Questa pagina web è la traduzione italiana della guida The Hitchhiker’s Guide to Online Anonymity

Questa guida è stata tradotta e messa in rete in questo sito per evitare che gli utenti italiani la aprano sul browser Chrome per farsela tradurre in italiano da Google traduttore esponendosi così al tracciamento di Google e delle multinazionali a cui rivende i dati. La pagina web di questa guida è stata leggermente modificata per ospitare la guida in una unica pagina web.

Questa guida è stata creata da Alex, un semplice attivista per l'anonimato e la privacy, che dopo sfortunati eventi recenti, ho ripreso la manutenzione di questa guida per continuare il progetto avviato da AnonyPla. Al momento non è chiaro se AnonyPla tornerà, quindi sta cercando di continuare il suo progetto rimanendo il più fedele possibile alle sue intenzioni.
Non può garantire che farà tutto bene, o come l'avrebbe fatto lei, ma sta facendo del suo meglio.

Credo fermamente che la privacy dovrebbe essere un diritto universale e che l'anonimato non dovrebbe mai diventare illegale. Non voglio che le nostre vite si trasformino in Gattaca, Minority Report, Black Mirror o 1984 (troppo tardi per quello, temo). Non voglio che le nostre leggi e i nostri diritti diventino termini di servizio.

Il mio obiettivo è portare la conoscenza accessibile su questi argomenti a molti e, si spera, raggiungere le poche brave persone che ne hanno davvero bisogno. In questo caso specifico, penso che i bisogni di pochi prevalgano su quelli di molti.

Questa guida è un lavoro in corso . Mentre sto facendo del mio meglio per correggere problemi, imprecisioni e migliorare il contenuto, la struttura generale e la leggibilità; probabilmente non sarà mai “finito”.

Potrebbero esserci alcune informazioni sbagliate o obsolete in questa guida perché nessun essere umano è onnisciente e gli umani commettono errori. Per favore, non prendere questa guida come un vangelo definitivo o verità perché non lo è. Gli errori sono stati scritti nella guida nelle versioni precedenti e corretti in seguito quando scoperti. Probabilmente ci sono ancora alcuni errori in questa guida in questo momento (si spera pochi). Quelli vengono risolti il prima possibile quando vengono scoperti.

Questa guida è stata spostata, a causa di recenti sfortunati eventi. La vecchia guida era su anonymousplanet.org , ma da allora è stata spostata su https://anonymousplanet-ng.org

La tua esperienza può variare. Ricordarsi di controllare regolarmente una versione aggiornata di questa guida.

Questa guida è un'iniziativa open source senza scopo di lucro, con licenza Creative Commons Attribution-NonCommercial 4.0 International ( cc-by-nc-4.0 ^{[Archive.org]} ).

Ci sono diversi modi per leggere questa guida:

Vuoi capire lo stato attuale della privacy online e dell'anonimato non necessariamente diventare troppo tecnico al riguardo: leggi l' introduzione , i requisiti , la comprensione di alcune nozioni di base su come alcune informazioni possono ricondurti a te e come mitigarle e le sezioni di una nota editoriale finale .
Vuoi fare quanto sopra ma anche imparare a rimuovere alcune informazioni online su di te: leggi quanto sopra e aggiungi la rimozione di alcune tracce delle tue identità sui motori di ricerca e sulle varie piattaforme.
Vuoi fare quanto sopra e creare identità online anonime online in modo sicuro e protetto: leggi l'intera guida.

Precauzioni durante la lettura di questa guida e l'accesso ai vari link:

I documenti/file hanno un collegamento [Archive.org] accanto a loro per accedere al contenuto tramite Archive.org per una maggiore privacy e nel caso in cui il contenuto scompaia. Alcuni link non sono ancora archiviati o non sono aggiornati su archive.org nel qual caso ti consiglio di chiedere un nuovo salvataggio, se possibile.
I video di YouTube hanno un collegamento [Invidious] accanto per accedere ai contenuti tramite un'istanza Invidious (in questo caso yewtu.be ospitato nei Paesi Bassi) per una maggiore privacy. Si consiglia di utilizzare questi collegamenti quando possibile. Vedere https://github.com/iv-org/invidious ^{[Archive.org]} per ulteriori informazioni.
I link di Twitter hanno accanto un link [Nitter] per accedere ai contenuti tramite un'istanza Nitter (in questo caso nitter.net) per una maggiore privacy. Si consiglia di utilizzare questi collegamenti quando possibile. Per ulteriori informazioni, vedere https://github.com/zedeus/nitter ^{[Archive.org]} .
I collegamenti di Wikipedia hanno un collegamento [Wikiless] accanto a loro per accedere ai contenuti tramite un'istanza Wikiless (in questo caso Wikiless.org) per una maggiore privacy. Si consiglia di utilizzare questi collegamenti quando possibile. Per ulteriori informazioni, vedere https://codeberg.org/orenom/wikiless ^{[Archive.org]} .
I link medi hanno accanto il link [Scribe.rip] per accedere al contenuto tramite un'istanza Scribe.rip per una maggiore privacy. Ancora una volta, si consiglia di utilizzare questi collegamenti quando possibile. Per ulteriori informazioni, vedere https://scribe.rip/ ^{[Archive.org]} .
Se stai leggendo questo in formato PDF o ODT, noterai un sacco di ``` al posto delle doppie virgolette (""). Questi ``` sono lì per facilitare la conversione in formato Markdown/HTML per la visualizzazione online dei blocchi di codice sul sito web.

Se non vuoi la seccatura e utilizza uno dei browser seguenti, puoi anche installare la seguente estensione sul tuo browser: https://github.com/SimonBrazell/privacy-redirect ^{[Archive.org]} :

Firefox: https://addons.mozilla.org/en-US/firefox/addon/privacy-redirect/
Browser basati su Chromium (Chrome, Brave, Edge): https://chrome.google.com/webstore/detail/privacy-redirect/pmcmeagblkinmogikoikkdjiligflglb

Se hai problemi ad accedere a uno qualsiasi dei tanti articoli accademici a cui si fa riferimento in questa guida a causa dei paywall, sentiti libero di usare Sci-Hub ( https://en.wikipedia.org/wiki/Sci-Hub ^[Wikiless] ^{[Archive.org ]} ) o LibGen ( https://en.wikipedia.org/wiki/Library_Genesis ^[Wikiless] ^{[Archive.org]} ) per trovarli e leggerli. Perché la scienza dovrebbe essere libera. Tutto. Se ti trovi di fronte a un paywall che accede ad alcune risorse, considera l'utilizzo di https://12ft.io/ .

Infine, nota che questa guida menziona e persino raccomanda vari servizi commerciali (come VPN, CDN, provider di posta elettronica, provider di hosting...) ma non è in alcun modo approvato o sponsorizzato da nessuno di essi. Non ci sono link di riferimento e nessun legame commerciale con nessuno di questi fornitori. Questo progetto è al 100% senza scopo di lucro e si basa solo su donazioni.

Contenuti:

Prerequisiti e limitazioni:

Prerequisiti:

Comprensione della lingua inglese (in questo caso inglese americano).
Essere un residente permanente in Germania, dove i tribunali hanno confermato la legalità di non utilizzare nomi reali su piattaforme online (§13 VI del German Telemedia Act del 2007 ¹ ' ² ). In alternativa, risiedi in qualsiasi altro paese in cui puoi confermare e verificare tu stesso la legalità di questa guida.
Questa guida presuppone che tu abbia già accesso ad alcuni computer portatili (Windows/Linux/macOS) (idealmente non un dispositivo di lavoro/condiviso) e una conoscenza di base di come funziona.
Abbi pazienza perché questo processo potrebbe richiedere diverse settimane per essere completato se vuoi esaminare tutto il contenuto.
Avrai un po' di tempo libero da dedicare a questo processo (o molto a seconda del percorso che scegli).
Preparati a leggere molti riferimenti (leggili), guide (non saltarli) e segui a fondo molti tutorial pratici (non saltarli nemmeno).
Non essere malvagio (per davvero questa volta) ³ .

Limitazioni:

Questa guida non è destinata a:

Creazione di account macchina di qualsiasi tipo (bot).
Creazione di account di rappresentazione di persone esistenti (come il furto di identità).
Aiutare gli attori malintenzionati a condurre attività non etiche, criminali o illecite (come trolling, stalking, disinformazione, disinformazione, molestie, bullismo...).
Uso da parte di minorenni.

Introduzione:

TLDR per tutta la guida: “Un gioco strano. L'unica mossa vincente è non giocare” ⁴ .

Creare un account sui social media con uno pseudonimo o un artista/marchio è facile. Ed è sufficiente nella maggior parte dei casi d'uso per proteggere la tua identità come il prossimo George Orwell. Ci sono molte persone che usano pseudonimi su Facebook/Instagram/Twitter/LinkedIn/TikTok/Snapchat/Reddit/... Ma la stragrande maggioranza di queste sono tutt'altro che anonime e possono essere facilmente ricondotte alla loro vera identità dai tuoi agenti di polizia locali, casualmente persone all'interno della comunità OSINT ⁵ (Open-Source Intelligence) e troll ⁶ su 4chan ⁷ .

Questa è una buona cosa poiché la maggior parte dei criminali/troll non sono esperti di tecnologia e di solito vengono identificati facilmente. Ma anche questa è una cosa terribile poiché la maggior parte dei dissidenti politici, degli attivisti per i diritti umani e degli informatori possono essere rintracciati piuttosto facilmente.

Questa guida mira a fornire un'introduzione a varie tecniche di de-anonimizzazione, tecniche di tracciamento, tecniche di verifica dell'identità e indicazioni facoltative per creare e mantenere identità anonime ragionevolmente e veramente online, inclusi gli account dei social media in modo sicuro. Ciò include le piattaforme tradizionali e non solo quelle rispettose della privacy.

È importante capire che lo scopo di questa guida è l'anonimato e non solo la privacy, ma gran parte della guida che troverai qui ti aiuterà anche a migliorare la tua privacy e sicurezza anche se non sei interessato all'anonimato. Esiste un'importante sovrapposizione nelle tecniche e negli strumenti utilizzati per la privacy, la sicurezza e l'anonimato, ma a un certo punto differiscono:

La privacy riguarda le persone che sanno chi sei ma non sanno cosa stai facendo.
L'anonimato riguarda le persone che sanno cosa stai facendo ma non sanno chi sei ⁸ .

ciao

(Illustrazione da ⁹ )

Questa guida ti aiuterà a proteggerti dall'NSA, dall'FSB, da Mark Zuckerberg o dal Mossad se vogliono trovarti? Probabilmente no... Il Mossad farà le "cose del Mossad" ¹⁰ e probabilmente ti troverà, non importa quanto tu cerchi di nasconderti ¹¹ .

Devi considerare il tuo modello di minaccia ¹² prima di andare oltre.

ciao

(Illustrazione di Randall Munroe, xkcd.com, licenza CC BY-NC 2.5)

Questa guida ti aiuterà a proteggere la tua privacy dai ricercatori OSINT come Bellingcat ¹³ , Doxing ¹⁴ troll su 4chan ¹⁵ e altri che non hanno accesso alla cassetta degli attrezzi della NSA? Più probabilmente. Anche se non sarei così sicuro di 4chan.

Ecco un modello di minaccia semplificato di base per questa guida:

(Nota che le battute "amuleti magici/sottomarino/fai la tua stessa morte" sono citate dall'eccellente articolo "This World of Ours" di James Mickens, 2014 sopra ¹⁰ )

Disclaimer: Scherzi a parte (amuleto magico...). Naturalmente, ci sono anche metodi avanzati per mitigare gli attacchi contro avversari così avanzati e abili, ma questi sono appena fuori dallo scopo di questa guida. È di fondamentale importanza comprendere i limiti del modello di minaccia di questa guida. E quindi, questa guida non raddoppierà le dimensioni per aiutare con quelle mitigazioni avanzate poiché è troppo complessa e richiederà una conoscenza e un livello di abilità estremamente elevati che non ci si aspetta dal pubblico mirato di questa guida.

L'EFF fornisce alcuni scenari di sicurezza di ciò che dovresti considerare a seconda della tua attività. Sebbene alcuni di questi suggerimenti potrebbero non rientrare nell'ambito di questa guida (più sulla privacy che sull'anonimato), vale comunque la pena leggerli come esempi. Vedi https://ssd.eff.org/en/module-categories/security-scenarios ^{[Archive.org]} .

Per approfondire la modellazione delle minacce, vedere l' Appendice B3: Risorse per la modellazione delle minacce .

Potresti pensare che questa guida non abbia un uso legittimo ma ci sono molti ¹⁶ ' ¹⁷ ' ¹⁸ ' ¹⁹ ' ²⁰ ' ²¹ ' ²² come:

Evadere la censura online ²³
Evadere l'oppressione online
Eludere lo stalking online, il doxxing e le molestie
Eludere la sorveglianza governativa illegale online
Segnalazione anonima online
Attivismo online anonimo
Giornalismo online anonimo
Pratica legale online anonima
Attività accademiche online anonime (ad esempio l'accesso alla ricerca scientifica in cui tali risorse sono bloccate). Vedi nota sotto.
…

Questa guida è stata scritta con speranza per quelle persone di buone intenzioni che potrebbero non essere abbastanza informate per considerare il quadro generale dell'anonimato e della privacy online.

Infine, usalo a tuo rischio. Qualsiasi cosa qui contenuta non è una consulenza legale e dovresti verificare la conformità con la tua legge locale prima dell'uso (IANAL ²⁴ ). “Fidati ma verifica” ²⁵ tu stesso tutte le informazioni (o meglio ancora “Non fidarti mai, verifica sempre” ²⁶ ). Vi incoraggio vivamente a informarvi e non esitate a verificare tutte le informazioni contenute in questa guida con fonti esterne in caso di dubbio. Per favore, segnalami qualsiasi errore che noti perché accetto le critiche. Anche critiche dure ma valide sono benvenute e porteranno a fare le necessarie correzioni il più rapidamente possibile.

Comprendere alcune nozioni di base su come alcune informazioni possono ricondurre a te e come mitigarne alcune:

Ci sono molti modi in cui puoi essere rintracciato oltre ai cookie e agli annunci del browser, alla tua e-mail e al tuo numero di telefono. E se pensi che solo il Mossad o l'NSA/FSB possano trovarti, ti sbagli.

Innanzitutto, potresti anche prendere in considerazione queste risorse più generali sulla privacy e la sicurezza per apprendere più nozioni di base:

The New Oil: https://thenewoil.org/ ^{[Archive.org]}
Techlore videos: https://www.youtube.com/c/Techlore ^[Invidious]
Privacy Guides: https://privacyguides.org/ ^{[Archive.org]}
Privacy Tools: https://privacytools.io ^{[Archive.org]}
Tieni presente che questi siti Web potrebbero contenere contenuti affiliati/sponsorizzati e/o merchandising. Questa guida non avalla e non è sponsorizzata in alcun modo da alcuna entità commerciale.

Se li hai saltati, dovresti comunque considerare di visualizzare questa playlist di YouTube dal progetto Techlore Go Incognito ( https://github.com/techlore-official/go-incognito ^{[Archive.org]} ) come introduzione prima di andare oltre: https://github.com/techlore-official/go-incognito [ Archive.org ] ://www.youtube.com/playlist?list=PL3KeV6Ui_4CayDGHw64OFXEPHgXLkrtJO ^[Invidioso] . Questa guida tratterà molti degli argomenti nei video di questa playlist con maggiori dettagli e riferimenti, nonché alcuni argomenti aggiunti non trattati in quella serie. Ci vorranno solo 2 o 3 ore per guardarlo tutto.

Ora, ecco un elenco non esaustivo di alcuni dei molti modi in cui potresti essere rintracciato e anonimizzato:

La tua rete:

Il tuo indirizzo IP:

Dichiarazione di non responsabilità: l'intero paragrafo riguarda il tuo IP Internet pubblico e non l'IP della tua rete locale.

Il tuo indirizzo IP ²⁷ è il modo più noto e ovvio per essere rintracciato. Quell'IP è l'IP che stai usando alla fonte. Qui è dove ti connetti a Internet. Quell'IP è solitamente fornito dal tuo ISP (Internet Service Provider) (xDSL, Mobile, Cable, Fiber, Cafe, Bar, Friend, Neighbor). La maggior parte dei paesi ha normative sulla conservazione dei dati ²⁸che obbliga a tenere registri di chi sta utilizzando quale IP a una certa ora/data per diversi anni o indefinitamente. Il tuo ISP può dire a una terza parte che stavi utilizzando un IP specifico in una data e ora specifica, anni dopo il fatto. Se quell'IP (quello originale) perde in qualsiasi momento per qualsiasi motivo, può essere utilizzato per rintracciarti direttamente. In molti paesi, non sarai in grado di accedere a Internet senza fornire una qualche forma di identificazione al provider (indirizzo, ID, nome reale, e-mail ...).

Inutile dire che la maggior parte delle piattaforme (come i social network) manterrà (a volte indefinitamente) anche gli indirizzi IP che hai utilizzato per registrarti e accedere ai loro servizi.

Ecco alcune risorse online che puoi utilizzare per trovare alcune informazioni sul tuo attuale IP pubblico in questo momento:

Trova il tuo IP:
- https://resolve.rs/
- https://www.dnsleaktest.com/ (Bonus, controlla il tuo IP per perdite DNS)
Trova la tua posizione IP o la posizione di qualsiasi IP:
- https://resolve.rs/ip/geolocation.html
Scopri se un IP è "sospetto" (nelle liste di blocco) o ha scaricato "cose" su alcune risorse pubbliche:
- https://mxtoolbox.com/blacklists.aspx
- https://www.virustotal.com/gui/home/search
- https://iknowwhatyoudownload.com (prendilo con le pinze, potrebbe non mostrare nulla di interessante e ha fonti di dati limitate. Questo è più per divertimento che per qualcosa di serio.)
Informazioni di registrazione di un IP (molto probabilmente il tuo ISP o l'ISP della tua connessione che molto probabilmente sa chi sta usando quell'IP in qualsiasi momento):
- https://whois.domaintools.com/
Verifica la presenza di servizi aperti o dispositivi aperti su un IP (soprattutto se sono presenti dispositivi intelligenti che perdono su di esso):
- https://www.shodan.io/host/185.220.101.134 (sostituisci l'IP con il tuo IP o qualsiasi altro, o cambia nella casella di ricerca, questo IP di esempio è un nodo Tor Exit)
Vari strumenti per controllare il tuo IP, come block-list checker e altro:
- https://browserleaks.com/ip
- https://www.whatismyip.com
Vuoi sapere se sei connesso tramite Tor?
- https://check.torproject.org

Per questi motivi, dovremo offuscare e nascondere quell'IP di origine (quello legato alla tua identificazione) o nasconderlo il più possibile attraverso una combinazione di vari mezzi:

Utilizzo di un servizio Wi-Fi pubblico (gratuito).
Utilizzo della rete Tor Anonymity ²⁹ (gratuito).
Utilizzo dei servizi VPN ³⁰ in modo anonimo (pagato in modo anonimo in contanti o Monero).

Tieni presente che, sfortunatamente, queste soluzioni non sono perfette e riscontrerai problemi di prestazioni ³¹ .

Tutti quelli verranno spiegati più avanti in questa guida.

Le tue richieste DNS e IP:

DNS sta per "Domain Name System" ³² ed è un servizio utilizzato dal browser (e da altre app) per trovare gli indirizzi IP di un servizio. È un'enorme “lista dei contatti” (rubrica telefonica per gli anziani) che funziona come chiedergli un nome e restituisce il numero da chiamare. Tranne che restituisce invece un IP.

Ogni volta che il tuo browser vuole accedere a un determinato servizio come Google tramite www.google.com. Il tuo browser (Chrome o Firefox) interrogherà un servizio DNS per trovare gli indirizzi IP dei server web di Google.

Ecco un video che spiega visivamente il DNS se ti sei già perso: https://www.youtube.com/watch?v=vrxwXXytEuI ^[Invidious]

Di solito, il servizio DNS è fornito dal tuo ISP e configurato automaticamente dalla rete a cui ti stai connettendo. Questo servizio DNS potrebbe anche essere soggetto a normative sulla conservazione dei dati o manterrà i log solo per altri motivi (raccolta di dati per scopi pubblicitari, ad esempio). Pertanto, questo ISP sarà in grado di raccontare tutto ciò che hai fatto online semplicemente guardando quei registri che possono, a loro volta, essere forniti a un avversario. Convenientemente, questo è anche il modo più semplice per molti avversari di applicare la censura o il controllo parentale utilizzando il blocco DNS ³³ . I server DNS forniti ti daranno un indirizzo diverso (rispetto a quello reale) per alcuni siti Web (come il reindirizzamento di thepiratebay.org a un sito Web del governo). Tale blocco è ampiamente applicato in tutto il mondo per alcuni siti ³⁴ .

L'utilizzo di un servizio DNS privato o del proprio servizio DNS mitigherebbe questi problemi, ma l'altro problema è che la maggior parte di tali richieste DNS viene inviata per impostazione predefinita ancora in chiaro (non crittografato) sulla rete. Anche se navighi su PornHub in una finestra di navigazione in incognito, utilizzando HTTPS e un servizio DNS privato, è molto probabile che il tuo browser invii una richiesta DNS non crittografata in chiaro ad alcuni server DNS chiedendo fondamentalmente "Quindi qual è l'indirizzo IP di www.pornhub .com?”.

Poiché non è crittografato, il tuo ISP e/o qualsiasi altro avversario potrebbe comunque intercettare (usando un attacco Man-in-the-middle ³⁵ ) la tua richiesta saprà ed eventualmente registrerà ciò che il tuo IP stava cercando. Lo stesso ISP può anche manomettere le risposte DNS anche se si utilizza un DNS privato. Rendendo inutile l'uso di un servizio DNS privato.

Come bonus, molti dispositivi e app utilizzeranno server DNS hardcoded bypassando qualsiasi impostazione di sistema che potresti impostare. Questo è ad esempio il caso della maggior parte (70%) delle Smart TV e di gran parte (46%) delle console di gioco ³⁶ . Per questi dispositivi, dovrai forzarli ³⁷ a smettere di usare il loro servizio DNS hardcoded che potrebbe farli smettere di funzionare correttamente.

Una soluzione a questo è utilizzare DNS crittografato utilizzando DoH (DNS su HTTPS ³⁸ ), DoT (DNS su TLS ³⁹ ) con un server DNS privato (questo può essere ospitato localmente in modo autonomo con una soluzione come pi-hole ⁴⁰ , ospitato in remoto con una soluzione come nextdns.io o utilizzando il provider di soluzioni dal tuo provider VPN o dalla rete Tor). Ciò dovrebbe impedire al tuo ISP oa qualche intermediario di spiare le tue richieste... tranne che potrebbe non esserlo.

Piccola dichiarazione di non responsabilità intermedia: questa guida non approva o raccomanda necessariamente i servizi Cloudflare anche se è menzionata più volte in questa sezione per la comprensione tecnica.

Sfortunatamente, il protocollo TLS utilizzato nella maggior parte delle connessioni HTTPS nella maggior parte dei browser (tra cui Chrome/Brave) perderà nuovamente il nome di dominio tramite l'handshake SNI ⁴¹ (può essere verificato qui su Cloudflare: https://www.cloudflare.com/ssl /encrypted-sni/ ^{[Archive.org]} ). Al momento della stesura di questa guida, solo i browser basati su Firefox supportano ECH (Encrypted Client Hello ⁴² precedentemente noto come eSNI ⁴³ ) su alcuni siti Web che crittograferanno tutto da un capo all'altro (oltre a utilizzare un DNS privato sicuro su TLS/HTTPS) e ti permetterà di nascondere le tue richieste DNS a terzi ⁴⁴ . E anche questa opzione non è abilitata per impostazione predefinita, quindi dovrai abilitarla tu stesso.

Oltre al supporto limitato del browser, solo i servizi Web e le CDN ⁴⁵ dietro Cloudflare CDN supportano ECH/eSNI in questa fase ⁴⁶ . Ciò significa che ECH ed eSNI non sono supportati (al momento della stesura di questa guida) dalla maggior parte delle piattaforme tradizionali come:

Amazon (incluso AWS, Twitch...)
Microsoft (inclusi Azure, OneDrive, Outlook, Office 365...)
Google (incluso Gmail, Google Cloud...)
Apple (inclusi iCloud, iMessage...)
Reddit
Youtube
Facebook
Instagram
Twitter
GitHub
…

Alcuni paesi come Russia ⁴⁷ e China ⁴⁸ potrebbero (non verificati nonostante gli articoli) bloccare le strette di mano ECH/eSNI a livello di rete per consentire lo snooping e impedire di aggirare la censura. Ciò significa che non sarai in grado di stabilire una connessione HTTPS con un servizio se non consenti loro di vedere di cosa si trattava.

I problemi non finiscono qui. Parte della convalida HTTPS TLS si chiama OCSP ⁴⁹ e questo protocollo utilizzato dai browser basati su Firefox perderà i metadati sotto forma del numero di serie del certificato del sito Web che stai visitando. Un avversario può quindi trovare facilmente quale sito web stai visitando abbinando il numero di certificato ⁵⁰ . Questo problema può essere mitigato utilizzando la pinzatura OCSP ⁵¹ . Sfortunatamente, questo è abilitato ma non applicato per impostazione predefinita in Firefox/Tor Browser. Ma anche il sito Web che stai visitando deve supportarlo e non tutti lo fanno. I browser basati su Chromium d'altra parte utilizzano un sistema diverso chiamato CRLSet ⁵² ' ⁵³ che è probabilmente migliore.

Ecco un elenco di come si comportano i vari browser con OCSP: https://www.ssl.com/blogs/how-do-browsers-handle-revoked-ssl-tls-certificates/ ^{[Archive.org]}

Ecco un'illustrazione del problema che potresti riscontrare sui browser basati su Firefox:

Infine, anche se si utilizza un server DNS crittografato personalizzato (DoH o DoT) con supporto ECH/eSNI e pinzatura OCSP, potrebbe non essere ancora sufficiente poiché gli studi di analisi del traffico ⁵⁴ hanno dimostrato che è ancora possibile eseguire in modo affidabile l'impronta digitale e bloccare le richieste indesiderate. Solo DNS su Tor è stato in grado di mostrare un'efficiente privacy DNS in studi recenti, ma anche questo può ancora essere sconfitto con altri mezzi (vedi Il tuo traffico Tor/VPN anonimizzato ).

