Контррекомендации:
ICQ. Даже включенное «шифрование» не поможет в случае перехвата пакетов. Алгоритм «шифрования» в «аське» таков, что расшифровка «на лету» не представляет проблемы даже для «скрипткидди». (Для шифрования сообщений в асе юзерам Миранды и Пиджина можно и нужно использовать всё тот же OTR — прим. ПН)
Skype. Неизвестно, через какие узлы и в каком виде проходит трафик ваших чатов и звонков. Учитывая приобретение этой компании другой известной компанией, пользоваться этим средством связи для секретных переговоров просто глупо.
Эшелон 3: вторичные технологические данные
Важность: 2
Тут мы выходим на уровень, на котором не доверяем даже самому серверу, с которым общаемся.
Я думаю, все в курсе, что владельцы крупных соцсетей не могут не сотрудничать с Большим Братом. И по определённому запросу с лёгкостью предоставят данные об интересующем профайле: откуда, когда, с какого оборудования.
Открою невеликий секрет, относящийся к веб-серверам: данные оборудования, с которого вы зашли на сайт, можно легко получить из заголовков и при помощи скриптов. К таковым данным, например, относятся версия браузера, операционной системы, разрешение экрана…
Самое интересное, что вы можете зайти на один сайт, которому доверяете, а там — картинка с другого сайта, который сделан специально для сбора данных о вас. А ещё вот вам откровение: почти на каждом сайте есть самими админами поставленные «закладки» от известных поисковых и рекламных систем. И все они вас изучают. С коммерческими, понятно, целями.
Результаты подобных изучений могут быть предоставлены и спецслужбам по запросу — законы такие. И если окажется, что в «незаконном» сообщении парметры все те же, что и на вашем компьютере — это косвенное доказательство в суде. Не прямое, но у нас и на основе одних лишь косвенных на десятки лет посадить горазды.
Что же теперь, запретить все скрипты и заголовки? Тогда всё полезное работать перестанет. Надо искать компромиссы. Например, на нужных сайтах разрешать скрипты от самого сайта, но блокировать от всех других.
Вывод: скрытие технических данных не очень удобно, но может создать проблемы злоумышленнику.
Рекомендации и возможные средства:
Privoxy. Это некэширующий прокси-сервер, главной задачей которого является недопущение (в том числе путём искажения) некоторых технических данных пользователя на сервер. Обычно используется в связке с TOR, так как последний не предоставляет сервиса HTTP-прокси, а privoxy умеет работать через вышестоящий SOCKS. Не защищает от активного содержимого, т.е. скриптов и объектов.
NoScript. Плагин для браузера избирательно блокирует работу скриптов и других активных элементов в браузере. По большей части не позволяет серверам получить технические данные пользователя активным способом. Однако надо хоть немного разбираться в том, как работают скрипты и объекты, чтобы случайно не разрешить утечки информации.
Эшелон 4: личная информация
Важность: 4
Конечно, реальные данные о вашем имени, возрасте, местоположении и т.п. ценны для тех, кто хочет вас найти. Но не забывайте, что искать вас могут не только друзья, но и сообщники Большого Брата. Если вы привыкли говорить то, что думаете, вам лучше скрыть ваши реальные параметры и координаты. Однако тут есть аспекты, о которых надо помнить.
Во-первых, никаких фотографий на аватаре и в профиле, сделанных вами или вашими близкими друзьями. Даже фотографий без лиц. Об этом — на следующем эшелоне.
Во-вторых, не надо экзотики в вымышленных именах. Если живём в России — «Владимир Кузнецов» привлечёт меньше внимания и будет тысячами в базах данных. А вот «Камаз Помоев» даже на Кавказе вызовет подозрение.
Если вы живёте в Новосибирске и никогда не были в Лагосе, вам лучше указать местом проживания именно Новосибирск: вы об этом городе знаете больше, чем о Лагосе. Это будет плюс к правдоподобию вашего профиля.
Не указывайте никакую информацию дальше этого уровня. Улицу, номер дома, дату рождения, цифры из номера паспорта или кредитной карты… Все подобные данные позволят указать на вас косвенно, а это — смерти подобно. Не спасёт косвенность и недоказанность, вы же знаете методы работы российских «правоохранительных» органов.
Эшелон 5: мозг
Важность: 5
И вот пришли мы к самому сложному вопросу в защите персональных данных. Тут каждый должен следить сам за собой.
Я говорил, например, о фотографиях. Посмотрите на тип файлов и на то, откуда вы их взяли. В файлах типа JPEG (что обычно поступают с личных фотоаппаратов или вебкамер) есть обычно данные EXIF. И вот в этих данных иногда внезапно содержатся не только параметры диафрагмы и выдержки, но и, например, серийный номер фотоаппарата. Время съёмки бывает. А то и координаты места съёмки — в навороченных аппаратах. Во имя анонимности — убирайте EXIF со всех изображений, отправляемых в сеть.
В формате PNG тоже есть дополнительная информация. И в TIFF. И даже в GIF. В картинке может быть и стеганографическая метка.
Вам может быть заслана фотография или рисуночек, содержащий какую-либо метку. Вы этот рисуночек повторите в постах из другого профайла — и вас легко деанонимизируют. Из непроверенных источников рисунки надо перекодировать с потерями.
А бывает, в фейковом профиле вам присылают картинку с вашим настоящим лицом, и вы себя там отмечаете или подтверждаете отметку лица…
Ещё вы можете что-то накорябать на листе бумаги, засунуть в сканер и выложить это — а тут графологическая экспертиза. Поверьте, графология реально работает. Даже косвенно, но об этом я уже говорил.
Ещё одним из косвенных доказательств вам могут присобачить список друзей в соцсети. Особенно если эти друзья — реальные аккаунты, которых вы по привычке «зафрендили». Помните: в тайной сети не может быть реальных имён.
Ещё одно косвенное доказательство — стилистическая экспертиза. Грубо говоря — если в реальном мире вы приветствуете собеседника в стиле «Добрый вечер!», то в тайном вам лучше будет здороваться в стиле «хай пипл». Сохраняя пунктуацию и орфографию. Подобное упрощение языка смешает вас с «серой массой», усложнив задачу полицаям.
Итог
В условиях нынешнего законодательства нам приходится вести себя не так, как мы привыкли. Создавать альтернативные личности, чтобы иметь возможность высказать своё мнение. Прятать своё истинное лицо, чтобы это лицо не оказалось за решёткой.
Я надеюсь, что это временно… Но уверен, что это надолго.
Удачи и вам в борьбе с нелигитимным российским режимом.
Источник: habrahabr.ru
m0Ray: Глубоко эшелонированная анонимность
36 комментариев
Знаешь больше? Есть мнение? Оставь комментарий.
Вы должны авторизоваться, чтобы оставлять комментарии.
