Se ho creato un sito web online utilizzando una VPN, le forze dell'ordine possono ancora scoprire che ho creato il sito web? Quali altre forme di identificazione potrebbero potenzialmente rivelare che il mio computer ha creato questo sito Web e come posso proteggermi da questo? La VPN che uso non supporta i registri (PIA VPN)
Su una linea temporale sufficientemente lunga con risorse sufficienti, le forze dell'ordine (attori statali) ti troveranno. La domanda è più economica: ne vale la pena. Per amor di discussione, diciamo che Bob ha creato un sito web. Contiene idee che sono impopolari con il governo in cui risiede. Grace, a capo dell'agenzia di intelligence dei paesi, decide di voler trovare Bob. Comincia a cercare cose ovvie: registrazioni di domini, ricerca di dati EXIF dalle foto pubblicate sul sito web di Bob, tra le altre informazioni.
Se tutto questo si rivelasse nulla, Grace configurerà l'indagine e inizierà a cercare le transazioni monetarie, controllando l'hardware di ispezione dei pacchetti gestito dallo stato e altre informazioni alla ricerca del traffico. Ha persino intimidito il suo provider di hosting per rinunciare ai record dell'indirizzo IP che l'ha acceduto.
Quindi, ora Grace ha (almeno) un elenco di indirizzi IP che hanno effettuato l'accesso al sito web tramite FTP, HTTP, HTTPS, ecc. e altri metadati sui visitatori del sito - almeno uno dei quali è l'autore a cui è interessata a.
Grace ora esegue questo contro un database di nemici noti dello stato e ottiene diversi colpi. Uno dei quali è un provider VPN che "si oscura" non mantenendo i log.
Non importa. Grace ha gli ISP in tasca perché è un membro di un governo che non prende i detrattori alla leggera. Invia una richiesta agli ISP del servizio VPN e diversi altri ISP per ottenere i metadati del traffico per l'analisi di quel traffico.
Scopre che ci sono un certo numero di persone che stavano inviando pacchetti nello stesso momento in cui la VPN stava anche inviando pacchetti al sito web di destinazione. Queste persone sono elencate come persone "di interesse".
Da qui, poiché il superiore di Grace si è interessato al caso, utilizzano una serie di attacchi mirati di spear phishing per ottenere malware su ciascuno dei computer del sospettato. Ora, i keylogger appenderanno l'editore.
Alla fine, Bob accede alla VPN e accede al sito web. Il malware ritorna a casa all'agenzia di intelligence e fa da contrappeso al computer di Bob.
Ore dopo, uomini con stivali neri abbattono la porta e afferrano il computer.
Questa è una versione eccessivamente semplificata di ciò che può accadere, ma illustra diversi punti:
Non c'è niente di simile a anonimo su Internet. Non è stato creato pensando all'anonimato.
Le forze dell'ordine hanno una serie di strumenti a loro disposizione. Alcuni sono banali da usare. Alcuni sono esplicitamente non banali. Ci sono economia dietro ognuno di questi. Il costo associato a un esercizio generale non banale sale in modo esponenziale, più le parti mobili sono necessarie. Fare analisi del traffico per scoprire "quando una raffica di traffico dalla VPN al sito di destinazione coincide con una raffica di traffico da un ISP ... e quale abbonato era" è di ordini di grandezza più costosi rispetto al controllo dei dati WHOIS e EXIF . Usare lo spear phishing a livello di stato è molto più complicato che ottenere gli indirizzi IP da un fornitore.
Con abbastanza tempo e risorse, Grace sempre ottiene Bob.
Quindi ecco la morale della storia: non puoi essere completamente anonimo, ma puoi essere molto costoso da catturare. Se stai utilizzando un sito Web in un Paese in cui la libertà di parola non esiste, ci sono diversi passaggi che puoi intraprendere per renderti più costoso, e VPN è solo uno di questi.
Partendo dal presupposto che il fornitore di servizi di blogging non richiede alcuna informazione personale identificabile dagli utenti (o non controlla la correttezza delle informazioni che richiede) e che il sospetto solo accede al sito web da una VPN, il servizio di blogging non dovrebbe essere in grado di decodificare il sospetto.
