Nedetectabil în spațiul virtual (partea a II-a)

Sfaturi pentru menținerea intimității în mediul virtual…

întreaga serie de articole

În această parte a doua a seriei, vom intra mai adânc în subterane (așa numite „T3hn1c! !nt3rm3d!ar3”) și vom acoperi câteva tehnici pe care le poți folosi, ele fiind puțin mai avansate. Înainte de a continua, asigură-te că ai o înțelegere solidă a conceptelor inițiale discutate în Partea I din acestei scurte serii. Ia în considerare faptul că a deveni practic imposibil de identificat este mai mult o mentalitate decât orice altceva. Desigur, există multe „hack-uri” fizice și tehnice pe care le poți face în propria viață pentru a te face mai „invizibil”, dar este mai mult despre fortificarea minții tale decât despre altceva. Dacă ești în stare să realizezi acest lucru, atunci vei fi înaintea mulțimii.

Conceptual vorbind…

„Доверяй, но проверяй – Doveryai, no proveryai” → proverb rusesc („Crede, dar verifică”)

În timp ce am compasiune zero pentru Rusia, îmi place acest proverb, așa cum a fost frecvent folosit de tânărul Ronald Reagan, devenit ulterior președinte. În plus, putem simplifica proverbul rusesc pentru a se potrivi propriilor noastre scopuri ca o declarație a absolutului, „Încredere Zero, Verifică Întotdeauna“. Poți recunoaște acest slogan de la compania Centrify, care și-a construit linia de produse în jurul unui model de securitate cu încredere zero. Deși nu lucrez în promovarea produselor sau serviciilor Centrify, sunt un susținător puternic al acestui concept. În mod obișnuit, încerc să stau departe de absolut, pentru că acesta e de obicei prostesc și nerealist. Cu toate acestea, cel puțin în cybersecurity, fiind un domeniu de studiu foarte tehnic, acțiunea de a obține și de a menține acele absoluturi te va conduce mai aproape de lucrurile reale decât aceea de a nu face acest lucru. Dacă ești cu adevărat serios în a deveni practic nedetectabil, atunci această afirmație a absolutului din patru cuvinte va fi noul tău motto sau principiu, dacă vrei să te străduiești să obții asta de aici înainte. Încredere zero și verificare permanentă, în opinia mea umilă, e singura modalitate adevărată de a rămâne în siguranță în secolul XXI, fie în lumea fizică, fie în lumea cibernetică. Într-un mediu de securitate cu încredere zero, fiecare funcție și acțiune trebuie să fie confirmate și refăcute înainte de a acționa, pentru a preveni ca un atacator să obțină acces neautorizat undeva de-a lungul drumului. Trebuie să-ți antrenezi mintea să gândească în acest fel, să nu ai încredere în nimeni și în nimic, și să verifici întotdeauna tot ceea ce vine în viața ta. Privește acest lucru ca pe un mod de viață, nu ca pe o ocazie entuziastă de încredere, deoarece necesită o mulțime de muncă și efort pentru realizare și menținere. Nu este firesc, trebuie să mergi împotriva curentului, deoarece societatea a făcut astfel încât informațiile tale personale să fie peste tot și să fie accesibile oricui. Asta e neconvenabil, inacceptabil și trebuie rectificat. Dacă legiuitorii din Congres și/sau din Stat nu o vor rezolva, atunci trebuie să o facem noi înșine în cea mai mare măsură posibilă. Așadar, să purcedem…

Scenariul 1

Să spunem că ești la telefon cu o companie de furnizori de servicii și un reprezentant al serviciului pentru clienți [străin] se află la capătul opus și îți cere: „Vă rog să îmi dați numărul dvs. de securitate socială (Social Security number – SSN) – la noi s-ar putea echivala cu codul numeric personal (CNP), spre exemplu – [prin telefon] pentru a putea verifica cu cine vorbesc astăzi.” Răspunsul tău ar trebui întotdeauna să fie: „Nu, îmi pare rău, dar nu mă simt confortabil să ofer aceste informații, există o altă metodă pe care o puteți utiliza pentru a verifica identitatea mea care nu presupune să îmi dau numărul de securitate socială pe o linie telefonică nesigură?” Poate că se poate verifica prin adresa fizică sau mai bine, pe baza unui cod secret care să nu aibă nici o legătură cu tine. Dacă răspunsul lor este „Nu”, și numai SSN va funcționa, atunci îți sugerez să-ți închizi contul și să blochezi serviciile imediat și acolo pe loc. Cine știe, este posibil să fi evitat în mod neatent un atac de inginerie socială prin metoda omul de mijloc (Man-in-the-middle attack), mai ales dacă reprezentantul „companiei” te-a sunat și nu invers.

