Основы анонимности в интернете и оффлайне - Взломать WhatsApp

Времена меняются. Не всё, что нужно сказать, стало возможно произнести вслух. Мир канул в эпоху тотальных государств. Большую часть того, что должно быть сказано по этому поводу, возможно сказать только из-под маски.

Статья будет полезна тем, для кого личная информационная безопасность — не пустой звук. Это самая подробная и доступная инструкция по информационной безопасности и профилактике на русском языке.

Следует сразу оговориться, что если вы — компетентный технарь, ничего нового из этой статьи вы не узнаете.

Телефон — самая опасная вещь, которой вы владеете. Это буквально маячок, который в реальном времени фиксирует каждый ваш шаг. С кем вы встречаетесь и в каких местах бываете. Многим известна история, как Алексей Навальный с помощью биллингов сотовых операторов вычислил нужных ему людей. Просто заплатил в даркнете деньги за выгрузку базы.

Государство имеет доступ к этим базам в реальном времени. И если вы хотите исчезнуть, первое, что вам надо сделать — это избавиться от своего сотового телефона. Ещё лучше — отправить его путешествовать куда-нибудь отдельно от себя. Например, послать курьером в другой город.

У вас должна быть «свежая» сим-карта, которая не ведёт ни к вам, ни к вашим друзьям. В России до сих пор иногда в переходах продают корпоративные сим-карты. Купите её. Лучше всего это сделать заранее. Когда она вам действительно понадобится, у вас может не оказаться времени её достать.

Очень важно: не вставляйте новую сим-карту в аппарат, если вы хотя бы раз им до этого пользовались.

У каждого сотового телефона есть уникальный IMEI-код. Когда вы вставляете в него сим-карту, этот код регистрируется в базе сотового оператора, и таким образом закрепляет прямую связь между владельцем номера телефона и владельцем аппарата. Не важно, сколько раз после этого вы будете менять в нём сим-карту, этот аппарат будет навсегда ассоциирован с вами. С тем же успехом сим-карту можно не менять вообще.

Также очень важно: не включайте свой анонимный телефон дома или в местах, где вы часто бываете. Ни в коем случае не включайте его рядом со своим основным телефоном или рядом с людьми, с которыми вы общаетесь в обычной жизни. Это вас сразу же «подсвечивает».

Ни в коем случае не пользуйтесь Face ID и отпечатком пальца для разблокировки телефона.

Вторая очень опасная вещь, которой вы владеете — это ваша банковская карта. Любая транзакция фиксирует ваше точное местоположение. Если вам требуется скрыться, обязательно держите при себе нужную сумму наличными. Если вы пользуетесь «Яндекс.Такси» или каршерингом, то имейте в виду, что каждое ваше передвижение также фиксируется.

Если вы уверены, что вам удалось замести следы, и вы находитесь далеко от места обычного пребывания, то безопасно завести «Яндекс.Такси» на вымышленное имя и новый номер, оплатив его наличными. Но всё равно лучше позвонить оператору локального такси и вызвать машину старым обычным способом.

Запомните: любое место, где вы предъявляете документы, вас фиксирует. Покупать билеты на поезд, самолёт, междугородний автобус, заезжать в гостиницу — это сообщать государству точное место и время вашего нахождения. Не совершайте такие очевидные ошибки.

Третья самая опасная вещь, которой вы владеете — это ваш компьютер. В зависимости от рода деятельности в интернете и во внешнем мире, обезопасить себя полностью может быть очень трудно. Пройдёмся по самым верхам.

Обязательно шифруйте свой диск. Сам по себе пароль, который вы вводите при загрузке компьютера, не является защитой и элементарно обходится. Если вы пользуетесь Виндоус, лучший шифровальщик данных — это «Vera Crypt». Обязательно делайте полное шифрование диска.

Если у вас «Макинтош», то встроенный «Disc Vault» достаточно надёжен.

Если «Linux», то вряд ли нужно вам что-то подсказывать, но встроенные средства там достаточно хороши.

Пароль от вашего компьютера должен быть уникальным. Если вы используете универсальный пароль, то любой человек, взломав какой-нибудь «мусорный» аккаунт, сможет получить доступ к вашему диску.

Лучший менеджер паролей — это «KeePass», он существует на всех операционных системах. Этот менеджер шифрует ваши данные проверенными открытыми алгоритмами и хранит ключи локально. Ни в коем случае не пользуйтесь облачными средствами для хранения паролей. Не важно, кто и что вам говорит по этому поводу, это небезопасно.

Итак, вы зашифровали компьютер, что дальше? Если ваша работа неразрывно связана с интернетом, то лучше всего, чтобы у вас было два разных компьютера: для вашей повседневной деятельности и той работы, которую вы бы не хотели ассоциировать с собой. Важно, чтобы обе эти деятельности ни в чём не пересекались.

