踏雪无痕系列·网络层面(二)—— Whonix
那些你不该去做的事
我想在我匿名的情况下看看自己的个人站点
“我想在我匿名的情况下看看自己的个人站点” [1]
你最好不要访问自己使用了真实姓名或假名(此时非连接/ IP已经被记录下来)的个人站点。因为请你想一下,有多少人会访问你的个人站点呢?是90%以上的Tor用户?还是只有你自己?还是只是很少一部分人?这是弱匿名。一旦你访问这样一个站点,你的Tor回路就变脏了.Tor的出口节点知道有某个人访问了你的网站而且如果那个网站不那么流行,就很可能推测出那个人就是你。而且也不难假设使用那个的Tor出口节点进一步访问其他网站的链接来自你的设备。
资料来源:[2]
登录你现实生活中的脸书账户并以为自己是匿名的。
无论你账户用的是你的真实姓名还是假名,不要登录你的个人脸书账户。因为你很可能加过你的朋友并且他们知道这个账户属于谁。通过你的社交网络,脸书可以猜出你是谁。
没有完美的匿名解决方案。线上匿名软件也许可以可靠的隐匿你的IP /位置,但脸书不需要你的IP /位置,他们已经知道了你是谁,你的朋友都有谁,你们之间发送过什么私人消息等等。所有这些数据至少被存储在了脸书的服务器上,而又没有能够删除这些数据的软件。只有骇客和脸书自己可以删除这些数据。
因此,当你登录你的个人脸书账户时你只保护了自己的位置隐私,而非做到了匿名。
引用自动“切换或切换:Torbutton的结束” [3]:
麦克,请问当我登入自己的个人脸书账户时,我是完全匿名的吗?我使用的是firefox 3.6配合tor和没有脚本在Windows 7上。谢谢你!
永远不要登录那些你曾未通过Tor的就登录的账户
永远应该假设,你每一次登入某个网站,网站就会记录下你的IP /位置,登录时间和你都干了些什么。
还应假设,你每一次上线,你的ISP(互联网服务提供商)都会记录下你的在线时间,IP /位置和通讯数据。你的ISP还可能记录下你都连接了那些IP /位置,你通讯了多少数据流量以及你都发送和接收了哪些数据。(除非这些数据是经过加密的,这样他们只能看到无意义的乱码。)下面的这个表格可以给你提供一个简单的概览,让你瞧瞧那些被记录的日志大概长啥样。
ISP日志:
| 姓名 | 时间 | IP /位置 | 数据流量 |
|---|---|---|---|
| 约翰·多 | 晚上十六时至十七时 | 1.1.1.1 | 500兆字节 |
扩展[4] ISP日志:
| 姓名 | 时间 | IP /位置 | 流量数据 | 访问目标 | 内容 |
|---|---|---|---|---|---|
| 约翰·多 | 晚上十六时至十七时 | 1.1.1.1 | 1兆字节 | google.com | 搜索了XXX |
| 约翰·多 | 晚上十六时至十七时 | 1.1.1.1 | 490兆字节 | youtube.com | 看了视频1,视频2,… |
| 约翰·多 | 晚上十六时至十七时 | 1.1.1.1 | 9兆字节 | facebook.com | 加密流量 |
网站日志:
| 姓名 | 时间 | IP /位置 | 数据流量 | 内容 |
|---|---|---|---|---|
| - | 下午十六时至十六时十分 | 1.1.1.1 | 1兆字节 | 搜索了XXX |
如你所见,如果网站和ISP保存了日志,是个人都能看懂你都做了些什么。
只要你有一次搞错,使用了可以追溯到你的非Tor IP /位置,那么你的整个账户身份就会暴露。
不要登录你的银行账户,支付宝,淘宝或任何其他重要的个人账户,除非…
登录你的网银,支付宝,淘宝或其他你名下的涉及金钱的个人账户是有风险的,因为你的账户可能因为“可以活动”而被防欺诈系统暂停使用。这是因为骇客们有时会通过Tor的来进行欺诈。而这大概是你不希望看到了。
而如前面已经解释过的,这样做也起不到匿名的作用。这样做只是起到化名,绕过审查和保护位置隐私的作用。化名与匿名间的差别在本页靠后的位置有所介绍。
通常情况下,你可以联系客服来解锁你的账户,或者要求客服放松防欺诈系统对你的账户的保护。
Whonix的开发者adrelanos并非反对使用Tor来规避审查和保护位置隐私,而是想要让你知道这么做可能存在账户被(暂时)停用的风险。因此如果你明白自己做某些什么的话,请自便。
不要用公共无线网络取代tor
你也许会认为公共无线网络更快但又和托尔一样安全,因为IP /位置不会直接联系到您的真实姓名,对吧?
