRYPT (WINDOWS TUTORIAL)
如果你前面使用了BitLocker就跳过这一章.
The Qubes route
Creating your anonymous online identities
Understanding the methos used to prevent anonymity and verify identity
…
Getting Online
Creating new identities
…
Backing up your work securely
…
Covering your tracks
…
Some low-tech old-school tricks
…
Some last OPSEC thoughts
If you think you gout burned
…
…
Acknowledgments
Appendix
Appendix A: Windows Installation
Appendix B: Windows Addtional Privacy Settings
Appendix G: Safe Browser on the Host OS
Appendix M: BIOS/UEFI options to wipe disks in various Brands
Appendix N: Warning about smartphones and smart devices
在进行敏感活动时,切记:
- 不要携带真正的智能手机或只能设备(就算是关机的).关联式攻击出现在你的一次性手机”开机”之前就找到已经”关机”其他手机,虽然第一次这样做攻击不会奏效,但在几次之后,网络会收紧而你会被追踪.最好是把你的主力手机留在家中并且保持在线(请看这篇文章: https://biboroda.livejournal.com/4894724.html[Google Translate][Archive.org])
- 再次重申,不要带着它们除非它们是必要的.如果你必须这样做的话,你可以考虑关机然后移出电池,或者,如果不可以的话,把设备放在法拉第笼466里.有很多这样的法拉第”信号屏蔽”盒在售,并且其中一些的效用被研究过467.如果你买不起,you can probably achieve a “decent result” with one or several sheets of aluminum foil (as shown in the previously linked study).
- 请考虑将智能设备留在家中并且连网,然后让它们做一些事情(看Youtube/Netflix或者类似的事情),而不是携带它们并且关机.这会对反追踪起反作用,但还会产生可以表明你在家数字轨迹.
此外,如果使用的智能手机是一次性的,know that they send a lot of diagnostics by default,这足以根据你的设备使用模式来潜在地辨认出你(用一种叫做生物特征分析的技术).除非绝对必要,你应该避免使用一次性手机,以最小化能被收集然后用来识别你的信息.
最后,你还应该考虑这个来自NSA的关于智能手机安全的备忘录,这很有用: https://web.archive.org/web/20210728204533/https://s3.documentcloud.org/documents/21018353/nsa-mobile-device-best-practices.pdf.
注意: 请不要考虑使用以all-in为商业噱头的设备来匿名.实现正确的 OPSEC 的唯一方式就是你自己做.请看这些例子以明白为什么这不是个聪明的想法:
- AN0M: https://www.theguardian.com/australia-news/2021/sep/11/inside-story-most-daring-surveillance-sting-in-history[Archive.org]
- Encrochat: https://en.wikipedia.org/wiki/EncroChat[Wikiless][Archive.org]
- Sky ECC: https://en.wikipedia.org/wiki/Sky_ECC[Wikiless][Archive.org]
永远不要依靠商业服务来保护你的匿名性.
Appendix O: Getting an annonymous VPN/Proxy
Appendix P: Accessing the internet as safely as possible when Tor and VPNs are not an option
Appendix Q: Using long-range Antenna to connect to Public Wi-Fis from a safe distance
Appendix T: Checking files for malware
Integrity (if available):
通常,完整性检查469靠的是程序的hash(一般放在checksum文件里).旧文件可能用的是CRC470,最近的一般是MD5471,但这些方式都有一些弱点(CRC,MD5在验证文件完整性的时候是不可靠的(但这不意味着它们在某些情况下被广泛使用)).
这是因为这些算法无法避免hash碰撞473,这可能让攻击者创建一个相似的病毒文件,拥有相同的CRC或MD5 hash尽管文件内容不同.
因此,通常建议使用SHA系列474来hash,最多被用来验证文件完整性的可能是基于SHA-256的SHA-2475.SHA相比CRC和MD5能更好地避免hash碰撞476.并且SHA-256或SHA-512的碰撞几乎不可能被攻击者算出来.
如果源文件的SHA-256校验码可用,不要犹豫,一定要确认文件的完整性.注意虽然不推荐使用SHA-1,但也比没有哈希值来比较要好.
校验码本身应该被验证/信任,并且应该可以从可信任的源中获取(显然你不应该信任一个文件仅仅因为它附有一个校验码).
目前,SHA-256校验码对于每个文件包括PDF都是可用的,但还会使用GPG签名来验证检验码的真实性,真实性是下一部分的内容.
所以如何检验校验码?(这里用的是SHA-256不过你也可以用SHA-512)
- Windows 477
- 打开一个终端
- 输入
certutil -hashfile filename.txt sha256(可以用sha512或md5替换sha256) - 把结果和文件源中你信任的的hash比较
- mac:
- 打开终端
- SHA: 输入
shasum -a 256 /path/to/file(可以用512或1替换256) - 比较
- Linux:
- 打开终端
shasum /path/to/file(可用sha256sum,sha521sum或md5sum替换shasum)- 比较
切记校验码只是校验码.校验码匹配并不意味着文件本身是安全的.
Authenticity (if available):
完整性只是一部分,而真实性是另一部分.在这个过程你可以验证某些信息是否真实且来自预期的来源.通常是用通过公钥加密过的签名信息来验证(例如GPG478).
签名可以用于多种目的,可以让你同时检查完整性和真实性.