Начните с того, что установите на своём компьютере Whonix. Это специальный дистрибутив Линукса, который создан для компартментализации и рерутинга трафика через TOR (сокращение от The Onion Router). Это одна из систем, которой пользовался Эдвард Сноуден, когда прятался от АНБ.

Звучит страшно, но на самом деле пользоваться ей проще простого. Нет смысла объяснять здесь подробно принцип его работы, об этом в интернете можно найти массу информации. Всё, что вам нужно знать: при работе через Whonix, даже косвенный отпечаток, который вы оставите в сети, будет достаточно запутан.

Скачайте Virtual box с virtualbox.org, а с whonix.org скачайте Whonix. При скачивании выбирайте версии программ для вашей операционной системы.

Первым делом установите Virtual box, этот процесс ничем не отличается от установки любого другого ПО. После установки запустите Virtual box.

После запуска в меню программы жмите «Import», далее выбирайте «Source: Locale file system». Открывайте только что скачанный пакет с Whonix и жмите «Continue». В следующем окне ничего трогать не надо, кроме одной графы в самом низу: «MAC address policy» выберите «Generate new MAC addresses for all network adapters». Далее жмите «Import».

В колонке слева у вас появятся две виртуальные машины: сервер (Gateway) и рабочая станция (Workstation). Сервер будет подключать вас к интернету, а рабочей станцией вы будете пользоваться для работы.

Сначала всегда подключайте серверную. При первом запуске вы увидите справочную информацию о программе — можете прочитать на досуге. Жмите «Next» и соглашайтесь с пользовательским соглашением посредством выбора флажка «Understood».

Каждое подключение будет занимать около двух минут.

После первого подключения к сети TOR рекомендуется зайти в терминал и обновить внутренние файлы. Для этого нужно ввести команду (без кавычек): «sudo apt-get update» и пароль. По умолчанию это «changeme».

Не забудьте также изменить пароль. Это делается командой «passwd». Вводите текущий пароль, потом тот, который вас устраивает. Обратите внимание: в этот момент строка в терминале не будет показывать введённые символы — это совершенно нормально.

Этот пароль нужен для того, чтобы устанавливать программное обеспечение и вносить изменения в системные настройки. Вы им будете пользоваться редко, но если его не поменять, ваша система будет уязвима.

Всё, что нужно сделать в серверной части Whonix, сделано.

Имейте в виду: ни в коем случае нельзя пользоваться серверной частью Whonix для выхода в сеть.

Теперь запустите пользовательскую часть (Workstation) и повторите на ней все те же действия, которые проводили с серверной.

Всё, теперь вы находитесь в анонимной среде. Не только браузер, но и все ваши подключения рутируются в системе Whonix через TOR. Здесь есть всё, чтобы безопасно пользоваться интернетом: электронный кошелёк для криптовалюты и, конечно, TOR-браузер. Этот браузер — ваше основное окно для выхода в интернет, когда вы хотите пользоваться им анонимно либо псевдонимно.

В этой среде вы настолько анонимны, насколько этого можно добиться тривиальными методами. И чтобы сохранить эту анонимность, вы должны полностью избегать следующей ошибки.

Никогда не подключайтесь к персонифицированным аккаунтам из анонимной среды. Это сразу же вас «подсвечивает». Предположим, вы из общей сессии Whonix зашли в свою рабочую почту и анонимный канал — это точка ассоциации. Теперь весь трафик, который вы с таким трудом анонимизировали, можно проанализировать и через почту, в которой вы только что залогинились, привязать к вашей реальной личности.

По сути, это то же самое правило, которое необходимо соблюдать, когда вам нужно потеряться в оффлайне. Если ваши реальная и виртуальная личности в какой-то момент соприкасаются, значит, через это соприкосновение можно размотать всю остальную вашу деятельность. Это самое главное правило защиты вашей идентичности.

Итак, вы не допускаете глупых ошибок и поняли, что нельзя смешивать анонимную и публичную деятельность. Но что, если для вашей работы вам требуется вести псевдонимную активность?

Здесь следует объяснить разницу между анонимностью и псевдонимностью.

• Анонимность предполагает разовую активность, после которой ваш аноним просто растворится, как будто его никогда и не существовало. Оставаться анонимным просто: достаточно не совершать перечисленных ошибок.

• Псевдонимность — это создание альтер-эго, к которому вы планируете регулярно возвращаться. Это гораздо труднее, потому что человеческий фактор каждый день повышает риски, что вы где-то ошибётесь, и через эту ошибку выдадите себя.

Итак, в первую очередь для вашего псевдонима нужно завести новые аккаунты в социальных сетях.