Si potrebbe anche decidere di utilizzare un Tor Hidden DNS Service o ODoH (Oblivious DNS over HTTPS ⁵⁵ ) per aumentare ulteriormente la privacy/anonimato ma sfortunatamente , per quanto ne so, questi metodi sono forniti solo da Cloudflare al momento della stesura di questo articolo ( https:/ /blog.cloudflare.com/welcome-hidden-resolver/ ^{[Archive.org]} , https://blog.cloudflare.com/oblivious-dns/ ^{[Archive.org]} ). Si tratta di opzioni tecniche praticabili e ragionevolmente sicure, ma esiste anche una scelta morale se si desidera utilizzare o meno Cloudflare (nonostante il rischio rappresentato da alcuni ricercatori ⁵⁶ ).

Infine, c'è anche questa nuova possibilità chiamata DoHoT che sta per DNS su HTTPS su Tor che potrebbe anche aumentare ulteriormente la tua privacy/anonimato e che potresti prendere in considerazione se sei più esperto con Linux. Vedi https://github.com/alecmuffett/dohot ^{[Archive.org]} . Questa guida non ti aiuterà con questo in questa fase, ma potrebbe arrivare presto.

Ecco un'illustrazione che mostra lo stato attuale della privacy DNS e HTTPS in base alle mie attuali conoscenze.

Per quanto riguarda il tuo normale utilizzo quotidiano (non sensibile), ricorda che finora solo i browser basati su Firefox supportano ECH (ex eSNI) e che in questa fase è utile solo con i siti Web ospitati dietro Cloudflare CDN. Se preferisci una versione basata su Chrome (che è comprensibile per alcuni a causa di alcune funzionalità meglio integrate come la traduzione al volo), consiglierei invece l'uso di Brave che supporta tutte le estensioni di Chrome e offre una privacy molto migliore rispetto a Cromo.

Ma la storia non si ferma qui. Ora perché dopo tutto questo, anche se crittografi il tuo DNS e usi tutte le mitigazioni possibili. Semplici richieste IP a qualsiasi server probabilmente consentiranno a un avversario di rilevare comunque quale sito stai visitando. E questo è semplicemente perché la maggior parte dei siti Web ha IP univoci ad essi collegati, come spiegato qui: https://blog.apnic.net/2019/08/23/what-can-you-learn-from-an-ip-address / ^{[Archivio.org]}. Ciò significa che un avversario può creare un set di dati di siti Web noti, ad esempio includendo i loro IP e quindi confrontare questo set di dati con l'IP richiesto. Nella maggior parte dei casi, ciò si tradurrà in un'ipotesi corretta del sito Web che stai visitando. Ciò significa che nonostante la graffatura OCSP, nonostante ECH/eSNI, nonostante utilizzi il DNS crittografato … Un avversario può comunque indovinare il sito Web che stai visitando.

Pertanto, per mitigare tutti questi problemi (per quanto possibile e nel miglior modo possibile), questa guida consiglierà in seguito due soluzioni: l'utilizzo di Tor e una soluzione multilivello virtualizzata (vedi Appendice W: Virtualizzazione ) di VPN su Tor ( DNS su VPN su Tor o DNS su TOR). Verranno spiegate anche altre opzioni (Tor su VPN, solo VPN, No Tor/VPN) ma sono meno consigliate.

I tuoi dispositivi abilitati RFID:

RFID sta per Identificazione a radiofrequenza ⁵⁷ , è la tecnologia utilizzata ad esempio per pagamenti contactless e vari sistemi di identificazione. Naturalmente, il tuo smartphone è tra questi dispositivi e ha funzionalità di pagamento contactless RFID tramite NFC ⁵⁸ . Come per tutto il resto, tali capacità possono essere utilizzate per il monitoraggio da vari attori.

Ma sfortunatamente, questo non è limitato al tuo smartphone e probabilmente porti sempre con te anche una certa quantità di dispositivi abilitati RFID come:

Le tue carte di credito/debito abilitate al contactless
Le tue carte fedeltà del negozio
Le tue carte di pagamento per il trasporto
Le tue carte di accesso al lavoro
Le chiavi della tua macchina
La tua carta d'identità o patente di guida
Il tuo passaporto
Il prezzo/targhette antifurto su oggetto/abbigliamento
…

Sebbene tutti questi non possano essere utilizzati per renderti anonimo da un avversario online remoto, possono essere utilizzati per restringere una ricerca se è nota la tua posizione approssimativa in un determinato momento. Ad esempio, non si può escludere che alcuni negozi scansionino (e registreranno) in modo efficace tutti i chip RFID che passano attraverso la porta. Potrebbero cercare le loro carte fedeltà ma ne stanno anche registrando altre lungo la strada. Tali tag RFID potrebbero essere ricondotti alla tua identità e consentire la de-anonimizzazione.

Maggiori informazioni su Wikipedia: https://en.wikipedia.org/wiki/Radio-frequency_identification#Security_concerns ^[Wikiless] ^{[Archive.org]} e https://en.wikipedia.org/wiki/Radio-frequency_identification#Privacy ^{[ Wikiless]} ^{[Archive.org]}

L'unico modo per mitigare questo problema è non avere tag RFID su di te o schermarli di nuovo usando un tipo di gabbia di Faraday. Potresti anche utilizzare portafogli/sacchetti specializzati che bloccano in modo specifico le comunicazioni RFID. Molti di questi sono ora realizzati da noti marchi come Samsonite ⁵⁹ . Non dovresti portare tali dispositivi RFID mentre svolgi attività sensibili.

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

I dispositivi Wi-Fi e Bluetooth intorno a te:

La geolocalizzazione non viene effettuata solo utilizzando la triangolazione delle antenne mobili. Viene anche fatto utilizzando i dispositivi Wi-Fi e Bluetooth intorno a te. I produttori di sistemi operativi come Google (Android ⁶⁰ ) e Apple (IOS ⁶¹ ) mantengono un comodo database della maggior parte dei punti di accesso Wi-Fi, dei dispositivi Bluetooth e della loro posizione. Quando il tuo smartphone Android o iPhone è acceso (e non in modalità aereo), eseguirà la scansione attiva (a meno che tu non disabiliti specificamente questa funzione nelle impostazioni) punti di accesso Wi-Fi e dispositivi Bluetooth intorno a te e sarà in grado di geolocalizzarti con maggiore precisione rispetto a quando si utilizza un GPS.

Questo rilevamento attivo e continuo può quindi essere rispedito a Google/Apple/Microsoft come parte della loro telemetria. Il problema è che questo sondaggio è unico e può essere utilizzato per identificare in modo univoco un utente e tracciare tale utente. I negozi, ad esempio, possono utilizzare questa tecnica per rilevare le impronte digitali dei clienti, incluso quando tornano, dove vanno nel negozio e per quanto tempo rimangono in un determinato luogo. Ci sono diversi documenti ⁶² ' ⁶³ e articoli ⁶⁴ che descrivono questo problema in modo approfondito.

Ciò consente loro di fornire posizioni precise anche quando il GPS è disattivato, ma consente loro anche di tenere un comodo registro di tutti i dispositivi Bluetooth Wi-Fi in tutto il mondo. A cui possono quindi accedere da loro o da terze parti per il tracciamento.

Nota: se hai uno smartphone Android, Google probabilmente sa dove si trova, qualunque cosa tu faccia. Non puoi davvero fidarti delle impostazioni. L'intero sistema operativo è costruito da un'azienda che vuole i tuoi dati. Ricorda che se è gratuito, allora il prodotto sei tu.

Ma non è quello che possono fare tutti quei punti di accesso Wi-Fi. Le tecnologie sviluppate di recente potrebbero persino consentire a qualcuno di tracciare i tuoi movimenti con precisione solo in base alle interferenze radio. Ciò significa che è possibile tracciare i propri movimenti all'interno di una stanza/edificio in base ai segnali radio che passano. Potrebbe sembrare un'affermazione della teoria della cospirazione del cappello di carta stagnola, ma ecco i riferimenti ⁶⁵ con dimostrazioni che mostrano questa tecnologia in azione: https://rfpose.csail.mit.edu/ ^{[Archive.org]} e il video qui: https:// www.youtube.com/watch?v=HgDdaMy8KNE ^[Invidioso]

Altri ricercatori hanno trovato un modo per contare le persone in uno spazio definito utilizzando solo il Wi-Fi, vedere https://www.news.ucsb.edu/2021/020392/dont-fidget-wifi-will-count-you ^{[Archive .org]}

Potresti quindi immaginare molti casi d'uso per tecnologie come la registrazione di chi entra in edifici/uffici specifici (hotel, ospedali o ambasciate per esempio) e poi scoprire chi incontra chi e quindi rintracciarli dall'esterno. Anche se non hanno smartphone su di loro.

Ancora una volta, un problema del genere potrebbe essere mitigato solo trovandosi in una stanza/edificio che fungerebbe da gabbia di Faraday.

Ecco un altro video dello stesso tipo di tecnologia in azione: https://www.youtube.com/watch?v=FDZ39h-kCS8 ^[Invidious]

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Non c'è molto che puoi fare su questi. Oltre ad essere non identificabile in primo luogo.

Punti di accesso Wi-Fi dannosi/rogue:

Questi sono stati utilizzati almeno dal 2008 utilizzando un attacco chiamato "Jasager" ⁶⁶ e possono essere eseguiti da chiunque utilizzi strumenti autocostruiti o dispositivi disponibili in commercio come Wi-Fi Pineapple ⁶⁷ .

Ecco alcuni video che spiegano di più sull'argomento:

HOPE 2020, https://archive.org/details/hopeconf2020/20200725_1800_Advanced_Wi-Fi_Hacking_With_%245_Microcontrollers.mp4
YouTube, Hak5, Wi-Fi Pineapple Mark VII https://www.youtube.com/watch?v=7v3JR4Wlw4Q ^[Invidious]

Questi dispositivi possono stare in una piccola borsa e possono occupare l'ambiente Wi-Fi di qualsiasi luogo all'interno della loro portata. Ad esempio, una lobby di un bar/ristorante/caffetteria/hotel. Questi dispositivi possono forzare i client Wi-Fi a disconnettersi dal Wi-Fi corrente (usando la deautenticazione, attacchi di dissociazione ⁶⁸ ) mentre effettuano lo spoofing delle normali reti Wi-Fi nella stessa posizione. Continueranno a eseguire questo attacco fino a quando il tuo computer o non deciderai di provare a connetterti all'AP canaglia.

Questi dispositivi possono quindi simulare un captive portal ⁶⁹ con lo stesso layout del Wi-Fi a cui si sta tentando di accedere (ad esempio un portale di registrazione Wi-Fi di un aeroporto). Oppure potrebbero semplicemente darti un accesso illimitato a Internet che otterranno loro stessi dallo stesso posto.

Una volta connesso tramite l'AP Rogue, questo AP sarà in grado di eseguire vari attacchi man-in-the-middle per eseguire analisi sul tuo traffico. Questi potrebbero essere reindirizzamenti dannosi o semplice sniffing del traffico. Questi possono quindi identificare facilmente qualsiasi client che, ad esempio, proverebbe a connettersi a un server VPN o alla rete Tor.

Questo può essere utile quando sai che qualcuno che vuoi anonimizzare si trova in un luogo affollato, ma non sai chi. Ciò consentirebbe a un tale avversario di rilevare eventuali impronte digitali su qualsiasi sito Web visitato nonostante l'uso di HTTPS, DoT, DoH, ODoH, VPN o Tor utilizzando l'analisi del traffico come indicato sopra nella sezione DNS.

Questi possono anche essere utilizzati per creare e fornire con cura pagine Web di phishing avanzate che raccoglierebbero le tue credenziali o cercherebbero di farti installare un certificato dannoso che consenta loro di vedere il tuo traffico crittografato.

Come mitigarli? Se ti connetti a un punto di accesso Wi-Fi pubblico, usa Tor o usa una VPN e poi Tor (Tor su VPN) o anche (VPN su Tor) per offuscare il tuo traffico dall'AP canaglia mentre lo usi ancora.

Il tuo traffico Tor/VPN anonimizzato:

Tor e VPN non sono proiettili d'argento. Molte tecniche avanzate sono state sviluppate e studiate per de-anonimizzare il traffico Tor crittografato nel corso degli anni ⁷⁰ . La maggior parte di queste tecniche sono attacchi di correlazione che correlano il traffico di rete in un modo o nell'altro a registri o set di dati. Ecco alcuni esempi:

Attacco di impronte digitali di correlazione: come illustrato (semplificato) di seguito, questo attacco impronterà il tuo traffico Tor crittografato (come i siti Web che hai visitato) in base all'analisi del tuo traffico crittografato senza decrittografarlo. Alcuni di questi metodi possono farlo con una percentuale di successo del 96% in un ambiente chiuso . L'efficacia di questi metodi in un ambiente open world reale non è stata ancora dimostrata e probabilmente richiederebbe enormi risorse di potenza di calcolo, rendendo molto improbabile che tali tecniche vengano utilizzate da un avversario locale nel prossimo futuro.Tali tecniche potrebbero tuttavia essere ipoteticamente utilizzate da un avversario avanzato e probabilmente globale con accesso alla tua rete di origine per determinare parte della tua attività. Esempi di tali attacchi sono descritti in diversi documenti di ricerca ⁷¹ ' ⁷² ' ⁷³ così come i loro limiti ⁷⁴ . Lo stesso Tor Project ha pubblicato un articolo su questi attacchi con alcune mitigazioni: https://blog.torproject.org/new-low-cost-traffic-analysis-attacks-mitigations ^{[Archive.org]} .

Attacchi sui tempi di correlazione: come illustrato (semplificato) di seguito, un avversario che ha accesso ai log di connessione di rete (ad esempio IP o DNS, ricorda che la maggior parte dei server VPN e la maggior parte dei nodi Tor sono noti ed elencati pubblicamente) all'origine e alla destinazione potrebbe essere correlato i tempi per renderti anonimo senza richiedere alcun accesso alla rete Tor o VPN nel mezzo. Un vero caso d'uso di questa tecnica è stato fatto dall'FBI nel 2013 per anonimizzare ⁷⁵ una bufala di minaccia di bomba all'Università di Harvard.

Attacchi di conteggio delle correlazioni: come illustrato (semplificato) di seguito, un avversario che non ha accesso ai registri di connessione dettagliati (non può vedere che hai utilizzato Tor o Netflix) ma ha accesso ai registri di conteggio dei dati potrebbe vedere che hai scaricato 600 MB in un momento specifico/ data che corrisponde ai 600 MB di caricamento nella destinazione. Questa correlazione può quindi essere utilizzata per renderti anonimo nel tempo.

Ci sono modi per mitigare questi come:

Non utilizzare Tor/VPN per accedere a servizi che si trovano sulla stessa rete (ISP) del servizio di destinazione. Ad esempio, non connetterti a Tor dalla tua Rete di Ateneo per accedere a un Servizio di Ateneo in modo anonimo. Utilizzare invece un punto di origine diverso (come un Wi-Fi pubblico) che non può essere facilmente correlato da un avversario.
Non utilizzare Tor/VPN da una rete ovviamente molto monitorata (come una rete aziendale/governativa), ma cerca invece di trovare una rete non monitorata come un Wi-Fi pubblico o un Wi-Fi residenziale.
Considera l'uso di più livelli (come quello che verrà consigliato in questa guida in seguito: VPN su Tor) in modo che un avversario possa vedere che qualcuno si è connesso al servizio tramite Tor ma non sarà in grado di vedere che eri tu perché eri connesso a una VPN e non alla rete Tor.

Siate ancora consapevoli che questo potrebbe non essere sufficiente contro un avversario globale motivato ⁷⁶ con ampio accesso alla sorveglianza di massa globale. Un tale avversario potrebbe avere accesso ai log indipendentemente da dove ti trovi e potrebbe usarli per renderti anonimo. Di solito, questi attacchi fanno parte di quello che viene chiamato Sybil Attack ⁷⁷ . Questi avversari non rientrano nell'ambito di questa guida.

Tieni inoltre presente che tutti gli altri metodi descritti in questa guida, come l'analisi comportamentale, possono essere utilizzati anche per deanonimizzare gli utenti Tor indirettamente (vedi più avanti La tua impronta digitale, Impronta e Comportamento online ).

Consiglio vivamente anche di leggere questa guida molto buona, completa e completa (e più dettagliata) sui vettori di attacco più conosciuti su Tor: https://github.com/Attacks-on-Tor/Attacks-on-Tor ^{[Archive.org ]} così come questa recente pubblicazione di ricerca https://www.researchgate.net/publication/323627387_Shedding_Light_on_the_Dark_Corners_of_the_Internet_A_Survey_of_Tor_Research ^{[Archive.org]}

Oltre a questa fantastica serie di post sul blog: https://www.hackerfactor.com/blog/index.php?/archives/906-Tor-0day-The-Management-Vulnerability.html ^{[Archive.org]}

Recentemente, uno di questi attacchi è stato tentato alla rete Tor con maggiori informazioni qui: https://arstechnica.com/information-technology/2014/07/active-attack-on-tor-network-tried-to-decloak-users -per-cinque-mesi/ ^{[Archive.org]}

Infine, ricorda che l'utilizzo di Tor può già essere considerato un'attività sospetta ⁷⁸ , e il suo utilizzo potrebbe essere considerato dannoso da alcuni ⁷⁹ .

Questa guida proporrà in seguito alcune mitigazioni a tali attacchi modificando la tua origine dall'inizio (utilizzando ad esempio Wi-Fi pubblici). Ricorda che tali attacchi sono di solito sferrati da avversari altamente qualificati, pieni di risorse e motivati e non rientrano nell'ambito di questa guida.

Disclaimer: va anche notato che Tor non è progettato per proteggere da un avversario globale. Per ulteriori informazioni, vedere https://svn-archive.torproject.org/svn/projects/design-paper/tor-design.pdf ^{[Archive.org]} e in particolare, "Parte 3. Obiettivi e ipotesi di progettazione".

Alcuni Dispositivi possono essere tracciati anche offline:

Hai visto questo in film e spettacoli d'azione/spia/fantascienza, i protagonisti rimuovono sempre la batteria dei loro telefoni per assicurarsi che non possa essere utilizzata. La maggior parte delle persone penserebbe che sia eccessivo. Ebbene, sfortunatamente no, ora questo sta diventando vero almeno per alcuni dispositivi:

iPhone e iPad (IOS 13 e versioni successive) ⁸⁰ ' ⁸¹
Telefoni Samsung (Android 10 e versioni successive) ⁸²
MacBook (macOS 10.15 e versioni successive) ⁸³

Tali dispositivi continueranno a trasmettere informazioni sull'identità ai dispositivi vicini anche quando offline utilizzando Bluetooth Low-Energy ⁸⁴ . Non hanno accesso diretto ai dispositivi (che non sono connessi a Internet) ma utilizzano invece BLE per trovarli tramite altri dispositivi vicini ⁸⁵ . Stanno usando la comunicazione Bluetooth a corto raggio peer-to-peer per trasmettere il loro stato attraverso dispositivi online vicini.

Ora potrebbero trovare tali dispositivi e mantenere la posizione in alcuni database che potrebbero quindi essere utilizzati da terze parti o da se stessi per vari scopi (inclusi analisi, pubblicità o raccolta di prove/intelligence).

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

TLDR: non portare con sé tali dispositivi durante lo svolgimento di attività sensibili.

I tuoi identificatori hardware:

Il tuo IMEI e IMSI (e, per estensione, il tuo numero di telefono):

L'IMEI (International Mobile Equipment Identity ⁸⁶ ) e l'IMSI (International Mobile Subscriber Identity ⁸⁷ ) sono numeri univoci creati dai produttori di telefoni cellulari e dagli operatori di telefoni cellulari.

L'IMEI è legato direttamente al telefono che stai utilizzando. Questo numero è conosciuto e rintracciato dagli operatori di telefonia cellulare e conosciuto dai produttori. Ogni volta che il tuo telefono si connette alla rete mobile, registrerà l'IMEI sulla rete insieme all'IMSI (se è inserita una scheda SIM ma non è nemmeno necessaria). Viene inoltre utilizzato da molte applicazioni (ad esempio app bancarie che abusano del permesso del telefono su Android ⁸⁸ ) e sistemi operativi per smartphone (Android/IOS) per l'identificazione del dispositivo ⁸⁹ . È possibile ma difficile (e non illegale in molte giurisdizioni ⁹⁰) per cambiare l'IMEI su un telefono, ma probabilmente è più facile ed economico trovare e acquistare un vecchio telefono Burner (funzionante) per pochi euro (questa guida è per la Germania ricorda) in un mercatino delle pulci o in qualche piccolo negozio a caso.

L'IMSI è legato direttamente all'abbonamento mobile o al piano prepagato che stai utilizzando ed è legato al tuo numero di telefono dal tuo gestore di telefonia mobile. L'IMSI è codificato direttamente sulla scheda SIM e non può essere modificato. Ricorda che ogni volta che il tuo telefono si connette alla rete mobile, registrerà anche l'IMSI sulla rete insieme all'IMEI. Come l'IMEI, anche l'IMSI viene utilizzato da alcune applicazioni e dai sistemi operativi degli smartphone per l'identificazione e viene monitorato. Alcuni paesi dell'UE, ad esempio, mantengono un database di associazioni IMEI/IMSI per una facile consultazione da parte delle forze dell'ordine.

Oggi, dare via il tuo numero di telefono (reale) è lo stesso o meglio che dare via il tuo numero di previdenza sociale/carta d'identità/carta d'identità nazionale.

L'IMEI e l'IMSI possono essere ricondotti a te in almeno sei modi:

I registri degli abbonati dell'operatore mobile di solito memorizzeranno l'IMEI insieme all'IMSI e al relativo database di informazioni sugli abbonati. Se utilizzi una SIM anonima prepagata (IMSI anonimo ma con un IMEI noto), potrebbero vedere che questo cellulare ti appartiene se hai utilizzato quel cellulare in precedenza con una scheda SIM diversa (IMSI anonimo diverso ma stesso IMEI noto).
I registri dell'antenna dell'operatore mobile conserveranno convenientemente un registro di cui IMEI e IMSI conservano anche alcuni dati di connessione. Sanno e registrano, ad esempio, che un telefono con questa combinazione IMEI/IMSI collegato a un set di antenne mobili e quanto potente il segnale a ciascuna di queste antenne consentisse una facile triangolazione/geolocalizzazione del segnale. Sanno anche quali altri telefoni (il tuo vero per esempio) si sono collegati contemporaneamente alle stesse antenne con lo stesso segnale, il che consentirebbe di sapere con precisione che questo "telefono bruciatore" è sempre stato collegato nello stesso luogo/ora di questo altro "telefono noto" che appare ogni volta che viene utilizzato il telefono del masterizzatore. Queste informazioni possono essere utilizzate da varie terze parti per geolocalizzare/tracciare l'utente in modo abbastanza preciso ⁹¹ ' ⁹² .
Il produttore del telefono può risalire alla vendita del telefono utilizzando l'IMEI se quel telefono è stato acquistato in modo non anonimo. Avranno infatti i registri di ogni vendita di telefoni (compreso il numero di serie e l'IMEI), a quale negozio/persona a cui è stato venduto. E se stai utilizzando un telefono che hai acquistato online (o da qualcuno che ti conosce). Può essere ricondotto a te utilizzando tali informazioni. Anche se non ti trovano su CCTV ⁹³ e hai acquistato il telefono in contanti, possono comunque trovare quale altro telefono (il tuo vero in tasca) c'era (in quel negozio) a quell'ora/data utilizzando i registri dell'antenna .
Anche l'IMSI da solo può essere utilizzato per trovarti perché la maggior parte dei paesi ora richiede ai clienti di fornire un ID quando acquistano una carta SIM (abbonamento o prepagata). L'IMSI è quindi legato all'identità dell'acquirente della carta. Nei paesi in cui la SIM può ancora essere acquistata in contanti (come il Regno Unito), sanno ancora dove (in quale negozio) è stata acquistata e quando. Queste informazioni possono quindi essere utilizzate per recuperare informazioni dal negozio stesso (come filmati CCTV come per il caso IMEI). O ancora, i registri dell'antenna possono essere utilizzati anche per capire quale altro telefono era presente al momento della vendita.
I produttori di sistemi operativi per smartphone (Google/Apple per Android/IOs) conservano anche i registri delle identificazioni IMEI/IMSI legati agli account Google/Apple e quale utente li ha utilizzati. Anche loro possono risalire alla storia del telefono ea quali conti era legato in passato ⁹⁴ .
Le agenzie governative di tutto il mondo interessate al tuo numero di telefono possono e utilizzano ⁹⁵ dispositivi speciali chiamati "ricevitori IMSI" ⁹⁶ come Stingray ⁹⁷ o, più recentemente, Nyxcell ⁹⁸ . Questi dispositivi possono impersonare (per falsificare) l'antenna di un telefono cellulare e forzare un IMSI specifico (il tuo telefono) a connettersi ad esso per accedere alla rete cellulare. Una volta fatto, potranno utilizzare vari MITM ³⁵ (Man-In-The-Middle Attacks) che consentiranno loro di:
- Tocca il tuo telefono (chiamate vocali e SMS).
- Annusa ed esamina il tuo traffico dati.
- Impersona il tuo numero di telefono senza controllare il tuo telefono.
- …

Ecco anche un buon video di YouTube su questo argomento: Modalità provvisoria DEFCON - Cooper Quintin - Rilevazione di stazioni base 4G false in tempo reale https://www.youtube.com/watch?v=siCk4pGGcqA ^[Invidious]

Per questi motivi è fondamentale farsi dedicare un numero di telefono anonimo e/o un bruciatore anonimo con una sim prepagata anonima che non sia legata a te in alcun modo (passata o presente) per lo svolgimento di attività sensibili (Vedi di più guida pratica nella sezione Ottenere un numero di telefono anonimo ).