如果可以的话,你永远应该验证文件签名以确认它们的真实性.
本质上是:
- 安装GPG:
- windows: gpg4win(https://www.gpg4win.org/[Archive.org])
- mac: GPGTools(https://gpgtools.org/[Archive.org])
- Linux: 在大多数发行版中是预安装的
- 安装可信的源的签名密钥.如果没有直接给你钥匙,你应该在其他网站上检查以确保你使用的是正确的钥匙(Github,gitlab,twitter,keybase,public key servers…).
- 导入受信任的钥匙(用钥匙名字替换掉
keyfile.asc)- Windows:
gpg --import keyfile.asc - mac:
gpg --import keyfile.asc - Linux:
gpg --import keyfile.asc
- Windows:
- 验证文件签名(替换
filetoverify.asc为文件的签名,替换filetoverify.txt为实际文件)- windows/mac/Windows:
gpg --verify-options show-notations --verify filetoverify.asc filetoverify.txt - 结果应该是签名没问题,和你之前导入的签名匹配
- windows/mac/Windows:
这里有一些教程:
- https://support.torproject.org/tbb/how-to-verify-signature/[Archive.org]
- https://tails.boum.org/install/vm/index.en.html[Archive.org](看 Basic OpenPGP verification部分)
- https://www.whonix.org/wiki/Verify_the_Whonix_images[Archive.org]
这些教程适用于任何带有钥匙的文件.
Security (checking for autual malware):
在理想情况下,每次检查都应该发生在沙盒化/硬编码的虚拟机中.这是为了减小恶意软件入侵宿主机的可能性.
Anti-Virus Software
你可能会问自己,杀毒软件可以解决所有问题吗?emm,并不能…杀毒软件并不是对抗现代恶意软件和使用了变形代码480的完满解决方案.但这不并意味着杀软不能抵抗不那么复杂的和已知的攻击.这取决于我们如何使用杀毒软件因为杀软本身就可以变成一个攻击向量.
同样,这是一个威胁模型的问题.杀毒软件能帮你抵御国家安全局吗?不太可能.它可以帮你抵御资源有限、使用已知病毒软件的攻击者吗?应该可以.
有些人会普遍反对杀毒软件,例如Whonix481,但Whonix社区的其他成员甚至也在讨论这个话题482,并且一直有争议.
与流行观点延伸出来的只有windows会被恶意软件入侵、检测工具在Linux和mac上毫无用处的说法正相反:
我的看法是务实主义的.一些杀毒软件仍具有某些可选、有限的使用空间.但这要取决于你使用的是什么和你如何使用:
- 不要使用杀毒软件的实时保护功能,因为它们通常会以管理员权限运行然后可以变成一个攻击向量.
- 不要用任何使用云保护或者传输扩展遥测数据和样本给他们公司的商业杀毒软件.
- 可以用开源、非实时、离线的反病毒工具作为扫描某些文件的额外方案,例如:
- windows/linux/mac/qubes OS: ClamAV (https://www.clamav.net/[Archive.org])
- Linux/Qubes OS: RFXN Linux Malware Detect (https://github.com/rfxn/linux-malware-detect[Archive.org])
- Linux/Qubes OS: Chkrootkit(http://www.chkrootkit.org/[Archive.org])
- 你也可以使用在线服务检查非敏感文件,例如VirusTotal(https://www.virustotal.com/gui/),Hybrid-analysis(https://hybrid-analysis.com/)
- 你可以在VirusTotal数据库里检查文件的哈希,如果你不想发送文件的话:请看 https://developers.virustotal.com/v3.0/docs/search-by-hash[Archive.org]
- 使用其他工具也行,这里有一个方便的列表:https://github.com/rshipp/awesome-malware-analysis#online-scanners-and-sandboxes[Archive.org]
- 请注意尽管VirusTotal好像在扫描多个文件时非常实用,他们的”隐私政策”是有点问题的(请看 https://support.virustotal.com/hc/en-us/articles/115002168385-Privacy-Policy[Archive.org]),注意这个声明: “When you submit Samples to the Services, if you submit Samples to the Services, You will collect all of the information in the Sample itself and information about the act of submitting it”.
因此,切记你任何上传的文件都会被它们保留,分享,并且用于商业用途包括内容.因此,不要用VirusTotal分析敏感信息而是用本地病毒软件扫描器(那种不会在线发送样本的).
因此,如果你有些疑虑:
- 对于不敏感的文件,强烈建议在打开任何文件/图片/视频/文档/程序之前用VirusTotal检查一下(或者其他工具),因为…干了也没啥损失不是吗?(可以上传或者只检查哈希值)
- 对于敏感文件,建议至少用未提权的离线ClamAV扫描一遍.
例如,这篇指南的PDF文件就被上传到了VirusTotal因为这意味着成为了公共知识,并且也没有有效依据来反对这个行为.这虽然不能阻止恶意软件,但是检查一下也没啥损失.
Manual Reviews
还可以使用工具来检查各种文件是否包含病毒,可以作为一种额外措施,对于文档来说尤其有用.
这些方法需要更多步骤,但在你想更进一步的时候会很有用.