最好使用公共无线网络连接“和”托尔,而非公共无线网络连接“或”托尔。
IP地址提供的大致物理位置可以精确到一座城市,一个区域甚至是一条街道。即便你以离开那里,你仍泄露了自己的所在城市或大致位置,毕竟大多数人不会走的太远。
你并不知道是谁在提供这些开放的WIFI,或者他们的政策是什么。他们可能保存了你的MAC地址并将其与您通过该WIKI发送的明文数据关联起来。
即便这样并没有彻底打破您的匿名性,但怀疑圈已经从整个世界,某一大陆,或是某一国家缩小到了某一地区。这会极大地伤害到您的匿名性。请将透露给外界的身份信息降到最低。
防止Tor在Tor的情况下。
特定于Whonix
当使用透明代理(Whonix中就有一个)时,可能会发生在客户端和透明代理中各发起一个Tor会话的情况,这就造成了“Tor over Tor”的场景。
这可能发生在,在Whonix工作站中安装了Tor或者Tor浏览器捆绑,但没有设置其去使用SocksPort,而是让其使用了TransPort时。(在Tor浏览器中有所涉及。
这样做会产生未定义和潜在的不安全行为。但是,理论上,你可以得到六跳,而不是三跳,但不能保证你会得到三个不同的跳数 - 你可以得到相同的跳数,也可能是相反或混合的顺序。不清楚这是否安全。它从未被讨论过。
你可以自己选择入口/出口节点[5],但只有让客户端自己选择链路时你才会得到最佳的安全性;修改入口/出口节点可能会把你的匿名性以我们不了解的方式搞砸。因此“Tor over Tor”是被高度不建议的做法。
“防止Tor Tor Tor”的许可证:[6]
不要使用非端对端加密来发送敏感信息
正如在警告页面已经解释过的,Tor的出口节点有能力监视通讯和发起中间人攻击。将敏感数据由发送者传输到接受者,而不落于第三方之手的唯一办法就是使用端对端加密。
不要透露自己的身份信息
去匿名化不仅可能发生在网络层面(通过连接/ IP地址),还可能发生在社会层面的威胁下以下是一些一些又匿名人士收集的保持匿名的建议:
- 不要在你的昵称中包含个人信息
- 不要讨论自己的个人信息,比如你来自哪里等
- 不要提及你的性别,纹身,耳洞和身体状况。
- 不要提及你的职业,爱好或加入了哪些活动组。
- 不要使用哪些仅在你的语言中才特有的符号。
- 不要在你匿名时向日常网络提供信息。不要用的Twitter或Facebook的等社交网络。这是很容易被关联的。
- 不要用匿名身份发布Facebook图片的链接。该图片的连接中包含个人ID。
- 不要让两个身份同时访问一个目标地址。
- IRC,其他群聊,论坛,邮箱列表等都是公开的,记住这一点。
- 记住英雄只存在于漫画里!这里只有初生的英雄和死掉的英雄。
如果有非要透露你身份信息的地方,请将其作为上面提到的“敏感信息”对待。
许可证:从JonDonym文档(权限)。
如果使用的Tor在你的国家是危险的/可疑的,请使用网桥
引用自Bridges页面:“ *桥梁是许多情况下工作的重要工具,但它们并*不能绝对保护**对手可以用来识别Tor用户的技术进步。 ”
不要同时使用不同的网络身份
这些身份很容易被人关联起来。Whonix 不会神奇地分开你不同的语境身份。
请阅读以下提示。
不要登入超过必要时间的Twitter,Facebook,Google等等
请你登入Twitter,Facebook,Google和任何其他需要帐号的网络服务(网络论坛等)的时间控制在你需要使用它们的时长。当你完成了阅读,发帖等行为,请登出帐户。登出,关闭Tor浏览器,使用Tor控制器更换Tor链路,等上几秒钟直到链路已经改变,重启Tor浏览器。想要获得更好的安全性,请看这里: 建议使用多个VM快照和/或这里: 使用多个Whonix工作站。