Sebbene ci siano alcuni produttori di smartphone come Purism con la loro serie Librem ⁹⁹ che affermano di avere in mente la tua privacy, non consentono ancora la randomizzazione dell'IMEI che credo sia una funzione anti-tracciamento chiave che dovrebbe essere fornita da tali produttori. Sebbene questa misura non impedisca il tracciamento IMSI all'interno della scheda SIM, ti consentirebbe almeno di mantenere lo stesso "telefono master" e cambiare solo le schede SIM invece di dover cambiare entrambe per la privacy.

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Il tuo indirizzo MAC Wi-Fi o Ethernet:

L'indirizzo MAC ¹⁰⁰ è un identificatore univoco legato alla tua interfaccia di rete fisica (Ethernet cablata o Wi-Fi) e potrebbe ovviamente essere utilizzato per rintracciarti se non è randomizzato. Come nel caso dell'IMEI, i produttori di computer e schede di rete di solito tengono i registri delle loro vendite (di solito includendo cose come numero di serie, IMEI, indirizzi Mac, ...) ed è ancora possibile per loro tenere traccia di dove e quando il computer con l'indirizzo MAC in questione è stato venduto ea chi. Anche se l'hai acquistato in contanti in un supermercato, il supermercato potrebbe avere ancora telecamere a circuito chiuso (o una telecamera a circuito chiuso appena fuori da quel negozio) e ancora una volta l'ora/data di vendita potrebbe essere utilizzata per scoprire chi c'era utilizzando i registri dell'antenna del provider di telefonia mobile su quella volta (IMEI/IMSI).

I produttori di sistemi operativi (Google/Microsoft/Apple) manterranno anche i registri dei dispositivi e i loro indirizzi MAC nei loro registri per l'identificazione del dispositivo (ad esempio, trova i servizi del tipo di dispositivo). Apple può dire che il MacBook con questo specifico indirizzo MAC era già stato collegato a un account Apple specifico. Forse il tuo prima che decidessi di utilizzare il MacBook per attività delicate. Forse a un altro utente che te l'ha venduto ma ricorda la tua e-mail/numero di quando è avvenuta la vendita.

Il tuo router di casa/punto di accesso Wi-Fi conserva i registri dei dispositivi registrati sul Wi-Fi e anche questi sono accessibili per scoprire chi ha utilizzato il tuo Wi-Fi. A volte questo può essere fatto in remoto (e silenziosamente) dall'ISP a seconda che quel router/punto di accesso Wi-Fi sia "gestito" in remoto dall'ISP (cosa che spesso accade quando forniscono il router ai propri clienti).

Alcuni dispositivi commerciali manterranno un registro degli indirizzi MAC in roaming per vari scopi come la congestione stradale ¹⁰¹ .

Quindi, è ancora una volta importante non portare il telefono con sé quando/dove si svolgono attività sensibili. Se utilizzi il tuo laptop, è fondamentale nascondere quell'indirizzo MAC (e l'indirizzo Bluetooth) ovunque lo usi e fare molta attenzione a non divulgare informazioni. Per fortuna molti sistemi operativi recenti ora dispongono o consentono la possibilità di randomizzare gli indirizzi MAC (Android, IOS, Linux e Windows 10) con la notevole eccezione di macOS che non supporta questa funzione anche nella sua ultima versione di Big Sur.

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Il tuo indirizzo MAC Bluetooth:

Il tuo MAC Bluetooth è come l'indirizzo MAC precedente tranne per il Bluetooth. Ancora una volta, può essere utilizzato per rintracciarti poiché i produttori e i produttori di sistemi operativi tengono registri di tali informazioni. Potrebbe essere legato a un luogo/ora/data o account di vendita e quindi potrebbe essere utilizzato per rintracciarti con tali informazioni, le informazioni di fatturazione del negozio, la CCTV o i registri dell'antenna mobile in correlazione.

I sistemi operativi dispongono di protezioni per randomizzare tali indirizzi, ma sono comunque soggetti a vulnerabilità ¹⁰² .

Per questo motivo, ea meno che tu non abbia davvero bisogno di quelli, dovresti semplicemente disabilitare completamente il Bluetooth nelle impostazioni BIOS/UEFI se possibile o nel sistema operativo altrimenti.

In Windows 10, dovrai disabilitare e abilitare il dispositivo Bluetooth in Gestione dispositivi stesso per forzare la randomizzazione dell'indirizzo per l'uso successivo e impedire il tracciamento.

In generale, questo non dovrebbe essere troppo preoccupante rispetto agli indirizzi MAC. Gli indirizzi BT sono randomizzati abbastanza spesso.

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

La tua CPU:

Tutte le moderne CPU ¹⁰³ stanno ora integrando piattaforme di gestione nascoste come l'ormai famigerato Intel Management Engine ¹⁰⁴ e l'AMD Platform Security Processor ¹⁰⁵ .

Queste piattaforme di gestione sono piccoli sistemi operativi che funzionano direttamente sulla tua CPU fintanto che sono alimentati. Questi sistemi hanno pieno accesso alla rete del tuo computer e potrebbero essere raggiunti da un avversario per renderti anonimo in vari modi (usando l'accesso diretto o usando il malware, ad esempio) come mostrato in questo video illuminante: BlackHat, How to Hack a Turned-Off Computer o esecuzione di codice non firmato in Intel Management Engine https://www.youtube.com/watch?v=9fhNokIgBMU ^[Invidious] .

Questi sono già stati colpiti da diverse vulnerabilità di sicurezza in passato ¹⁰⁶ che hanno consentito al malware di ottenere il controllo dei sistemi di destinazione. Questi sono anche accusati da molti attori della privacy, tra cui EFF e Libreboot, di essere una backdoor in qualsiasi sistema ¹⁰⁷ .

Ci sono alcuni modi non così semplici ¹⁰⁸ per disabilitare Intel IME su alcune CPU e dovresti farlo se puoi. Per alcuni laptop AMD, puoi disabilitarlo nelle impostazioni del BIOS disabilitando PSP.

Si noti che, a difesa di AMD, finora e AFAIK, non sono state rilevate vulnerabilità di sicurezza per ASP e nemmeno backdoor: vedere https://www.youtube.com/watch?v=bKH5nGLgi08&t=2834s ^[Invidious] . Inoltre, AMD PSP non fornisce funzionalità di gestione remota contrarie a Intel IME.

Se ti senti un po' più avventuroso, puoi installare il tuo BIOS usando Libreboot o Coreboot ¹⁰⁹ se il tuo laptop lo supporta (tieni presente che Coreboot contiene del codice di proprietà a differenza del suo fork Libreboot).

Inoltre, alcune CPU hanno difetti non risolvibili (soprattutto CPU Intel) che potrebbero essere sfruttati da vari malware. Ecco un buon elenco aggiornato di tali vulnerabilità che interessano le recenti CPU diffuse: https://en.wikipedia.org/wiki/Transient_execution_CPU_vulnerability ^[Wikiless] ^{[Archive.org]}

Controllati:

Se stai usando Linux puoi controllare lo stato di vulnerabilità della tua CPU agli attacchi Spectre/Meltdown usando https://github.com/speed47/spectre-meltdown-checker ^{[Archive.org]} che è disponibile come pacchetto per la maggior parte di Linux distribuzioni tra cui Whonix.
Se stai usando Windows, puoi controllare lo stato di vulnerabilità della tua CPU usando inSpectre https://www.grc.com/inspectre.htm ^{[Archive.org]}

Alcuni di questi possono essere evitati utilizzando le impostazioni del software di virtualizzazione che possono mitigare tali exploit. Consulta questa guida per ulteriori informazioni https://www.whonix.org/wiki/Spectre_Meltdown ^{[Archive.org]} (attenzione: possono influire gravemente sulle prestazioni delle tue VM).

In questa guida, quindi, ridurrò alcuni di questi problemi raccomandando l'uso di macchine virtuali su un laptop anonimo dedicato per le tue attività sensibili che verranno utilizzate solo da una rete pubblica anonima.

Inoltre, consiglierò l'uso di CPU AMD rispetto a CPU Intel.

I tuoi servizi di telemetria dei sistemi operativi e delle app:

Che si tratti di Android, iOS, Windows, macOS o persino Ubuntu. I sistemi operativi più popolari ora raccolgono le informazioni di telemetria per impostazione predefinita anche se non hai mai accettato o annullato l'iscrizione ¹¹⁰ dall'inizio. Alcuni come Windows non consentiranno nemmeno di disabilitare completamente la telemetria senza alcune modifiche tecniche. Questa raccolta di informazioni può essere ampia e includere un numero impressionante di dettagli (metadati e dati) sui tuoi dispositivi e sul loro utilizzo.

Ecco una buona panoramica di ciò che viene raccolto da quei cinque sistemi operativi popolari nelle loro ultime versioni:

Android/Google:
- Basta leggere la loro politica sulla privacy https://policies.google.com/privacy ^{[Archive.org]}
- School of Computer Science & Statistics, Trinity College Dublin, Irlanda Privacy dei cellulari: misurare i dati iOS e Android Invia ad Apple e Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf ^{[Archive.org
  ]}
iOS/Apple:
- Maggiori informazioni su https://www.apple.com/legal/privacy/en-ww/ ^{[Archive.org]} e https://support.apple.com/en-us/HT202100 ^{[Archive.org]}
- School of Computer Science & Statistics, Trinity College Dublin, Irlanda Privacy dei cellulari: misurare i dati iOS e Android Invia ad Apple e Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf ^{[Archive.org
  ]}
- Apple afferma ¹¹¹ di rendere anonimi questi dati utilizzando la privacy differenziale ¹¹² , ma su questo dovrai fidarti di loro.
Windows/Microsoft:
- Elenco completo dei dati diagnostici richiesti: https://docs.microsoft.com/en-us/windows/privacy/required-windows-diagnostic-data-events-and-fields-2004 ^{[Archive.org]}
- Elenco completo dei dati diagnostici opzionali: https://docs.microsoft.com/en-us/windows/privacy/windows-diagnostic-data ^{[Archive.org]}
Mac OS:
- Maggiori dettagli su https://support.apple.com/guide/mac-help/share-analytics-information-mac-apple-mh27990/mac ^{[Archive.org]}
Ubuntu:
- Ubuntu nonostante sia una distribuzione Linux al giorno d'oggi raccoglie anche dati di telemetria. Questi dati sono però piuttosto limitati rispetto agli altri. Maggiori dettagli su https://ubuntu.com/desktop/statistics ^{[Archive.org]}

Non solo i sistemi operativi raccolgono servizi di telemetria, ma anche le app stesse come browser, client di posta e app di social network sono installate sul tuo sistema.

È importante capire che questi dati di telemetria possono essere collegati al tuo dispositivo e aiutarti a renderti anonimo e in seguito possono essere utilizzati contro di te da un avversario che avrebbe accesso a questi dati.

Ciò non significa ad esempio che i dispositivi Apple siano scelte terribili per una buona Privacy (anche se questo potrebbe cambiare ¹¹³ ), ma non sono certamente le scelte migliori per l'anonimato (relativo). Potrebbero proteggerti da terze parti che sanno cosa stai facendo ma non da se stesse. Con ogni probabilità, sicuramente sanno chi sei.

Più avanti in questa guida, utilizzeremo tutti i mezzi a nostra disposizione per disabilitare e bloccare quanta più telemetria possibile per mitigare questo vettore di attacco nei sistemi operativi supportati in questa guida. Questi includeranno Windows, macOS e persino Linux in qualche modo.

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

I tuoi dispositivi Smart in generale:

Avete capito bene; il tuo smartphone è un dispositivo di spionaggio/tracciamento avanzato che:

Registra tutto ciò che dici in qualsiasi momento ("Ehi Siri", "Ehi Google").
Registra la tua posizione ovunque tu vada.
Registra sempre altri dispositivi intorno a te (dispositivi Bluetooth, punti di accesso Wi-Fi).
Registra le tue abitudini e i dati sulla salute (passi, tempo di utilizzo, esposizione a malattie, dati dei dispositivi connessi)
Registra tutte le posizioni della tua rete.
Registra tutte le tue foto e video (e molto probabilmente dove sono stati presi).
Molto probabilmente ha accesso alla maggior parte dei tuoi account conosciuti, inclusi social media, messaggistica e account finanziari.

I dati vengono trasmessi anche in caso di rinuncia ¹¹⁰ , elaborati e archiviati a tempo indeterminato (molto probabilmente non crittografati ¹¹⁴ ) da varie terze parti ¹¹⁵ .

Ma non è tutto, questa sezione non si chiama “Smartphone” ma “Dispositivi Smart” perché non è solo il tuo smartphone a spiarti. È anche qualsiasi altro dispositivo intelligente che potresti avere:

Il tuo orologio intelligente? (Apple Watch, Smartwatch Android…)
I tuoi dispositivi e app per il fitness ¹¹⁶ ' ¹¹⁷ ? (Strava ¹¹⁸ ' ¹¹⁹ , Fitbit ¹²⁰ , Garmin, Polar ¹²¹ , …)
Il tuo altoparlante intelligente? (Amazon Alexa ¹²² , Google Echo, Apple Homepod…)
Il tuo trasporto intelligente? (Auto? Scooter?)
I tuoi smart tag? (Apple AirTag, Galaxy SmartTag, Tile...)
La tua auto? (Sì, la maggior parte delle auto moderne ha funzionalità di registrazione/tracciamento avanzate al giorno d'oggi ¹²³ )
Qualche altro dispositivo Smart? Ci sono anche dei comodi motori di ricerca dedicati a trovarli online:

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Conclusione: non portare con te i tuoi dispositivi intelligenti quando svolgi attività sensibili.

Te stesso:

I tuoi metadati inclusa la tua posizione geografica:

I tuoi metadati sono tutte le informazioni sulle tue attività senza il contenuto effettivo di tali attività. Ad esempio, è come sapere di aver ricevuto una chiamata da un oncologo prima di chiamare successivamente la tua famiglia e i tuoi amici. Non sai cosa è stato detto durante la conversazione, ma puoi intuire di cosa si trattava solo dai metadati ¹²⁴ .

Questi metadati spesso includeranno anche la tua posizione che viene raccolta da smartphone, sistemi operativi (Android ¹²⁵ /IOS), browser, app, siti web. È probabile che diverse aziende sappiano esattamente dove ti trovi in qualsiasi momento ¹²⁶ grazie al tuo smartphone ¹²⁷ .

Questi dati di localizzazione sono stati utilizzati in molti casi giudiziari ¹²⁸ già nell'ambito dei “mandati di geofencing” ¹²⁹ che consentono alle forze dell'ordine di chiedere alle aziende (come Google/Apple) un elenco di tutti i dispositivi presenti in un determinato luogo in un determinato momento. Inoltre, questi dati sulla posizione vengono persino venduti da società private ai militari che possono quindi utilizzarli comodamente ¹³⁰ . Questi mandati stanno diventando ampiamente utilizzati dalle forze dell'ordine ¹³¹ ' ¹³² ' ¹³³ .

Se vuoi provare tu stesso come sarebbe un "mandato di geofencing", ecco un esempio: https://wigle.net/ .

Ora diciamo che stai usando una VPN per nascondere il tuo IP. La piattaforma di social media sa che eri attivo su quell'account il 4 novembre dalle 8:00 alle 13:00 con quell'IP VPN. La VPN presumibilmente non tiene registri e non può risalire a quell'IP VPN sul tuo IP. Il tuo ISP tuttavia sa (o almeno può sapere) che eri connesso allo stesso provider VPN il 4 novembre dalle 7:30 alle 14:00 ma non sa cosa stavi facendo con esso.

La domanda è: c'è qualcuno da qualche parte che avrebbe entrambe le informazioni disponibili ¹³⁴ per la correlazione in un comodo database?

Hai sentito parlare di Edward Snowden ¹³⁵ ? Ora è il momento di cercarlo su Google e leggere il suo libro ¹³⁶ . Leggi anche XKEYSCORE ¹³⁷ ' ¹³⁸ , MUSCULAR ¹³⁹ , SORM ¹⁴⁰ , Tempora ¹⁴¹ e PRISM ¹⁴² .

Vedi "Uccidiamo persone in base ai metadati" ¹⁴³ o questo famoso tweet dell'IDF https://twitter.com/idf/status/1125066395010699264 ^{[Archive.org]} ^[Nitter] .

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Impronta digitale, impronta e comportamento online:

Questa è la parte in cui dovresti guardare il documentario "The Social Dilemma" ¹⁴⁴ su Netflix poiché tratta questo argomento molto meglio di chiunque altro IMHO.

Ciò include il modo in cui scrivi (stilometria) ¹⁴⁵ ' ¹⁴⁶ , il modo in cui ti comporti ¹⁴⁷ ' ¹⁴⁸ . Il modo in cui fai clic. Il modo in cui navighi. I caratteri che utilizzi sul tuo browser ¹⁴⁹ . L'impronta digitale viene utilizzata per indovinare chi è qualcuno dal modo in cui si comporta quell'utente. Potresti utilizzare parole pedanti specifiche o commettere errori di ortografia specifici che potrebbero tradirti utilizzando una semplice ricerca su Google per funzionalità simili perché hai digitato in modo simile su alcuni post di Reddit 5 anni fa utilizzando un account Reddit non così anonimo ¹⁵⁰ . Le parole che digiti in un motore di ricerca da sole possono essere utilizzate contro di te poiché le autorità ora hanno mandati per trovare utenti che hanno utilizzato parole chiave specifiche nei motori di ricerca ¹⁵¹.

Le piattaforme di social media come Facebook/Google possono fare un ulteriore passo avanti e possono registrare il tuo comportamento nel browser stesso. Ad esempio, possono registrare tutto ciò che digiti anche se non lo invii / lo salvi. Pensa a quando elabori un'e-mail in Gmail. Viene salvato automaticamente durante la digitazione. Possono anche registrare i tuoi clic e i movimenti del cursore.

Tutto ciò di cui hanno bisogno per raggiungere questo obiettivo nella maggior parte dei casi è Javascript abilitato nel tuo browser (che è il caso nella maggior parte dei browser, incluso Tor Browser per impostazione predefinita). Anche con Javascript disabilitato, ci sono ancora modi per acquisire le impronte digitali ¹⁵² .

Sebbene questi metodi vengano solitamente utilizzati per scopi di marketing e pubblicità, possono anche essere uno strumento utile per il rilevamento delle impronte digitali degli utenti. Questo perché il tuo comportamento è unico o abbastanza unico che nel tempo potresti essere anonimizzato.

Ecco alcuni esempi:

Le aziende specializzate stanno vendendo, ad esempio, alle forze dell'ordine prodotti per l'analisi delle attività dei social network come https://mediasonar.com/ ^{[Archive.org]}
Ad esempio, come base per l'autenticazione, la velocità di battitura di un utente, le pressioni sui tasti, i modelli di errore (ad esempio, premere accidentalmente una "l" anziché una "k" su tre transazioni su sette) e i movimenti del mouse stabiliscono il modello unico di quella persona di comportamento ¹⁵³ . Alcuni servizi commerciali come TypingDNA ( https://www.typingdna.com/ ^{[Archive.org]} ) offrono persino tale analisi in sostituzione delle autenticazioni a due fattori.
Questa tecnologia è anche ampiamente utilizzata nei servizi CAPTCHAS ¹⁵⁴ per verificare che tu sia "umano" e può essere utilizzata per impronte digitali di un utente.
Vedi Appendice A4: Contrastare la linguistica forense .

Gli algoritmi di analisi potrebbero quindi essere utilizzati per abbinare questi modelli ad altri utenti e abbinarti a un altro utente noto. Non è chiaro se tali dati siano già utilizzati o meno dai governi e dalle forze dell'ordine, ma potrebbe esserlo in futuro. E mentre questo è principalmente utilizzato per scopi pubblicitari/marketing/captcha ora. Potrebbe e probabilmente sarà utilizzato per indagini a breve o medio termine per deanonimizzare gli utenti.

Ecco un esempio divertente in cui provi tu stesso a vedere alcune di queste cose in azione: https://clickclickclick.click (nessun collegamento all'archivio per questo, scusa). Vedrai che diventerà interessante nel tempo (questo richiede Javascript abilitato).

Ecco anche un esempio recente che mostra solo ciò che Google Chrome raccoglie su di te: https://web.archive.org/web/https://pbs.twimg.com/media/EwiUNH0UYAgLY7V?format=jpg&name=4096x4096

Ecco alcune altre risorse sull'argomento se non riesci a vedere questo documentario:

2017, Analisi del comportamento nei social network, https://link.springer.com/10.1007/978-1-4614-7163-9_110198-1 ^{[Archive.org]}
2017, Reti sociali e affetti positivi e negativi https://www.sciencedirect.com/science/article/pii/S1877042811013747/pdf?md5=253d8f1bb615d5dee195d353dc077d46&pid=1-s2.0-S1877042811013747-main.pdf ^{[Archive.org]}
2015, Utilizzo dei dati dei social network per l'analisi del comportamento e del sentimento https://www.researchgate.net/publication/300562034_Using_Social_Networks_Data_for_Behavior_and_Sentiment_Analysis ^{[Archive.org]}
2016, un'indagine sull'analisi del comportamento degli utenti nei social network https://www.academia.edu/30936118/A_Survey_on_User_Behaviour_Analysis_in_Social_Networks ^{[Archive.org]}
2019, Analisi dell'influenza e del comportamento nei social network e nei social media https://sci-hub.se/10.1007/978-3-030-02592-2 ^{[Archive.org]}

Quindi, come puoi mitigarli?

Questa guida fornirà alcune mitigazioni tecniche utilizzando strumenti resistenti alle impronte digitali, ma potrebbero non essere sufficienti.
Dovresti applicare il buon senso e cercare di trovare i tuoi modelli nel tuo comportamento e comportarti in modo diverso quando usi identità anonime. Ciò comprende:
- Il modo in cui digiti (velocità, precisione...).
- Le parole che usi (attenzione con le tue solite espressioni).
- Il tipo di risposta che usi (se sei sarcastico per impostazione predefinita, prova ad avere un approccio diverso con le tue identità).
- Il modo in cui usi il mouse e fai clic (prova a risolvere i captcha in modo diverso dal solito)
- Le abitudini che hai quando utilizzi alcune App o visiti alcuni Siti (non utilizzare sempre gli stessi menu/pulsanti/link per raggiungere i tuoi contenuti).
- …

Devi recitare e adottare pienamente un ruolo come farebbe un attore per una performance. Devi diventare una persona diversa, pensare e agire come quella persona. Questa non è una mitigazione tecnica ma umana. Puoi fare affidamento solo su te stesso per questo.

In definitiva, sta principalmente a te ingannare quegli algoritmi adottando nuove abitudini e non rivelando informazioni reali quando usi le tue identità anonime. Vedi Appendice A4: Contrastare la linguistica forense .

I tuoi indizi sulla tua vita reale e OSINT:

Questi sono indizi che potresti fornire nel tempo e che potrebbero indicare la tua vera identità. Potresti parlare con qualcuno o postare su qualche bacheca/forum/Reddit. In quei post, nel tempo potresti far trapelare alcune informazioni sulla tua vita reale. Potrebbero essere ricordi, esperienze o indizi che hai condiviso che potrebbero quindi consentire a un avversario motivato di costruire un profilo per restringere la ricerca.

Un vero uso e un caso ben documentato di questo è stato l'arresto dell'hacker Jeremy Hammond ¹⁵⁵ che ha condiviso nel tempo diversi dettagli sul suo passato ed è stato poi scoperto.

Ci sono anche alcuni casi che coinvolgono OSINT a Bellingcat ¹⁵⁶ . Dai un'occhiata al loro toolkit molto informativo (ma leggermente obsoleto) qui: https://docs.google.com/spreadsheets/d/18rtqh8EG2q1xBo2cLNyhIDuK9jrPGwYr9DI2UncoqJQ/edit#gid=930747607 ^{[Archive.org]}

Puoi anche visualizzare alcuni comodi elenchi di alcuni strumenti OSINT disponibili qui se vuoi provarli su te stesso, ad esempio:

Oltre a questa interessante playlist su YouTube: https://www.youtube.com/playlist?list=PLrFPX1Vfqk3ehZKSFeb9pVIHqxqrNW8Sy ^[Invidious]

Oltre a quei podcast interessanti:

https://www.inteltechniques.com/podcast.html

Non dovresti mai condividere esperienze/dettagli individuali reali usando le tue identità anonime che potrebbero in seguito portare a trovare la tua vera identità. Vedrai maggiori dettagli su questo nella sezione Creazione di nuove identità .

Il tuo viso, voce, dati biometrici e immagini:

“L'inferno sono altre persone”, anche se eludi ogni metodo sopra elencato, non sei ancora fuori dai guai grazie all'uso diffuso del Riconoscimento facciale avanzato da parte di tutti.

Aziende come Facebook hanno utilizzato il riconoscimento facciale avanzato per anni ¹⁵⁷ ' ¹⁵⁸ e hanno utilizzato altri mezzi (immagini satellitari) per creare mappe di "persone" in tutto il mondo ¹⁵⁹ . Questa evoluzione è andata avanti per anni al punto che ora possiamo dire “Abbiamo perso il controllo delle nostre facce” ¹⁶⁰ .

Se stai camminando in un luogo turistico, molto probabilmente apparirai nel selfie di qualcuno in pochi minuti senza saperlo. Quella persona potrebbe quindi andare avanti e caricare quel selfie su varie piattaforme (Twitter, Google Foto, Instagram, Facebook, Snapchat …). Tali piattaforme applicheranno quindi algoritmi di riconoscimento facciale a quelle immagini con il pretesto di consentire un tagging migliore/più semplice o di organizzare meglio la tua libreria di foto. Oltre a ciò, la stessa foto fornirà un timestamp preciso e nella maggior parte dei casi la geolocalizzazione del luogo in cui è stata scattata. Anche se la persona non fornisce un timestamp e una geolocalizzazione, può comunque essere indovinata con altri mezzi ¹⁶¹ ' ¹⁶² .