PDF files:
对于这篇指南的pdf,如我的仓库里的README解释的那样,你可以使用PDFID检查是否有异常,在这里下载 https://blog.didierstevens.com/programs/pdf-tools/[Archive.org]:
安装python3
下载PDFID然后解压
运行
python pdfid.py file_to_check.pdf,对于本指南的pdf文件,你会看到很多个0:/JS 0 #This indicates the presence of Javascript
/JavaScript 0 #This indicates the presence of Javascript
/AA 0 #This indicates the presence of automatic action on opening
/OpenAction 0 #This indicates the presence of automatic action on opening
/AcroForm 0 #This indicates the presence of AcroForm which could contain JavaScript
/JBIG2Decode 0 #This indicates the use of JBIG2 compression which could be used for obfuscating content
/RichMedia 0 #This indicates the presence of rich media within the PDF such as Flash
/Launch 0 #This counts the launch actions
/EmbeddedFile 0 #This indicates there are embedded files within the PDF
/XFA 0 #This indicates the presence of XML Forms within the PDF
额,如果你还是觉得这个pdf有点可疑?不用害怕…还有更多方法确认它不包含病毒:
- Qubes OS: 考虑使用 https://github.com/QubesOS/qubes-app-linux-pdf-converter[Archive.org],这会将pdf转化为扁平化的图片,理论上这会移除其中的任何恶意代码.注意这也会将PDF的格式无效化(例如链接,标题,书签和参考).
- (已弃用) linux/qubes OS(或者mac通过homebrew,windows通过cygwin): 请不要考虑使用 https://github.com/firstlookmedia/pdf-redact-tools[Archive.org].这也会将pdf转化成扁平化的图片.同样,理论上也能移除任何恶意代码以及会让格式无效化.注意这个工具已经被弃用,它依赖于一个叫做”ImageMagick”的库,而该库有几个已知的安全问题493.你不应该使用这个工具,即使其他指南中可能会推荐它.
- windos/linux/Qubes/mac: 考虑使用 https://github.com/firstlookmedia/dangerzone[Archive.org],这个工具的灵感来自上面的Qubes PDF Converted,功能相似,不过有更好的维护,并且兼容很多系统.这个工具也能用来处理图片,ODF文件和Office文件(竟敢:在windows,这个工具需要安装Docker,这可能会和VirtualBox和其他虚拟化软件冲突,因为它需要启用Hyper-V.VirtualBox和Hyper-V不能兼容494.请考虑使用Linux虚拟机而不是windows安装它,这会方便一点).
Other types of files:
还有很多各种各样的工具可以使用,在这里你可以为各种类型的文件找到对应的工具:
- 文档/图片: 考虑使用 https://github.com/firstlookmedia/dangerzone[Archive.org].就不介绍了,上面有.
- 视频: 一定要非常小心,请使用最新的播放器在沙盒环境中播放视频.还记得这个吗 https://www.vice.com/en/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez[Archive.org]
- 来自SANS的实用备忘录: https://digital-forensics.sans.org/media/analyzing-malicious-document-files.pdf[Archive.org](警告,许多工具都不兼容windows,你应该考虑在Linux上使用,例如Tails,Whonix工作台,或者你选择的Linux分发版.这里还有一些有用的指南488)
- 这个github仓库有很多关于恶意软件分析的资源: https://github.com/rshipp/awesome-malware-analysis[Archive.org]
- 这个有趣的pdf详细讲解了各种文件类型对应的检查工具: https://www.winitor.com/pdf/Malware-Analysis-Fundamentals-Files-Tools.pdf[Archive.org]
即使有这么多的工具,你还是可能会被先进的恶意软件攻击,如果这些工具没有检测出问题的话.请一定要小心,如果可能,记得使用孤立的虚拟机处理这些文件,以限制攻击面和向量.
Appendix U: How to bypass (some) local restrictions on supervised computers
在某些情形下,你唯一能用的一次性设备实际上不是你的,例如:
- 使用一个你可以控制的有限制的工作用计算机.
- 滥用家长控制功能以监控你电脑的使用情况(尽管你是一个成年人)
- 违背你的意愿,滥用各种监视软件监控你的电脑.
情况可能看起来很绝望,但也不一定,因为还有一些安全的方法来绕过,这也取决于敌人加固电脑的工作做的咋样.
Protable Apps:
有非常多的方法可以用来本地绕过限制.其中一种是使用便携软件496.那些软件不需要安装,可以从usb中或者别的地方运行.
但这种方法我们并不推荐.
这是因为便携软件不一定会在使用报告和forensic examination中隐藏自己(或者都没这个功能).这个方法太冒险了,如果在恶劣的环境中被注意到了很可能会引起一些问题.
即使是最基础的控制(监视或家长控制)也会发送详细的应用使用情况给你的敌人.
Bootable Live Systems:
在上述情况下我们推荐使用这种方法.
敌人可以相对容易地预防这种手段,通过设置硬件BIOS/UEFI控件(请看 Bios/UEFI/Firmware Settings of your laptop),但是通常大多数敌人会忽略这种可能性,因为这个方法需要较高的技术知识,相比只依赖软件来说.
这种方法甚至可以减少嫌疑和提高事后推卸责任的可能性,因为你的敌人认为事情都在掌控之中,报告中的任何事都表现正常.
这种方法只依赖一个安全功能(在大多数情况下很可能没有启用): 引导安全.
引导安全有几个种类:
- 设置简单的BIOS/UEFI密码来防止启动顺序被改变,也就是如果不提供BIOS/UEFI密码就不能启动这样一个即时系统来替换原来的被监视的系统.
