В данной статье мы расскажем о системах, ведущих массовую запись и анализ активностей пользователей в Интернете и по мобильной связи. Этот анализ позволяет карателям деанонить людей. Вы можете сами посмотреть пример работы таких систем.
Системы массовой слежки. СОРМ
Системы массовой слежки - это системы, позволяющие мониторить телефонные и интернет соединения в режиме онлайн, а также архивировать их. В Беларуси и РФ это системы СОРМ (система оперативно-розыскных мероприятий).
На что способна СОРМ:
• Сбор информации о телефонных разговорах (кто, кому, когда звонил).
• Прослушкателефонных разговоров.
• Сбор информации об СМС-сообщениях, времени отправления, отправителе и получателе, времени получения, содержании.
• Мониторинг вашего интернет-траффика в режиме реального времени (какие сайты посещаете, производится ли загрузка больших файлов и т. п.).
• Созданиевашего «профиля» интернет-пользователя на основании мониторинга вашего интернет-траффика. Какими сайтами вы чаще всего пользуетесь, а также мессенджерами (содержание переписки прочитатьв подавляющем большинстве случаев не сможет).
• Мониторинг физического положения абонента мобильной связи по вышкам с точностью до 100м. Такая точность скорее теоретическая и непозволяет мониторить людей в режиме реального времени. Однако количество людей, находящихся в радиусе действия какой-то конкретной вышки мобильной связи, определить вполне реально. Таким образом, каратели в режиме онайн не видят сразу список всех участников райнного марша с их ФИО и телефонами, но получают данные, чтов каком-то микрорайоне нагрузка на вышку мобильной связи поднялась с обычных 10 000 абонентов до 15 000. Это может быть поводом для выезда карателей.
Больше информации здесь и здесь.
Как с этим бороться:
• ВместоСМС использовать мессенджеры.
• Звонить через мессенджеры, которые имеют такую опцию (почти все).
• Отказаться от использованя интернет-сайтов,не шифрующих соединение. В адресной строке вначале должно быть https, а не http. В противном случае ваше интернет-соединение не является зашифрованным и его содержание может быть прочитано карателями.
Деанон с помощью сложных аналитических систем
Во многих странах существуют аналитические системы, позволяющие определить наиболее «опасных» с точки зрения местных копов пользователей Интернета, в часности соцсетей/мессенджеров, вплоть до получения ФИО и адреса. Примеры подобных систем: в РФ - Avalanche Online, в США - Palantir.Эффективность таких систем зависит от аккуратности самих пользователей и тех усилий, которые они прилагают для того, чтобы остаться анонимными.
Есть ли такие системы у карателей в нашей стране, нам выяснить наверняка не удалось. Системы очень дорогие, и не факт, что у нашего режима есть на это деньги. Но для вашей безопасности предлагаем исходить из того, что такие системы в РБ есть.
Такие системы выявляют следующую информацию:
• Кто первымопубликовал пост, который не нравится карателям.
• Кто первый поделился (репостнул) записью, которая не нравится карателям.
• Кто первый поставил лайк на этот пост.
На основе данных про аккаунты таких пользователей системы проводят следующий анализ:
• Сопоставляют информацию профиля этих аккаунтов и ищут совпадения с другими пользователями в сети. Находят совпадения с другими, менее анонимными аккаунтами на форумах, в социальных сетях или мессенджерах.
• Сопоставляют активность (посты, лайки) этих аккаунтов и находят совпадения с другими, менее анонимными аккаунтами на форумах, в социальных сетях или мессенджерах.
• Сопоставляют контакты этих аккаунтов и находят совпадения с другими, менее анонимными аккаунтами на форумах, социальных сетях или мессенджерах.
• Сопоставляют группы и каналы, в которых состоят эти аккаунты, и находят совпадения с другими,менее анонимными аккаунтами на форумах, социальных сетях или мессенджерах.
Пример 1. Если записи с очень анонимного и очень нужного карателям аккаунта USER1 часто первым репостит Вася Пупкин, то за Васей Пупкиным рано или поздно придут.
Пример 2. Если у очень анонимного и очень нужного карателям аккаунта USER2 и у Васи Пупкна в вконтакте совпадает 90% друзей и 80% групп, то к Васе Пупкину у карателей точно возникнут вопросы.
Важно! Система "обращает внимание" не буквально на первого, кто делает репост или ставит лайк под "опасным" с точки зрения карателя постом. Вразработку попадают первые 5-10 пользователей, но не больше, т. к. иначе приходится анализировать слишком большой объем информации, и аналитическая работа перестает быть эффективной.