Ecco alcune risorse per provare anche tu stesso:

Bellingcat, Guida all'utilizzo della ricerca inversa delle immagini per le indagini: https://www.bellingcat.com/resources/how-tos/2019/12/26/guide-to-using-reverse-image-search-for-investigations/ ^{[ Archivio.org]}
Bellingcat, utilizzando il nuovo sito russo di riconoscimento facciale SearchFace https://www.bellingcat.com/resources/how-tos/2019/02/19/using-the-new-russian-facial-recognition-site-searchface-ru/ ^{[Archivio.org]}
Bellingcat, Dali, Warhol, Boshirov: Determinare l'ora di una presunta fotografia dal sospetto Skripal Chepiga https://www.bellingcat.com/resources/how-tos/2018/10/24/dali-warhol-boshirov-determining-time -presunta-fotografia-skripal-suspect-chepiga/ ^{[Archive.org]}
Bellingcat, Guida avanzata sulla verifica dei contenuti video https://www.bellingcat.com/resources/how-tos/2017/06/30/advanced-guide-verifying-video-content/ ^{[Archive.org]}
Bellingcat, Using the Sun and the Shadows for Geolocation https://www.bellingcat.com/resources/2020/12/03/using-the-sun-and-the-shadows-for-geolocation/ ^{[Archive.org]}
Bellingcat, Navalny Poison Squad implicati negli omicidi di tre attivisti russi https://www.bellingcat.com/news/uk-and-europe/2021/01/27/navalny-poison-squad-implicated-in-murders-of- tre-attivisti-russi/ ^{[Archive.org]}
Bellingcat, Assassinio di Berlino: nuove prove sul sospetto killer dell'FSB passati a investigatori tedeschi https://www.bellingcat.com/news/2021/03/19/berlin-assassination-new-evidence-on-susspected-fsb-hitman-passed -to-german-investigators/ ^{[Archive.org]}
Bellingcat, Tutorial di ricerca digitale: indagine su un bombardamento della coalizione a guida saudita di un ospedale dello Yemen https://www.youtube.com/watch?v=cAVZaPiVArA ^[Invidious]
Bellingcat, Tutorial di ricerca digitale: utilizzo del riconoscimento facciale nelle indagini https://www.youtube.com/watch?v=awY87q2Mr0E ^[Invidious]
Bellingcat, Tutorial di ricerca digitale: geolocalizzazione (presumibilmente) di funzionari venezuelani corrotti in Europa https://www.youtube.com/watch?v=bS6gYWM4kzY ^[Invidious]

Riconoscimento dell'andatura e altri dati biometrici a lungo raggio

Anche se non stai guardando la telecamera, possono comunque capire chi sei ¹⁶³ , distinguere le tue emozioni ¹⁶⁴ , analizzare la tua andatura ¹⁶⁵ ' ¹⁶⁶ ' ¹⁶⁷ , leggere le tue labbra ¹⁶⁸ , analizzare il comportamento dei tuoi occhi ¹⁶⁹ e probabilmente indovina la tua appartenenza politica ¹⁷⁰ ' ¹⁷¹ .

Contrariamente alla credenza popolare e alla cultura pop, i moderni sistemi di riconoscimento dell'andatura non si lasciano ingannare semplicemente cambiando il modo in cui cammini (ad es. con qualcosa di scomodo nella scarpa), poiché analizzano il modo in cui i muscoli del tuo corpo si muovono su tutto il tuo corpo, mentre ti esibisci determinate azioni. Il modo migliore per ingannare il moderno riconoscimento dell'andatura è indossare abiti larghi che oscurano il modo in cui i muscoli si muovono mentre esegui le azioni.

Altre cose che possono essere utilizzate per identificarti includono i tuoi lobi delle orecchie, che in realtà sono più identificabili delle impronte digitali, o persino la forma del tuo cranio. In quanto tali, i copricapi morbidi come i passamontagna non sono raccomandabili per oscurare la tua identità: ti fanno sembrare incredibilmente sospettoso, mentre si adattano anche alla forma del tuo cranio.

(Illustrazione tratta da https://www.nature.com/articles/s41598-020-79310-1 ^{[Archive.org]} )

(illustrazione tratta da https://rd.springer.com/chapter/10.1007/978-3-030-42504-3_15 ^{[Archive.org]} )

Quelle piattaforme (Google/Facebook) sanno già chi sei per alcuni motivi:

Perché hai o avevi un profilo con loro e ti sei identificato.
Anche se non hai mai creato un profilo su quelle piattaforme, ne hai comunque uno senza nemmeno saperlo ¹⁷² ' ¹⁷³ ' ¹⁷⁴ ' ¹⁷⁵ ' ¹⁷⁶ .
Perché altre persone ti hanno taggato o identificato nelle loro foto di feste/feste.
Perché altre persone hanno inserito una tua foto nella loro lista dei contatti che hanno poi condiviso con loro.

Ecco anche una demo approfondita di Microsoft Azure che puoi provare tu stesso all'indirizzo https://azure.microsoft.com/en-us/services/cognitive-services/face/#demo dove puoi rilevare le emozioni e confrontare i volti di diverse immagini .

I governi sanno già chi sei perché hanno le foto del tuo documento di identità/passaporto/patente di guida e spesso hanno aggiunto dati biometrici (impronte digitali) nel loro database. Quegli stessi governi stanno integrando quelle tecnologie (spesso fornite da società private come l'israeliana AnyVision ¹⁷⁷ , Clearview AI ¹⁷⁸ ' ¹⁷⁹ o NEC ¹⁸⁰ ) nelle loro reti CCTV per cercare “persone di interesse” ¹⁸¹ . E alcuni stati pesantemente sorvegliati come la Cina hanno implementato un uso diffuso del riconoscimento facciale per vari scopi ¹⁸² ' ¹⁸³ inclusa la possibile identificazione di minoranze etniche ¹⁸⁴ . Un semplice errore di riconoscimento facciale da parte di un algoritmo può rovinarti la vita¹⁸⁵ '¹⁸⁶ .

Ecco alcune risorse che descrivono in dettaglio alcune tecniche utilizzate dalle forze dell'ordine oggi:

Video CCC che spiega le attuali capacità di sorveglianza delle forze dell'ordine: https://media.ccc.de/v/rc3-11406-spot_the_surveillance#t=761 ^{[Archive.org]}
EFF SLS: https://www.eff.org/sls ^{[Archive.org]}

Apple sta rendendo FaceID mainstream e ne sta spingendo l'uso per accedere a molti servizi, inclusi i sistemi bancari.

Lo stesso vale con l'autenticazione delle impronte digitali integrata da molti produttori di smartphone per autenticarsi. Una semplice immagine in cui appaiono le tue dita può essere utilizzata per anonimizzare ¹⁸⁷ ' ¹⁸⁸ ' ¹⁸⁹ ' ¹⁹⁰ .

Lo stesso vale per la tua voce che può essere analizzata per vari scopi come mostrato nel recente brevetto Spotify ¹⁹¹ .

Anche l'iride può essere utilizzata per l'identificazione in alcuni luoghi ¹⁹² .

Possiamo tranquillamente immaginare un futuro prossimo in cui non sarai in grado di creare account o accedere da nessuna parte senza fornire dati biometrici unici (Un momento adatto per rivedere Gattaca ¹⁹³ , Persona di interesse ¹⁹⁴ e Rapporto di minoranza ¹⁹⁵ ). E puoi tranquillamente immaginare quanto possano essere utili questi grandi database biometrici per alcune terze parti interessate.

Inoltre, tutte queste informazioni possono essere utilizzate anche contro di te (se sei già de-anonimizzato) utilizzando deepfake ¹⁹⁶ creando informazioni false (Immagini, Video, Registrazioni vocali ¹⁹⁷ …) e sono già state utilizzate per tali scopi ¹⁹⁸ ' ¹⁹⁹ . Ci sono anche servizi commerciali per questo prontamente disponibili come https://www.respeecher.com/ ^{[Archive.org]} e https://www.descript.com/overdub ^{[Archive.org]} .

Guarda questa demo: https://www.youtube.com/watch?v=t5yw5cR79VA ^[Invidious]

Al momento, ci sono alcuni passaggi ²⁰⁰ che puoi utilizzare per mitigare (e solo mitigare) il riconoscimento facciale durante lo svolgimento di attività sensibili in cui potrebbe essere presente la CCTV:

Indossa una maschera facciale poiché è stato dimostrato che sono in grado di sconfiggere alcune tecnologie di riconoscimento facciale ²⁰¹ ma non tutte ²⁰² .
Indossa un berretto da baseball o un cappello per mitigare l'identificazione da telecamere a circuito chiuso ad alto angolo (riprese dall'alto) dalla registrazione del tuo viso. Ricorda che questo non aiuterà contro le fotocamere frontali.
Indossa occhiali da sole oltre alla maschera facciale e al berretto da baseball per mitigare l'identificazione dai lineamenti dei tuoi occhi.
Considera di indossare occhiali da sole speciali (costosi, purtroppo) chiamati "Reflectacles" https://www.reflectacles.com/ ^{[Archive.org]} . C'è stato un piccolo studio che mostrava la loro efficacia contro il riconoscimento facciale di IBM e Amazon ²⁰³ .
Tutto ciò potrebbe essere ancora inutile a causa del riconoscimento dell'andatura menzionato in precedenza, ma potrebbe esserci speranza qui se hai una stampante 3D: https://gitlab.com/FG-01/fg-01 ^{[Archive.org]}

(vedi [Riconoscimento dell'andatura e altri dati biometrici a lungo raggio])

(Nota che se intendi utilizzarli dove sono stati installati sistemi avanzati di riconoscimento facciale, queste misure potrebbero anche contrassegnarti come sospetto e attivare un controllo umano)

Il phishing ²⁰⁴ è un tipo di attacco di ingegneria sociale ²⁰⁵ in cui un avversario potrebbe tentare di estrarre informazioni da te fingendo o impersonando qualcos'altro/qualcun altro.

Un caso tipico è un avversario che usa un attacco man-in-the-middle ³⁵ o una falsa e-mail/chiamata per chiedere le tue credenziali per un servizio. Ciò potrebbe ad esempio avvenire tramite e-mail o impersonando servizi finanziari.

Tali attacchi possono anche essere utilizzati per rendere anonimo qualcuno inducendolo a scaricare malware o a rivelare informazioni personali nel tempo. L'unica difesa contro quelli è non innamorarsi di loro e del buon senso.

Questi sono stati usati innumerevoli volte sin dai primi giorni di Internet e il solito è chiamato "419 scam" (vedi https://en.wikipedia.org/wiki/Advance-fee_scam ^[Wikiless] ^{[Archive.org]} ) .

Ecco un buon video se vuoi saperne di più sui tipi di phishing: Black Hat, Ichthyology: Phishing as a Science https://www.youtube.com/watch?v=Z20XNp-luNA ^[Invidious] .

Malware, exploit e virus:

Malware nei tuoi file/documenti/e-mail:

Utilizzando la steganografia o altre tecniche, è facile incorporare malware in formati di file comuni come documenti di Office, immagini, video, documenti PDF...

Questi possono essere semplici come collegamenti di tracciamento HTML o malware mirati complessi.

Potrebbero essere semplici immagini di dimensioni pixel ²⁰⁶ nascoste nelle tue e-mail che chiamerebbero un server remoto per cercare di ottenere il tuo indirizzo IP.

Questi potrebbero sfruttare una vulnerabilità in un formato obsoleto o un lettore obsoleto ²⁰⁷ . Tali exploit potrebbero quindi essere utilizzati per compromettere il tuo sistema.

Guarda questi buoni video per ulteriori spiegazioni sull'argomento:

Che cos'è un formato di file? https://www.youtube.com/watch?v=VVdmmN0su6E ^[Invidioso]
Ange Albertini: formati di file funky: https://www.youtube.com/watch?v=hdCs6bPM4is ^[Invidious]

Dovresti sempre usare la massima cautela. Per mitigare questi attacchi, questa guida consiglierà in seguito l'uso della virtualizzazione (vedi Appendice W: Virtualizzazione ) per mitigare la fuga di informazioni anche in caso di apertura di un file dannoso.

Se vuoi imparare come provare a rilevare tale malware, consulta l' Appendice T: Verifica della presenza di malware nei file

Malware ed exploit nelle tue app e servizi:

Quindi stai usando Tor Browser o Brave Browser su Tor. Potresti usarli su una VPN per una maggiore sicurezza. Ma dovresti tenere presente che ci sono exploit ²⁰⁸ (hack) che potrebbero essere conosciuti da un avversario (ma sconosciuti al provider dell'app/browser). Tali exploit potrebbero essere utilizzati per compromettere il tuo sistema e rivelare dettagli per renderti anonimo come il tuo indirizzo IP o altri dettagli.

Un caso d'uso reale di questa tecnica è stato il caso Freedom Hosting ²⁰⁹ nel 2013 in cui l'FBI ha inserito malware ²¹⁰ utilizzando un exploit del browser Firefox su un sito Web Tor. Questo exploit ha permesso loro di rivelare i dettagli di alcuni utenti. Più recentemente, c'è stato il notevole hack di SolarWinds ²¹¹ che ha violato diverse istituzioni del governo degli Stati Uniti inserendo malware in un server ufficiale di aggiornamento del software.

In alcuni paesi, il malware è solo obbligatorio e/o distribuito dallo stato stesso. È il caso, ad esempio, della Cina con WeChat ²¹² che può quindi essere utilizzato in combinazione con altri dati per la sorveglianza statale ²¹³ .

Esistono innumerevoli esempi di estensioni del browser dannose, app per smartphone e varie app che sono state infiltrate con malware nel corso degli anni.

Ecco alcuni passaggi per mitigare questo tipo di attacco:

Non dovresti mai avere il 100% di fiducia nelle app che stai utilizzando.
Dovresti sempre verificare di utilizzare la versione aggiornata di tali app prima dell'uso e idealmente convalidare ogni download utilizzando la loro firma, se disponibile.
Non dovresti utilizzare tali app direttamente da un sistema hardware, ma utilizzare invece una macchina virtuale per la compartimentazione.

Per riflettere questi consigli, questa guida ti guiderà quindi in seguito nell'uso della virtualizzazione (vedi Appendice W: Virtualizzazione ) in modo che anche se il tuo browser o le tue app vengono compromessi da un avversario esperto, quell'avversario si troverà bloccato in una sandbox ²¹⁴ senza essere in grado di accedere a informazioni identificative o compromettere il tuo sistema.

Dispositivi USB dannosi:

Esistono dispositivi "badUSB" ²¹⁵ commerciali ed economici prontamente disponibili che possono accettare il deployment di malware, registrare la digitazione, geolocalizzarti, ascoltarti o ottenere il controllo del tuo laptop semplicemente collegandoli. Ecco alcuni esempi che puoi già acquistare tu stesso :

Hak5, USB Rubber Ducky https://shop.hak5.org/products/usb-rubber-ducky-deluxe ^{[Archive.org]}
Hak5, cavo O.MG https://www.youtube.com/watch?v=V5mBJHotZv0 ^[Invidioso]
Keelog https://www.keelog.com/ ^{[Archive.org]}
AliExpress https://www.aliexpress.com/i/4000710369016.html ^{[Archive.org]}

Tali dispositivi possono essere impiantati ovunque (cavo di ricarica, mouse, tastiera, chiavetta USB…) da un avversario e possono essere utilizzati per rintracciarti o compromettere il tuo computer o smartphone. L'esempio più notevole di tali attacchi è probabilmente Stuxnet ²¹⁶ nel 2005.

Sebbene tu possa ispezionare fisicamente una chiave USB, scansionarla con varie utilità, controllare i vari componenti per vedere se sono autentici, molto probabilmente non sarai mai in grado di scoprire malware complessi incorporati in parti originali di una chiave USB originale da un avversario esperto senza attrezzature forensi avanzate ²¹⁷ .

Per mitigare questo, non dovresti mai fidarti di tali dispositivi e collegarli ad apparecchiature sensibili. Se utilizzi un dispositivo di ricarica, dovresti considerare l'uso di un dispositivo di blocco dei dati USB che consentirà solo la ricarica ma non il trasferimento dei dati. Tali dispositivi di blocco dei dati sono ora prontamente disponibili in molti negozi online. Dovresti anche considerare di disabilitare completamente le porte USB all'interno del BIOS del tuo computer a meno che tu non ne abbia bisogno (se puoi).

Malware e backdoor nel firmware hardware e nel sistema operativo:

Questo potrebbe suonare un po' familiare in quanto è già stato parzialmente trattato in precedenza nella sezione La tua CPU .

Malware e backdoor possono essere incorporati direttamente nei componenti hardware. A volte queste backdoor sono implementate dal produttore stesso, come l'IME nel caso delle CPU Intel. E in altri casi, tali backdoor possono essere implementate da una terza parte che si inserisce tra gli ordini di nuovo hardware e la consegna al cliente ²¹⁸ .

Tali malware e backdoor possono anche essere implementati da un avversario utilizzando exploit software. Molti di questi sono chiamati rootkit ²¹⁹ nel mondo tecnologico. Di solito, questi tipi di malware sono più difficili da rilevare e mitigare poiché sono implementati a un livello inferiore rispetto allo spazio utente ²²⁰ e spesso nel firmware ²²¹ dei componenti hardware stessi.

Che cos'è il firmware? Il firmware è un sistema operativo di basso livello per i dispositivi. Ogni componente del tuo computer probabilmente ha un firmware incluso, ad esempio, le tue unità disco. Il sistema BIOS ²²² /UEFI ²²³ della tua macchina, ad esempio, è un tipo di firmware.

Questi possono consentire la gestione remota e sono in grado di consentire il controllo completo di un sistema di destinazione in modo silenzioso e invisibile.

Come accennato in precedenza, questi sono più difficili da rilevare dagli utenti, ma alcuni passaggi limitati possono essere presi per mitigarne alcuni proteggendo il tuo dispositivo dalla manomissione e utilizzando alcune misure (come ad esempio il re-flash del BIOS). Sfortunatamente, se tale malware o backdoor viene implementato dal produttore stesso, diventa estremamente difficile rilevarli e disabilitarli.

I tuoi file, documenti, immagini e video:

Proprietà e metadati:

Questo può essere ovvio per molti ma non per tutti. Alla maggior parte dei file sono allegati metadati. Buoni esempi sono le immagini che memorizzano informazioni EXIF ²²⁴ che possono contenere molte informazioni come le coordinate GPS, quale modello di fotocamera/telefono le ha scattate e quando è stata scattata con precisione. Sebbene queste informazioni potrebbero non rivelare direttamente chi sei, potrebbero dire esattamente dove ti trovavi in un determinato momento, il che potrebbe consentire ad altri di utilizzare varie fonti per trovarti (TVCC o altri filmati ripresi nello stesso posto nello stesso momento durante un protesta per esempio). È necessario verificare qualsiasi file che inseriresti su quelle piattaforme per eventuali proprietà che potrebbero contenere informazioni che potrebbero ricondurti a te.

Ecco un esempio di dati EXIF che potrebbero trovarsi su un'immagine:

(Illustrazione da Wikipedia)

Questo funziona anche per i video. Sì, anche i video hanno il geo-tagging e molti ne sono molto ignari. Ecco ad esempio uno strumento molto conveniente per geolocalizzare i video di YouTube: https://mattw.io/youtube-geofind/location ^{[Archive.org]}

Per questo motivo, dovrai sempre essere estremamente attento quando carichi file utilizzando le tue identità anonime e controlla i metadati di quei file.

Anche se pubblichi un file di testo normale, dovresti sempre ricontrollarlo due o tre volte per eventuali perdite di informazioni prima della pubblicazione. Troverai alcune indicazioni al riguardo nella sezione Alcune misure aggiuntive contro la scientifica alla fine della guida.

Filigrana:

Immagini/Video/Audio:

Immagini/video spesso contengono filigrane visibili che indicano chi è il proprietario/creatore, ma ci sono anche filigrane invisibili in vari prodotti che mirano a identificare lo spettatore stesso.

Quindi, se sei un informatore e stai pensando di far trapelare qualche file immagine/audio/video. Pensa due volte. Ci sono possibilità che quelli possano contenere filigrane invisibili al loro interno che includerebbero informazioni su di te come spettatore. Tali filigrane possono essere abilitate con un semplice interruttore come Zoom (Video ²²⁵ o Audio ²²⁶ ) o con estensioni ²²⁷ per app popolari come Adobe Premiere Pro. Questi possono essere inseriti da vari sistemi di gestione dei contenuti.

Per un esempio recente in cui qualcuno che ha fatto trapelare una registrazione di una riunione Zoom è stato catturato perché era contrassegnato da una filigrana: https://theintercept.com/2021/01/18/leak-zoom-meeting/ ^{[Tor Mirror]} ^{[Archive.org]}

Tali filigrane possono essere inserite da vari prodotti ²²⁸ ' ²²⁹ ' ²³⁰ ' ²³¹ utilizzando la steganografia ²³² e possono resistere alla compressione ²³³ e ricodificare ²³⁴ ' ²³⁵ .

Queste filigrane non sono facilmente rilevabili e potrebbero consentire l'identificazione della fonte nonostante tutti gli sforzi.

Oltre alle filigrane, la telecamera utilizzata per le riprese (e quindi il dispositivo utilizzato per le riprese) un video può anche essere identificata utilizzando varie tecniche come l'identificazione dell'obiettivo ²³⁶ che potrebbe portare alla de-anonimizzazione.

Fai molta attenzione quando pubblichi video/immagini/file audio da piattaforme commerciali note in quanto potrebbero contenere tali filigrane invisibili oltre ai dettagli nelle immagini stesse. Non esiste una protezione garantita al 100% contro quelli. Dovrai usare il buon senso.

Filigrana di stampa:

Sapevi che molto probabilmente anche la tua stampante sta spiando te? Anche se non è connesso a nessuna rete? Questo è di solito un fatto noto a molte persone nella comunità IT ma a poche persone esterne.

Sì ... Le tue stampanti possono essere utilizzate per renderti anonimo così come spiegato dall'EFF qui https://www.eff.org/issues/printers ^{[Archive.org]}

Con questo video (vecchio ma ancora rilevante) che spiega come anche dall'EFF: https://www.youtube.com/watch?v=izMGMsIZK4U ^[Invidious]

Molte stampanti stamperanno una filigrana invisibile consentendo l'identificazione della stampante su ogni pagina stampata. Questo è chiamato Steganografia della stampante ²³⁷ . Non esiste un modo tangibile per mitigare questo problema, ma informarti sulla tua stampante e assicurarti che non stampi alcuna filigrana invisibile. Questo è importante se intendi stampare in modo anonimo.

Ecco un elenco (vecchio ma ancora rilevante) di stampanti e marchi che non stampano tali punti di tracciamento fornito dall'EFF https://www.eff.org/pages/list-printers-which-do-or-do-not -display-tracking-dots ^{[Archive.org]}

Ecco anche alcuni suggerimenti dalla documentazione Whonix ( https://www.whonix.org/wiki/Printing_and_Scanning ^{[Archive.org]} ):

Non stampare mai a colori, in genere le filigrane non sono presenti senza toner/cartucce a colori ²³⁸ .

Informazioni pixelate o sfocate:

Hai mai visto un documento con testo sfocato? Hai mai preso in giro quei film/serie in cui "migliorano" un'immagine per recuperare informazioni apparentemente impossibili da leggere?

Bene, ci sono tecniche per recuperare informazioni da tali documenti, video e immagini.

Ecco ad esempio un progetto open source che potresti usare tu stesso per recuperare il testo da alcune immagini sfocate: https://github.com/beurtschipper/Depix ^{[Archive.org]}

Questo è ovviamente un progetto open source disponibile per tutti. Ma puoi immaginare che tali tecniche siano state probabilmente utilizzate in precedenza da altri avversari. Questi potrebbero essere utilizzati per rivelare informazioni sfocate da documenti pubblicati che potrebbero quindi essere utilizzati per renderti anonimo.

Esistono anche tutorial per l'utilizzo di tali tecniche utilizzando strumenti di fotoritocco come GIMP come https://medium.com/@somdevsangwan/unblurring-images-for-osint-and-more-part-1-5ee36db6a70b ^{[Archive.org]} seguito da https://medium.com/@somdevsangwan/deblurring-images-for-osint-part-2-ba564af8eb5d ^[Scribe.rip] ^{[Archive.org]}

Infine, troverai molte risorse per il deblurring qui: https://github.com/subeeshvasu/Awesome-Deblurring ^{[Archive.org]}

Alcuni servizi online potrebbero anche aiutarti a farlo automaticamente in una certa misura come lo strumento di miglioramento di MyHeritage.com:

https://www.myheritage.com/photo-enhancer ^{[Archive.org]}

Ecco il risultato dell'immagine sopra:

Naturalmente, questo strumento è più simile a un "indovinare" che a un vero sfocatura a questo punto, ma potrebbe essere sufficiente per trovarti utilizzando vari servizi di ricerca di immagini inverse.

Per questo motivo, è sempre estremamente importante redigere e curare correttamente qualsiasi documento che si desidera pubblicare. La sfocatura non è sufficiente e dovresti sempre annerire/rimuovere completamente tutti i dati sensibili per evitare qualsiasi tentativo di recupero dei dati da qualsiasi avversario. Non pixelizzare, non sfocare, basta inserire un rettangolo nero duro per oscurare le informazioni.

Le tue transazioni in criptovalute:

Contrariamente alla credenza diffusa, le transazioni Crypto (come Bitcoin ed Ethereum) non sono anonime ²³⁹ . La maggior parte delle criptovalute può essere tracciata accuratamente attraverso vari metodi ²⁴⁰ ' ²⁴¹ .

Ricorda cosa dicono sulla loro pagina: https://bitcoin.org/en/you-need-to-know ^{[Archive.org]} e https://bitcoin.org/en/protect-your-privacy ^{[Archive.org ]} : “Bitcoin non è anonimo”

Il problema principale non è configurare un portafoglio Crypto casuale per ricevere valuta dietro un indirizzo VPN/Tor (a questo punto, il portafoglio è anonimo). Il problema è principalmente quando vuoi convertire denaro Fiat (Euro, Dollari ...) in Crypto e poi quando vuoi incassare il tuo Crypto. Avrai poche opzioni realistiche ma trasferirle su uno scambio (come Coinbase/Kraken/Bitstamp/Binance). Tali scambi hanno indirizzi di portafoglio noti e manterranno registri dettagliati (a causa delle normative finanziarie KYC ²⁴² ) e potranno quindi risalire a quelle transazioni crittografiche utilizzando il sistema finanziario ²⁴³ .

Ci sono alcune criptovalute con in mente privacy/anonimato come Monero, ma anche quelle ne hanno alcune e avvertenze da considerare ²⁴⁴ ' ²⁴⁵ .