Scenariul 2

Un alt scenariu fictiv, modelat după cazuri din viața reală, implică un Compact Disc (CD) care-ți apare în mod misterios în cutia poștală cu o scrisoare despre care se presupune că ar fi de la o companie producătoare de calculatoare personale/laptop-uri (de exemplu, HP, Mac, Alienware, Lenovo sau Huawei), cu instrucțiuni care indică faptul că trebuie să instalezi software-ul de pe CD-ul ce ar conține drivere specifice pentru a actualizarea sistemul. Scrisoarea suspectă afirmă ceva de genul în care compania furnizoare nu a reușit să încarce driverele pe computerul tău înainte de a ți-l livra, sau de a-l vinde prin magazinul de vânzare cu amănuntul de unde l-ai cumpărat. Instinctele tale încep să-ți producă furnicături, în loc să te hotărăști să arunci CD-ul în coșul de gunoi după ce l-ai „ars” în vechiul cuptor cu microunde pe care nu îl mai folosești exact timp de 5 secunde și să cauți pe Google compania online. Ai putea să afli că această tehnică specială este o înșelătorie cibernetică cunoscută de către infractorii cibernetici străini pentru a avea acces la sistemul tău din computer care păcălesc victimele naive să încarce CD-ul în calculatorul lor și să instaleze astfel un malware de tip Trojan cu acces de la distanță, care permite atacatorului să-ți acceseze de la distanță calculatorul și să-ți fure date personale sensibile, cum ar fi informațiile bancare, fotografiile personale, fișierele, parolele stocate în browser, sau managerul de parole. Ar putea fi chiar software legitim, dar cu malware invizibil instalat în fundal sau pe un server la distanță. E de rău, în orice caz. Nu pica într-o asemenea capcană. E vorba de security 101.

În plus, încearcă să verifici autenticitatea oricăror fișiere pe care le descarci pe computer, prin ceea ce este cunoscut ca hash (sumă de control) de fișiere (de exemplu, MD5, SHA-256 sau SHA-512) și comparând valoarea hash obținută cu cea de pe site-ul furnizorului care ar putea-o avea postată online pentru referință. O explicație amănunțită a ceea ce este și cum lucrează file hashing este dincolo de sfera de aplicare a acestui articol, dar te încurajez să înveți despre asta și s-o folosești. Dacă cele două șiruri de caractere sunt identice, este probabil că fișierul este autentic și sigur pentru a fi instalat. Au existat excepții (Avast CCleaner), dar, în general, acesta este cazul. Totuși, trebuie să puneți la îndoială motivul general al necesității actualizării software-ului, deoarece, de obicei, aceste tipuri de acțiuni sunt efectuate prin descărcarea online a software-ului de pe site-ul furnizorului și nu de pe un CD pe care l-ați primit prin poștă. Nu puneți niciodată un CD, DVD, unitate USB sau orice suport extern pe care l-ați găsit sau pe care ți-l oferă cineva în computer. Dacă trebuie să faci acest lucru, conectează-l la un computer de rezervă care nu este conectat la Internet, dar care este încărcat cu definiții antivirus actualizate, pe care-l poți reformata cu ușurință dacă se infectează cu programe malware.

Imagine a modului în care funcționează file hashing, prin amabilitatea HowToGeek.com

Persoana care respectă securitatea nu trimite niciodată informații personale identificabile (date cu caracter personal) pe canalele nesigure, fără un tip de protecție criptografică, cum ar fi utilizarea unei parole sau a unei expresii de acces pentru protejarea fișierului (de exemplu, fișier MS Word, Excel sau Adobe Acrobat .pdf protejat prin parolă). Ocazional, acest lucru ar putea însemna chiar să mergi la magazinul companiei și să rezolvi personal, decât să furnizeze informații personale sensibile prin linii telefonice nesigure.

Naivule, cookies-urile browser-ului nu sunt de mâncare

Cookie-urile de browser pentru Internet sunt necesare pentru a te conecta la multe site-uri, dar există unele măsuri pe care le poți lua pentru a învinge sau cel puțin pentru a reduce numărul de cookie-uri ce se găsesc în browserul Web al computerului tău. În primul rând, trebuie să verifici dacă browserul tău Web are opțiunea de a șterge automat istoricul și modulele cookie de fiecare dată când ieși din browser. Dacă nu, este timpul să găsești un nou browser web. Google Chrome și Mozilla Firefox au această opțiune și sunt alegeri excelente dacă nu te simți confortabil folosind Tor sau unul dintre celelalte browsere anonime (Dark Web). Microsoft Internet Explorer (IE) este un browser Web vechi pe care îl poți utiliza, dar nu mai este acceptat. Nu mai este acceptat înseamnă că nu vei primi niciun patch nou de software pentru noi vulnerabilități descoperite, deoarece Microsoft nu mai investește nici timp și nici efort în „cârpirea” lui. Mulți oameni vor afirma că IE nu a fost niciodată bun pentru securitate, dar faptul că nu mai este acceptat sau actualizat nu a împiedicat Microsoft să-l vândă cu fiecare nouă versiune de Windows 10. Recomandarea mea este să stați departe de IE, este riscant de folosit. Microsoft face, de asemenea, browser-ul Edge care a înlocuit IE. Până în prezent nu a entuziasmat, cu siguranță nu la același nivel de securitate precum Chrome sau Firefox, care, evident, au grijă mai multă de securitate „out-of-the-box” decât Microsoft. Se pare că atunci când ești cea mai mare companie de software din lume, tot ce te interesează este funcționalitatea la nivelul cel mai de jos pentru utilizatori. Sub opțiunea de setări din browserul tău, selectează opțiunea de ștergere a istoricului browserului, a cookie-urilor, a istoricului descărcărilor, a parolelor și a imaginilor și fișierelor stocate în cache de fiecare dată când părăsești browserul. Da, este dureros să trebuiască să-ți reintroduci acreditările de autentificare de fiecare dată când deschizi browserul, dar este mai sigur și cookie-urile terță parte nu te vor putea urmări la fel de ușor în acest fel. Va trebui să activezi anumite module cookie pentru a accesa anumite site-uri, însă acestea vor fi șterse odată ce ai închis browserul. După cum s-a menționat în Partea I-a, utilizarea unui plug-in de browser, cum ar fi Privacy Badger, te va ajuta foarte mult.