Больше информации здесь.
Как с этим бороться:
• Писать/репостить записи только с максимально анонимного аккаунта.
• Ни в коем случае не репостить илилайкать новости, написанные с вашего анонимного аккаунта, своими другими аккаунтами. Ваша «партизанская» и реальная жизнь не должны никак пересекаться.
• Друзья и группы вашего анонимного аккаунта не должны совпадать с друзьями и группами вашего обычного аккаунта.
Деанон тех, кто используют VPN и proxy, через сопоставление соединений
Допустим, вы подключили VPN, и теперь у вас зарубежный IP. Каратели часто (не всегда) могут вычислить, у какого VPN-провайдера вы получили этот IP. а затем сопоставить, с каких адресов в Беларуси выполнялось подключение к этому VPN-провайдеру. Таких адресов может быть не много, в зависимости от популярности вашего VPN-провайдера. Если это так, то дальше пойдет оперативная работа более стандартными способами.
Как с этим бороться:
• Использовать цепочки VPN.
• Использовать сеть TOR вместо VPN, которая к сопоставлению соединений неуязвима.
Больше информации здесь.
Тайминг-атака против пользователей мессенджеров и VPN
Каратели могут отслеживать, когда вы появляетесь онлайн в мессенджере или подключаетесь к VPN, а потом сопоставляют времяподключения к серверам VPN или TOR из Беларуси. Т. e. они получат список всех IP, которые связывались с VPN/TOR в промежутке времени:
промежуток = время появления онлайн - 5 минут
Если вы появились онлайн в 15:50, то каратель проверит все исходящие из Беларуси соединения к серверам TOR/VPN с 15:45 до 15:50. При анализе одного такого соединения, количество IP в списке может составить тысячи и больше. Но если провести анализ 5-10 соединений и поскать совпадения, то можно сократить число подозреваемых до единиц или десятков. А дальше вычислить, что среди десятка пользователей нужны именно вы, - довольно просто обычными методами вроде обысков, допросов, запугиваний.
Как с этим бороться:
• После соединения с VPN или TOR подождать минимум 10-15 минут (чем больше, тем лучше) перед тем, как входить в мессенджер и т. п.
• Не отключать VPN/TOR никогда.
• Использоватьцепочки VPN.
Больше информации здесь.
Деанон тех, кто используют VPN и proxy, через cookies
Если вы посещаете с одного браузера одни и те же сайты с VPN/TOR и без них, вашу личность могут установить через cookies. Для протестного движения опасны белорусские и российские (да, и Яндекс тоже!) площадки. Скорее всего, к остальным сайтам у наших карателей нет доступа. Больше информации о том, как происходит такой деанон, можете почитать здесь.
Как с этим бороться:
• Никогда не посещать с одного браузера сайты, которыми вы пользуетесь в обычной жизни, и те, которые вы используете в протестном движении.
• Никогда не заходите в «протестный» профиль с того же браузера, с которого вы заходите в свой аккаунт, который можно привязать к вашей реальной личности.
Деанон тех, кто используют VPN и proxy, через User agent и отпечатки браузера
Практически каждый браузер отправляет интернет-сервисам какую-то информацию о себе и операционной системе, на которой он установлен, а также некоторые другие данные. Чем больше вы установили плагинов, тем более уникальным будет "отпечаток", который отправляет ваш браузер. Эту информацию получают владельцы интернет-сервисов, на которые вы заходите.
Таким образом, даже если на одном сайте у вас разные аккаунты, но вы заходите на него с одного браузера, то оставляете один и тот же "отпечаток". Ваш обычный и протестный аккаунт можно будет сопоставить. Если каратели вынудятвладельцев интернет-сервиса предоставить эти данные, они легко вычислят вас.
Как с этим бороться:
• Никогдане посещайте с одного браузера интернет-ресурсы, которыми вы пользуетесь в обычной жизни, и те, которые вы используете в протестном движении.
• Никогда не заходите в «протестный» профиль с того же браузера, с которого вы заходите в свой аккаунт, привязанный к вашей реальной личности.
Больше информации здесь.
Атаки на кэш браузера
Существует несколько типов подобных атак. Уже есть хорошая статья на эту тему, где кратко расписаны несколько типов таких атак, и как с этим бороться. Можете ознакомьться здесь.