Anche se utilizzi Mixers o Tumblers ²⁴⁶ (servizi specializzati nell'"anonimizzare" le criptovalute "mescolandole"), tieni presente che si tratta solo di offuscamento ²⁴⁷ e non di vero anonimato ²⁴⁸ . Non solo sono solo offuscamento, ma potrebbero anche metterti nei guai perché potresti finire per scambiare le tue criptovalute con criptovalute "sporche" che sono state utilizzate in vari contesti discutibili ²⁴⁹ .

Ciò non significa che non puoi utilizzare Bitcoin in modo anonimo. Puoi effettivamente utilizzare Bitcoin in modo anonimo purché non lo converta in valuta reale e utilizzi un portafoglio Bitcoin da una rete anonima sicura. Ciò significa che dovresti evitare le normative KYC/AML da parte di vari scambi ed evitare di utilizzare la rete Bitcoin da qualsiasi indirizzo IP noto. Vedi Appendice Z: Pagare in modo anonimo online con BTC (o qualsiasi altra criptovaluta) .

Nel complesso, l'opzione migliore per utilizzare Crypto con ragionevole anonimato e privacy è ancora Monero e idealmente non dovresti usarne altre per transazioni sensibili a meno che tu non sia consapevole dei limiti e dei rischi coinvolti. Si prega di leggere l'Appendice B2: Dichiarazione di non responsabilità di Monero .

TLDR: Usa Monero!

I tuoi servizi di backup/sincronizzazione cloud:

Tutte le aziende pubblicizzano il loro uso della crittografia end-to-end (E2EE). Questo è vero per quasi tutte le app di messaggistica e i siti Web (HTTPS). Apple e Google stanno pubblicizzando il loro uso della crittografia sui loro dispositivi Android e sui loro iPhone.

Ma per quanto riguarda i tuoi backup? Quei backup automatici di iCloud/Google Drive che hai?

Bene, dovresti sapere che la maggior parte di questi backup non sono completamente crittografati end-to-end e manterranno alcune delle tue informazioni prontamente disponibili per terze parti. Vedrai le loro affermazioni secondo cui i dati sono crittografati a riposo e al sicuro da chiunque ... Tranne che di solito conservano una chiave per accedere ad alcuni dei dati stessi. Queste chiavi vengono utilizzate per indicizzare i tuoi contenuti, recuperare il tuo account, raccogliere varie analisi.

Sono disponibili soluzioni forensi commerciali specializzate (Magnet Axiom ²⁵⁰ , Cellebrite Cloud ²⁵¹ ) che aiuteranno un avversario ad analizzare facilmente i tuoi dati cloud.

Esempi notevoli:

Apple iCloud: https://support.apple.com/en-us/HT202303 ^{[Archive.org]} : “Anche i messaggi in iCloud utilizzano la crittografia end-to-end. Se hai attivato Backup iCloud , il backup include una copia della chiave che protegge i tuoi Messaggi . Ciò ti assicura di poter recuperare i tuoi messaggi se perdi l'accesso al portachiavi iCloud e ai tuoi dispositivi fidati. “.
Google Drive e WhatsApp: https://faq.whatsapp.com/android/chats/about-google-drive-backups/ ^{[Archive.org]} : “ I media e i messaggi di cui esegui il backup non sono protetti da WhatsApp end-to- termina la crittografia mentre sei in Google Drive . “. Si noti tuttavia che Facebook/Whatsapp hanno annunciato il lancio dei backup crittografati il 14 ottobre 2021 ( https://about.fb.com/news/2021/10/end-to-end-encrypted-backups-on- whatsapp/ ^{[Archive.org]} ) che dovrebbe risolvere questo problema.
Dropbox: https://www.dropbox.com/privacy#terms ^{[Archive.org]} “Per fornire queste e altre funzionalità, Dropbox accede, archivia ed esegue la scansione dei tuoi contenuti . Ci dai il permesso di fare queste cose e questo permesso si estende ai nostri affiliati e alle terze parti fidate con cui lavoriamo”.
Microsoft OneDrive: https://privacy.microsoft.com/en-us/privacystatement ^{[Archive.org]} : prodotti per la produttività e la comunicazione, "Quando utilizzi OneDrive, raccogliamo dati sull'utilizzo del servizio da parte dell'utente, nonché il contenuto memorizzi, fornisci, migliori e proteggi i servizi. Gli esempi includono l'indicizzazione dei contenuti dei tuoi documenti OneDrive in modo da poterli cercare in seguito e l'utilizzo delle informazioni sulla posizione per consentirti di cercare le foto in base al luogo in cui è stata scattata la foto ”.

Non dovresti fidarti dei fornitori di servizi cloud con i tuoi dati sensibili (non crittografati in precedenza e localmente) e dovresti diffidare delle loro rivendicazioni sulla privacy. Nella maggior parte dei casi, possono accedere ai tuoi dati e fornirli a terzi se lo desiderano ²⁵² .

L'unico modo per mitigare questo è crittografare i tuoi dati dalla tua parte e quindi caricarli solo su tali servizi o semplicemente non usarli affatto.

Impronte digitali del browser e del dispositivo:

Il tuo browser e le impronte digitali del dispositivo ²⁵³ sono un insieme di proprietà/capacità del tuo sistema/browser. Questi sono utilizzati sulla maggior parte dei siti Web per il monitoraggio invisibile degli utenti, ma anche per adattare l'esperienza dell'utente del sito Web a seconda del browser. Ad esempio, i siti Web saranno in grado di fornire un'"esperienza mobile" se si utilizza un browser mobile o se si propone una lingua/versione geografica specifica a seconda della propria impronta digitale. ^{La maggior parte di
queste tecniche funziona con browser recenti come i
browser} basati su Chromium (come Chrome/Edge) o Firefox ²⁵⁵ a meno che non vengano prese misure specifiche.

Puoi trovare molte informazioni dettagliate e pubblicazioni su questo su queste risorse:

Il più delle volte, quelle impronte digitali saranno, sfortunatamente, uniche o quasi uniche per il tuo browser/sistema. Ciò significa che anche se ci si disconnette da un sito Web e quindi si accede nuovamente utilizzando un nome utente diverso, l'impronta digitale potrebbe rimanere la stessa se non si adottassero misure precauzionali.

Un avversario potrebbe quindi utilizzare tali impronte digitali per tracciarti su più servizi anche se non hai alcun account su nessuno di essi e stai utilizzando il blocco degli annunci. Queste impronte digitali potrebbero a loro volta essere utilizzate per renderti anonimo se mantieni la stessa impronta digitale tra i servizi.

Va anche notato che mentre alcuni browser ed estensioni offriranno una certa resistenza alle impronte digitali, questa resistenza di per sé può anche essere utilizzata per impronte digitali come spiegato qui https://palant.info/2020/12/10/how-anti-fingerprinting -extensions-tend-to-make-fingerprinting-easy/ ^{[Archive.org]}

Questa guida mitigherà questi problemi mitigando, offuscando e randomizzando molti di questi identificatori di impronte digitali utilizzando la virtualizzazione (consultare l' appendice W: virtualizzazione ), utilizzando raccomandazioni specifiche (consultare l' appendice A5: precauzioni aggiuntive per il browser con JavaScript abilitato e l'appendice V1: potenziamento dei browser ) e utilizzando browser resistenti alle impronte digitali (Brave e Tor Browser).

Perdite di dati locali e analisi forensi:

La maggior parte di voi ha probabilmente visto abbastanza drammi gialli su Netflix o TV per sapere cosa sono le scienze forensi. Si tratta di tecnici (di solito che lavorano per le forze dell'ordine) che eseguiranno varie analisi delle prove. Questo ovviamente potrebbe includere il tuo smartphone o laptop.

Mentre questi potrebbero essere fatti da un avversario quando sei già stato "bruciato", potrebbero anche essere eseguiti casualmente durante un controllo di routine o un controllo di frontiera. Questi controlli non correlati potrebbero rivelare informazioni segrete ad avversari che non erano a conoscenza di tali attività.

Le tecniche forensi sono ora molto avanzate e possono rivelare un'incredibile quantità di informazioni dai tuoi dispositivi anche se sono crittografati ²⁵⁶ . Queste tecniche sono ampiamente utilizzate dalle forze dell'ordine in tutto il mondo e dovrebbero essere prese in considerazione.

Ecco alcune risorse recenti che dovresti leggere sul tuo smartphone:

UpTurn, il potere diffuso delle forze dell'ordine statunitensi per la ricerca sui telefoni cellulari https://www.upturn.org/reports/2020/mass-extraction/ ^{[Archive.org]}
New York Times, la polizia può probabilmente entrare nel tuo telefono https://www.nytimes.com/2020/10/21/technology/iphone-encryption-police.html ^{[Archive.org]}
Vice, i poliziotti di tutto il paese possono ora sbloccare gli iPhone, i record mostrano https://www.vice.com/en/article/vbxxxd/unlock-iphone-ios11-graykey-grayshift-police ^{[Archive.org]}

Consiglio vivamente anche di leggere alcuni documenti dal punto di vista di un esaminatore forense come:

Guida per l'utente di EnCase Forensic, https://encase-docs.opentext.com/documentation/encase/forensic/8.07/Content/Resources/External%20Files/EnCase%20Forensic%20v8.07%20User%20Guide.pdf ^{[Archive.org ]}
Toolkit forense FTK, https://accessdata.com/products-services/forensic-toolkit-ftk ^{[Archive.org]}
SANS Digital Forensics e video di risposta agli incidenti, https://www.youtube.com/c/SANSDigitalForensics/videos

E infine, ecco questo documento dettagliato molto istruttivo sullo stato attuale della sicurezza IOS/Android della John Hopkins University: https://securephones.io/main.html ²⁵⁷ .

Quando si tratta del tuo laptop, le tecniche forensi sono molte e diffuse. Molti di questi problemi possono essere mitigati utilizzando la crittografia completa del disco, la virtualizzazione (consultare l' Appendice W: Virtualizzazione ) e la compartimentazione. Questa guida in seguito descriverà in dettaglio tali minacce e le tecniche per mitigarle.

Crittografia errata:

C'è un adagio frequente nella comunità di infosec: "Non lanciare le tue criptovalute!".

E ci sono ragioni ²⁵⁸ ' ²⁵⁹ ' ²⁶⁰ ' ²⁶¹ per questo:

Non vorrei che le persone scoraggiassero lo studio e l'innovazione nel campo delle criptovalute a causa di questo adagio. Quindi, invece, consiglierei alle persone di essere cauti con "Roll your own crypto" perché non è necessariamente una buona crittografia:

Una buona crittografia non è facile e di solito richiede anni di ricerca per essere sviluppata e messa a punto.
Una buona crittografia è trasparente e non proprietaria/chiusa, quindi può essere rivista dai colleghi.
Una buona crittografia viene sviluppata con attenzione, lentamente e raramente da sola.
Una buona crittografia viene solitamente presentata e discussa in conferenze e pubblicata su varie riviste.
Una buona crittografia è ampiamente sottoposta a peer-review prima di essere rilasciata per l'uso in natura.
Usare e implementare correttamente la buona crittografia esistente è già una sfida.

Tuttavia, questo non impedisce ad alcuni di farlo comunque e di pubblicare varie app/servizi di produzione utilizzando la propria crittografia o metodi proprietari chiusi:

È necessario prestare attenzione quando si utilizzano app/servizi utilizzando metodi di crittografia proprietari o chiusi. Tutti i buoni standard crittografici sono pubblici e sottoposti a revisione paritaria e non dovrebbero esserci problemi nel rivelare quello che usi.
È necessario diffidare di app/servizi che utilizzano un metodo crittografico "modificato" o proprietario ²⁶² .
Per impostazione predefinita, non dovresti fidarti di nessun "Roll your own crypto" fino a quando non è stato verificato, sottoposto a revisione paritaria, verificato e accettato dalla comunità di crittografia ²⁶³ ' ²⁶⁴ .
Non esiste una "criptovaluta di livello militare" ²⁶⁵ ' ²⁶⁶ ' ²⁶⁷ .

La crittografia è un argomento complesso e una cattiva crittografia potrebbe facilmente portare alla tua de-anonimizzazione.

Nel contesto di questa guida, consiglio di attenersi ad app/servizi utilizzando metodi consolidati, pubblicati e sottoposti a revisione paritaria.

Quindi, cosa preferire e cosa evitare a partire dal 2021? Dovrai cercare te stesso per ottenere i dettagli tecnici di ciascuna app e vedere se stanno usando "crittografia cattiva" o "crittografia buona". Una volta ottenuti i dettagli tecnici, puoi controllare questa pagina per vedere quanto vale: https://latacora.micro.blog/2018/04/03/cryptographic-right-answers.html ^{[Archive.org]}

Ecco alcuni esempi:

Hash:
- Preferisci: SHA-3 o BLAKE2 ²⁶⁸
- Ancora relativamente ok da usare: SHA-2 (come SHA256 o SHA512 ampiamente utilizzato)
- Da evitare: SHA-1, MD5 (purtroppo ancora ampiamente utilizzato), CRC, MD6 (usato raramente)
Crittografia file/disco:
- Preferire:
  - Accelerazione hardware ²⁶⁹ : AES (Rijndael) 256 bit con HMAC-SHA-2 o HMAC-SHA-3 (questo è ciò che Veracrypt, Bitlocker, Filevault 2, KeepassXC e LUKS usano per impostazione predefinita). Preferisci SHA-3.
  - Accelerato non hardware: come accelerato sopra o, se disponibile, considerare:
    - ChaCha20 ²⁷⁰ o XChaCha20 (puoi usare ChaCha20 con Kryptor https://www.kryptor.co.uk , sfortunatamente non è disponibile con Veracrypt).
    - Serpente ²⁷¹
    - TwoFish ²⁷²
- Evita: praticamente qualsiasi altra cosa
Memorizzazione password:
- Preferire: argon2, scrypt, bcrypt o, se non possibile, almeno PBKDF2 (solo come ultima risorsa)
- Evitare: SHA-3, SHA-2, SHA-1, MD5
Sicurezza del browser (HTTPS):
- Preferire: TLS 1.3 (idealmente TLS 1.3 con supporto ECH/eSNI) o almeno TLS 1.2 (ampiamente utilizzato)
- Evita: qualsiasi altra cosa (TLS =<1.1, SSL =<3)
Firma di messaggi/file con PGP/GPG:
- Preferisci ECDSA (ed25519)+ECDH (ec25519) o RSA 4096 bit*
  - Considera un'alternativa ²⁷³ più moderna a PGP/GPG: Minisign https://jedisct1.github.io/minisign/ ^{[Archive.org]}
- Da evitare: RSA 2048 bit
Chiavi SSH:
- ED25519 (preferito) o RSA 4096 bit*
- Da evitare: RSA 2048 bit
Avvertenza: sfortunatamente RSA e ED25519 non sono visti come "Quantum Resistant" ²⁷⁴ e sebbene non siano ancora stati rotti, probabilmente lo saranno un giorno in futuro. È solo una questione di quando, piuttosto che se la RSA verrà mai interrotta. Quindi, questi sono preferiti in quei contesti a causa della mancanza di una migliore possibilità.

Ecco alcuni casi reali di problemi di cattiva crittografia:

Telegram: https://democratic-europe.eu/2021/07/20/cryptographers-uncover-four-vulnerabilities-in-telegram/ ^{[Archive.org]}
Telegram: https://buttondown.email/cryptography-dispatches/archive/cryptography-dispatches-the-most-backdoor-looking/ ^{[Archive.org]}
Cryptocat: https://web.archive.org/web/20130705051050/https://blog.crypto.cat/2013/07/new-critical-vulnerability-in-cryptocat-details/
Alcuni altri esempi possono essere trovati qui: https://www.cryptofails.com/ ^{[Archive.org]}

In seguito questa guida non consiglierà la "crittografia errata" e si spera che questo dovrebbe essere sufficiente per proteggerti?

Nessuna registrazione ma registrazione comunque politiche:

Molte persone hanno l'idea che i servizi orientati alla privacy come VPN o provider di posta elettronica siano sicuri grazie alle loro politiche di non registrazione o ai loro schemi di crittografia. Sfortunatamente, molte di quelle stesse persone dimenticano che tutti quei fornitori sono entità commerciali legali soggette alle leggi dei paesi in cui operano.

Ognuno di questi fornitori può essere costretto a registrare silenziosamente (a tua insaputa (usando ad esempio un'ingiunzione del tribunale con un ordine di bavaglio ²⁷⁵ o una lettera di sicurezza nazionale ²⁷⁶ ) la tua attività per renderti anonimo. Ci sono stati diversi esempi recenti di questi:

2021, ProtonMail, ProtonMail ha registrato l'indirizzo IP dell'attivista francese su ordine delle autorità svizzere ²⁷⁷ .
2021, WindScribe, I server non sono stati crittografati poiché avrebbero dovuto consentire attacchi MITM da parte delle autorità ²⁷⁸ .
2021, server DoubleVPN, registri e informazioni sull'account sequestrati dalle forze dell'ordine ²⁷⁹ .
2021, il provider di posta con sede in Germania Tutanota è stato costretto a monitorare account specifici per 3 mesi ²⁸⁰ .
2020, il provider di posta con sede in Germania Tutanota è stato costretto a implementare una backdoor per intercettare e salvare copie delle e-mail non crittografate di un utente ²⁸¹ (non hanno decrittografato l'e-mail memorizzata).
Nel 2017, PureVPN è stata costretta a divulgare le informazioni di un utente all'FBI ²⁸² .
2014, un utente EarthVPN è stato arrestato in base al fornitore di log della polizia olandese ²⁸³ .
2013, il provider di posta elettronica sicura Lavabit chiude dopo aver combattuto un ordine segreto di bavaglio ²⁸⁴ .
2011, l'utente di HideMyAss è stato anonimizzato e i registri sono stati forniti all'FBI ²⁸⁵ .

Alcuni fornitori hanno implementato l'uso di un Warrant Canary ²⁸⁶ che consentirebbe ai loro utenti di scoprire se sono stati compromessi da tali ordini, ma questo non è stato ancora testato per quanto ne so.

Infine, è ormai risaputo che alcune aziende potrebbero essere sponsorizzate front-end per alcuni avversari statali (vedi la storia di Crypto AG ²⁸⁷ e la storia di Omnisec ²⁸⁸ ).

Per questi motivi, non devi fidarti di tali fornitori per la tua privacy nonostante tutte le loro affermazioni. Nella maggior parte dei casi, sarai l'ultima persona a sapere se qualcuno dei tuoi account è stato preso di mira da tali ordini e potresti non saperlo mai.

Per mitigare ciò, nei casi in cui desideri utilizzare una VPN, consiglierò l'uso di un provider VPN pagato in contanti/monero su Tor per impedire al servizio VPN di conoscere qualsiasi informazione identificabile su di te.

Se il provider VPN non sa nulla di te, dovrebbe mitigare qualsiasi problema dovuto al fatto che non si registrano ma si registrano comunque.

Alcune tecniche mirate avanzate:

(Illustrazione: un film eccellente che consiglio vivamente: Das Leben der Anderen ²⁸⁹ )

Molte tecniche avanzate possono essere utilizzate da avversari esperti ²⁹⁰ per aggirare le tue misure di sicurezza a condizione che sappiano già dove si trovano i tuoi dispositivi. Molte di queste tecniche sono dettagliate qui https://cyber.bgu.ac.il/advanced-cyber/airgap ^{[Archive.org]} (Air-Gap Research Page, Cyber-Security Research Center, Ben-Gurion University of the Negev, Israele) ma anche in questo rapporto https://www.welivesecurity.com/wp-content/uploads/2021/12/eset_jumping_the_air_gap_wp.pdf ^{[Archive.org]} (ESET, JUMPING

THE AIR GAP: 15 anni di impegno dello stato-nazione) e comprendono:

Attacchi che richiedono l'impianto di malware:
- Esfiltrazione di dati attraverso un router infetto da malware: https://www.youtube.com/watch?v=mSNt4h7EDKo ^[Invidious]
- Esfiltrazione dei dati attraverso l'osservazione della variazione della luce in una tastiera retroilluminata con una telecamera compromessa: https://www.youtube.com/watch?v=1kBGDHVr7x0 ^[Invidious]
  - Esfiltrazione di dati attraverso una telecamera di sicurezza compromessa (che potrebbe utilizzare per prima l'attacco precedente) https://www.youtube.com/watch?v=om5fNqKjj2M ^[Invidious]
  - Comunicazione dall'esterno alle telecamere di sicurezza compromesse tramite segnali luminosi IR: https://www.youtube.com/watch?v=auoYKSzdOj4 ^[Invidious]
- Esfiltrazione di dati da un computer con intercapedine d'aria compromesso attraverso l'analisi acustica dei rumori FAN con uno smartphone https://www.youtube.com/watch?v=v2_sZIfZkDQ ^[Invidious]
- Esfiltrazione di dati da un computer air gap infetto da malware tramite LED HD con un drone https://www.youtube.com/watch?v=4vIu8ld68fc ^[Invidious]
- Esfiltrazione di dati da un malware USB su un computer con traferro attraverso interferenze elettromagnetiche https://www.youtube.com/watch?v=E28V1t-k8Hk ^[Invidious]
- Esfiltrazione di dati da un'unità HDD infetta da malware tramite rumore acustico nascosto https://www.youtube.com/watch?v=H7lQXmSLiP8 ^[Invidious]
- Esfiltrazione di dati attraverso le frequenze GSM da un computer con air gap compromesso (con malware) https://www.youtube.com/watch?v=RChj7Mg3rC4 ^[Invidious]
- Esfiltrazione di dati tramite emissioni elettromagnetiche da un dispositivo Display compromesso https://www.youtube.com/watch?v=2OzTWiGl1rM&t=20s ^[Invidious]
- Esfiltrazione di dati attraverso onde magnetiche da un computer con traferro compromesso a uno smartphone archiviato all'interno di una borsa di Faraday https://www.youtube.com/watch?v=yz8E5n1Tzlo ^[Invidious]
- Comunicazione tra due computer compromessi con traferro utilizzando onde sonore ultrasoniche https://www.youtube.com/watch?v=yz8E5n1Tzlo ^[Invidious]
- Esfiltrazione di Bitcoin Wallet da un computer con traferro compromesso a uno smartphone https://www.youtube.com/watch?v=2WtiHZNeveY ^[Invidious]
- Esfiltrazione di dati da un computer con traferro compromesso utilizzando la luminosità del display https://www.youtube.com/watch?v=ZrkZUO2g4DE ^[Invidious]
- Esfiltrazione di dati da un computer con traferro compromesso tramite vibrazioni https://www.youtube.com/watch?v=XGD343nq1dg ^[Invidious]
- Esfiltrazione di dati da un computer con traferro compromesso trasformando la RAM in un emettitore Wi-Fi https://www.youtube.com/watch?v=vhNnc0ln63c ^[Invidious]
- Esfiltrazione di dati da un computer con traferro compromesso attraverso linee elettriche https://arxiv.org/abs/1804.04014 ^{[Archive.org]}
Attacchi che non richiedono malware:
- Osservare da lontano un muro bianco in una stanza per capire quante persone ci sono in una stanza e cosa stanno facendo ²⁹¹ . Pubblicazione con dimostrazione: https://wallcamera.csail.mit.edu/ ^{[Archive.org]}
- Osservare da lontano un sacchetto riflettente di snack in una stanza per ricostruire l'intera stanza ²⁹² . Pubblicazione con esempi fotografici: https://arxiv.org/abs/2001.04642 ^{[Archive.org]}
- Misurare le vibrazioni del pavimento per identificare gli individui e determinarne le condizioni di salute e l'umore ²⁹³ . Pubblicazione con dimostrazione: https://engineering.cmu.edu/news-events/news/2020/02/17-mauraders-map.html ^{[Archive.org]}
- Osservare una lampadina da lontano per ascoltare il suono nella stanza ²⁹⁴ senza alcun malware : Dimostrazione: https://www.youtube.com/watch?v=t32QvpfOHqw ^[Invidious] . Va notato che questo tipo di attacco non è affatto nuovo e ci sono stati articoli su tali tecniche già nel 2013 ²⁹⁵ e che puoi persino acquistare dispositivi per eseguirlo tu stesso come qui: https://www.gcomtech .com/ccp0-prodshow/laser-surveillance-laser-listening.html ^{[Archive.org]}

Ecco anche un buon video degli stessi autori per spiegare questi argomenti: Black Hat, The Air-Gap Jumpers https://www.youtube.com/watch?v=YKRtFgunyj4 ^[Invidious]

Realisticamente, questa guida sarà di scarso aiuto contro tali avversari in quanto tale malware potrebbe essere impiantato sui dispositivi da un produttore, chiunque si trovi nel mezzo ²⁹⁶ , o da chiunque abbia accesso fisico al computer con air gap, ma ci sono ancora alcuni modi per mitigare tali tecniche:

Non condurre attività sensibili mentre si è collegati a una linea elettrica non affidabile/non protetta per evitare perdite di linea.
Non utilizzare i dispositivi davanti a una fotocamera che potrebbe essere compromessa.
Usa i tuoi dispositivi in una stanza insonorizzata per evitare perdite di suono.
Usa i tuoi dispositivi in una gabbia di Faraday per prevenire perdite elettromagnetiche.
Non parlare di informazioni sensibili in cui le lampadine potrebbero essere viste dall'esterno.
Acquista i tuoi dispositivi da luoghi (negozi) diversi/imprevedibili/offline in cui la probabilità che vengano infettati da tale malware è inferiore.
Non consentire a nessuno di accedere ai tuoi computer con air gap tranne le persone fidate.

Alcune risorse bonus:

Dai un'occhiata alla documentazione Whonix relativa alle tecniche di raccolta dei dati qui: https://www.whonix.org/wiki/Data_Collection_Techniques ^{[Archive.org]}
Potresti anche divertirti a guardare questo servizio https://tosdr.org/ ^{[Archive.org]} (Termini di servizio, Non letti) che ti darà una buona panoramica dei vari ToS di molti servizi.
Dai un'occhiata a https://www.eff.org/issues/privacy ^{[Archive.org]} per ulteriori risorse.
Dai un'occhiata a https://en.wikipedia.org/wiki/List_of_government_mass_surveillance_projects ^[Wikiless] ^{[Archive.org]} per avere una panoramica di tutti i progetti di sorveglianza di massa noti, attuali e passati.
Dai un'occhiata a https://www.gwern.net/Death-Note-Anonymity ^{[Archive.org]} (anche se non conosci Death Note).
Prendi in considerazione la possibilità di trovare e leggere il libro di Michael Bazzell "Open-Source Intelligence Techniques" (ottava edizione al momento della stesura di questo articolo per saperne di più sulle recenti tecniche OSINT) https://inteltechniques.com/book1.html
Infine, controlla https://www.freehaven.net/anonbib/date.html ^{[Archive.org]} per gli ultimi articoli accademici relativi all'anonimato online.