Ma ci sono altri due percorsi che potrebbero essere usati per deanonymizzare il sospetto:
What other forms of identification could potentially give away that my computer made this website?
Quando qualcuno ottiene l'accesso fisico al computer del sospettato, ci sono diversi modi per notare che è stato usato per creare il sito web. Ad esempio:
L'utilizzo della crittografia di dischi completi può proteggere la loro privacy, a meno che l'utente malintenzionato non acquisisca il computer mentre è in esecuzione o possa costringere il sospetto a rivelare la password di decrittografia.
La creazione di un sito Web con una rete privata virtuale non migliorerà l'anonimato delle persone che cercano di scoprire chi ha costruito un sito Web, necessariamente. Ovviamente, se vuoi nascondere il tuo indirizzo IP perché non sia disponibile nei weblog potresti voler utilizzare una VPN per questo.
Puoi sapere su chi è un sito web chi è il registrante, puoi testarlo tu stesso, ad esempio, whois.com. È necessario modificare i dettagli di registrazione per i domini, contattare il provider di hosting per ulteriori informazioni.
Come sottolineato da Philipp nei commenti, ci sono anche i servizi domain-by-proxy che registrano il dominio per te, quindi vengono visualizzati nelle informazioni WHOIS al posto tuo. Lo svantaggio, tuttavia, è che in questo caso non possiedi ufficialmente il dominio. Il registrar lo fa. Questo può essere problematico se c'è una controversia sulla proprietà del dominio. Inoltre, di solito non proteggono i loro clienti dalle forze dell'ordine.
Una possibilità da considerare è quella di rimuovere tutti i file sorgente dal tuo computer quando hai finito di caricare. Ricorda che svuotare il cestino in Windows non significa che i tuoi file siano completamente rimossi, leggi questo articolo per ulteriori informazioni.
Dovrai mandare un'email anche per essere completamente anonimo. Nella tua domanda, dichiari di aver usato una VPN quando hai creato l'email, quindi presumo che tu abbia inserito anche dettagli falsi. Altrimenti; dovrai considerare le tue informazioni compromesse.
Il soprannome che usi sul sito web di Wordpress può anche rivelare la tua identità, come nel caso del proprietario di Silkroad, Ross Ulbricht, che è stato catturato perché ha usato un nome account sul suo sito web privato che era lo stesso di un altro account dove ha usato il suo vero indirizzo IP. Quindi assicurati di usare un soprannome anonimo per Wordpress.
Non pubblicizzare il sito web da solo senza essere sicuro di essere anonimo - Ad esempio, se si invia il sito Web agli amici tramite Facebook, mentre si utilizza il proprio account Facebook, è possibile che il proprio anonimato sia compromesso.
Un vpn (supponendo che non registri) nasconde solo il tuo indirizzo IP.
Se la politica di registrazione di vpn è falsa, o se il provider di vpn è obbligato dal governo in cui ha sede per avviare la registrazione, sei brindato.
Si noti inoltre che la maggior parte dei provider di VPN non possiede la propria infrastruttura ma fa affidamento su contratti di noleggio con data center, alcuni dei quali potrebbero avere dipendenti corrotti.
Quindi utilizzare solo uno strato di offuscamento dell'indirizzo IP non è davvero sufficiente per mantenere l'anonimato se il tuo avversario è la tua polizia locale.
Piuttosto usa la VPN in congiunzione con una catena i.e la rete wifi di altri > vpn > Tor > il tuo blog.
Se esiste una legge locale sulla conservazione dei dati, il tuo ISP potrebbe essere legalmente tenuto a conservare informazioni su quali indirizzi IP sono accessibili ai suoi clienti.
Tieni presente anche la giurisdizione del provider VPN e del server che stai utilizzando in relazione a possibili crimini informatici che potresti commettere tramite blogging.
Se il provider VPN risponde alla legge locale e la legge locale criminalizza lo stesso discorso della tua nazione, è probabile la cooperazione legale.
Tuttavia, se il provider vpn e il server si trovano in una giurisdizione senza divieti simili, probabilmente sei al sicuro.