Managerii de parole sunt minunați deoarece permit utilizatorilor să creeze și să stocheze cu ușurință parole sofisticate și lungi și chiar mai bine passphrases. Cu toate acestea, plug-in-urile pentru managerul parolelor bazate pe browser, cum ar fi OnePass sau LastPass, sunt potențial vulnerabile la hacking și ar putea permite unui atacator să obțină parola principală și să acceseze întreaga listă de parole pentru fiecare site pentru care stocați parolele. Nu selecta opțiunea ca browserul să-ți salveze automat parolele. Nu e nevoie de geniu pentru a ști că asta nu e un lucru bun. Pentru a preveni acest tip de risc împotriva administratorului de parole bazat pe browser, ar trebui să activezi autentificarea cu două factori care este legată de e-mail sau smartphone, astfel încât atacatorul să nu poată accesa managerul de parole. Dacă vrei să fii și mai sigur, folosește un manager de parole stocat local, cum ar fi KeePass. KeePass este o aplicație gratuită, open source, de gestionare a parolei pentru sistemele de operare Windows, MacOS sau Linux, care-ți stochează parolele local, pe hard disk-ul criptat al computerului într-un folder criptat care este decriptat numai cu o cheie de parolă master stocată în sistemul local. KeePass are propriul generator de parole, suportă 2FA, are un mod desktop sigur și a fost dezvoltat cu avantajul suplimentar de a putea importa baze de date de parole de la peste 30 de administratori de parole folosiți frecvent (se zice). Acesta este un sistem mai bun pentru gestionarea parolelor decât cel cu stocarea parolelor în browserul Web sau cel al unui serviciu de gestionare a parolelor în Cloud, dar, dacă trebuie să ai portabilitatea bazei de date a parolei, folosește cel puțin o parolă de acces foarte puternică ca parola principală pentru servicii cum ar fi OnePass și LastPass și 2FA.

Dispozitive de ștergere criptografică și dispozitive de auto-criptare

Publicația National Institute of Standards and Technology (NIST) Special Publication 800–88 explică modul în care dezinfectarea cheii de criptare a datelor tale personale, o tehnică numită ștergere criptografică (cryptographic erasure), poate fi utilizată pentru a preveni accesul la citirea datelor șterse, ștergându-le efectiv pentru totdeauna, fără posibilitatea de a fi recuperate vreodată. Ștergerea criptografică funcționează prin ștergerea cheii de criptare care este utilizată pentru deblocarea sau decriptarea datelor criptate. În acest fel, chiar dacă cineva a reușit să-ți acceseze fișierele criptate, tot ce ar vedea este textul cifrat fără o cheie de decriptare pentru a-l descifra. Ștergerea criptografică este o practică bună de utilizat în general, dar mai ales dacă stochezi date cu caracter personal criptate în Cloud, unde nu deții echipamentul de infrastructură IT pe care sunt găzduite datele tale personale. Chiar dacă Furnizorul tău de servicii cloud (C-SP) este obligat din punct de vedere legal să transmită datele tale, acestea vor fi un text cifrat neinteligibil. Ștergerea criptografică funcționează cel mai bine atunci când criptezi fișierele pe dispozitiv local, înainte de a le încărca sau copia pe orice tip de suport media pentru a include Cloud-ul. Odată ce-ți salvezi fișiere neprotejate în media, este adesea posibilă recuperarea cu ușurință a acelor fișiere utilizând software criminalistic digital specializat. Obișnuiește-te doar să criptezi fiecare fișier pe care îl deții prin tehnicile prezentate în Partea 1 a seriei (a se vedea EFS).

Un principiu constant al securității calculatorului este automatizarea securității, deoarece domeniul e atât de vast încât există multe de protejat. Prin urmare, obiectivul este de a minimiza orice suprafață de atac la cel mai mic grad posibil și de a automatiza unde și ori de câte ori este posibil. Poți achiziționa unități de criptare automată (Self-Encrypting Drives – SED), care-ți vor cripta automat datele personale și le vor proteja împotriva descoperirii intenționate sau neintenționate. În prezent, Fry vinde un dispozitiv portabil de 500GB Samsung T5 Solid State Drive (SSD) pentru 130 de dolari. Deci, nu sunt prea scumpe încât nu-ți poți permite unul. SSD-urile sunt mult mai rapide decât hard disk-ul plat HDD, deoarece nu există părți în mișcare, în schimb datele sunt stocate în microcipuri. Utilizatorii experimentați știu că pentru încărcarea sistemelor lor de operare de pe partiția C: \ pe SSD-ul lor, e necesară viteză pentru boot-up și procesare. În mod ideal, pentru o viteză optimă de procesare, sistemul tău de operare și datele sunt stocate pe un SSD cu auto-criptare. De asemenea, poți utiliza software de criptare pentru a cripta HDD-ul sau SSD-ul, dar de ce să nu cumperi un SED care să îndeplinească acea sarcină în locul tău? SED-urile efectuează criptarea și decriptarea datelor utilizând un cip dedicat procesorului criptografic care se face parte din controlerul unității, ceea ce este mai bine decât stocarea cheii de criptare în memoria sistemului de operare.

