Sono un giornalista in un paese corrotto. Sono preoccupato che il mio utilizzo online consentirà ai miei antagonisti di rintracciarmi, e non finirebbe molto bene. Sono consapevole che potrei usare TOR e VPN e collegarli insieme per oscurare la mia presenza in rete. Cos'altro posso fare per impedire ai miei avversari di identificarmi?
( PS : Questo post è solo una discussione generale. Non intendo in alcun modo invogliare nessuno a commettere alcun crimine! )
Per essere anonimi, devi prendere in considerazione anche altre cose, oltre a utilizzare alcuni strumenti durante la navigazione in Internet. Tor o VPN potrebbero aiutarti a rendere anonima la tua identità online, ma hai considerato di essere anonimo nella tua vita reale (offline).
Hai considerato il fatto che l'ingegneria sociale può anche de-anonimarti o rivelare la tua identità! Hai appena menzionato nella tua domanda che sei un giornalista in qualche paese e che finirebbe male per te. Non so se sia vero, ma se fosse vero, hai appena rivelato qualcosa sulla tua identità qui! Sono abbastanza sicuro che questo sito abbia registrato anche il tuo IP pubblico. (È un altro problema se stai usando qualche proxy o meno). Cosa succede se qualcuno qui su StackExchange ha qualche sospetto riguardo questo tuo particolare post e avvia un'indagine. Lui / lei inizia una discussione con te e finalmente entra in contatto con te. Alla fine forse si scopre che questo utente era uno dei ragazzi che ti seguivano. (Forse uno di quei ragazzi potrebbe aver upvoted la tua domanda o la mia risposta.: P)
Un altro esempio potrebbe essere che supponiamo che tu usi Gmail per inviare e ricevere email. Supponiamo fin dall'inizio di accedere al tuo account e-mail senza utilizzare alcun proxy. Quindi Gmail conosce il tuo effettivo IP pubblico. Lo scenario sarebbe qualcosa di simile in basso:
Scenario 1:
You(Public IP) ----> Gmail server
Dopo alcuni giorni hai letto che VPN o Tor ti renderanno anonimo. Quindi hai iniziato a utilizzare Tor o VPN per accedere al tuo account di posta elettronica. Ora lo scenario sarà simile a questo:
You(Public IP) ----> VPN/Tor -------> Gmail server
Considera che hai inviato un'e-mail minacciosa ad alcuni VVIP. Pensi che mentre stai usando VPN / Tor sei anonimo. Questo VVIP ha alcuni amici decenti in tutte e tre le organizzazioni di lettere (MI6, CIA, RAW ecc ...). Ora tutti ti stanno dando la caccia. Chiedono a tutti i fornitori di servizi di posta elettronica di individuare chi è il proprietario di questo indirizzo email. Il provider di servizi di posta elettronica avrà registri contenenti tutti gli indirizzi IP utilizzati per accedere alla tua email. Poi trovano il tuo IP originale che hai usato nello scenario 1. L'ora successiva hai alcuni ragazzi vestiti di nero alla tua porta.
Ho appena fornito un esempio di provider di servizi di posta elettronica. Considerare lo stesso per i siti di shopping online.
Supponiamo che tu abbia fatto acquisti su Amazon per acquistare qualcosa utilizzando lo stesso indirizzo email che hai usato per inviare l'email minacciosa. Hai usato Tor / VPN, ecc. Per connetterti all'Amazzonia. È molto comune che molti utenti forniscano il loro indirizzo di casa / azienda per la consegna. Ora forse l'organizzazione di 3 lettere potrebbe chiedere ad Amazon di cercare nel profilo utente la persona che ha l'indirizzo email che è stato usato per inviare l'email minacciosa. Amazon cerca il suo database e scopre che vivi a XYZ Street! Di nuovo vedrai i tuoi amici in abiti neri. : P
So che gli scenari sopra descritti sembrano un po 'come uno stile hollywoodiano, ma pensaci, possono accadere. Dipende davvero da quanto valga la pena. (Scusa se non intendo nulla per te personalmente) Intendo dire quanto valga la pena per i ragazzi che vogliono trovarti. Se sei davvero un valore e se i ragazzi dopo sei potente e amp; intelligente, quindi attenzione. Ci potrebbero essere migliaia di modi per trovarti. Altrimenti, troveranno qualcuno vicino a te, i tuoi genitori, la tua fidanzata o persino il tuo cane / gatto. D'altra parte devi essere molto cauto su quello che fai e come lo fai e non commettere errori.
