Деанон по "следам", оставленным в сети. Как с ним бороться


В данной статье мы расскажем о системах, ведущих массовую запись и анализ активностей пользователей в Интернете и по мобильной связи. Этот анализ позволяет карателям деанонить людей. Вы можете сами посмотреть пример работы таких систем.

Системы массовой слежки. СОРМ

Системы массовой слежки - это системы, позволяющие мониторить телефонные и интернет соединения в режиме онлайн, а также архивировать их. В Беларуси и РФ это системы СОРМ (система оперативно-розыскных мероприятий).

На что способна СОРМ:

•   Сбор информации о телефонных разговорах (кто, кому, когда звонил).

•   Прослушкателефонных разговоров.

•   Сбор информации об СМС-сообщениях, времени отправления, отправителе и получателе, времени получения, содержании.

•   Мониторинг вашего интернет-траффика в режиме реального времени (какие сайты посещаете, производится ли загрузка больших файлов и т. п.).

•   Созданиевашего «профиля» интернет-пользователя на основании мониторинга вашего интернет-траффика. Какими сайтами вы чаще всего пользуетесь, а также мессенджерами (содержание переписки прочитатьв подавляющем большинстве случаев не сможет).

•   Мониторинг физического положения абонента мобильной связи по вышкам с точностью до 100м. Такая точность скорее теоретическая и непозволяет мониторить людей в режиме реального времени. Однако количество людей, находящихся в радиусе действия какой-то конкретной вышки мобильной связи, определить вполне реально. Таким образом, каратели в режиме онайн не видят сразу список всех участников райнного марша с их ФИО и телефонами, но получают данные, чтов каком-то микрорайоне нагрузка на вышку мобильной связи поднялась с обычных 10 000 абонентов до 15 000. Это может быть поводом для выезда карателей.

Больше информации здесь и здесь.

Как с этим бороться:

• ВместоСМС использовать мессенджеры.

• Звонить через мессенджеры, которые имеют такую опцию (почти все).

• Отказаться от использованя интернет-сайтов,не шифрующих соединение. В адресной строке вначале должно быть https, а не http. В противном случае ваше интернет-соединение не является зашифрованным и его содержание может быть прочитано карателями.

 

Деанон с помощью сложных аналитических систем

Во многих странах существуют аналитические системы, позволяющие определить наиболее «опасных» с точки зрения местных копов пользователей Интернета, в часности соцсетей/мессенджеров, вплоть до получения ФИО и адреса. Примеры подобных систем: в РФ - Avalanche Online, в США - Palantir.Эффективность таких систем зависит от аккуратности самих пользователей и тех усилий, которые они прилагают для того, чтобы остаться анонимными.

Есть ли такие системы у карателей в нашей стране, нам выяснить наверняка не удалось. Системы очень дорогие, и не факт, что у нашего режима есть на это деньги. Но для вашей безопасности предлагаем исходить из того, что такие системы в РБ есть.

Такие системы выявляют следующую информацию:

•   Кто первымопубликовал пост, который не нравится карателям.

•   Кто первый поделился (репостнул) записью, которая не нравится карателям.

•   Кто первый поставил лайк на этот пост.

На основе данных про аккаунты таких пользователей системы проводят следующий анализ:

•  Сопоставляют информацию профиля этих аккаунтов и ищут совпадения с другими пользователями в сети. Находят совпадения с другими, менее анонимными аккаунтами на форумах, в социальных сетях или мессенджерах.

•   Сопоставляют активность (посты, лайки) этих аккаунтов и находят совпадения с другими, менее анонимными аккаунтами на форумах, в социальных сетях или мессенджерах.

•  Сопоставляют контакты этих аккаунтов и находят совпадения с другими, менее анонимными аккаунтами на форумах, социальных сетях или мессенджерах.

•  Сопоставляют группы и каналы, в которых состоят эти аккаунты, и находят совпадения с другими,менее анонимными аккаунтами на форумах, социальных сетях или мессенджерах.

Пример 1. Если записи с очень анонимного и очень нужного карателям аккаунта USER1 часто первым репостит Вася Пупкин, то за Васей Пупкиным рано или поздно придут.

Пример 2. Если у очень анонимного и очень нужного карателям аккаунта USER2 и у Васи Пупкна в вконтакте совпадает 90% друзей и 80% групп, то к Васе Пупкину у карателей точно возникнут вопросы.