(re)flexii

Există și puncte de vedere contrare… A se vedea „Unitățile de auto-criptare nu sunt deloc mai bune decât criptarea bazată pe software

Ca orice control de securitate sau instrument, SED-urile nu sunt perfecte. La fel ca un smartphone criptat, odată ce acesta este deblocat (sau decriptat) pentru utilizare, acesta va rămâne într-o stare deblocată până la închidere și re-criptată. Acest lucru prezintă unele vulnerabilități de securitate notabile chiar și atunci când sunt asociate cu Microsoft Windows BitLocker și TPM (Trusted Platform Module). SED-urile sunt, cu toate acestea, eficiente împotriva criminalilor obișnuiți, a hărțuitorilor sau a unor persoane care vin pe computerul tău personal și nu posedă abilități avansate de hacking.

Călătorii în străinătate

În general, dacă un atacator ar trebui să aibă acces fizic la dispozitivul tău electronic, atunci există o mare probabilitate ca acesta să poată învinge securitatea acestuia dacă dispune de resursele și abilitățile necesare. Dacă ai fost în preajma calculatoarelor pentru o perioadă lungă de timp, știi că acest lucru este un fapt. Acces fizic = compromis. Deci, pentru a-ți proteja cel mai bine datele, trebuie să planifici din vreme această posibilitate. Dacă intenționezi să călătorești într-o țară străină, cum ar fi China, Rusia, Iran sau Coreea de Nord, știi deja că aceștia nu sunt aliați favorabili Statelor Unite și ar trebui să te aștepți ca orice dispozitiv electronic pe care îl ai cu tine va fi compromis într-o anumită măsură, mai ales dacă-l lași în camera de hotel când nu ești prezent. Acest lucru este dovedit, și s-a întâmplat în numeroase ocazii. Caută pe Google. Am auzit chiar și despre agențiile americane de informații care solicită ca HDD-ul companiei sau guvernului să fie analizat după călătorii în străinătate, pentru a afla ce tehnici și metode de spionaj au folosit adversarii. Al patrulea Amendament al Constituției americane nu se aplică celor care călătoresc în afara teritoriului S.U.A., nu le este acordată protecții la percheziție și confiscare. Ești pe cont propriu. Ei ți-ar putea cere să deblochezi dispozitivul și, dacă refuzi, aceștia pot să profite de dispozitiv și apoi să te arunce în închisoare pentru o perioadă nespecificată de timp.

Ideea este că legile sunt diferite în străinătate și, în unele cazuri, ele par a deveni tot mai complicate. Deci, în loc să treceți prin toate aceste prostii, cea mai bună apărare împotriva acestei amenințări foarte reale și valabile este să iei cu tine doar dispozitivele „arse” care nu conțin absolut niciun fel de date personale pe ele, sau cel puțin doar unele acceptabile la compromitere. În acest fel, dacă trebuie să folosești codul PIN, parola sau autentificarea biometrică, atunci vei apărea că ești cooperant, pentru că deja știi că nimic nu are valoare pe dispozitivul tău. În plus, indiferent de datele pe care le produci în țara străină, poți să le trimiți prin e-mail, să le încarci într-un serviciu Cloud securizat sau să ștergi HDD-ul înainte de a părăsi țara și când revii în SUA unde U.S. Customs and Border Protection (CBP) este autorizată legal să efectueze căutări fără garanții și să rețină cetățenii SUA timp de până la 36 de ore dacă refuză să-și deblocheze dispozitivul pentru inspecție. Am aflat de diferite rapoarte despre acest lucru, dar nu se întâmplă întotdeauna. Aceasta este în mare parte realizată de oamenii care traversează granița pe jos, deoarece șoselele sunt lungi și există mai puțin timp. Deci, încearcă să conduci de-a lungul frontierei, dar dacă este vorba de un aeroport, de trecere cu piciorul, de port maritim sau de port intrare cu mașina de intrare, CBP te poate controla pe tine și dispozitivele tale. Fii pregătit pentru asta din timp. Dacă dispozitivul tău este echipat cu o criptare a întregului HDD, așa cum ar trebui să fie (reține din Partea I-a), asigură-te că dispozitivul este oprit, astfel încât acesta să necesite codul PIN sau cheia pentru a îl debloca.