这是因为许多网站包含了一个或多个整合装置,比如“我喜欢”,“发推文”和谷歌分析,adsense等。这些装置能够告诉原始服务其你访问了这个网站,这是因为你仍处于登入状态。
也请留意上述“不要同时使用不同的网络身份”小节。
不要搞混匿名的模式
让我们从对不同匿名模式的概括开始:
模式(1):用户对所有接受者匿名
- 场景:在留言板/邮箱列表/评论区匿名地发布信息
- 场景:揭秘者等
- 你是匿名的
- 你的真实IP /位置是隐匿的
- 位置隐私:你的位置是保密的
模式(2):用户知道接受者是谁,二人都使用Tor
- 场景:发送者和接受者彼此认识且都使用Tor的。
- 他们之间的通讯内容或正在通讯的事实不被任何第三方所掌握。
- 你不是匿名的。
- 你的真实IP /位置是隐匿的。
- 位置隐私:你的位置是保密的。
模式(3):用户对任何接受者是非匿名的,但使用Tor
- 场景:用你的真实姓名登入任何网络服务,比如:电子邮箱,Twitter,Facebook等
- 你显然不是匿名的。一旦你用真实姓名登入了这些网络服务,这些网站就了解了你的身份.Tor无法在这类场景中把你“变成”匿名的。
- 你的真实IP /位置是隐匿的。
- 位置隐私:你的位置是保密的。
模式(4):用户对任何接受者是非匿名的
- 场景:日常网上冲浪,未使用Tor的。
- 你不是匿名的。
- 你的真实IP /位置被泄露。
- 你的位置被泄露。
结论
将模式(1)和模式(2)混合是不明智的比如说:如果你有一个即时通讯或电子邮箱是作模式(1)使用,那你就不应该把它再用在模式(2)里面。我们之前已经解释过为什么这会是个问题。
“在同一个Tor的会话中混合使用两种或多种模式同样是不明智的”,因为它们可能使用了同一个出口节点(身份关联攻击)。
将这些模式进行其他形式的混合同样可能是危险并导致个人信息(比如物理位置)泄露的。
许可证
“不要混合匿名模式!”的许可证:[6]
如果你不知道其会带来何种后果,请不要更改设置
通常来说,更改程序的用户界面设置是安全的,只要不涉及到互联网举个例子:在“不再显示每日小贴士”和“隐藏该菜单栏”的选项框上打勾不会对你的匿名性造成影响。
如果你对更改设置感兴趣,请先查看Whonix文档,如果其指出不建议这样做,那么请去适用默认设置。
当改变程序涉及到互联网的设定时,即使它只是一个用户界面设置,也请完整的考虑清楚比如说:。在Tor的浏览器中移除一个菜单栏或使用全屏都是不被建议的后者是在改变屏幕的大小,这会对网页指纹造成不好的影响。
你应该只在了解其可能造成的后果的情况下小心的更改网络设置。比如说:你应该不要去碰与有关“Firefox Tuning”的建议。如果你真的相信当前选项不是最好的,请将建议反映到上游,这样他们就可以在释出的下一版本的Tor的浏览器中为所有用户都进行更改。
请不要在使用Tor的的同时使用明网。
同时使用非Tor的浏览器和Tor的浏览器可能会让你有搞混二者,从而导致去匿名化的风险。
同时使用clearnet和tor也有可能您匿名连接到服务器,并且同时匿名连接,这是建议的。原因在下面说明。你永远不会知道当你访问同一页面时匿名匿名地同时访问,因为你只看到你访问的URL,而不是在后台获取多少资源。许多不同的网站托管在同一个云端。谷歌分析等服务占所有网站的大部分,因此可以看到很多匿名和非匿名的连接。
如果您真的不想遵循此建议,请至少使用两个不同的桌面,以避免将一个浏览器混淆。
不要同时以匿名和非匿名的身份登录某个服务器!