- 安全启动.这是一个”标准”功能来阻止你在电脑上启动未签名的系统.尽管这个功能可以被设置为只允许启动受监视的系统,但默认情况下它会允许运行已签名系统范围内的所有系统(例如微软签名的,或者制造商签名的).
安全启动相对容易被绕过,因为现在有很多即时系统兼容安全启动(也就是被签名过了),然后你的电脑会允许启动这些.
另一方面,BIOS/UEFI密码更难以不冒险的方式绕过.在那种情况下,你只有两个选择:
- 猜测或者你知道密码,然后你可以改变电脑的启动顺序而不引起怀疑.
- 使用各种方法重置密码,以移除密码.不建议这么做,因为如果敌人特地启用了这个功能,在功能被禁用时他们一定会怀疑,这会增加你的嫌疑和相当程度上地降低你事后推卸责任的可能性.
再次强调,这个功能通常会被大多数不熟练/懒惰的敌人忽略,根据我的经验它一般会被禁用.
这是不留痕迹地绕过本地控制的最佳尝试.
原因是大多数控制都在主操作系统软件里,并且只会监控主操作系统.在主操作系统被加载之前,它们并不能监控硬件/固件层面.
Precautions:
尽管你可以用即时系统如Tails很容易地绕过本地限制,但是你的网络也可能因为异常活动而被监控.
在电脑似乎关机的时候,来自该电脑的异常网络活动会引起怀疑.
如果你打算这么做,不要连接被监控/已知的网络,而是链接一个安全的不同的网络.理想情况是一个安全的公告wifi(请看 找到一些有正经公开wifi的安全地点).
不要在一个接入已知网络、被软件监控/监听的设备上使用即时系统.
参考tails教程来实现.请看tails系统教程和附录P:当Tor和VPN不可用时尽可能地安全上网.
Appendix V: What browser to use in your Guest VM/Disposable VM
Appendix W: Virtualization
啥是虚拟化呢513?
通俗的讲,就像是电脑版的盗梦空间.你会在物理电脑里模拟一些软件版电脑,也就是虚拟机.如果你想的话,在虚拟机里也能运行虚拟机(不过这需要电脑性能足够强大).
这里有个图表简述了虚拟机的原理:
每一个虚拟机都是一个沙盒.使用虚拟机的理由是可以规避下列风险:
- 避免本机数据泄露,在有风险的情况下可以很方便地清空(所有东西都在虚拟机里面,只有虚拟机的标识符会泄露而不是宿主机的硬件标识符)
- 减少病毒/漏洞攻击面(如果虚拟机被入侵了,攻击者得弄清楚他在虚拟机中,然后才能尝试入侵宿主机)
- 可以通过在虚拟机上实施严格网络规则以缓解网络数据泄露(例如通过Tor网络)
Appendix X: Using Tor bridges in hostile environments
在某些环境中,你的ISP供应商可能会阻止你接入Tor网络.或者光明正大地接入Tor可能有安全风险.
这种情况下,可能必须用Tor网桥来接入Tor网络(请看Tor文档 https://2019.www.torproject.org/docs/bridges[Archive.org]以及Whonix文档 https://www.whonix.org/wiki/Bridges[Archive.org])
网桥是特殊的Tor节点,不会陈列在Tor的公开目录里.其中一些节点来自于运行Snoflake浏览器拓展514的用户,其他则来自世界各地的服务器.大多数网桥运行着某种叫做obfs4515的混淆方法,
这是来自洋葱浏览器用户手册的定义516:”obfs4让Tor的流量看起来是随机的,可以防止审查员通过网络扫描来找到网桥.obfs4相比它的上一任obfs3,被封锁的几率更小.”
有一些叫做”Meek”网桥的使用的是叫做”域前置”的技术,Tor客户端(Tails,洋葱浏览器,Whonix网关)将会连接到一个普通的被其他服务使用的CDN.对于审查员来说,看起来好像是你连接到了一个普通的网站,例如Microsoft.com.更多信息在 https://gitlab.torproject.org/legacy/trac/-/wikis/doc/meek
根据他们在手册中的定义517:”Meek传输会让你看起来好像在浏览一个主流网站而不是使用Tor.meek-azure让你看起来好像在浏览微软的网站.”这是”域前置”的一种518.
最后,还有叫做Snowflake的网桥,依赖于用户在浏览器中运行snowflake扩展然后成为他们自己的接入节点.请看 https://snowflake.torproject.org/[Archive.org].
首先,你应该依照下列清单来确定你无法规避Tor锁定(双重检查),然后尝试使用Tor网桥(https://bridges.torproject.org/[Archive.org]):
- (推荐在被封锁但仍然安全时使用)obfs4网桥
- (推荐在被封锁但仍然安全时使用)snowflake网桥
- (推荐在恶劣/高风险环境下使用)meek网桥(如果你在CN,这可能是你的唯一选择)
(图像来自洋葱浏览器网桥设置)
如果这些内置网桥b用没有,你可以尝试从下面手动获取一个网桥:
- https://bridges.torproject.org/bridges?transport=meek(meek网桥)
- https://bridges.torproject.org/bridges?transport=obfs4(obfs4网桥)
这些网站显然也可能被封锁/监视,所以你可以请求别人(假如你有这个能力)来帮你做,如果你有可信任的联系人或者一些端对端加密的通讯软件的话.