Excentricitatea este dușmanul faptului că este practic imposibil de detectat. Nu căuta să fii observat, așa că propune-ți să te amesteci în mulțime cât mai mult posibil. Acest lucru înseamnă purtarea de haine simple, neetichetate și având tipuri similare de bagaje obișnuite. Deci, este probabil cel mai bine e să lași laptopul acoperit cu autocolant de la toate conferințele de securitate la care ai fost acasă. Postit-urile te vor face de încredere, protejându-te de o inspecție secundară sau de cineva interesat de autoritățile străine de informații. Ai multe tatuaje? Nicio problemă, poartă o cămașă cu mâneci lungi în timp ce călătorești prin aeroporturi cel puțin sau în orice alt loc în care crezi că există o mare probabilitate de a fi monitorizat. TSA utilizează acum sistemele de recunoaștere facială, dacă nu ai auzit, în 2020 toată lumea va trebui să-și actualizeze licențele pentru șoferi cu un REAL ID pentru a putea să urce la bordul unei aeronave.

Email-ul SMS-ul cu autodistrugere

De asemenea, poți trimite e-mailuri cu auto-ștergere sau auto-distrugere care expiră după o anumită perioadă de timp pe care o poți seta înainte de trimitere. Aceasta este o capacitate oferită de un număr mic de furnizori de servicii de e-mail, cum ar fi Google (adică Gmail) și ProtonMail. Gizmodo a publicat și alte opțiuni pentru ștergerea automată a mesajelor. Capacitatea nu este neapărat nouă, dar numai recent Google a adăugat funcția în Gmail. Mulți oameni nu știu că această facilitate există. Testați-o, faceți o încercare. Nu este perfectă desigur, dar din nou, nici nu există o altă măsură de securitate. Știi că, de fapt, copii ale fiecărui e-mail pe care l-ai trimis vreodată se află încă pe serverele furnizorului de servicii de e-mail sau ar putea fi salvat de pe ecran sau salvat ca fișier .pdf de către destinatarii e-mailului.

Signal este un serviciu de text sau de mesaje scurte (SMS) concentrat pe confidențialitate, care oferă criptarea end-to-end pentru mesajele text. La fel ca Tor și VPN-urile, guvernele o urăsc. Destul spus. Folosește-l. Familia și prietenii să o folosească.

Cartea lui Kevin Mitnick „Ghost in the Wires”, imagine prin curtoazia Flickr

Forme de plană nedetectabile

În ciuda tuturor curentelor de top care în prezent înconjoară criptomonedele sau „altcoins”, cum ar fi BitCoin, Ethereum sau Monero, ele nu sunt create în mod egal atunci când vine vorba de anonimat sau de nedectabilitate. De fapt, criptomonedele sunt folosite intens pentru activități ilicite de către infractorii cibernetici pentru a spăla banii murdari, a scoate bani de la victimele online, cum ar fi cu prevalența atacurilor de răscumpărare, și pentru a cumpăra sau vinde bunuri ilegale pe Dark Web. Cu excepția cazului în care ești înțelept din punct de vedere tehnologic și bine familiarizat cu modul în care funcționează criptomonedele, nu te-aș sfătui să le folosești pentru a face tranzacții financiare „netradiționale” online. Sunt foarte instabile în acest moment. Dă-le mai mult timp. Acesta nu este o reclamă Blockchain, așa că nu voi intra în detalii despre altceva, spun doar că este un sistem descentralizat digital bazat pe cărți mari.

Mulți oameni fac achiziții de cărți de credit online pe site-uri web, cum ar fi Amazon.com sau Target.com, și uitând total de modul în care informațiile lor personale de credit sunt transmise sau protejate în timpul tranzitului pe Internet și că fiecare achiziție online pe care o fac este un far pentru analiștii de aplicare a legii sau de informații pentru urmărire pe baza telefonului mobil ce poate fi folosit cu triangulația GPS de pe turnurile telefonice. Înainte de a efectua o achiziție online, asigură-te că site-ul utilizează HTTPS, care înseamnă „Hypertext Transfer Protocol Secure” și utilizează Transport Layer Security (TLS) pentru a cripta comunicațiile de la un capăt la altul. Aceasta este o mare înțelegere, pentru că dacă site-ul web nu folosește HTTPS, atunci îți trimiți în practic informațiile pe Internet în format text, ceea ce înseamnă că oricine are competențele necesare și instrumentele de sniffing a pachetelor, le poate intercepta și citi.

Din momentul în care apeși butonul „Submit” din acea tranzacție de cumpărare online, tocmai ai semnat că: 1) ești în viață sau cineva îți folosește cardul; 2) știm ce ai cumpărat; 3) știm de la cine ai cumpărat; 4) știm cât de mult ai plătit și 5) dacă sunt deștepți, ei chiar pot ști unde și când va fi livrat. Nu trebuie neapărat să fii executor legal sau un analist al agenției de informații pentru a avea acces la acest tip de informații. Cybercriminalul ar putea obține cele mai multe, dacă nu toate informațiile despre contul tău de e-mail hack-uit (Vezi cele 3 miliarde de conturi Yahoo!). Uneori, infractorii cibernetici plasează malware pe sistemele Point-of-Sale (POS), cum ar fi casele de marcat din magazin sau mașinile de citire a cardurilor de credit pentru a obține informații despre cardul de credit și codurile PIN. Acum, de ce altceva mai am nevoie ca să te urmăresc sau să setez un atac fizic de tipul man-in-the-middle? Este posibil să ai flashback-uri ale filmului cu Jennifer Lopez „Enough”, în care fostul său soț are un detectiv particular și contacte la poliție, folosind abilități, metode și instrumentele speciale pentru a o urmări oriunde folosește un card de credit/debit sau trimite un mail. E înfricoșător, dar nu iese din domeniul posibilului.