Non sto cercando di spaventarti dall'essere anonimi. Inoltre NON sto cercando di indurti a fare qualcosa che è contro la legge. Se senti che ho detto qualcosa contro la tua personalità nella mia risposta, allora posso assicurarti che non è stato intenzionale.
Una risorsa che mi piace specificamente per i giornalisti è EFF Surveillance Self-Defense ( link ) Le loro risorse vengono in parte, semplificata sembra così:
Modellazione delle minacce. - Chi è suscettibile di essere interessato a monitorare o scoprire la tua identità.
Come comunicare con gli altri. - Voce, e-mail, messaggi di testo e messaggi istantanei.
Protezione dei dati. - Crittografia, password, chiavi, computer, ecc.
Distruzione dei dati. - Tenendolo lontano dagli avversari.
A seconda della minaccia che affronti hai una varietà di opzioni più difficili e più semplici per proteggere la tua identità. È importante capire chi potrebbe essere dopo di te, quindi potresti bilanciare meglio i rischi che hai assunto con il valore della comunicazione delle informazioni che conosci.
Se il governo del tuo paese è il tuo avversario, devi prendere misure estreme e difficili per ridurre il rischio di individuazione. Se invece il tuo avversario è un piccolo gruppo con risorse limitate e conoscenze tecniche limitate, potresti dover prendere solo alcune semplici precauzioni.
Per comprendere la protezione dell'identità è necessario pensarci dalla prospettiva dei tuoi avversari. Se per esempio pubblichi su un sito web online che richiede di avere un account e mostra il tuo userid con ogni post che fai, e hai un solo account sul sito, un avversario può facilmente concludere che tutti i post che fai sono fatti da la stessa persona. Se invece hai un numero di account sul sito web e crei i tuoi post con diversi userid, sarà più difficile per un avversario concludere che tutti i tuoi post siano fatti dalla stessa persona. Portando questo concetto all'estremo, se si utilizzava un solo account utente una sola volta per pubblicare le proprie informazioni, sarebbe più difficile concludere che due dei tuoi post siano stati creati dalla stessa persona.
Lo scenario che ho presentato è una semplificazione. Se hai sempre avuto lo stesso indirizzo IP e l'indirizzo IP dell'utente è stato pubblicato insieme al loro post, l'utilizzo di un account utente diverso per ogni post non fornirebbe molta protezione. Inoltre, utilizzando lo stesso stile di scrittura in ogni post, è più facile per un avversario concludere che due post sono stati scritti dalla stessa persona anche se userid e indirizzo IP sono diversi.
Altri indicatori di identità includono aspetti come l'ora del giorno tipica della tua attività online. Altri identificatori possono includere riferimenti a condizioni meteorologiche locali, geografia, squadre sportive. I riferimenti che indicano dove sei possono aiutare un avversario a determinare dove lavori o vivi.
Se le informazioni specifiche che desideri condividere online possono attrarre avversari, devi separare la tua identità dalle informazioni che desideri condividere online. Non utilizzare alcun account online esistente quando si condividono queste informazioni. Crea invece nuovi account appositamente per cercare di rimanere anonimi e utilizzare quegli account solo per condividere le informazioni che possono attirare avversari. Cerca di rendere i tuoi nuovi account non correlati agli account o ai servizi esistenti che usi il più possibile. Se si crea un nuovo account e-mail, non inviare e-mail tra il nuovo account e gli eventuali account esistenti. Ottieni un telefono cellulare separato in modo da non collegare accidentalmente uno dei tuoi nuovi account a casa o telefono cellulare esistente.