最后,你还可以通过发邮件给bridges@torproject.org来请求一个网桥,邮件格式: 主题为空,邮件内容为”get transport obfs4”或者”get transport meek”.这种方法有一些限制,因为它只能使用Gmail邮件地址或者Riseup.
- 请看: 关于Riseup的说明Riseup可能已经被破坏了.使用风险自负.
希望这些网桥应该足以让你连接到Tor,即使是在敌对环境中.
如果不行,可以考虑 附录P:当Tor和VPN不可用时尽可能地安全上网
Appendix Y: Installing and using desktop Tor Browser
Appendix Z: Paying anonymously online with BTC (or any other cryptocurrency)
Appendix A2: Guidelines for passwords and passphrases
我的观点是(也是很多人的观点521522523524525526)密码短语通常优于密码.所以别想着怎么设计更好的密码了,忘掉它们然后使用密码短语(如果可以的话).也可以使用非常长的密码,然后存储在密码管理软件里(例如KeePassXC,本指南比较推荐的密码管理软件).
著名XKCD漫画https://xkcd.com/936/[Archive.org]仍然很有意义,尽管一些人对此有争议(请看https://www.explainxkcd.com/wiki/index.php/936:_Password_Strength[Archive.org]).是的,它已经非常古老了,有一点过时,以及可能被误解了.但是大体上,它还是有用的,可以作为使用密码短语而不是密码的一个有力论据.
(图像来自Randall Munroe,xkcd.com,证书是CC BY-NC 2.5)
这里有一些建议(基于维基百科527):
- 长到几乎不可能被猜到(典型的是4个单词,5个以上更好).
- 不是来自文学名著,宗教圣经等作品的一个著名引用.
- 仅靠直觉几乎不可能猜到-即使他很了解你
- 容易记住,输入准确.
- 为了更高的安全性,可以使用对于自己来说很容易记忆的编码.
- 不要重复使用.
- 不要只使用”普通的单词”(例如”horse”或者”correct”).
这里有个不错的网站展示了一些例子和教程:https://www.useapassphrase.com/
可以看一下Computerphile的视频: https://www.youtube.com/watch?v=3NjQ9b3pgIg[Invidious]
如果可能的话,最好每个服务/设备的密码都不一样.当你在任何地方都用同样的密码短语,攻击者可以轻易获取到你的全部信息.
你可能会问怎么做?很简单:使用一个密码管家,例如推荐的KeePassXC.只需要记住解锁数据库的密码短语,然后把其他密码短语存储在KeePassXC数据库里就行了.利用KeePassXC你可以为每一个帐号创建非常非常长的密码(30+个随机字符).
Appendix A4: Counteracting Forensic Lingusitics
这些信息取自于一篇Dread的文章,并做了一些修改: http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/post/aad54fe83b33a8a45920/
不是完全的照搬,而是在原文的基础上做了一些重要的修改以提高原文质量.
Introduction
文体是我们个人的独特的写作风格. No matter who you are, you have a unique finger printable, and traceable writing style.这已经被研究过一段时间了,然后法医的一个分支就是建立于该原则之上:法医语言学.在这个领域,法医语言学被用于网络犯罪时的特殊名字是”Writeprint”.Writeprint主要目的是通过将嫌疑人的文本与已知作家的固定文本(通常是书面的)集合进行比较,以确定网络作者的身份.即使没有可供比较的文本,该技术也可以产生关于作者的一些个人信息,例如性别,年龄和性格.
Waht does an adversary look for when examining your writing?
- 词汇特征: 单词选择分析.
- 句法特征: 分析写作风格,语句结构,标点和断字.
- 结构特征: 分析文章的结构和组织.
- 内容特殊的词语: 分析具有上下文意义的内容例如首字母缩略词.
- 异质特征: 分析语法错误,语法错误是最重要的因素,因为它在作者识别上提供了相对较高的准确性.
Examples
…
Appendix A5: Additional browser precautions with JavaScript enabled
为了在启用js的同时避免通过js进行浏览器和用户指纹采集,在某些网站上有必要实施一些额外的安全措施:
这些建议和指南开篇的部分类似,并且对某些网站尤其有效.大多数情况下,建议是使用隐私友好的前端实例以及替代服务来提供各种服务:
- 油管链接,使用Invidious https://github.com/iv-org/invidious[Archive.org]
- 推特链接,使用Nitter https://github.com/zedeus/nitter[Archive.org]
- 维基百科,使用wikiless https://codeberg.org/orenom/wikiless[Archive.org]
- Reddit,使用LibReddit https://github.com/spikecodes/libreddit[Archive.org]
- Maps,考虑使用 https://www.openstreetmap.org
- 翻译,考虑使用SimplyTranslate https://simplytranslate.org/
- 搜索引擎建议使用注重隐私的,例如:
- StartPage: /
- 鸭鸭go: https://duckduckgo.com/
- SearX (https://searx.me/) 实例: https://searx.space/
(可选)可以用扩展https://libredirect.github.io/[Archive.org]来自动使用上述服务.
Appendix B2: Monero Disclaimer
Appendix B3: Threat modeling resources
这里有些关于威胁模型的资源,如果你想深入了解的话.