Numerarul încă domnește suprem atunci când vine vorba de a fi nedetectabil. De ce crezi că atât de mulți muncitori sunt plătiți „pe sub masă” în numerar? Este ilegal, dar plata în numerar permite angajatului să evite plata impozitului pe venit către stat și IRS-ul. Probabil ești compensat de către angajator prin intermediul Transferului electronic de fonduri (EFT) într-un cont bancar, și de acolo fie retragi bani prin ATM, fie folosești un card de debit/credit sau scrii cecuri. Acesta este modul în care majoritatea oamenilor cheltuiesc bani. Câțiva dintre cei mai avansați tehnic plătesc cu aplicațiile Apple, Samsung sau Google Pay. Folosirea exclusivă a numerarului este riscantă, căci, dacă ești bătut sau tâlhărit, atunci poți pierde totul. De aceea, dacă ești o persoană fizică, atunci ar trebui să te gândești să-ți diversifici așa-zis-ul portofoliu și să-ți împrăștii stocurile de numerar în locuri diferite în care nimeni nu ar trebui să se gândească să se uite. Poate ții o parte în portofel sau în geantă, alta la ciorap sau sutien, între paginile cărților, în cărți goale, în interiorul unei plăci de pardoseală sau într-un spațiu din perete, altele în mașină, altele în casă/apartament, altele într-un loc sigur sau casa familiei/prietenului, unii într-un seif foarte greu. Observă că niciodată nu am menționat să-ți pui bani la saltea. Acesta va fi primul loc unde va căuta un spărgător, apoi va începe să caute prin sertare și să răstoarne lucrurile pe care le ai prin casă. Trebuie să fii mai inteligent și mai creativ decât criminalii, și asta e greu de făcut, pentru că probabil că au avut mult timp să-și planifice și să se gândească să te jefuiască. Totuși, poți să câștigi mai mulți bani, deci nu face greșeala de a refuza să refuzi să-i dai banii hoțului. Te-ar putea costa viața.

Campania de dezinformare

Răspândirea dezinformării despre tine poate părea exagerată, dar este de fapt o tehnică cu adevărat inteligentă pentru a-ți crește anonimatul. Creează-ți profiluri online false, cu adrese false, numere de telefon și fotografii false pentru a deruta pe cineva care încearcă să te urmărească online. Introdu-ți numele, sau alte informații de identificare, incorect bagă o vocală suplimentară la sfârșitul prenumelui, numelui, sau folosește un nume de mijloc diferit. Abonează-te la o revistă ieftină cu o adresă falsă. Acest lucru va face mai greu să fii găsit atunci când cineva îți caută numele pe site-urile de căutare pe Internet. Aceste baze de date pentru site-uri web și pentru persoane nu sunt configurate să gestioneze 20 de adrese diferite pentru aceeași persoană sau nume similare. În mod obișnuit, acestea pot afișa două sau trei adrese cunoscute anterior. Dacă începi să barezi Internetul cu abateri de nume fals și adrese noi (false), cum ar fi schimbarea la o nouă cutie poștală în fiecare lună, atunci acestea îți vor suprascrie adresa reală cu toate aceste adrese false. Trebuie să fii atent, însă, dacă te decizi să faci acest lucru, aceste informații false ar putea, de asemenea, să se reflecte asupra raportului tău de credit și să-ți afecteze „onorabilitatea”. Aceeași strategie de dezinformare poate fi aplicată site-urilor reale care colectează informațiile tale personale. De multe ori, poți să-ți asumi dreptul de proprietate asupra propriului profil prin crearea unui cont gratuit pe site-ul tău web și apoi prin actualizarea tuturor informațiilor tale de identificare personală sau cât mai multe din acestea, deoarece acestea îți vor permite să schimbi informațiile false. Acest lucru, evident, nu va funcționa pentru birourile guvernamentale, în fața cărora dorești de fapt să ai adresa și informațiile tale corecte.

ADN ancestral

Dacă încerci să devii practic imposibil de detectat, nu este recomandabil să-ți trimiți ADN-ul la companii precum 23-and-Me sau Ancestry.com pentru a-ți identifica strămoșii. Aceste companii întrețin baze de date cu informații despre ADN-ul clientului, care pot fi obținute de organele de ordine cu un mandat. Au existat chiar cazuri în care polițiștii „au obținut” ADN-ul de la un pahar de plastic de cafea sau sifon din restaurant pe care l-au trimis la laboratorul criminalistic pentru analiza ADN-ului. Apoi, dacă rezultatele nu s-au legat cu o persoană cunoscută în baza lor de date națională, ei trimit probele de ADN la o companie de tipul celor amintite, pentru a verifica dacă se potrivește cu cineva. Destul de ciudat, trebuie să spun. Asta este similar cu ceea ce sa întâmplat într-un caz de crime în serie din California.