Важно! Система "обращает внимание" не буквально на первого, кто делает репост или ставит лайк под "опасным" с точки зрения карателя постом. Вразработку попадают первые 5-10 пользователей, но не больше, т. к. иначе приходится анализировать слишком большой объем информации, и аналитическая работа перестает быть эффективной.

Больше информации здесь.

Как с этим бороться:

•   Писать/репостить записи только с максимально анонимного аккаунта.

•   Ни в коем случае не репостить илилайкать новости, написанные с вашего анонимного аккаунта, своими другими аккаунтами. Ваша «партизанская» и реальная жизнь не должны никак пересекаться.

•   Друзья и группы вашего анонимного аккаунта не должны совпадать с друзьями и группами вашего обычного аккаунта.

 

Деанон тех, кто используют VPN и proxy, через сопоставление соединений

Допустим, вы подключили VPN, и теперь у вас зарубежный IP. Каратели часто (не всегда) могут вычислить, у какого VPN-провайдера вы получили этот IP. а затем сопоставить, с каких адресов в Беларуси выполнялось подключение к этому VPN-провайдеру. Таких адресов может быть не много, в зависимости от популярности вашего VPN-провайдера. Если это так, то дальше пойдет оперативная работа более стандартными способами.

Как с этим бороться:

•   Использовать цепочки VPN.

•   Использовать сеть TOR вместо VPN, которая к сопоставлению соединений неуязвима.

Больше информации здесь.

 

Тайминг-атака против пользователей мессенджеров и VPN

Каратели могут отслеживать, когда вы появляетесь онлайн в мессенджере или подключаетесь к VPN, а потом сопоставляют времяподключения к серверам VPN или TOR из Беларуси. Т. e. они получат список всех IP, которые связывались с VPN/TOR в промежутке времени:

промежуток = время появления онлайн - 5 минут

Если вы появились онлайн в 15:50, то каратель проверит все исходящие из Беларуси соединения к серверам TOR/VPN с 15:45 до 15:50. При анализе одного такого соединения, количество IP в списке может составить тысячи и больше. Но если провести анализ 5-10 соединений и поскать совпадения, то можно сократить число подозреваемых до единиц или десятков. А дальше вычислить, что среди десятка пользователей нужны именно вы, - довольно просто обычными методами вроде обысков, допросов, запугиваний.

Как с этим бороться:

•  После соединения с VPN или TOR подождать минимум 10-15 минут (чем больше, тем лучше) перед тем, как входить в мессенджер и т. п.

•  Не отключать VPN/TOR никогда.

•   Использоватьцепочки VPN.

Больше информации здесь.

 

Деанон тех, кто используют VPN и proxy, через cookies

Если вы посещаете с одного браузера одни и те же сайты с VPN/TOR и без них, вашу личность могут установить через cookies. Для протестного движения опасны белорусские и российские (да, и Яндекс тоже!) площадки. Скорее всего, к остальным сайтам у наших карателей нет доступа. Больше информации о том, как происходит такой деанон, можете почитать здесь.

Как с этим бороться:

•   Никогда не посещать с одного браузера сайты, которыми вы пользуетесь в обычной жизни, и те, которые вы используете в протестном движении.

•   Никогда не заходите в «протестный» профиль с того же браузера, с которого вы заходите в свой аккаунт, который можно привязать к вашей реальной личности.

 

Деанон тех, кто используют VPN и proxy, через User agent и отпечатки браузера

Практически каждый браузер отправляет интернет-сервисам какую-то информацию о себе и операционной системе, на которой он установлен, а также некоторые другие данные. Чем больше вы установили плагинов, тем более уникальным будет "отпечаток", который отправляет ваш браузер. Эту информацию получают владельцы интернет-сервисов, на которые вы заходите.

Таким образом, даже если на одном сайте у вас разные аккаунты, но вы заходите на него с одного браузера, то оставляете один и тот же "отпечаток". Ваш обычный и протестный аккаунт можно будет сопоставить. Если каратели вынудятвладельцев интернет-сервиса предоставить эти данные, они легко вычислят вас.

Как с этим бороться:

•   Никогдане посещайте с одного браузера интернет-ресурсы, которыми вы пользуетесь в обычной жизни, и те, которые вы используете в протестном движении.

•   Никогда не заходите в «протестный» профиль с того же браузера, с которого вы заходите в свой аккаунт, привязанный к вашей реальной личности.

Больше информации здесь.

 

Атаки на кэш браузера

Существует несколько типов подобных атак. Уже есть хорошая статья на эту тему, где кратко расписаны несколько типов таких атак, и как с этим бороться. Можете ознакомьться здесь.