- (我个人最喜欢的)LINDDUN https://www.linddun.org/[archive.org]
- STRIDE https://en.wikipedia.org/wiki/STRIDE_%28security%29
- PASTA https://versprite.com/tag/pasta-threat-modeling/
还有些别的:
- https://insights.sei.cmu.edu/blog/threat-modeling-12-available-methods/
- https://www.geeksforgeeks.org/threat-modelling/
在这些项目上可以找到一些关于威胁模型的介绍:
- Threat Modeling Manifesto:https://www.threatmodelingmanifesto.org/
- OWASP:https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html
- Online Operations Security:https://web.archive.org/web/20210711215728/https://github.com/devbret/online-opsec
Appendix V1: Hardening your Browsers
References
德国电信媒体法的英语翻译版本 https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2016/02/Telemedia_Act__TMA_.pdf Archive.org.Section 13,Article 6,"The service provider must enable the use of Telemedia and payment for them to occur anonymously or via a pseudonym where this is technically possible and reasonable. The recipient of the service is to be informed about this possibility."
维基百科,德国的实名系统 wiki[wikiless][archive.org]
维基百科:不要做一个恶棍 wiki[wikiless][archive.org]
Youtube,youtube[invidous]
Youtube Internet Historian Playlist,HWNDU youtube[invidous](看不懂的话可以看这篇文章schi)
维基百科,4chan wiki[wikiless][archive.org]
PIA,这篇文章讲的不错 article [archive.org] (免责声明:这不是对该商业服务的认可或推荐.)
Meduim.com,隐私,区块链和洋葱路由 article[scribe.rip][archive.org]
我们所处的世界,James Mickens pdf[archive.org]
XKCD,Security https://xkcd.com/538[archive.org]
维基百科:威胁模型 wiki[wikiless][archive.org]
Bellingcat,https://www.bellingcat.com/[archive.org]
维基百科:人肉搜索 wiki[wikiless][archive.org]
Youtube,Internet Historian,The Bikelock Fugitive of Berkeleyyoutube[invidous]
BBC News,Tor镜像 article[archive.org]
Github,现实世界中的洋葱网站 github[archive.org]
Tor Project,谁在使用Tor article[archive.org]
Whonix文档,匿名的重要性 article[archive.org]
Geek Feminism, article[archive.org]
- Tor项目,Tor用户 https://2019.www.torproject.org/about/torusers.html.en[archive.org]
- PrivacyHub,Internet Privacy in the Age of Surveillance https://www.cyberghostvpn.com/privacyhub/internet-privacy-surveillance/[archive.org]
- PIA Blog,50 Key Stats About Freedom of the internet around the wrold https://www.privateinternetaccess.com/blog/internet-freedom-around-the-world-in-50-stats/[archive.org]
- 维基百科,IANAL https://en.wikipedia.org/wiki/IANAL[wikiless] [archive.org]
- 维基百科,trust but verify https://en.wikipedia.org/wiki/Trust,_but_verify[wikiless] [archive.org]
- 维基百科,Zero-trust Security Model https://en.wikipedia.org/wiki/Zero_trust_security_model[wikiless] [archive.org]
- 维基百科,IP Address https://en.wikipedia.org/wiki/IP_address[wikiless] [archive.org]
- 维基百科,Data retention https://en.wikipedia.org/wiki/Data_retention[wikiless] [archive.org]
- 维基百科,Tor Anonymity Network https://en.wikipedia.org/wiki/Tor_(anonymity_network)[wikiless] [archive.org]
- 维基百科,VPN https://en.wikipedia.org/wiki/Virtual_private_network[wikiless] [archive.org]
- leee.org,Anonymity Trilemma:Strong Anonymity,Low Bandwidth Overhead,Low Lantency- Choose Two https://ieeexplore.ieee.org/document/8418599[Archive.org]
- 维基百科,DNS https://en.wikipedia.org/wiki/Domain_Name_System[Wikiless] [Archive.org]
- 维基百科,DNS锁定 https://en.wikipedia.org/wiki/DNS_blocking[Wikiless] [Archive.org]
- CensoredPlanet https://censoredplanet.org/ [Archive.org]
- 维基百科,MITM(中间人攻击) https://en.wikipedia.org/wiki/Man-in-the-middle_attack[Wikiless] [Archive.org]
- ArXiv,Characterizing Smarkt Home loT Traffic in the Wild https://arxiv.org/pdf/2001.08288.pdf[Archive.org]
- Labzilla.id,Your Smarkt TV is probably ignoring your pi-hole https://labzilla.io/blog/force-dns-pihole[Archive.org]
- 维基百科,DNS over HTTPS: https://en.wikipedia.org/wiki/DNS_over_HTTPS[Wikiless] [Archive.org]
- 维基百科,DNS over TLS,https://en.wikipedia.org/wiki/DNS_over_TLS[Wikiless] [Archive.org]
- 维基百科,Pi-Hole https://en.wikipedia.org/wiki/Pi-hole[Wikiless] [Archive.org]
- 维基百科,SNI https://en.wikipedia.org/wiki/Server_Name_Indication[Wikiless] [Archive.org]
- 维基百科,ECH https://en.wikipedia.org/wiki/Server_Name_Indication#Encrypted_Client_Hello[Wikiless] [Archive.org]
- 维基百科,eSNI https://en.wikipedia.org/wiki/Server_Name_Indication#Encrypted_Client_Hello[Wikiless] [Archive.org]