Stilul Omul Peșterii: de ce întoarcerea la Low-Tech nu este complet greșită

Îmi dau seama că o mulțime de oameni vor fi imediat demotivați chiar și pentru simpla menționare a faptului că s-ar întoarce la tehnologie redusă, pentru că este contrară cu tot ceea ce au învățat în societatea modernă despre mai mare, mai bun, mai prost! Aceiași cititori au fost probabil demotivați de Partea I care vorbea despre telefoanele mobile. Uite, dacă nu ești serios pentru a deveni practic imposibil de identificat, atunci cu toate mijloacele mențineți parcursul vieții. Nu există nici o presiune de a te schimba radical într-un ticălos spion super-secret sau într-un hacker subteran. Acestea sunt doar sfaturi practice pe care le poți încerca pentru a-ți îmbunătăți intimitatea, pentru a vedea dacă-ți place. S-ar putea să nu adopți nici unul dintre ele, sau doar o parte. Este îndoielnic că oricine ar adopta toate aceste sfaturi, datorită dificultății necesare pentru a trăi o astfel de viață. Pentru a fi sincer, subiectul abordării low-tech merită într-adevăr un articol sau o carte proprie.

Cu cât sunt mai înalte tehnologiile, cu atât mai bine? Nu întotdeauna, uneori, înalta tehnologie poate lucra împotriva ta, cel puțin în anumite situații în care ai putea dori să rămâi nedetectabil sau greu de găsit. De exemplu, fugi de cineva sau de o situație din viața ta? Ești un soț/partener batjocorit într-o relație abuzivă? Poate că ești o victimă a traficului de ființe umane, care încearcă să scape de răpitori? Poate că ești un adolescent fugar care încearcă să scape de părinții abuzivi? Există o mulțime de motive pentru care ar trebui să tai legăturile și să fugi la un moment dat de viața ta. Nu toate motivele sunt rele. Oricare ar fi motivele personale, nu trebuie să le împărtășești cu nimeni. Aceasta este afacerea ta personală, dar știi că fuga rar aduce rezultatul dorit. Este, de obicei, mai bine să te confruntați cu problemele pe care le ai, dar dacă este prea periculos sau nebunesc, din orice motiv, atunci asta e. Există alternative, nu?

Acum, este important să continui să gândești în termeni din afara rețelei sau în subteran atunci când încerci să devii practic imposibil de detectat. Aceste două concepte sunt interdependente și inseparabile într-o anumită măsură. Există câteva lucruri relativ simple pe care le poți face pentru ca traseul să fie mai greu de urmărit. De exemplu, poți accesa Internetul numai din locații publice, cum ar fi un Internet cafe sau o bibliotecă publică, în timp ce încerci să rămâi în mod conștient în afara oricărei camere CCTV. Scopul principal al investigațiilor criminalistice digitale este de a putea pune criminalul în spatele tastaturii în momentul infracțiunii, astfel încât să poată fi urmărit penal. Anchetatorii vor încerca să facă acest lucru prin accesarea a ceea ce sunt cunoscute ca jurnale de evenimente ale sistemului pe computer și dacă au înregistrări video cu tine, folosind computerul public la un anumit moment și loc care corespunde unui eveniment de conectare la sistem, te-au prins, prietene. Asta ar fi ceea ce se numește „caz pierdut” în instanță. Dar „dacă nu te așezi, atunci trebuie să achiți!” Serios, totuși, va fi mult mai dificil de demonstrat un caz dacă te conectezi la site-uri web de la adrese IP și/sau locații fizice diferite de fiecare dată. Așa, dai mult de furcă unui anchetator și devine mai puțin probabil ca acesta să aibă timp, resurse sau înclinație pentru a finaliza întreaga investigație.

„Fizic, fizic”

În continuare, în ceea ce privește abordarea low-tech, îți recomand să iei în considerare o cutie poștală pe care să o poți oferi oricui dorești. Este foarte simplu de făcut. În acest fel, nimeni nu-ți va ști cu adevărat adresa de domiciliu, cu excepția autorităților, care pot găsi cu ușurință informațiile respective în funcție de cine a înregistrat PO Box. Cu toate acestea, dacă nu informați pe toată lumea despre noua ta adresă de poștă, vei primi în continuare poșta la vechea adresă. Ar fi de la sine înțeles, de asemenea, că dacă nu te muti la o nouă adresă, toată lumea o va cunoaște pe cea veche. Deci, această tehnică se face cel mai bine atunci când te muți la o nouă adresă. Stabilește imediat o adresă de cutie poștală și dă-o tuturor, în locul adresei tale reale. Amintește-ți că furnizarea de informații false cu privire la documentele guvernamentale sau la licențe este o infracțiune pedepsită conform legii. Căsuțele poștale necesită două forme de identificare, dintre care cel puțin una trebuie să aibă o adresă de domiciliu menționată pe aceasta. Acum, adresa de domiciliu a permisului de conducere ar putea fi o adresă veche sau poate fi actuală. Cum știe Poșta asta? Acest lucru nu înseamnă că oamenii nu trimit informații false despre documente guvernamentale, se întâmplă tot timpul. Dacă ești prins, nu spune că nu ai fost avertizat. Nu ai abonamente la reviste sau ziare, mai ales atunci când poți citi cele mai multe articole online gratuit. Ce câștigi în confortabilitate, pierzi în confidențialitate și în mesajele spam.