Appunti:

Se ancora non pensi che tali informazioni possano essere utilizzate da vari attori per tracciarti, puoi vedere alcune statistiche per te stesso per alcune piattaforme e tenere presente che tengono conto solo delle richieste di dati legittime e non conteranno cose come PRISM, MUSCULAR , SORM o XKEYSCORE spiegato in precedenza:

Rapporto sulla trasparenza di Google https://transparencyreport.google.com/user-data/overview ^{[Archive.org]}
Rapporto sulla trasparenza di Facebook https://transparency.facebook.com/ ^{[Archive.org]}
Rapporto sulla trasparenza di Apple https://www.apple.com/legal/transparency/ ^{[Archive.org]}
Rapporto sulla trasparenza di Cloudflare https://www.cloudflare.com/transparency/ ^{[Archive.org]}
Rapporto sulla trasparenza di Snapchat https://www.snap.com/en-US/privacy/transparency ^{[Archive.org]}
Rapporto sulla trasparenza di Telegram https://t.me/transparency ^{[Archive.org]} (richiede l'installazione di telegramma)
Rapporto Microsoft sulla trasparenza https://www.microsoft.com/en-us/corporate-responsibility/law-enforcement-requests-report ^{[Archive.org]}
Rapporto sulla trasparenza di Amazon https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF ^{[Archive.org]}
Rapporto sulla trasparenza di Dropbox https://www.dropbox.com/transparency ^{[Archive.org]}
Rapporto sulla trasparenza di Discord https://blog.discord.com/discord-transparency-report-jan-june-2020-2ef4a3ee346d ^{[Archive.org]}
Rapporto sulla trasparenza di GitHub https://github.blog/2021-02-25-2020-transparency-report/ ^{[Archive.org]}
Rapporto sulla trasparenza di Snapchat https://www.snap.com/en-US/privacy/transparency/ ^{[Archive.org]}
Rapporto sulla trasparenza di TikTok https://www.tiktok.com/safety/resources/transparency-report?lang=en ^{[Archive.org]}
Rapporto sulla trasparenza di Reddit https://www.reddit.com/wiki/transparency ^{[Archive.org]}
Rapporto sulla trasparenza di Twitter https://transparency.twitter.com/ ^{[Archive.org]}

Preparativi generali:

Personalmente, nel contesto di questa guida, è anche interessante dare un'occhiata al tuo modello di sicurezza. E in questo contesto, ne ho solo uno da consigliare:

Zero-Trust Security ²⁶ ("Non fidarti mai, verifica sempre").

Ecco alcune varie risorse su cosa sia Zero-Trust Security:

DEFCON, Zero Trust una visione per la sicurezza del cloud, https://www.youtube.com/watch?v=euSsqXO53GY ^[Invidious]
Dalla stessa NSA, Embracing a Zero Trust Security Model, https://media.defense.gov/2021/Feb/25/2002588479/-1/-1/0/CSI_EMBRACING_ZT_SECURITY_MODEL_UOO115131-21.PDF ^{[Archive.org]}

Scegli il tuo percorso:

Innanzitutto, ecco un piccolo diagramma UML di base che mostra le opzioni disponibili in base alle tue capacità/budget/tempo/risorse.

Limiti di tempo:

Non hai proprio tempo:
- Scegli il percorso Tor Browser.
Hai un tempo estremamente limitato per imparare e hai bisogno di una soluzione rapida:
- La tua migliore opzione è quella di seguire il percorso di Tails (esclusa la sezione di negazione plausibile persistente).
Hai tempo e soprattutto motivazione per imparare:
- Vai con qualsiasi percorso.

Limiti di budget/materiale:

Non hai budget e anche accedere a un laptop è complicato o hai solo il tuo smartphone:
- Scegli il percorso Tor Browser.
Hai solo un laptop disponibile e non puoi permetterti nient'altro. Usi questo laptop per lavoro, famiglia o cose personali (o entrambi):
- La tua migliore opzione è quella di scegliere il percorso di Tails.
Puoi permetterti un laptop di riserva dedicato non supervisionato/non monitorato per le tue attività sensibili:
- Ma è vecchio, lento e ha specifiche scadenti (meno di 6 GB di RAM, meno di 250 GB di spazio su disco, CPU vecchia/lenta):
  - Dovresti scegliere il percorso di Tails.
- Non è così vecchio e ha specifiche decenti (almeno 6 GB di RAM, 250 GB di spazio su disco o più, CPU decente):
  - Potresti optare per le rotte Tails, Whonix.
- È nuovo e ha ottime specifiche (più di 8 GB di RAM,> 250 GB di spazio su disco, CPU veloce recente):
  - Potresti seguire qualsiasi percorso, ma consiglierei il sistema operativo Qubes se il tuo modello di minaccia lo consente.
- Se si tratta di un Mac M1 basato su ARM:
  - Attualmente non è possibile per questi motivi:
    - La virtualizzazione delle immagini x86 sui Mac ARM M1 è ancora limitata al software commerciale (Parallels) che non è ancora supportato da Whonix.
    - Virtualbox non è ancora disponibile per l'architettura ARM.
    - Whonix non è ancora supportato sull'architettura ARM.
    - Tails non è ancora supportato sull'architettura ARM.
    - Il sistema operativo Qubes non è ancora supportato sull'architettura ARM.

La tua unica opzione sui Mac M1 è probabilmente quella di restare con Tor Browse per ora. Ma direi che se puoi permetterti un Mac M1 dovresti probabilmente ottenere un laptop x86 dedicato per attività più sensibili.

Abilità:

Non hai competenze informatiche, il contenuto di questa guida ti sembra una lingua aliena? Ritenere:
- Il percorso Tor Browser (il più semplice di tutti)
- Il percorso di Tails (esclusa la sezione di negazione plausibile persistente).
Hai alcune competenze informatiche e per lo più capisci questa guida finora, considera:
- Il percorso di Tails (con la sezione opzionale di negazione plausibile persistente).
- Il percorso Whonix.
Hai competenze informatiche da moderate ad elevate e hai già familiarità con alcuni dei contenuti di questa guida, considera:
- Qualsiasi percorso (il sistema operativo Qubes è preferito se te lo puoi permettere).
Sei un hacker l33T, "non c'è cucchiaio", "la torta è una bugia", usi "doas" da anni e "tutta la tua base appartiene a noi" e hai opinioni forti su systemd.
- Questa guida non è pensata per te e non ti aiuterà con HardenedBSD sul tuo laptop Libreboot rinforzato ;-)

Considerazioni contraddittorie:

Ora che sai cosa è possibile fare, dovresti anche considerare minacce e avversari prima di scegliere la strada giusta.

Minacce:

Se la tua preoccupazione principale è un esame forense dei tuoi dispositivi, dovresti considerare:
- Il percorso Tor Browser.
- Il percorso di Tails.
Se le tue preoccupazioni principali sono avversari remoti che potrebbero scoprire la tua identità online su varie piattaforme, dovresti considerare:
- Il percorso di Tails.
- Il percorso Whonix.
- Il percorso del sistema operativo Qubes (il migliore ma richiede budget/tempo e alcune competenze).
Se vuoi negabilità plausibile a livello di sistema ²⁹⁷ ' ²⁹⁸ nonostante i rischi ²⁹⁹ ' ³⁰⁰ , considera:
- Il percorso di Tails, inclusa la sezione sulla negazione plausibile persistente (vedi Deniability plausibile persistente usando Whonix all'interno di Tails ).
- The Whonix Route (questo è possibile sia su Windows che su Linux ma richiederà più competenze per essere raggiunto su Linux).
Se ti trovi in un ambiente ostile in cui l'utilizzo di Tor/VPN da solo è impossibile/pericoloso/sospetto, considera:
- Il percorso di Tails (senza effettivamente utilizzare Tor).
- Il percorso Whonix (senza utilizzare Whonix).
- Il percorso del sistema operativo Qubes (senza effettivamente utilizzare Whonix).

Avversari:

Competenze basse:
- Risorse scarse:
  - Qualsiasi motivazione: qualsiasi percorso
- Risorse medie:
  - Motivazione da bassa a media: qualsiasi percorso
  - Alta motivazione: percorsi TAILS, Whonix, Qubes OS
- Risorse elevate:
  - Bassa motivazione: qualsiasi percorso
  - Motivazione medio-alta: TAILS, Whonix, Qubes OS Routes
Abilità intermedie:
- Risorse scarse:
  - Bassa motivazione: qualsiasi percorso
  - Motivazione medio-alta: TAILS, Whonix, Qubes OS Routes
- Risorse medie:
  - Bassa motivazione: qualsiasi percorso
  - Motivazione medio-alta: TAILS, Whonix, Qubes OS Routes
- Risorse elevate:
  - Motivazione da bassa ad alta: percorsi TAILS, Whonix, Qubes OS
Altamente qualificato:
- Risorse scarse:
  - Bassa motivazione: qualsiasi percorso
  - Motivazione medio-alta: TAILS, Whonix, Qubes OS Routes
- Risorse medie:
  - Motivazione da bassa ad alta: percorsi TAILS, Whonix, Qubes OS
- Risorse elevate:
  - Motivazioni da basse ad alte: TAILS, Whonix, Qubes OS Routes (ma probabilmente fuori dall'ambito di questa guida poiché questo è probabilmente un avversario globale)

In ogni caso, dovresti leggere queste due pagine della documentazione Whonix che ti daranno un'idea approfondita delle tue scelte:

Potresti chiederti: "Come faccio a sapere se mi trovo in un ambiente online ostile in cui le attività sono attivamente monitorate e bloccate?"

Per prima cosa leggi di più a riguardo all'EFF qui: https://ssd.eff.org/en/module/understanding-and-circumventing-network-censorship ^{[Archive.org]}
Controlla tu stesso alcuni dati qui sul sito web Tor Project OONI ³⁰¹ (Open Observatory of Network Interference): https://explorer.ooni.org/
Dai un'occhiata a https://censoredplanet.org/ e vedi se hanno dati sul tuo paese.
Specifico per la Cina, guarda https://gfwatch.org/ e https://www.usenix.org/system/files/sec21-hoang.pdf ^{[Archive.org]}
Mettiti alla prova usando OONI (questo può essere rischioso in un ambiente ostile).

Passi per tutti i percorsi:

Abituarsi a utilizzare password migliori:

Vedere Appendice A2: Linee guida per password e passphrase .

Ottenere un numero di telefono anonimo:

Salta questo passaggio se non hai intenzione di creare account anonimi sulla maggior parte delle piattaforme tradizionali ma desideri solo una navigazione anonima o se le piattaforme che utilizzerai consentono la registrazione senza un numero di telefono.

Fisico Burner Telefono e SIM prepagata:

Prendi un telefono con masterizzatore:

Questo è piuttosto facile. Lascia il tuo smartphone acceso ea casa. Prendi un po' di soldi e vai in qualche mercatino delle pulci o in un piccolo negozio a caso (idealmente uno senza telecamere a circuito chiuso all'interno o all'esterno ed evitando di essere fotografato/filmato) e compra il telefono più economico che puoi trovare con contanti e senza fornire alcuna informazione personale. Deve solo essere funzionante.

Una nota sul tuo attuale telefono: il punto di lasciare lo smartphone acceso è evitare di far trapelare il fatto che non stai utilizzando il dispositivo. Se uno smartphone è spento, viene creata una traccia di metadati che può essere utilizzata per correlare l'ora in cui lo smartphone è stato spento con l'attivazione del masterizzatore. Se possibile, lascia che il tuo telefono faccia qualcosa (ad esempio, guardando YouTube con la riproduzione automatica) per oscurare ulteriormente il percorso dei metadati. Ciò non renderà impossibile correlare la tua inattività, ma potrebbe rendere più difficile se i modelli di utilizzo del tuo telefono possono sembrare convincenti mentre acquisti il tuo masterizzatore.

Consiglierei di acquistare un vecchio "telefono fisso" con una batteria rimovibile (il vecchio Nokia se le tue reti mobili consentono ancora a quelle di connettersi poiché alcuni paesi hanno gradualmente eliminato completamente 1G-2G). Questo per evitare l'invio/raccolta automatico di eventuali dati di telemetria/diagnostica sul telefono stesso. Non dovresti mai connettere quel telefono a nessun Wi-Fi.

Nota sul sito: fai attenzione ad alcuni venditori come mostrato qui https://therecord.media/malware-found-preinstalled-in-classic-push-button-phones-sold-in-russia/ ^{[Archive.org]}

Sarà inoltre fondamentale non accendere mai quel telefono bruciatore (nemmeno senza la scheda SIM) in nessuna posizione geografica che potrebbe portare a te (a casa/lavoro per esempio) e mai nella stessa posizione del tuo altro smartphone conosciuto (perché quello ha un IMEI/IMSI che ti porterà facilmente). Potrebbe sembrare un grosso onere, ma non lo è perché questi telefoni vengono utilizzati solo durante il processo di configurazione/registrazione e per la verifica di tanto in tanto.

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

È necessario verificare che il telefono funzioni correttamente prima di passare al passaggio successivo. Ma mi ripeto e dichiaro che è importante lasciare lo smartphone a casa quando si va (o spegnerlo prima di partire se è necessario tenerlo) e testare il telefono in una posizione casuale che non può essere ricondotta a te ( e ancora, non farlo davanti a una CCTV, evita le telecamere, sii consapevole di ciò che ti circonda). Non c'è nemmeno bisogno del Wi-Fi in questo posto.

Quando sei certo che il telefono funzioni, disattiva il Bluetooth, quindi spegnilo (rimuovere la batteria se possibile) e tornare a casa e riprendere le normali attività. Vai al passaggio successivo.

Ottenere una SIM prepagata anonima:

Questa è la parte più difficile di tutta la guida. È uno SPOF (Single Point of Failure). I posti in cui è ancora possibile acquistare SIM prepagate senza registrazione ID stanno diventando sempre più limitati a causa di vari regolamenti di tipo KYC ³⁰² .

Quindi ecco un elenco di luoghi in cui puoi ancora ottenerli ora: https://prepaid-data-sim-card.fandom.com/wiki/Registration_Policies_Per_Country ^{[Archive.org]}

Dovresti riuscire a trovare un posto "non troppo lontano" e semplicemente andarci fisicamente per acquistare alcune carte prepagate e buoni ricarica in contanti. Verifica che non sia stata approvata alcuna legge prima di procedere che renderebbe obbligatoria la registrazione (nel caso in cui il wiki di cui sopra non fosse aggiornato). Cerca di evitare telecamere a circuito chiuso e telecamere e non dimenticare di acquistare un voucher Ricarica con la scheda SIM (se non è un pacchetto) poiché la maggior parte delle carte prepagate richiede una ricarica prima dell'uso.

Vedi Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Verificare che gli operatori mobili che vendono le SIM prepagate accettino l'attivazione e la ricarica della SIM senza alcuna registrazione di ID di alcun tipo prima di recarsi lì. Idealmente, dovrebbero accettare l'attivazione e la ricarica della SIM dal paese in cui vivi.

Consiglierei GiffGaff nel Regno Unito in quanto sono "abbordabili", non richiedono l'identificazione per l'attivazione e la ricarica e ti permetteranno persino di cambiare il tuo numero fino a due volte dal loro sito web. Una SIM prepagata GiffGaff ti garantirà quindi tre numeri da utilizzare per le tue esigenze.

Spegnere il telefono dopo l'attivazione/ricarica e prima di tornare a casa. Non accenderlo mai più a meno che non ti trovi in un luogo che può essere utilizzato per rivelare la tua identità e idealmente lasciare il tuo telefono reale acceso ma a casa prima di andare in un luogo sicuro solo con il tuo telefono masterizzatore.

Numero di telefono in linea:

DISCLAIMER: non tentare di farlo finché non hai finito di configurare un ambiente sicuro secondo uno dei percorsi selezionati. Questo passaggio richiederà l'accesso online e dovrebbe essere eseguito solo da una rete anonima. Non farlo da nessun ambiente noto/non protetto. Salta questo finché non hai terminato uno dei percorsi.

Esistono molti servizi commerciali che offrono numeri per ricevere messaggi SMS online, ma la maggior parte di questi non ha anonimato/privacy e non può essere di alcun aiuto poiché la maggior parte delle piattaforme di social media pone un limite al numero di volte in cui un numero di telefono può essere utilizzato per la registrazione.

Ci sono alcuni forum e subreddit (come r/phoneverification/) in cui gli utenti offriranno il servizio di ricevere tali messaggi SMS per te a un piccolo costo (usando PayPal o qualche pagamento crittografico). Purtroppo questi sono pieni di truffatori e molto rischiosi in termini di anonimato. Non dovresti usarli in nessuna circostanza.

Ad oggi, non conosco alcun servizio affidabile che offra questo servizio e accetti pagamenti in contanti (per posta, ad esempio) come alcuni provider VPN. Ma alcuni servizi forniscono numeri di telefono online e accettano Monero che potrebbe essere ragionevolmente anonimo (ma meno consigliato di quello fisico nel capitolo precedente) che potresti prendere in considerazione:

Consigliato : Non è richiesta alcuna identificazione (anche e-mail):
- (con sede in Islanda, accetta Monero) https://crypton.sh ^{[Tor Mirror]} ^{[Archive.org]}
- (con sede in Ucraina, accetta Monero) https://virtualsim.net/ ^{[Archive.org]}
Richiedere l'identificazione (e-mail valida):
- (con sede negli Stati Uniti in California, accetta Monero) https://mobilesms.io ^{[Archive.org]}
- (con sede in Germania, accetta Monero) https://www.sms77.io/ ^{[Archive.org]}
- (con sede in Russia, accetta Monero) https://onlinesim.ru/ ^{[Archive.org]}

Ci sono alcune altre possibilità elencate qui https://cryptwerk.com/companies/sms/xmr/ ^{[Archive.org]} . Utilizzare a proprio rischio.

E se non avessi soldi? Bene, in tal caso, dovrai tentare la fortuna con servizi gratuiti e sperare per il meglio. Ecco alcuni esempi, da utilizzare a proprio rischio :

DISCLAIMER: non posso garantire per nessuno di questi fornitori e quindi consiglierò comunque di farlo da solo fisicamente. In questo caso, dovrai fare affidamento sull'anonimato di Monero e non dovresti utilizzare alcun servizio che richieda alcun tipo di identificazione utilizzando la tua vera identità. Si prega di leggere l'Appendice B2: Dichiarazione di non responsabilità di Monero .

Pertanto, IMHO, è semplicemente più conveniente, più economico e meno rischioso ottenere semplicemente una scheda SIM prepagata da uno dei luoghi fisici che le vendono ancora in contanti senza richiedere la registrazione di un documento d'identità. Ma almeno c'è un'alternativa se non hai altra scelta.

Ottieni una chiavetta USB:

Ottieni almeno una o due chiavi USB generiche di dimensioni decenti (almeno 16 GB ma consiglierei 32 GB).

Si prega di non acquistare o utilizzare dispositivi ingannevoli con crittografia automatica come questi: https://syscall.eu/blog/2018/03/12/aigo_part1/ ^{[Archive.org]}

Alcuni potrebbero essere molto efficienti ³⁰³ ma molti sono gadget ingannevoli che non offrono una reale protezione ³⁰⁴ .

Trova alcuni luoghi sicuri con Wi-Fi pubblico decente:

Devi trovare luoghi sicuri dove potrai svolgere le tue attività sensibili utilizzando alcuni Wi-Fi accessibili al pubblico (senza alcuna registrazione di account/ID, evita le telecamere a circuito chiuso).

Questo può essere ovunque che non sarà direttamente collegato a te (casa/lavoro) e dove puoi utilizzare il Wi-Fi per un po' senza essere disturbato. Ma anche un luogo dove puoi farlo senza essere "notato" da nessuno.

Se pensi che Starbucks sia un'idea intelligente, puoi riconsiderare:

Probabilmente hanno telecamere a circuito chiuso in tutti i loro negozi e conservano quelle registrazioni per un periodo di tempo sconosciuto.
Dovrai comprare un caffè per ottenere il codice di accesso Wi-Fi nella maggior parte dei casi. Se paghi questo caffè con un metodo elettronico, saranno in grado di collegare il tuo accesso Wi-Fi alla tua identità.

La consapevolezza della situazione è fondamentale e dovresti essere costantemente consapevole di ciò che ti circonda ed evitare i luoghi turistici come se fosse afflitto da Ebola. Vuoi evitare di apparire su qualsiasi foto/video di qualcuno mentre qualcuno sta facendo un selfie, realizzando un video su TikTok o pubblicando alcune foto di viaggio sul proprio Instagram. Se lo fai, ricorda che è molto probabile che quelle immagini finiscano online (pubblicamente o privatamente) con tutti i metadati allegati (ora/data/geolocalizzazione) e il tuo volto. Ricorda che possono e saranno indicizzati da Facebook/Google/Yandex/Apple e probabilmente da tutte e tre le agenzie di lettere.

Anche se questo non sarà ancora disponibile per i tuoi agenti di polizia locali, potrebbe esserlo nel prossimo futuro.

Idealmente, avrai bisogno di un set di 3-5 posti separati come questo per evitare di usare lo stesso posto due volte. Saranno necessari diversi viaggi nel corso delle settimane per i vari passaggi di questa guida.

Potresti anche considerare di connetterti a questi luoghi da una distanza di sicurezza per una maggiore sicurezza. Vedere l'Appendice Q: Utilizzo dell'antenna a lungo raggio per connettersi a Wi-Fi pubblici da una distanza di sicurezza.

Il percorso Tor Browser:

Questa parte della guida ti aiuterà a impostare il modo più semplice e veloce per navigare sul web in modo anonimo. Non è necessariamente il metodo migliore e ci sono metodi più avanzati di seguito con una sicurezza (molto) migliore e mitigazioni (molto) migliori contro vari avversari. Tuttavia, questo è un modo semplice per accedere alle risorse in modo anonimo e rapido senza budget, tempo, competenze e utilizzo limitato.

Allora, cos'è Tor Browser? Tor Browser ( https://www.torproject.org/ ^{[Archive.org]} ) è un browser web come Safari/Firefox/Chrome/Edge/Brave progettato pensando alla privacy e all'anonimato.

Questo browser è diverso dagli altri browser in quanto si collegherà a Internet tramite la rete Tor utilizzando Onion Routing. Per prima cosa ti consiglio di guardare questo bellissimo video introduttivo dello stesso Tor Project: https://www.youtube.com/watch?v=JWII85UlzKw ^[Invidious] . Dopodiché, dovresti probabilmente andare sulla loro pagina per leggere la loro rapida panoramica qui: https://2019.www.torproject.org/about/overview.html.en ^{[Archive.org]} . Senza entrare in troppi dettagli tecnici, Tor Browser è una soluzione "spara e dimentica" facile e semplice per navigare sul Web in modo anonimo praticamente da qualsiasi dispositivo. Probabilmente è sufficiente per la maggior parte delle persone e può essere utilizzato da qualsiasi computer o smartphone.

Ecco diversi modi per configurarlo per tutti i principali sistemi operativi.

Windows, Linux e macOS:

Si prega di consultare l'Appendice Y: Installazione e utilizzo di Tor Browser desktop .

Android:

Vai a:
- Play Store: https://play.google.com/store/apps/details?id=org.torproject.torbrowser
- F-Droid Store: non è ancora disponibile ma puoi aggiungerlo manualmente seguendo le istruzioni su https://support.torproject.org/tormobile/tormobile-7/ ^{[Archive.org]}
Installare
Avvia Tor Browser
Dopo l'avvio, fare clic sull'icona Impostazioni in alto a destra
Seleziona "Config Bridge" e leggi l'Appendice X: Utilizzo dei bridge Tor in ambienti ostili
Se necessario (dopo aver letto l'appendice sopra) , attivare l'opzione e selezionare il tipo di ponte che si desidera:
- Obfs4
- Meek-Azure
- Snowflake

Personalmente, se devi usare un Bridge (questo non è necessario per un ambiente non ostile), dovresti scegliere un Meek-Azure. Probabilmente funzioneranno anche se sei in Cina e vuoi bypassare il Great Firewall. Probabilmente è l'opzione migliore per offuscare le tue attività Tor se necessario e i server Microsoft di solito non sono bloccati.

Hai quasi finito

Come per la versione desktop, devi sapere che ci sono livelli di sicurezza in Tor Browser. Su Android, puoi accedervi seguendo questi passaggi:

Fare clic sul menu (in basso a destra)
Fare clic su Impostazioni
Vai alla sezione Privacy e sicurezza
Fare clic su Impostazioni di sicurezza

Troverai i dettagli su ciascun livello qui: https://tb-manual.torproject.org/security-settings/ ^{[Archive.org]} ma ecco un riassunto:

Standard (l'impostazione predefinita):
- Tutte le funzionalità sono abilitate (incluso JavaScript)
Più sicuro:
- JavaScript è disabilitato sui siti Web non HTTPS
- Alcuni caratteri e simboli sono disabilitati
- Qualsiasi riproduzione multimediale è "fai clic per riprodurre" (disabilitato per impostazione predefinita)
Più sicuro:
- Javascript è disabilitato ovunque
- Alcuni caratteri e simboli sono disabilitati
- Qualsiasi riproduzione multimediale è "fai clic per riprodurre" (disabilitato per impostazione predefinita)

Tuttavia, il livello più sicuro dovrebbe essere utilizzato con alcune precauzioni aggiuntive durante l'utilizzo di alcuni siti Web: vedere l' Appendice A5: Ulteriori precauzioni del browser con JavaScript abilitato .

Ora hai davvero finito e ora puoi navigare sul Web in modo anonimo dal tuo dispositivo Android.

iOS:

Sebbene il Tor Browser ufficiale non sia ancora disponibile per iOS, esiste un'alternativa chiamata Onion Browser approvata dal Tor Project ³⁰⁵ .