- Usenix.org,On the Importance of Encrypted-SNI(ESNI) to Censorship Circumvention https://www.usenix.org/system/files/foci19-paper_chai_0.pdf[Archive.org]
- 维基百科,CDN https://en.wikipedia.org/wiki/Content_delivery_network[Wikiless][Archive.org]
- Cloudflare,Good-bye ESNI,hello ECH! https://blog.cloudflare.com/encrypted-client-hello/[Archive.org]
- ZDNET,Russia wants to ban the use of secure protocols such as TLS 1.3,DoH,DoT,ESNI https://www.zdnet.com/article/russia-wants-to-ban-the-use-of-secure-protocols-such-as-tls-1-3-doh-dot-esni/[Archive.org]
- ZDNET,中国现已经锁定所有使用TLS 1.3以及ESNI的加密HTTPS流量(when to 1984?😊😊) https://www.zdnet.com/article/china-is-now-blocking-all-encrypted-https-traffic-using-tls-1-3-and-esni/[Archive.org]
- 维基百科,OCSP https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol[Wikiless] [Archive.org]
- Madaidans Insecurities,Why encrypted DNS is ineffective https://madaidans-insecurities.github.io/encrypted-dns.html[Archive.org]
- 维基百科,OSCP Stapling https://en.wikipedia.org/wiki/OCSP_stapling[Wikiless] [Archive.org]
- Chromium Documentation,CRLSets https://dev.chromium.org/Home/chromium-security/crlsets[Archive.org]
- ZDNet,Chrome does certificate revocation better https://www.zdnet.com/article/chrome-does-certificate-revocation-better/[Archive.org]
- KUL,Encrypted DNS => Privacy? A Traffic Analysis Perspective https://www.esat.kuleuven.be/cosic/publications/article-3153.pdf[Archive.org]
- ResearchGate,Oblivious DNS:Pracitical Privacy for DNS Queries https://www.researchgate.net/publication/332893422_Oblivious_DNS_Practical_Privacy_for_DNS_Queries [Archive.org]
- Nymity.ch,The Effect of DNS on Tor's Anonymity https://nymity.ch/tor-dns/[Archive.org]
- 维基百科,RFID https://en.wikipedia.org/wiki/Radio-frequency_identification[Wikiless] [Archive.org]
- 维基百科,NFC https://en.wikipedia.org/wiki/Near-field_communication[Wikiless] [Archive.org]
- Samsonite Online Shop,RFID accessories, https://shop.samsonite.com/accessories/rfid-accessories/[Archive.org]
- Google Android Help,Android Location Services https://support.google.com/accounts/answer/3467281?hl=en[Archive.org]
- Apple Support,Location Services and Privacy https://support.apple.com/en-us/HT207056[Archive.org]
- 2016 International Conference on Indoor Positioning and Indoor Navigation,Wi-Fi probes as digital crumbs for crowd localization http://fly.isti.cnr.it/pub/papers/pdf/Wifi-probes-IPIN16.pdf[Archive.org]
- 东南大学,基于设备标识的探测请求攻击及防御https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7472341/[Archive.org]
- Medium.com,探测请求的威胁 https://medium.com/@brannondorsey/wi-fi-is-broken-3f6054210fa5[Scribe.rip][Archive.org]
- 纽约州立大学,使用wifi构建3d人体姿势 https://cse.buffalo.edu/~lusu/papers/MobiCom2020.pdf[Archive.org]
- Digi.Ninja,Jasager https://digi.ninja/jasager/[Archive.org]
- Hak5 Shop,Wi-Fi pineapple https://shop.hak5.org/products/wifi-pineapple[Archive.org]
- 维基,解除认证攻击 https://en.wikipedia.org/wiki/Wi-Fi_deauthentication_attack[Wikiless][Archive.org]
- 维基,captive portal https://en.wikipedia.org/wiki/Captive_portal[Wikiless][Archive.org]
- HackerFcator Blog, Deanonymizing Tor Circuits https://www.hackerfactor.com/blog/index.php?/archives/868-Deanonymizing-Tor-Circuits.html[Archive.org]
- KU Leuven,Website Fingerprinting through Deep Learning https://distrinet.cs.kuleuven.be/software/tor-wf-dl/[Archive.org]
- KU Leuven, Deep Fingerprinting: Undermining Website Fingerprinting Defenses with Deep Learning https://homes.esat.kuleuven.be/~mjuarezm/index_files/pdf/ccs18.pdf[Archive.org]
- Internet Society, Website Fingerpriting at Internet Scale https://www.internetsociety.org/sites/default/files/blogs-media/website-fingerprinting-internet-scale.pdf[Archive.org]
- KU Leuven, A Critical Evaluation of Website Fingerprinting Attacks https://www.esat.kuleuven.be/cosic/publications/article-2456.pdf[Archive.org]
- DailyDot, Tor是如何帮助抓到哈佛炸弹威胁嫌疑人的 https://www.dailydot.com/unclick/tor-harvard-bomb-suspect/[Archive.org]
- ArsTechnica, NSA如何破解数以万亿计的加密Web和VPN连接 https://arstechnica.com/information-technology/2015/10/how-the-nsa-can-break-trillions-of-encrypted-web-and-vpn-connections/[Archive.org]