Gunoiul unei persoane este comoara alteia

Gândește-te pentru un minut la ceea ce arunci zilnic sau săptămânal la gunoi (ca să nu mai vorbim de un an întreg). Acum gândește-te la ceea ce, cineva care a căutat prin gunoi ar putea afla despre tine, dacă ar face acest lucru. E un gând dezgustător, îmi dau seama. Nu înseamnă că nu se întâmplă totuși. Din nou, să ne amintim cât de mare populația fără adăpost în creștere în S.U.A (și nu numai!). Este puțin deranjant? Așa cred. Te face să fii puțin paranoic și să vrei să investești într-un tocător bun sau poate să arzi toate documentele cu numele tău pe ele? Dacă nu, nu mai vreau altceva. Poate că trebuie să experimentezi cum este să fii victimă a furtului de identitate?

Deci, ce poți face pentru a te proteja de atacurile căutătorilor în gunoaie? Ușor, începând de azi, fă-ți un obicei din a contorsiona în mod conștient, de a tăia sau de a arde orice bucată de hârtie cu numele tău pe ea. Nu arunca niciodată electronica computerizată fără să o dezinfectezi mai întâi. Dacă dispozitivul conține orice fel de memorie digitală, atunci îți recomand să-l distrugi înainte de a-l arunca printr-o metodă potrivită pentru orașul tău. Ultimul lucru pe care îl dorești este ca cineva să-ți obțină vechiul laptop sau HDD-ul computerului, apoi să folosească software de recuperare a fișierelor de pe acesta și să-ți preia toate fișierele personale de pe el. Același lucru se întâmplă și cu telefoanele vechi și cu alte computere electronice, cum ar fi tablete, memorii RAM, ceasuri/dispozitive de fitness, etc. Fie păstrează-le pentru totdeauna, fie arde-le, pulverizează-le sau dezintegrează-le, înainte de a le arunca. Am propria mea colecție de Internet al Lucrurilor (IoT) care mă încurcă, dar pe care o păstrez datorită datelor mele personale stocate pe ele. Pe multe le-am dezinfectat deja, dar asta am făcut-o doar de distracție și pentru a testa sau a le da copiilor să se joace cu ele.

Resurse suplimentare

Citește, există o mulțime de resurse bune publicate pe care le poți folosi pentru a deveni mai bine informat despre cum să devii virtual nedetectabil. @KevinMitnick are câteva cărți excelente care merită citite. Filmele de la Hollywood, distractive pentru a le viziona, conțin, de asemenea, o mulțime de lucruri care se referă la incertitudine și anonimitate care este în mare parte nerealistă și care nu funcționează.

De asemenea, verifică Fundația Electronic Frontier (EFF). Ei au multe resurse și oameni inteligenți care sunt la fel de preocupați de viața privată.

În încheiere

Chiar dacă anonimatul complet și nedetectabilitatea nu pot fi niciodată pe deplin atinse, poți obține cel puțin un minim din ambele, dacă lucrezi la asta. Cel puțin să-i faci să muncească pentru asta, asta poți face, cel puțin? Cel mai rău lucru pe care îl poți face este să nu faci nimic, continuând cu stilul de viață status quo, renunțând la libertatea ta personală de informare și întrebându-ți asistentul la domiciliu (de exemplu, Siri, Alexa, Google Home, Cortana) atunci când acea reclamă ciudată despre furajele de păsări apare în newsfeed-ul tău după ce ai vorbit la telefon cu mama ta despre papagalul Sammy. Deci, este vorba de criminali, doar pentru că ai plătit toți acești bani pentru a instala un sistem de alarmă la domiciliu, asta nu înseamnă că nu vei fi niciodată prădat. Ea doar diminuează șansele și acum pot exista unele consecințe urâte (sperăm) pentru criminalul stupid care decide să intre în casa ta dacă este surprins de alarmă. Gândește-te la apărarea stratificată, la sistemul de alarmă; câine mare, încrezător; apel telefonic la 112 în timp ce ieși cu o bâtă de baseball cu muchii cioplite; anunță că ai o armă; și apoi, în cele din urmă, dacă trebuie, folosește arma ca o ultimă soluție absolută. În cele mai multe locuri, împușcarea în legitimă apărare este justificată dacă te temi pentru viața ta. Făcându-ți o țintă mai tare în viață, în general, le spui cyber-ilor și altor tipuri de infractori sau acelor tipuri de Big Brother că nu ești o țintă ușoară sau o oaie. Ești un lup și nu vei putea fi urmărit sau urmărit cu ușurință, deoarece viața ta personală este importantă! Angajatorul tău ar trebui să știe doar ce trebuie să știe despre tine și nu mai mult. Drepturile noastre constituționale vor continua să fie inundate și erodate în esență către nimic, dacă ne vom așeza și nu vom face nimic. Te las cu acest gând: dacă nu te uiți și nu te protejezi în fața invadării confidențialității și supravegherii în masă fără sens, cine o va face în numele tău?

Surse: Becoming Virtually Untraceable: (Part 2) -Intermediate Techniques

Sfaturi pentru menținerea intimității în mediul virtual…

întreaga serie de articole
 

Lasă un răspuns

Denumire
Email
Pagină web

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.