Vai su https://apps.apple.com/us/app/onion-browser/id519296448
Installare
Disabilita Wi-Fi e dati mobili
Avvia Browser cipolla
Dopo l'avvio, fare clic sull'icona Impostazioni in alto a destra (la disabilitazione di Wi-Fi e dati mobili in precedenza impediva a Onion Browser di connettersi automaticamente e consentire l'accesso a queste opzioni).
Seleziona "Configurazione bridge" e leggi l'Appendice X: Utilizzo dei bridge Tor in ambienti ostili
Se necessario (dopo aver letto l'appendice sopra) , attivare l'opzione e selezionare il tipo di ponte che si desidera:
- Obfs4
- Snowflake
- (Sfortunatamente, Meek-Azure non è disponibile su Onion Browser per iOS per qualche motivo)

Personalmente, se devi usare un Bridge (questo non è necessario per un ambiente non ostile), dovresti sceglierne uno Snowflake (poiché i bridge Meek-Azure non sono disponibili). Probabilmente funzioneranno anche se sei in Cina e vuoi bypassare il Great Firewall. Probabilmente è l'opzione migliore che hai su iOS.

Hai quasi finito

Come con la versione desktop, devi sapere che ci sono livelli di sicurezza in Onion Browser. Su iOS, puoi accedervi seguendo questi passaggi:

Fare clic sull'icona dello scudo (in alto a sinistra)
Avrai tre livelli tra cui scegliere
- 1. Oro: ideale se sei sospettoso, paranoico o accedi a quelle che ritieni siano risorse pericolose.
  - JavaScript è disabilitato
  - WebSocket, Geolocalizzazione e XHR sono disabilitati
  - Nessun video o audio
  - I collegamenti non possono aprire le app
  - WebRTC è bloccato
  - HTTP/HTTPS misto è bloccato
  - Annunci e pop-up sono bloccati
- 1. Argento:
  - JavaScript parzialmente consentito
  - WebSocket, Geolocalizzazione e XHR sono disabilitati
  - Nessun video o audio
  - I collegamenti non possono aprire le app
  - WebRTC è bloccato
  - HTTP/HTTPS misto è bloccato
  - Annunci e pop-up sono bloccati
- 1. Bronzo (non consigliato):
  - JavaScript consentito
  - Audio e video consentiti
  - I collegamenti non possono aprire le app
  - WebRTC non è bloccato
  - HTTP/HTTPS misto non è bloccato
  - Annunci e pop-up sono bloccati

Consiglierei il livello "Argento" per la maggior parte dei casi. Il livello Gold dovrebbe essere abilitato solo se ritieni di accedere a siti Web sospetti o pericolosi o se sei particolarmente paranoico. La modalità Gold molto probabilmente interromperà anche molti siti Web che si basano attivamente su JavaScript.

Poiché JavaScript è abilitato nella modalità Silver, vedere l' Appendice A5: Ulteriori precauzioni per il browser con JavaScript abilitato .

Ora hai davvero finito e ora puoi navigare sul Web in modo anonimo dal tuo dispositivo iOS.

Avviso importante:

Questo percorso è il più semplice ma non è progettato per resistere ad avversari altamente qualificati. È comunque utilizzabile su qualsiasi dispositivo indipendentemente dalla configurazione. Questo percorso è anche vulnerabile agli attacchi di correlazione (Vedi il tuo traffico Tor/VPN anonimizzato ) ed è cieco a tutto ciò che potrebbe essere sul tuo dispositivo (potrebbe trattarsi di malware, exploit, virus, software di amministrazione remota, controllo genitori...). Tuttavia, se il tuo modello di minaccia è piuttosto basso, è probabilmente sufficiente per la maggior parte delle persone.

Se hai tempo e vuoi imparare, ti consiglio invece di scegliere altri percorsi in quanto offrono una sicurezza molto migliore e mitigano molti più rischi, abbassando notevolmente la superficie di attacco.

Il percorso di Tails:

Questa parte della guida ti aiuterà a configurare Tails se si verifica una delle seguenti condizioni:

Non puoi permetterti un laptop dedicato
Il tuo laptop dedicato è semplicemente troppo vecchio e troppo lento
Hai competenze informatiche molto basse
Decidi comunque di andare con Tails

Tails ³⁰⁶ sta per The Amnesic Incognito Live System . È un sistema operativo live avviabile eseguito da una chiave USB progettata per non lasciare tracce e forzare tutte le connessioni attraverso la rete Tor.

Inserisci la chiave USB di Tails nel tuo laptop, esegui l'avvio da esso e hai un sistema operativo completo in esecuzione tenendo conto della privacy e dell'anonimato. Non appena spegni il computer, tutto sparirà a meno che tu non lo abbia salvato da qualche parte.

Tails è un modo incredibilmente semplice per iniziare in pochissimo tempo con ciò che hai e senza molto apprendimento. Ha un'ampia documentazione e tutorial.

ATTENZIONE: Tails non è sempre aggiornato con il loro software in bundle. E non sempre aggiornato nemmeno con gli aggiornamenti di Tor Browser. Dovresti sempre assicurarti di utilizzare l'ultima versione di Tails e dovresti prestare estrema attenzione quando utilizzi app in bundle all'interno di Tails che potrebbero essere vulnerabili agli exploit e rivelare la tua posizione ³⁰⁷ .

Presenta però alcuni inconvenienti:

Tails usa Tor e quindi utilizzerai Tor per accedere a qualsiasi risorsa su Internet. Questo da solo ti renderà sospettoso per la maggior parte delle piattaforme in cui desideri creare account anonimi (questo sarà spiegato più dettagliatamente in seguito).
Il tuo ISP (che sia il tuo o un Wi-Fi pubblico) vedrà anche che stai usando Tor e questo potrebbe renderti sospettoso di per sé.
Tails non include (nativamente) alcuni dei software che potresti voler utilizzare in seguito, il che complicherà un po' le cose se desideri eseguire alcune cose specifiche (ad esempio gli emulatori Android).
Tails utilizza Tor Browser che, sebbene sia molto sicuro, verrà rilevato anche dalla maggior parte delle piattaforme e ti ostacolerà nella creazione di identità anonime su molte piattaforme.
Tails non ti proteggerà più dalla chiave inglese da 5$ ¹¹ .
Tor di per sé potrebbe non essere sufficiente per proteggerti da un avversario con risorse sufficienti, come spiegato in precedenza.

Nota importante: se il tuo laptop è monitorato/supervisionato e sono in vigore alcune restrizioni locali, leggi l' Appendice U: Come aggirare (alcune) restrizioni locali sui computer supervisionati .

Dovresti anche leggere la documentazione, gli avvisi e le limitazioni di Tails prima di andare oltre https://tails.boum.org/doc/about/warnings/index.it.html ^{[Archive.org]}

Tenendo conto di tutto questo e del fatto che la loro documentazione è ottima, ti reindirizzerò semplicemente verso il loro tutorial ben fatto e ben mantenuto:

https://tails.boum.org/install/index.en.html ^{[Archive.org]} , scegli il tuo gusto e procedi.

Se riscontri problemi con l'accesso a Tor a causa della censura o di altri problemi, puoi provare a utilizzare Tor Bridges seguendo questo tutorial di Tails: https://tails.boum.org/doc/anonymous_internet/tor/index.en.html ^{[ Archive.org]} e trova maggiori informazioni su questi su Tor Documentation https://2019.www.torproject.org/docs/bridges ^{[Archive.org]}

Se ritieni che l'utilizzo di Tor da solo sia pericoloso/sospetto, consulta l'Appendice P: Accedere a Internet nel modo più sicuro possibile quando Tor/VPN non è un'opzione

Impostazioni Tor Browser su Tails:

Quando usi Tor Browser, dovresti fare clic sulla piccola icona dello scudo (in alto a destra, accanto alla barra degli indirizzi) e selezionare il tuo livello di sicurezza (vedi https://tb-manual.torproject.org/security-settings/ ^{[Archive.org]} per dettagli). Fondamentalmente sono tre.

Standard (l'impostazione predefinita):
- Tutte le funzionalità sono abilitate (incluso JavaScript)
Più sicuro:
- JavaScript è disabilitato sui siti Web non HTTPS
- Alcuni caratteri e simboli sono disabilitati
- Qualsiasi riproduzione multimediale è "fai clic per riprodurre" (disabilitato per impostazione predefinita)
Più sicuro:
- Javascript è disabilitato ovunque
- Alcuni caratteri e simboli sono disabilitati
- Qualsiasi riproduzione multimediale è "fai clic per riprodurre" (disabilitato per impostazione predefinita)

Consiglierei il livello "più sicuro" per la maggior parte dei casi. Il livello più sicuro dovrebbe essere abilitato solo se ritieni di accedere a siti Web sospetti o pericolosi o se sei particolarmente paranoico. La modalità più sicura molto probabilmente interromperà anche molti siti Web che si basano attivamente su JavaScript.

Infine, mentre usi Tor Browser on Tails al livello "Più sicuro", considera l' Appendice A5: Ulteriori precauzioni del browser con JavaScript abilitato

Quando hai finito e hai un Tails funzionante sul tuo laptop, vai al passaggio Creazione delle tue identità online anonime molto più avanti in questa guida o se desideri persistenza e negabilità plausibile, continua con la sezione successiva.

Negabilità plausibile persistente usando Whonix all'interno di Tails:

Prendi in considerazione la possibilità di controllare il progetto https://github.com/aforensics/HiddenVM ^{[Archive.org]} per Tails.

Questo progetto è un'idea intelligente di una soluzione VM autonoma con un clic che puoi archiviare su un disco crittografato utilizzando la negazione plausibile ²⁹⁷ (vedi The Whonix route: primi capitoli e anche per alcune spiegazioni sulla negazione plausibile, nonché il modo per eliminare in modo sicuro file/cartelle/dati specifici su HDD/SSD e Thumb drive: sezione alla fine di questa guida per una maggiore comprensione).

Ciò consentirebbe la creazione di un sistema ibrido che mescola Tails con le opzioni di virtualizzazione del percorso Whonix in questa guida.

Nota: vedere Scegli il metodo di connettività nel percorso Whonix per ulteriori spiegazioni sull'isolamento del flusso

In breve:

Potresti eseguire Tails non persistente da una chiave USB (seguendo i loro consigli)
È possibile archiviare VM persistenti all'interno di un contenitore secondario che potrebbe essere crittografato normalmente o utilizzando la funzione di negazione plausibile di Veracrypt (potrebbero essere VM Whonix, ad esempio o qualsiasi altro).
Trai vantaggio dalla funzione di isolamento del flusso Tor aggiunta (consulta Tor su VPN per maggiori informazioni sull'isolamento del flusso).

In tal caso, come delinea il progetto, non dovrebbero esserci tracce di nessuna delle tue attività sul tuo computer e il lavoro sensibile potrebbe essere svolto da VM archiviate in un contenitore nascosto che non dovrebbe essere facilmente individuabile da un avversario soft.

Questa opzione è particolarmente interessante per "viaggiare leggeri" e per mitigare gli attacchi forensi mantenendo la persistenza sul lavoro. Hai solo bisogno di 2 chiavi USB (una con Tails e una con un contenitore Veracrypt contenente Whonix persistente). La prima chiave USB sembrerà contenere solo Tails e la seconda USB sembrerà contenere solo spazzatura casuale ma avrà un volume esca che puoi mostrare per una plausibile negazione.

Potresti anche chiederti se ciò comporterà una configurazione "Tor over Tor", ma non lo farà. Le VM Whonix accederanno alla rete direttamente tramite clearnet e non tramite Tails Onion Routing.

In futuro, questo potrebbe essere supportato anche dal progetto Whonix stesso, come spiegato qui: https://www.whonix.org/wiki/Whonix-Host ^{[Archive.org]} ma non è ancora raccomandato per la fine- utenti.

Ricorda che la crittografia con o senza plausibile negazione non è un proiettile d'argento e sarà di scarsa utilità in caso di tortura. In effetti, a seconda di chi sarebbe il tuo avversario (il tuo modello di minaccia), potrebbe essere saggio non usare Veracrypt (ex TrueCrypt) come mostrato in questa dimostrazione: https://defuse.ca/truecrypt-plausible -deniability-useless-by-game-theory.htm ^{[Archive.org]}

La negazione plausibile è efficace solo contro avversari legali morbidi che non ricorreranno a mezzi fisici.

Vedi https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis ^[Wikiless] ^{[Archive.org]}

ATTENZIONE: consultare l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne e Comprensione delle sezioni HDD e SSD se si considera l'archiviazione di tali VM nascoste su un'unità SSD esterna:

Non utilizzare volumi nascosti su unità SSD poiché non è supportato/consigliato da Veracrypt ³⁰⁸ .
Utilizzare invece contenitori di file anziché volumi crittografati.
Assicurati di sapere come pulire correttamente i dati da un'unità SSD esterna.

Ecco la mia guida su come raggiungere questo obiettivo:

Prima corsa:

Scarica l'ultima versione di HiddenVM da https://github.com/aforensics/HiddenVM/releases ^{[Archive.org]}
Scarica l'ultima versione di Whonix XFCE da https://www.whonix.org/wiki/VirtualBox/XFCE ^{[Archive.org]}
Prepara una chiave/unità USB con Veracrypt
- Crea un volume nascosto sull'unità USB/chiave (raccomanderei almeno 16 GB per il volume nascosto)
- Nel volume esterno, posiziona alcuni file esca
- In Hidden Volume, posiziona il file di immagine dell'app HiddenVM
- Nel volume nascosto, posiziona il file ova Whonix XFCE
Avvia in Tails
Imposta il layout della tastiera come desideri.
Seleziona Impostazioni aggiuntive e imposta una password di amministratore (root) (necessaria per l'installazione di HiddenVM)
Inizia Tails
Connettiti a un Wi-Fi sicuro (questo è un passaggio necessario affinché il resto funzioni)
Vai in Utilità e sblocca il tuo volume Veracrypt (nascosto) (non dimenticare di selezionare la casella del volume nascosto)
Avvia l'immagine dell'app HiddenVM
Quando viene richiesto di selezionare una cartella, selezionare la radice del volume nascosto (dove si trovano i file immagine dell'app Whonix OVA e HiddenVM).
Lascia che faccia le sue cose (questo installerà Virtualbox all'interno di Tails con un clic)
Al termine, dovrebbe avviare automaticamente Virtualbox Manager.
Importa i file Whonix OVA (vedi Whonix Virtual Machines: )

Nota, se durante l'importazione si verificano problemi come "NS_ERROR_INVALID_ARG (0x80070057)", è probabilmente perché non c'è abbastanza spazio su disco sul volume nascosto per Whonix. Whonix stesso consiglia 32 GB di spazio libero, ma probabilmente non è necessario e 10 GB dovrebbero essere sufficienti per cominciare. Puoi provare a aggirare questo errore rinominando il file Whonix *.OVA in *.TAR e decomprimendolo all'interno di Tails. Al termine della decompressione, eliminare il file OVA e importare gli altri file con l'Importazione guidata. Questa volta potrebbe funzionare.

Corse successive:

Avvia in Tails
Connettiti al Wi-Fi
Sblocca il tuo volume nascosto
Avvia l'app HiddenVM
Questo dovrebbe aprire automaticamente VirtualBox Manager e mostrare le tue VM precedenti dalla prima esecuzione

Passi per tutti gli altri percorsi:

Ottieni un laptop dedicato per le tue attività sensibili:

Idealmente, dovresti procurarti un laptop dedicato che non ti sarà legato in alcun modo (idealmente pagato in contanti in modo anonimo e usando le stesse precauzioni menzionate in precedenza per il telefono e la scheda SIM). È consigliato ma non obbligatorio perché questa guida ti aiuterà a rafforzare il più possibile il tuo laptop per prevenire perdite di dati in vari modi. Ci saranno diverse linee di difesa tra le tue identità online e te stesso che dovrebbero impedire alla maggior parte degli avversari di renderti anonimo oltre agli attori statali/globali con risorse considerevoli.

Questo laptop dovrebbe idealmente essere un laptop pulito appena installato (con Windows, Linux o macOS), pulito dalle normali attività quotidiane e offline (non ancora connesso alla rete). Nel caso di un laptop Windows, e se lo hai utilizzato prima di un'installazione così pulita, non dovrebbe nemmeno essere attivato (reinstallato senza un codice Product Key). In particolare, nel caso dei MacBook, non avrebbe mai dovuto essere legato alla tua identità prima in alcun modo. Quindi, compra l'usato in contanti da uno sconosciuto sconosciuto che non conosce la tua identità

Questo per mitigare alcuni problemi futuri in caso di perdite online (inclusa la telemetria dal tuo sistema operativo o app) che potrebbero compromettere eventuali identificatori univoci del laptop durante l'utilizzo (indirizzo MAC, indirizzo Bluetooth e codice prodotto...). Ma anche per evitare di essere rintracciati se è necessario smaltire il laptop.

Se hai già utilizzato questo laptop per scopi diversi (come le tue attività quotidiane), tutti i suoi identificatori hardware sono probabilmente noti e registrati da Microsoft o Apple. Se in seguito uno di questi identificatori viene compromesso (da malware, telemetria, exploit, errori umani...) potrebbero ricondurti a te.

Il laptop dovrebbe avere almeno 250 GB di spazio su disco , almeno 6 GB (idealmente 8 GB o 16 GB) di RAM e dovrebbe essere in grado di eseguire un paio di macchine virtuali contemporaneamente. Dovrebbe avere una batteria funzionante che duri alcune ore.

Questo laptop potrebbe avere un HDD (7200 rpm) o un'unità SSD/NVMe. Entrambe le possibilità hanno i loro vantaggi e problemi che verranno descritti in dettaglio in seguito.

Tutti i futuri passaggi online eseguiti con questo laptop dovrebbero idealmente essere eseguiti da una rete sicura come il Wi-Fi pubblico in un luogo sicuro (vedi Trova alcuni luoghi sicuri con Wi-Fi pubblico decente ). Ma prima dovranno essere eseguiti diversi passaggi offline.

Alcuni consigli per il laptop:

Consiglio vivamente di acquistare un laptop "business grade" (che significa non laptop consumer/gaming-grade), se possibile. Ad esempio, alcuni ThinkPad di Lenovo (il mio preferito).

Questo perché quei laptop aziendali di solito offrono funzionalità di sicurezza migliori e più personalizzabili (soprattutto nelle impostazioni BIOS/UEFI) con un supporto più lungo rispetto alla maggior parte dei laptop consumer (Asus, MSI, Gigabyte, Acer...). Le caratteristiche interessanti da cercare sono IMHO:

Migliori impostazioni personalizzate di Secure Boot (dove puoi gestire selettivamente tutte le chiavi e non solo quelle Standard)
Password HDD/SSD oltre alle sole password BIOS/UEFI.
I laptop AMD potrebbero essere più interessanti in quanto alcuni offrono la possibilità di disabilitare AMD PSP (l'equivalente AMD di Intel IME) dalle impostazioni BIOS/UEFI per impostazione predefinita. E, poiché AFAIK, AMD PSP è stata verificata e, contrariamente a IME, non è stata trovata alcuna funzionalità "malvagia" ³⁰⁹ . Tuttavia, se stai optando per Qubes OS Route, considera le CPU Intel poiché Qubes OS non supporta AMD con il loro sistema anti-evil-maid ³¹⁰ .
Strumenti di cancellazione sicura dal BIOS (particolarmente utile per le unità SSD/NVMe, vedere l' Appendice M: Opzioni BIOS/UEFI per cancellare i dischi di varie marche ).
Migliore controllo sulla disabilitazione/abilitazione di determinate periferiche (porte USB, Wi-Fi, Bluetooth, Fotocamera, Microfono...).
Migliori funzionalità di sicurezza con la virtualizzazione.
Protezioni antimanomissione native.
Supporto più lungo con aggiornamenti BIOS/UEFI (e successivi aggiornamenti di sicurezza BIOS/UEFI).
Alcuni sono supportati da Libreboot

Impostazioni BIOS/UEFI/Firmware del tuo laptop:

PC:

È possibile accedere a queste impostazioni tramite il menu di avvio del laptop. Ecco un buon tutorial di HP che spiega tutti i modi per accedere al BIOS su vari computer: https://store.hp.com/us/en/tech-takes/how-to-enter-bios-setup-windows-pcs ^{[Archivio.org]}

Di solito come accedervi è premendo un tasto specifico (F1, F2 o Canc) all'avvio (prima del tuo sistema operativo).

Una volta che sei lì, dovrai applicare alcune impostazioni consigliate:

Disattiva completamente il Bluetooth se puoi.
Disabilita la biometria (scanner di impronte digitali), se ne hai, se puoi. Tuttavia, è possibile aggiungere un controllo biometrico aggiuntivo solo per l'avvio (pre-avvio) ma non per l'accesso alle impostazioni BIOS/UEFI.
Disattiva la webcam e il microfono se puoi.
Abilita la password BIOS/UEFI e usa una passphrase lunga invece di una password (se possibile) e assicurati che questa password sia richiesta per:
- Accesso alle impostazioni BIOS/UEFI stesse
- Modifica dell'ordine di avvio
- Avvio/Accensione del dispositivo
Abilita la password HDD/SSD se la funzione è disponibile. Questa funzione aggiungerà un'altra password sull'HDD/SSD stesso (non nel firmware BIOS/UEFI) che impedirà l'utilizzo di questo HDD/SSD in un altro computer senza la password. Tieni presente che questa funzione è specifica anche per alcuni produttori e potrebbe richiedere un software specifico per sbloccare questo disco da un computer completamente diverso.
Impedire l'accesso alle opzioni di avvio (l'ordine di avvio) senza fornire la password BIOS/UEFI, se possibile.
Disabilita USB/HDMI o qualsiasi altra porta (Ethernet, Firewire, scheda SD...) se puoi.
Disabilita Intel ME se puoi (le probabilità sono molto alte che non puoi).
Disabilita AMD PSP se puoi (AMD è equivalente a IME, vedi La tua CPU )
Disabilita Secure Boot se intendi utilizzare Qubes OS in quanto non lo supportano immediatamente ³¹¹ . Tienilo acceso se intendi usare Linux/Windows.
Controlla se il BIOS del tuo laptop ha un'opzione di cancellazione sicura per il tuo HDD/SSD che potrebbe essere conveniente in caso di necessità.

Abilitare solo quelli in base alla "necessità dell'uso" e disabilitarli nuovamente dopo l'uso. Questo può aiutare a mitigare alcuni attacchi nel caso in cui il tuo laptop venga sequestrato mentre è bloccato ma ancora acceso OPPURE se dovessi spegnerlo piuttosto rapidamente e qualcuno ne prendesse possesso (questo argomento verrà spiegato più avanti in questa guida).

Informazioni sull'avvio protetto:

Allora, cos'è Secure Boot ³¹² ? In breve, è una funzionalità di sicurezza UEFI progettata per impedire al computer di avviare un sistema operativo da cui il bootloader non è stato firmato da chiavi specifiche memorizzate nel firmware UEFI del laptop.

Quando il sistema operativo (o Bootloader ³¹³ ) lo supporta, puoi memorizzare le chiavi del tuo bootloader nel tuo firmware UEFI e questo impedirà l'avvio di qualsiasi sistema operativo non autorizzato (come un sistema operativo USB live o qualcosa di simile).

Le impostazioni di avvio protetto sono protette dalla password impostata per accedere alle impostazioni BIOS/UEFI. Se disponi di quella password, puoi disabilitare l'avvio protetto e consentire ai sistemi operativi non firmati di avviarsi sul tuo sistema. Questo può aiutare a mitigare alcuni attacchi di Evil-Maid (spiegati più avanti in questa guida).

Nella maggior parte dei casi, Secure Boot è disabilitato per impostazione predefinita o è abilitato ma in modalità "setup" che consentirà l'avvio di qualsiasi sistema. Affinché Secure Boot funzioni, il tuo sistema operativo dovrà supportarlo, quindi firmare il suo bootloader e inviare quelle chiavi di firma al tuo firmware UEFI. Dopodiché, dovrai accedere alle impostazioni del BIOS/UEFI e salvare quelle chiavi premute dal tuo sistema operativo e modificare l'avvio protetto dalla configurazione alla modalità utente (o in alcuni casi alla modalità personalizzata).

Dopo aver eseguito questo passaggio, solo i sistemi operativi da cui il firmware UEFI può verificare l'integrità del bootloader potranno avviarsi.

La maggior parte dei laptop avrà alcune chiavi predefinite già memorizzate nelle impostazioni di avvio protetto. Di solito, quelli provengono dal produttore stesso o da alcune aziende come Microsoft. Quindi, questo significa che per impostazione predefinita sarà sempre possibile avviare alcuni dischi USB anche con l'avvio sicuro. Questi includono Windows, Fedora, Ubuntu, Mint, Debian, CentOS, OpenSUSE, Tails, Clonezilla e molti altri. L'avvio protetto, tuttavia, non è affatto supportato dal sistema operativo Qubes a questo punto.

In alcuni laptop, puoi gestire quelle chiavi e rimuovere quelle che non desideri con una "modalità personalizzata" per autorizzare solo il tuo bootloader che potresti firmare tu stesso se lo desideri.

Quindi, da cosa ti protegge Secure Boot? Proteggerà il tuo laptop dall'avvio di bootloader non firmati (dal provider del sistema operativo) con ad esempio malware iniettato.

Da cosa Secure Boot non ti protegge?

Secure Boot non sta crittografando il tuo disco e un avversario può comunque semplicemente rimuovere il disco dal tuo laptop ed estrarre i dati da esso utilizzando una macchina diversa. Secure Boot è quindi inutile senza la crittografia completa del disco.
Secure Boot non ti protegge da un bootloader firmato che verrebbe compromesso e firmato dal produttore stesso (Microsoft ad esempio nel caso di Windows). La maggior parte delle distribuzioni Linux tradizionali sono firmate in questi giorni e si avviano con Secure Boot abilitato.
Secure Boot può avere difetti ed exploit come qualsiasi altro sistema. Se stai utilizzando un vecchio laptop che non beneficia dei nuovi aggiornamenti BIOS/UEFI, questi possono essere lasciati non corretti.