Обратите внимание: совершенно бессмысленно переписывать старые телеграм-каналы на новые аккаунты. Таким образом себя выдадите.

Каждый аккаунт, к которому вы хотя бы один раз обращались со своего основного компьютера, или регистрировали на почту, на которую заходили не из Whonix, вы должны считать ассоциированным с вашей личностью.

Поэтому начинайте с чистого листа. Вам нужно завести почту для псевдонимного аккаунта. Для этого отлично подойдёт «ProtonMail» в швейцарской зоне. Для базовой регистрации он просит небольшое пожертвование в биткоинах либо активацию через другую почту. Как ни странно, биткоин вам не очень подходит. Хотя если вы его обменяете на манеро или пропустите через CoinMixer, можно заплатить и биткоином.

Но об этом мы поговорим чуть позже, поэтому сейчас выбираем вариант с активацией через почту. В интернете огромное количество так называемых одноразовых почт. Многие из них «ProtonMail» блокирует, но постоянно появляются новые. Код активации лучше всего получить туда.

Зайдите на protonmail.com и создайте новую почту, выбрав себе любое понравившееся имя. Префикс лучше всего выбрать швейцарский: .ch

Очень важно: не указывайте почту для восстановления.

Далее от вас потребуется подтвердить, что вы живой человек. Выбирайте «Email» и найдите себе какую-нибудь временную почту. Просто введите в поисковике: «disposable mail».

Не нужно выбирать те, которые вам попадутся в самом верху поиска, с большой вероятностью, они заблокированы. Поэтому выбирайте что-то снизу.

И вот у вас есть временная почта. Введите её в окне «ProtonMail» нажмите «Send» и, если ваша временная почта не заблокирована, вы получите код для подтверждения. В противном случае надо будет повторить эти шаги заново.

После подтверждения кода у вас появится псевдонимная почта, которую вы будете использовать, чтобы вести своего псевдонима в онлайне. Она никаким образом не привязана к вашей реальной личности, компьютеру, IP-адресу, почте и каким-либо социальным сетям. То есть вы на данный момент абсолютно неуязвимы.

Дальше вам нужно завести социальную сеть. Например, «Телеграм». Большинство из них для регистрации требует номер телефона. Ни в коем случае не используйте для этого настоящую сим-карту, даже если вы купили её в переходе. Существуют сервисы, которые продают номера телефонов для получения смс анонимно за монеро.

Очень важно: не за биткоины, а за монеро. Вопреки непонятно откуда взявшемуся мифу, биткоин не анонимен. Наоборот, каждая его транзакция навсегда записывается в блокчейне и легко прослеживается. Это ещё одна ненужная точка уязвимости. Поэтому переводите биткоин в монеро и платите за номер им. Вы немного потеряете в деньгах, но дополнительно себя обезопасите.

Введите в поисковике: «sms number xmr» (xmr — это код для монеро), выберите сервис, который вас устраивает или просто первый попавшийся. Заходите, оплачиваете и получаете себе псевдонимный номер телефона, на который вы будете регистрировать социальные сети.

Итак, ваша псевдонимная личность появилась на свет. А дальше всё зависит от вас. Единственный риск, который на данный момент для вас существует — это вы сами. Ваш собственный человеческий фактор.

• Не общайтесь с псевдонима ни с кем из своего обычного круга. Не заходите в общие чаты, не ссылайтесь на свои публичные аккаунты, а если выкладываете видео и фотографии, не забывайте удалять все метаданные. Для этого можно использовать «Metadata Anonymisation Toolkit».

• Заклейте камеры ноутбука и телефона.

• Ни в коем случае не заполняйте секретные вопросы — через них вас легко идентифицировать и взломать. Если сервис на них настаивает, вводите строку из случайных символов вместо ответа.

• Прикрывайте крышку ноутбука, когда вводите пароль.

• Не заводите аккаунт в Google, пользуйтесь DuckDuckGo для поиска в интернете и помните: всё, что вы когда-либо вбивали для поиска в Google, будучи залогиненным, он о вас помнит. Даже если говорит, что забыл.

• Не пользуйтесь двухфакторной аутентификацией там, где она требует привязку к номеру телефона. Потому что любой, кто получит доступ к вашему телефону, сможет зайти в ваш аккаунт.

• Но самое главное — не забывайте, если вы хотя бы один раз вошли с открытого ip-адреса в один из своих псевдонимных аккаунтов или, наоборот, из псевдонимной сессии Whonix вошли в свой основной аккаунт — это соломинка, через которую вас при желании смогут найти.

Разумеется, существуют системы надёжнее описанной. Но зачастую их порог вхождения куда выше. Это лишь первое погружение, рассчитанное на тех, кто только начинает разбираться в теме информационной безопасности.