- 维基, Sybil Attack https://en.wikipedia.org/wiki/Sybil_attack[Wikiless][Archive.org]
- ArsTechnica, Tor利大于弊还是弊大于利?新论文说这要看情况 https://arstechnica.com/gadgets/2020/11/does-tor-provide-more-benefit-or-harm-new-paper-says-it-depends/[Archive.org]
- ResearchGate, The potential harms of the Tor anonymity network cluster disproportionately in free countries https://www.pnas.org/content/early/2020/11/24/2011893117[Archive.org]
- CrypotoEngineering, Apple如何(隐私地)找到你的离线设备? https://blog.cryptographyengineering.com/2019/06/05/how-does-apple-privately-find-your-offline-devices/[Archive.org]
- Apple Support https://support.apple.com/en-us/HT210515[Archive.org]
- XDA,三星的Find My Mobile软件甚至可以在设备离线的时候定位Galaxy设备 https://www.xda-developers.com/samsung-find-my-mobile-app-locate-galaxy-devices-offline/[Archive.org]
- Apple Support, 如果你的Mac丢了或者被偷了 https://support.apple.com/en-us/HT204756[Archive.org]
- 维基,BLE https://en.wikipedia.org/wiki/Bluetooth_Low_Energy[Wikiless][Archive.org]
- Cryptography Engineering Blog,Apple如何(隐私地)找到你的离线设备?https://blog.cryptographyengineering.com/2019/06/05/how-does-apple-privately-find-your-offline-devices/[Archive.org]
- 维基, IMEI https://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity[Wikiless][Archive.org]
- 维基, IMSI https://en.wikipedia.org/wiki/International_mobile_subscriber_identity[Wikiless][Archive.org]
- Android Documentation,设备标识符 https://source.android.com/devices/tech/config/device-identifiers[Archive.org]
- Google Privacy Policy, 寻找IMEI https://policies.google.com/privacy/embedded?hl=en-US[Archive.org]
- 维基, IMEI and the Law https://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity#IMEI_and_the_law[Wikiless][Archive.org]
- Bellingcat, The GRU Globetrotters: Mission London https://www.bellingcat.com/news/uk-and-europe/2019/06/28/the-gru-globetrotters-mission-london/[Archive.org]
- Bellingcat,"V" for "Vympel": FSB’s Secretive Department “V” Behind Assassination Of Georgian Asylum Seeker In Germany https://www.bellingcat.com/news/uk-and-europe/2020/02/17/v-like-vympel-fsbs-secretive-department-v-behind-assassination-of-zelimkhan-khangoshvili/[Archive.org]
- 维基,CCTV https://en.wikipedia.org/wiki/Closed-circuit_television[Wikiless][Archive.org]
- Apple,透明度报告,设备请求 https://www.apple.com/legal/transparency/device-requests.html[Archive.org]
- The Intercept,警察如何秘密追踪你的手机 https://theintercept.com/2020/07/31/protests-surveillance-stingrays-dirtboxes-phone-tracking/[Tor Mirror][Archive.org]
- 维基, IMSI Catcher https://en.wikipedia.org/wiki/IMSI-catcher[Wikiless][Archive.org]
- 维基, Stringray https://en.wikipedia.org/wiki/Stingray_phone_tracker[Wikiless][Archive.org]
- Gizmodo, Cops Turn to Canadian Phone-Tracking Firm After Infamous ‘Stingrays’ Become ‘Obsolete’ https://gizmodo.com/american-cops-turns-to-canadian-phone-tracking-firm-aft-1845442778[Archive.org]
- Purism,Librem 5 https://shop.puri.sm/shop/librem-5/[Archive.org]
- 维基,MAC地址 https://en.wikipedia.org/wiki/MAC_address[Wikiless][Archive.org]
- Acyclica Road Trend Product Sheet https://amsignalinc.com/data-sheets/Acyclica/Acyclica-RoadTrend-Product-Sheet.pdf[Archive.org]
- ResearchGate,追踪匿名蓝牙设备 https://www.researchgate.net/publication/334590931_Tracking_Anonymized_Bluetooth_Devices/fulltext/5d3308db92851cd04675a469/Tracking-Anonymized-Bluetooth-Devices.pdf[Archive.org]
- 维基,CPU https://en.wikipedia.org/wiki/Central_processing_unit[Wikiless][Archive.org]
- 维基,英特尔管理引擎 https://en.wikipedia.org/wiki/Intel_Management_Engine[Wikiless][Archive.org]
- 维基,AMD平台安全处理器 https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor[Wikiless][Archive.org]
- 维基,IME,安全漏洞 https://en.wikipedia.org/wiki/Intel_Management_Engine#Security_vulnerabilities[Wikiless][Archive.org]
- 维基,IME,断言ME是后门 https://en.wikipedia.org/wiki/Intel_Management_Engine#Assertions_that_ME_is_a_backdoor[Wikiless][Archive.org]
- 维基,IME,禁用ME https://en.wikipedia.org/wiki/Intel_Management_Engine#Disabling_the_ME[Wikiless][Archive.org]
- Libreboot https://libreboot.org/[Archive.org], Coreboot https://www.coreboot.org/[Archive.org]
- Trinity College Dublin,手机隐私:衡量IOS和安卓发送给Apple和Google的数据 https://www.scss.tcd.ie/doug.leith/apple_google.pdf[Archive.org]
cnmb