Дело не в том, что не нужно пытаться скрыть свой IP адрес. Дело в том, что это абсолютно бессмысленно, если вы не понимаете другие аспекты анонимности.
Всем салют, дорогие друзья! Мне часто задают вопросы о том, как настроить связку «Tor + VPN из Tails» или, как использовать цепочку «VPN → Tor → VPN». Цель таких конструкций, главным образом, обеспечить свою анонимность.
❌ Но при этом, у многих, кто задаётся такими вопросами, слишком сильно смещён фокус на смену IP и они совершенно забывают о намного более важных вещах.
🚨 Из личного опыта я знаю о случае, когда достаточно опытный хакер использовал левые SIM'ки, одноразовые email’ы, VPN, закидывал деньги через цепочку платёжных систем и левых телефонов. Т.е. он вполне старался, но его взяли.
⚠️ Дело не в том, что не нужно пытаться скрыть свой IP адрес, дело в том, что это абсолютно бессмысленно, если вы не понимаете другие аспекты анонимности.
Далее я расскажу о типичных ошибках, приводящих к деанонизации. Многие из них вам могут показаться идиотскими. Но люди их совершают! Отчасти, от незнания технических аспектов, отчасти, просто забывая о намного более важных вещах, чем настройка 2-х VPN'ов через 3 Tor'а и 8 проксей.
1. Анонимность в социальных сетях
Если вы зарегистрировались в VK (социальной сети), указав свой номер телефона, а после подключились к VK через Tor, чтобы в официальной группе Администрации города Задрищенска написать: «Депутат второго созыва городской думы Никифоров С.С. – вор».
❓ Значит ли это, что вы анонимны — ведь вы использовали Tor?
❌ Нет не значит. Хотя бы потому, что к вашему аккаунту в социальной сети привязан настоящий номер телефона. Соответственно, для вашей идентификации IP адрес не особенно и нужен.
2. Анонимность и Cookies (кукиз)
Cookies (кукиз) — это небольшие фрагменты информации, которые хранятся в вашем веб-браузере после того, как сайт отправил их вам.
❌ Если вы зашли на сайт, получили свои кукиз, затем переподключились через Tor и написали в комментариях что-нибудь вроде: «Депутат второго созыва городской думы Петров Д.С. – тоже вор», то кукиз может связать автора комментария и пользователя, ранее зашедшим с другим IP адресом.
⚠️ Кукиз предназначены для того, чтобы независимо от вашего IP адреса идентифицировать пользователя.
3. Многие сайты хранят IP предыдущих действий
К примеру, вы зарегистрировали VPN аккаунт к которому вы будете подключаться через Tor. Но регистрировали вы я со своего IP (потому, что Tor тормозной, да и вообще, тот сайт не принимает подключения из сети Tor).
❓ Будете ли вы анонимны, если подключитесь к VPN через Tor?
❌ Нет, поскольку информация о предыдущих операциях с IP адресом уже была сохранена.
4. Я куплю VPN (или VPS сервер для настройки OpenVPN) и будут анонимным
⚠️ Даже если вы прочли третий пункт и пошли регистрироваться через Tor, но при этом используете кошельки, которые могут привести к вам, то ни о какой анонимности речи не идёт.
⚡️ Причём при покупке одноразовых СИМок и при входе на сайты кошельков также нужно помнить о своей анонимности, иначе это всё просто бессмысленно.
5. OpenVPN это очень хорошо, но не для анонимности
Если вспомнить о первоначальном предназначении VPN сетей, то выяснится, что виртуальные частные сети, внутри которой компьютеры разбросанные по всему миру, могут обращаться к локальным сетевым ресурсам друг друга. При этом обмен трафиком происходит в зашифрованном виде, но этот трафик зашифрован только для внешнего наблюдателя, но не для сервера и клиентов OpenVPN сети.
По этой причине, если вы приобрели бесплатный или платный VPN аккаунт, то будьте готовы, что владелец сервера может делать с вашим трафиком ЧТО УГОДНО и ведёт журналы активности — какие запросы были сделаны от какого клиента. Сколько из них являются «honeypot» (ловушками) и записывают активность – сказать невозможно, но по моему мнению, этим занимаются 100% платных и бесплатных VPN провайдеров.
✅ Если вы хотите использовать ВПН - используйте, но свой собственный.
6. Существует 1000 и 1 способ узнать ваш настоящий IP адрес
Вариантов огромное множество. От простейших – отправить ссылку на подконтрольный сайт и посмотреть IP (если общение через анонимный мессенджер) или файл с трояном до вполне изощрённых способов.
7. Если вы используете любое ПО с закрытым исходным кодом для противоправной деятельности, то там 100% установлен бэкдор
Бэкдоры могут быть и в легитимном ПО с закрытым исходным кодом — в качестве трудно выявляемой уязвимости, о которой знает производитель, или просто обычный тупой, как пробка бэкдор — такие находили, например, в официальных прошивках роутеров.
Что касается незаконного ПО с закрытым исходным кодом, которое распространяется анонимно, то скажите мне, пожалуйста, ну вот почему бы туда не установить бэкдор? Владелец ничего не узнает, а даже если и узнает, что он будет делать? Пойдёт в полицию и скажет: я купил скрипты для взлома защиты краденых телефонов, а мне туда установили вирус… Вряд ли он так поступит.
8. Непонимание простейших технических аспектов работы сетей, серверов, приложений, накопленной и доступной в открытых источниках информации
Фишинговые сайты некоторых необразованных «хакеров» можно легко найти просто проанализировав, куда уходит запрос POST.
❓ Почему «хакер» оставил на этом сайте скрипты в архиве? Видимо, просто не знал, что очень легко можно отследить куда уходит запрос POST даже если HTML код обфусцирован.
⚠️ И таких «технических» проколов может быть множество: простой пароль SSH подключения («никто же не знает, где мой сервер»), непонимание, к какой информации на сервере может получить исследователь, непонимание для чего нужен Cloudflare и т.д.
9. Большая картина
Пример: атакуются объекты инфраструктуры и следы IP и другие косвенные признаки ведут в куда-то далеко. Но при этом объекты и методы атаки схожи с теми, которые использовала известная хакерская группировка.
⚠️ Как минимум, есть повод задуматься.
10. Метаданные в файлах
Вы должны знать всё о метаданных и программах для их просмотра и очистки.
❌ Иначе, если вы распространяете файлы - все остальные меры анонимности могут стать бесполезными. Примерно, как в первом пункте, когда используется Tor, но выполняется вход в социальную сеть под своим аккаунтом.
Что нужно сделать, чтобы меня точно не нашли?
Стопроцентной гарантией является только тот факт, что вас не будут искать…
На площади гарцует ковбой на лошади... - Кто это? - Неуловимый Джо. - И что, правда никто не может его поймать? - Да кому он нафиг нужен!
Даже если вы изучили от корки до корки «мануалы по анонимности», даже если он написан понимающим человеком и даже если вы всё сделали правильно, но при этом не понимаете других аспектов рассмотренных выше, то ваши шансы «спалиться» одним из рассмотренных выше идиотских способов достаточно велики.