强烈建议您不要以这种方式连接到任何远程服务器。也就是说,不要同时创建Tor链接和非Tor链接到同一个远程服务器。如果您的互联网连接发生故障(最终会发生),您的所有连接都将同时中断,对手将不会很难将其放在一起,并确定哪些公共IP /位置属于Tor IP /连接,可能直接识别您。
许可证“不要同时连接到任何服务器匿名匿名”:[6]
不要把化名当成匿名
本章介绍匿名与假名之间的区别。词定义永远是一个困难的话题,因为大多数人都必须同意这一点。
匿名连接被定义为与目标服务器的连接,其中目的地服务器无法找出该连接的起始(IP /位置),也不与其相关联,并且识别符[7]。
假名连接被定义为与目标服务器的连接,其中目标服务器无法找出连接的原点(IP /位置),但可以将其与标识符[7]相关联。
在理想的世界中,Tor网络,Tor浏览器(以及底层操作系统,硬件,物理安全等)是完美的。例如,用户可以获取新闻网站,并且新闻网站和网站的ISP都不知道该用户是否曾经联系过新闻网站。[8]
与此相反,当使用软件不正确时,例如使用Firefox而不是Tor安全浏览器Tor浏览器,连接的原始(IP /位置)仍然隐藏,但可以使用标识符(例如Cookie)使该连接假名。目的地网站可以登录,例如“id = 111222333444的用户在日期c的时间b查看视频标题a,日期f时刻e的视频标题d”。这些信息可用于分析。随着时间的推移,这些配置文件变得越来越全面,这减少了匿名性,即在最坏的情况下可能导致去匿名化。
一旦有人使用用户名登录到网站(例如,进入论坛或电子邮件地址),则连接根据定义不再是匿名的,而是假的。连接的来源(IP /位置)仍然被隐藏,但连接可以与标识符[7]相关联,即在这种情况下,是一个帐户名称。标识符可用于保存各种事物的日志。当用户写入登录和注销的日期和时间,用户写的内容,用户写的IP地址(无用,如果是Tor退出继电器),浏览器指纹等。
LibertéLinux开发商Maxim Kammerer [9]有一个有趣的不同意见。[10]我不想对你隐瞒:
我没有看到一个令人信服的匿名论据,而不是假名。扩大匿名集是Tor开发者为了发布增量论文和资助理由而做的。大多数用户只需要是匿名的,他们的位置被隐藏。拥有独一无二的浏览器不会神奇地发现用户的位置,如果该用户不使用该浏览器进行非假名活动。在匿名检查器上拥有良好的浏览器标头结果同样并不意味着什么,因为有很多方法可以发现更多的客户端详细信息(例如,通过Javascript oddities)。
不要做第一个传播你自己链接的人
你创建了一个匿名的博客或隐藏的服务?大。你有一个twitter帐户与许多追随者,运行一个大clearnet新闻页面或类似的?大。不要被诱惑成为第一个宣传您的新匿名项目的人之一!分离身份越多越好。当然,在某些时候你可能甚至必须“自然”地意识到这一点,但是在这一点上要非常小心。
不要随便打开文件或链接
有人通过邮件给你发送pdf,或者给你一个pdf的链接?发件人/邮箱/帐号/密钥可能会受到损害,并且pdf可能会对您的系统感染。不要用创建者预期使用的默认工具打开它。例如,不要用pdf查看器打开pdf。如果内容是公开的,请尝试使用免费的在线pdf查看器。
不要进行(手机)验证
如谷歌,Facebook等网站,如果您登录过Tor,将要求提供(手机)电话号码。除非你真的很聪明或有其他选择,否则你不应该这样做。
原因:您将收到的数字将被记录。SIM卡最有可能在您的名字上注册。即使没有,收到短信也会释放您的位置。即使你匿名地买了一张SIM卡,并且远离家里的一点,还有一个风险:手机本身。每当电话登录到移动网络时,提供商将记录SIM卡序列号[11]和手机序列号[12]。如果您以匿名方式购买SIM卡,而不是手机购买SIM卡,那么这不是匿名的,因为这两个系列将被链接。如果你真的想做移动验证,你需要一个离你家很远的地方,一个新的手机和一个新的SIM卡。之后,您必须关闭手机,并在手机完成后立即烧录电话和SIM卡。
您可以尝试找到接收短信的在线服务。这将是工作,将是匿名的。问题是,它很可能对Google和Facebook无效,因为他们主动将这些号码列入黑名单进行验证。或者您可以尝试找到为您接收短信的其他人,但这只会将您的风险转移到另一个人。
- 原文作者:码中春秋
- 原文链接:https://blog.taielab.com/2017-09-20/whonix-learning-note.html
- 版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 4.0 国际许可协议进行许可,非商业转载请注明出处(作者,原文链接),商业转载请联系作者获得授权。
留言
張貼留言