Inoltre, potrebbero essere possibili diversi attacchi contro Secure Boot, come spiegato (approfondito) in questi video tecnici:

Defcon 22, https://www.youtube.com/watch?v=QDSlWa9xQuA ^[Invidioso]
BlackHat 2016, https://www.youtube.com/watch?v=0fZdL3ufVOI ^[Invidioso]

Quindi, può essere utile come misura aggiuntiva contro alcuni avversari ma non tutti. Secure Boot di per sé non sta crittografando il tuo disco rigido. È un livello aggiunto ma questo è tutto.

Ti consiglio comunque di tenerlo acceso se puoi.

Mac:

Prenditi un momento per impostare una password del firmware secondo il tutorial qui: https://support.apple.com/en-au/HT204455 ^{[Archive.org]}

Dovresti anche abilitare la protezione per la reimpostazione della password del firmware (disponibile da Catalina) secondo la documentazione qui: https://support.apple.com/en-gb/guide/security/sec28382c9ca/web ^{[Archive.org]}

Questa funzione mitigherà la possibilità per alcuni avversari di utilizzare hack hardware per disabilitare/bypassare la password del firmware. Tieni presente che ciò impedirà anche alla stessa Apple di accedere al firmware in caso di riparazione.

Proteggi fisicamente il tuo laptop:

Ad un certo punto, lascerai inevitabilmente questo laptop da solo da qualche parte. Non dormirai con esso e lo porterai ovunque ogni singolo giorno. Dovresti rendere il più difficile possibile per chiunque manometterlo senza che tu te ne accorga. Questo è per lo più utile contro alcuni avversari limitati che non useranno una chiave inglese da 5 $ contro di te ¹¹ .

È importante sapere che è banalmente facile per alcuni specialisti installare un key logger nel tuo laptop, o semplicemente fare una copia clone del tuo disco rigido che potrebbe in seguito consentire loro di rilevare la presenza di dati crittografati al suo interno utilizzando tecniche forensi (ne parleremo più avanti).

Ecco un buon metodo economico per rendere il tuo laptop a prova di manomissione usando lo smalto per unghie (con glitter) https://mullvad.net/en/help/how-tamper-protect-laptop/ ^{[Archive.org]} ³¹⁴ (con immagini) .

Sebbene questo sia un buon metodo economico, potrebbe anche sollevare sospetti in quanto è abbastanza "percettibile" e potrebbe semplicemente rivelare che "hai qualcosa da nascondere". Quindi, ci sono modi più sottili per ottenere lo stesso risultato. Ad esempio, potresti anche fare una fotografia macro ravvicinata delle viti posteriori del tuo laptop o semplicemente usare una piccola quantità di cera di candela all'interno di una delle viti che potrebbe sembrare semplicemente sporco. Si potrebbe quindi verificare la presenza di manomissioni confrontando le fotografie delle viti con quelle nuove. Il loro orientamento potrebbe essere leggermente cambiato se il tuo avversario non è stato abbastanza attento (stringendoli esattamente come lo erano prima). Oppure la cera all'interno della parte inferiore della testa di una vite potrebbe essere stata danneggiata rispetto a prima.

Le stesse tecniche possono essere utilizzate con le porte USB in cui potresti semplicemente inserire una piccola quantità di cera di candela all'interno della spina che verrebbe danneggiata inserendo una chiave USB al suo interno.

In ambienti più rischiosi, controlla che il tuo laptop non sia manomesso prima di usarlo regolarmente.

Il percorso Whonix:

Scegli il tuo sistema operativo host (il sistema operativo installato sul tuo laptop):

Questo percorso farà ampio uso di macchine virtuali ³¹⁵ , richiederanno un sistema operativo host per eseguire il software di virtualizzazione. Hai tre scelte consigliate in questa parte della guida:

La tua distribuzione Linux preferita (escluso Qubes OS)
Windows 10 (preferibilmente Home edition per l'assenza di Bitlocker)
- Windows 11 non è ancora supportato da questa guida
macOS (Catalina o superiore fino a Monterey)

Inoltre, è molto probabile che il tuo Mac sia o sia stato collegato a un account Apple (al momento dell'acquisto o dopo l'accesso) e quindi i suoi identificatori hardware univoci potrebbero ricondurti a te in caso di perdite di identificatori hardware.

Linux non è necessariamente la scelta migliore per l'anonimato a seconda del modello di minaccia. Questo perché l'utilizzo di Windows ci consentirà di utilizzare comodamente Plausible Deniability ²⁹⁷ (aka Deniable Encryption ³¹⁶ ) facilmente a livello di sistema operativo. Windows è anche sfortunatamente allo stesso tempo un incubo per la privacy ³¹⁷ , ma è l'unica opzione facile da configurare per utilizzare la negabilità plausibile a livello di sistema operativo. Anche la telemetria di Windows e il blocco della telemetria sono ampiamente documentati, il che dovrebbe mitigare molti problemi.

Allora, cos'è la negazione plausibile? Puoi collaborare con un avversario che richiede l'accesso al tuo dispositivo/dati senza rivelare il tuo vero segreto. Tutto questo utilizzando Deniable Encryption ³⁰⁰ .

Un avversario legale morbido potrebbe richiedere la password del tuo laptop crittografato. In un primo momento, potresti rifiutarti di fornire qualsiasi password (usando il tuo "diritto di rimanere in silenzio", "diritto di non incriminarti") ma alcuni paesi stanno implementando le leggi ³¹⁸ ' ³¹⁹ per esentarla da tali diritti (perché terroristi e "pensano dei bambini”). In tal caso, potresti dover rivelare la password o rischiare il carcere per oltraggio alla corte. È qui che entrerà in gioco la negazione plausibile.

Potresti quindi rivelare una password, ma quella password darà accesso solo a "dati plausibili" (un sistema operativo esca). La scientifica sarà ben consapevole del fatto che è possibile che tu abbia dati nascosti ma non dovrebbe essere in grado di dimostrarlo (se lo fai bene) . Avrai collaborato e gli investigatori avranno accesso a qualcosa ma non a ciò che in realtà vuoi nascondere. Dal momento che l'onere della prova dovrebbe gravare sulla loro parte, non avranno altra scelta che crederti a meno che non abbiano la prova che hai dei dati nascosti.

Questa funzione può essere utilizzata a livello di sistema operativo (un sistema operativo plausibile e un sistema operativo nascosto) o a livello di file in cui avrai un contenitore di file crittografato (simile a un file zip) in cui verranno mostrati file diversi a seconda della password di crittografia che hai utilizzo.

Ciò significa anche che puoi configurare la tua configurazione avanzata di "negabilità plausibile" utilizzando qualsiasi sistema operativo host archiviando, ad esempio, macchine virtuali su un contenitore del volume nascosto Veracrypt (fai attenzione alle tracce nel sistema operativo host che dovrebbero essere ripulite se l'host Il sistema operativo è persistente, vedere la sezione Alcune misure aggiuntive contro la scientifica più avanti). Esiste un progetto per raggiungere questo obiettivo all'interno di Tails ( https://github.com/aforensics/HiddenVM ^{[Archive.org]} ) che renderebbe il tuo sistema operativo host non persistente e utilizzerebbe una negabilità plausibile all'interno di Tails.

Nel caso di Windows, la negazione plausibile è anche il motivo per cui dovresti idealmente avere Windows 10 Home (e non Pro). Questo perché Windows 10 Pro offre nativamente un sistema di crittografia dell'intero disco (Bitlocker ³²⁰ ) in cui Windows 10 Home non offre alcuna crittografia dell'intero disco. In seguito utilizzeremo software open source di terze parti per la crittografia che consentirà la crittografia dell'intero disco su Windows 10 Home. Questo ti darà una buona scusa (plausibile) per usare questo software. Durante l'utilizzo di questo software su Windows 10 Pro sarebbe sospetto.

Nota su Linux: quindi, che dire di Linux e della plausibile negazione? Sì, è possibile ottenere una negazione plausibile anche con Linux. Maggiori informazioni nella sezione Sistema operativo host Linux più avanti.

Sfortunatamente, la crittografia non è magica e ci sono alcuni rischi coinvolti:

Minacce con crittografia:

La chiave da 5$:

La negazione plausibile è efficace solo contro avversari legali e morbidi che non ricorreranno a mezzi fisici. Evita, se possibile, l'uso di software plausibile con capacità di negazione (come Veracrypt) se il tuo modello di minaccia include avversari duri. Quindi, gli utenti Windows dovrebbero in tal caso installare Windows Pro come sistema operativo host e utilizzare invece Bitlocker.

Vedi https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis ^[Wikiless] ^{[Archive.org]}

Attacco della cameriera malvagia:

La cameriera malvagia attacca ³²¹vengono condotti quando qualcuno manomette il tuo laptop mentre sei via. Per installare per clonare il tuo disco rigido, installa malware o un key logger. Se riescono a clonare il tuo disco rigido, possono confrontare un'immagine del tuo disco rigido nel momento in cui l'hanno presa mentre eri via con il disco rigido quando te lo sequestrano. Se hai utilizzato di nuovo il laptop nel frattempo, gli esaminatori forensi potrebbero essere in grado di dimostrare l'esistenza dei dati nascosti osservando le variazioni tra le due immagini in quello che dovrebbe essere uno spazio vuoto/inutilizzato. Ciò potrebbe portare a prove convincenti dell'esistenza di dati nascosti. Se installano un key logger o un malware all'interno del tuo laptop (software o hardware), potranno semplicemente ottenere la password da te per un uso successivo quando la sequestreranno. Tali attacchi possono essere fatti a casa tua, nel tuo hotel, a un valico di frontiera,

Puoi mitigare questo attacco procedendo come segue (come consigliato in precedenza):

Avere una protezione antimanomissione di base (come spiegato in precedenza) per impedire l'accesso fisico all'interno del laptop a tua insaputa. Ciò impedirà loro di clonare i tuoi dischi e installare un key logger fisico a tua insaputa.
Disabilita tutte le porte USB (come spiegato in precedenza) all'interno di un BIOS/UEFI protetto da password. Ancora una volta, non saranno in grado di accenderli (senza accedere fisicamente alla scheda madre per ripristinare il BIOS) per avviare un dispositivo USB che potrebbe clonare il disco rigido o installare un malware basato su software che potrebbe fungere da key logger.
Configura password BIOS/UEFI/firmware per impedire qualsiasi avvio non autorizzato di un dispositivo non autorizzato.
Alcuni sistemi operativi e software di crittografia hanno una protezione anti-EvilMaid che può essere abilitata. Questo è il caso di Windows/Veracrypt e QubeOS.

Attacco a stivale freddo:

Gli attacchi Cold Boot ³²² sono più complicati dell'Evil Maid Attack, ma possono far parte di un attacco Evil Maid poiché richiede che un avversario entri in possesso del tuo laptop mentre stai utilizzando attivamente il tuo dispositivo o poco dopo.

L'idea è piuttosto semplice, come mostrato in questo video ³²³ , un avversario potrebbe teoricamente avviare rapidamente il tuo dispositivo su una chiave USB speciale che copierebbe il contenuto della RAM (la memoria) del dispositivo dopo averlo spento. Se le porte USB sono disabilitate o se sentono di aver bisogno di più tempo, potrebbero aprirla e "raffreddare" la memoria usando uno spray o altre sostanze chimiche (azoto liquido per esempio) impedendo alla memoria di decadere. Potrebbero quindi essere in grado di copiarne il contenuto per l'analisi. Questo dump della memoria potrebbe contenere la chiave per decrittografare il tuo dispositivo. In seguito applicheremo alcuni principi per mitigarli.

Nel caso di Plausible Deniability, ci sono stati alcuni studi forensi ³²⁴ per provare tecnicamente la presenza dei dati nascosti con un semplice esame forense (senza un Cold Boot/Evil Maid Attack) ma questi sono stati contestati da altri studi ³²⁵ e dal manutentore di Veracrypt ³²⁶ quindi non mi preoccuperei ancora troppo di quelli.

Le stesse misure utilizzate per mitigare gli attacchi di Evil Maid dovrebbero essere in atto per gli attacchi Cold Boot con alcune aggiunte:

Se il tuo sistema operativo o software di crittografia lo consente, dovresti considerare di crittografare anche le chiavi all'interno della RAM (questo è possibile con Windows/Veracrypt e verrà spiegato più avanti). Vedi ancora https://sourceforge.net/p/veracrypt/discussion/technical/thread/3961542951/ ^{[Archive.org]}
Abilita l'opzione per cancellare le chiavi dalla memoria se un dispositivo è inserito in Veracrypt.
È necessario limitare l'uso della modalità Stand-by di sospensione e utilizzare invece Spegnimento o Sospensione per impedire che le chiavi di crittografia rimangano nella RAM quando il computer va in modalità di sospensione. Questo perché il sonno manterrà il potere nella tua memoria per riprendere la tua attività più velocemente. Solo l'ibernazione e lo spegnimento cancelleranno effettivamente la chiave dalla memoria ³²⁷ .

Vedi anche https://www.whonix.org/wiki/Cold_Boot_Attack_Defense ^{[Archive.org]} e https://www.whonix.org/wiki/Protection_Against_Physical_Attacks ^{[Archive.org]}

Ecco anche alcuni strumenti interessanti da considerare per gli utenti Linux per difendersi da questi:

https://github.com/0xPoly/Centry ^{[Archive.org]} (purtroppo non mantenuto sembra quindi ho fatto un fork e una richiesta pull di aggiornamento per Veracrypt https://github.com/AnonymousPlanet/Centry ^{[Archive.org]} che dovrebbe ancora lavoro)
https://github.com/hephaest0s/usbkill ^{[Archive.org]} (purtroppo sembra anche non mantenuto)
https://github.com/Lvl4Sword/Killer ^{[Archive.org]}
https://askubuntu.com/questions/153245/how-to-wipe-ram-on-shutdown-prevent-cold-boot-attacks ^{[Archive.org]}
(solo sistema operativo Qubes, CPU Intel) https://github.com/QubesOS/qubes-antievilmaid ^{[Archive.org]}

Informazioni su Sonno, Ibernazione e Spegnimento:

Se desideri una maggiore sicurezza, dovresti spegnere completamente il laptop ogni volta che lo lasci incustodito o chiudi il coperchio. Questo dovrebbe pulire e/o rilasciare la RAM e fornire mitigazioni contro gli attacchi di avvio a freddo. Tuttavia, questo può essere un po' scomodo in quanto dovrai riavviare completamente e digitare un sacco di password in varie app. Riavvia varie macchine virtuali e altre app. Quindi, invece, potresti anche usare l'ibernazione (non supportata su Qubes OS). Poiché l'intero disco è crittografato, l'ibernazione di per sé non dovrebbe rappresentare un grande rischio per la sicurezza, ma spegnerà comunque il laptop e cancellerà la memoria consentendoti di riprendere comodamente il tuo lavoro in seguito.Quello che non dovresti mai fare è usare la funzione di sospensione standard che manterrà il tuo computer acceso e la memoria alimentata. Questo è un vettore di attacco contro gli attacchi della cameriera malvagia e degli stivali a freddo discussi in precedenza. Questo perché la tua memoria accesa contiene le chiavi di crittografia sul tuo disco (crittografato o meno) e potrebbe quindi essere accessibile da un avversario esperto.

Questa guida fornirà indicazioni in seguito su come abilitare l'ibernazione su vari sistemi operativi host (tranne Qubes OS) se non si desidera arrestare ogni volta.

Perdite di dati locali (tracce) ed esame forense:

Come accennato brevemente in precedenza, si tratta di perdite di dati e tracce dal tuo sistema operativo e dalle app quando esegui qualsiasi attività sul tuo computer. Questi si applicano principalmente ai contenitori di file crittografati (con o senza plausibile negazione) rispetto alla crittografia a livello di sistema operativo. Tali perdite sono meno "importanti" se l'intero sistema operativo è crittografato (se non sei obbligato a rivelare la password).

Diciamo ad esempio che hai una chiave USB crittografata Veracrypt con la negazione plausibile abilitata. A seconda della password utilizzata durante il montaggio della chiave USB, si aprirà una cartella esca o la cartella sensibile. All'interno di queste cartelle, avrai documenti/dati esca all'interno della cartella esca e documenti/dati sensibili all'interno della cartella sensibile.

In tutti i casi, aprirai (molto probabilmente) queste cartelle con Esplora risorse, macOS Finder o qualsiasi altra utilità e farai tutto ciò che hai pianificato di fare. Forse modificherai un documento all'interno della cartella sensibile. Forse cercherai un documento all'interno della cartella. Forse ne cancellerai uno o guarderai un video sensibile usando VLC.

Bene, tutte quelle app e il tuo sistema operativo potrebbero conservare registri e tracce di tale utilizzo. Ciò potrebbe includere il percorso completo della cartella/file/unità, l'ora in cui è stato effettuato l'accesso, le cache temporanee di tali file, gli elenchi "recenti" in ciascuna app, il sistema di indicizzazione dei file che potrebbe indicizzare l'unità e persino le miniature che potrebbero essere generato

Ecco alcuni esempi di tali perdite:

Finestre:

ShellBag di Windows che sono archiviati all'interno del registro di Windows che memorizzano silenziosamente varie cronologie di volumi/file/cartelle a cui si accede ³²⁸ .
L'indicizzazione di Windows tiene traccia dei file presenti nella cartella utente per impostazione predefinita ³²⁹ .
Elenchi recenti (aka Jump List) in Windows e in varie app che tengono traccia dei documenti a cui si accede di recente ³³⁰ .
Molte altre tracce in vari registri, si prega di consultare questo comodo poster interessante per ulteriori informazioni: https://www.sans.org/security-resources/posters/windows-forensic-analysis/170/download ^{[Archive.org]}

Mac OS:

Gatekeeper ³³¹ e XProtect tengono traccia della cronologia dei download in un database locale e degli attributi dei file.
Indicizzazione dei riflettori
Elenchi recenti in varie app che tengono traccia dei documenti a cui si accede di recente.
Cartelle temporanee che mantengono varie tracce dell'utilizzo dell'app e dell'utilizzo dei documenti.
Registri di macOS
…

Linux:

Indicizzazione del tracker
Storia di Bash
Registri USB
Elenchi recenti in varie app che tengono traccia dei documenti a cui si accede di recente.
Registri Linux
…

La scientifica potrebbe utilizzare tutte quelle fughe di notizie (vedi Perdite di dati locali e analisi forense ) per dimostrare l'esistenza di dati nascosti e sconfiggere i tuoi tentativi di utilizzare la negazione plausibile e per scoprire le tue varie attività sensibili.

Sarà quindi importante applicare vari passaggi per impedire alla scientifica di farlo prevenendo e pulendo queste perdite/tracce e, soprattutto, utilizzando la crittografia, la virtualizzazione e la compartimentazione dell'intero disco.

La scientifica non può estrarre fughe di dati locali da un sistema operativo a cui non possono accedere. E sarai in grado di pulire la maggior parte di quelle tracce cancellando l'unità o cancellando in modo sicuro le tue macchine virtuali (che non è così facile come pensi sulle unità SSD).

Alcune tecniche di pulizia saranno comunque trattate nella parte "Cover your Tracks" di questa guida alla fine.

Perdite di dati online:

Sia che tu stia utilizzando una crittografia semplice o una crittografia di negazione plausibile. Anche se hai coperto le tue tracce sul computer stesso. C'è ancora il rischio di fughe di dati online che potrebbero rivelare la presenza di dati nascosti.

La telemetria è il tuo nemico . Come spiegato in precedenza in questa guida, la telemetria dei Sistemi Operativi ma anche delle App può inviare online quantità sbalorditive di informazioni private.

Nel caso di Windows, questi dati potrebbero, ad esempio, essere utilizzati per dimostrare l'esistenza di un sistema operativo/volume nascosto su un computer e sarebbero prontamente disponibili presso Microsoft. Pertanto, è di fondamentale importanza disabilitare e bloccare la telemetria con tutti i mezzi a tua disposizione. Non importa quale sistema operativo stai utilizzando.

Conclusione:

Non dovresti mai condurre attività sensibili da un sistema non crittografato. E anche se è crittografato, non dovresti mai condurre attività sensibili dal sistema operativo host stesso. Dovresti invece usare una macchina virtuale per poter isolare e compartimentare in modo efficiente le tue attività e prevenire perdite di dati locali.

Se hai poca o nessuna conoscenza di Linux o se vuoi utilizzare la negabilità plausibile a livello di sistema operativo, ti consiglio di utilizzare Windows (o tornare al percorso di Tails) per comodità. Questa guida ti aiuterà a indurirlo il più possibile per prevenire perdite. Questa guida ti aiuterà anche a rafforzare il più possibile macOS e Linux per prevenire perdite simili.

Se non sei interessato alla negazione plausibile a livello di sistema operativo e vuoi imparare a usare Linux, ti consiglio vivamente di utilizzare Linux o il percorso del sistema operativo Qubes se il tuo hardware lo consente.

In tutti i casi, il sistema operativo host non dovrebbe mai essere utilizzato per condurre direttamente attività sensibili. Il sistema operativo host verrà utilizzato solo per la connessione a un punto di accesso Wi-Fi pubblico. Rimarrà inutilizzato mentre svolgi attività sensibili e idealmente non dovrebbe essere utilizzato per nessuna delle tue attività quotidiane.

Considera anche la lettura di https://www.whonix.org/wiki/Full_Disk_Encryption#Encrypting_Whonix_VMs ^{[Archive.org]}

Sistema operativo host Linux:

Come accennato in precedenza, non consiglio di utilizzare il tuo laptop quotidiano per attività sensibili. O almeno non consiglio di utilizzare il tuo sistema operativo sul posto per questi. Ciò potrebbe comportare perdite di dati indesiderate che potrebbero essere utilizzate per renderti anonimo. Se hai un laptop dedicato per questo, dovresti reinstallare un nuovo sistema operativo pulito. Se non vuoi cancellare il tuo laptop e ricominciare da capo, dovresti considerare il percorso di Tails o procedere a tuo rischio.

Ti consiglio inoltre di eseguire l'installazione iniziale completamente offline per evitare perdite di dati.

Dovresti sempre ricordare che, nonostante la reputazione, le distribuzioni mainstream Linux (Ubuntu per esempio) non sono necessariamente migliori in termini di sicurezza rispetto ad altri sistemi come macOS e Windows. Vedi questo riferimento per capire perché https://madaidans-insecurities.github.io/linux.html ^{[Archive.org]} .

Crittografia del disco completo:

Ci sono due percorsi qui con le distribuzioni basate su Ubuntu o Debian:

Usando LUKS:
- Senza plausibile negazione:
  - (Consigliato e facile) Crittografa come parte del processo di installazione: https://ubuntu.com/tutorials/install-ubuntu-desktop ^{[Archive.org]}
    - Questo processo richiede la cancellazione completa dell'intera unità (installazione pulita).
    - Basta controllare "Crittografa la nuova installazione di Ubuntu per sicurezza"
  - (Noioso ma possibile) Crittografa dopo l'installazione: https://help.ubuntu.com/community/ManualFullSystemEncryption ^{[Archive.org]}
- Con plausibile negazione: vedere la sezione successiva The Detached Headers Way
Usando Veracrypt:
- Con o senza smentita plausibile: vedere la sezione successiva The Veracrypt Way

Per altre distribuzioni, dovrai documentarti, ma probabilmente sarà simile. La crittografia durante l'installazione è molto più semplice nel contesto di questa guida.

Nota sulla negazione plausibile su Linux:

Esistono diversi modi per ottenere una negazione plausibile su Linux ³³² ed è possibile ottenerla. Ecco alcuni dettagli in più su alcuni dei modi che consiglierei. Tutte queste opzioni richiedono un livello superiore di abilità nell'uso di Linux.

Il modo delle intestazioni staccate:

Sebbene non sia ancora supportato da questa guida, è possibile ottenere una forma di negazione su Linux utilizzando LUKS utilizzando intestazioni LUKS separate. Per ora, ti reindirizzerò verso questa pagina per ulteriori informazioni: https://wiki.archlinux.org/title/Dm-crypt/Specialties#Encrypted_system_using_a_dependent_LUKS_header ^{[Archive.org]}

Il modo di Veracrypt:

È tecnicamente possibile non solo utilizzare Veracrypt, ma anche ottenere una negazione plausibile su un sistema operativo host Linux utilizzando Veracrypt per la crittografia dell'intero disco del sistema (invece di LUKS). Questo non è supportato da Veracrypt (la crittografia del sistema è supportata solo su Windows) e richiede alcuni armeggiare con vari comandi. Questo non è affatto raccomandato per utenti inesperti e dovrebbe essere utilizzato solo a proprio rischio.

I passaggi per raggiungere questo obiettivo non sono ancora integrati in questa guida, ma possono essere trovati qui: http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/post/5779e55aae7fc06e4758 (questo è un indirizzo .onion e richiede Tor Browser).

Rifiuta/Disabilita qualsiasi telemetria:

Durante l'installazione, assicurati di non consentire alcuna raccolta di dati se richiesto.
Se non sei sicuro, assicurati di non aver abilitato alcuna telemetria e segui questo tutorial se necessario https://vitux.com/how-to-force-ubuntu-to-stop-collecting-your-data-from-your -pc/ ^{[Archivio.org]}
Qualsiasi altra distribuzione: dovrai documentarti e scoprire tu stesso come disabilitare la telemetria, se presente.

Disabilita tutto ciò che non è necessario:

Disabilita il Bluetooth se abilitato seguendo questa guida https://www.addictivetips.com/ubuntu-linux-tips/disable-bluetooth-in-ubuntu/ ^{[Archive.org]} o emettendo il seguente comando:
- sudo systemctl disable bluetooth.service --force
Disabilita l'indicizzazione se abilitata di default (Ubuntu >19.04) seguendo questa guida https://www.linuxuprising.com/2019/07/how-to-completely-disable-tracker.html ^{[Archive.org]} o emettendo i seguenti comandi :
- sudo systemctl --user mask tracker-store.service tracker-miner-fs.service tracker-miner-rss.service tracker-extract.service tracker-miner-apps.service tracker-writeback.service
  - Puoi tranquillamente ignorare qualsiasi errore se dice che alcuni servizi non esistono
- sudo tracker reset -hard

Ibernazione:

Come spiegato in precedenza, non dovresti usare le funzioni di sospensione ma spegnere o ibernare il tuo laptop per mitigare alcuni attacchi di malvagità e avvio a freddo. Sfortunatamente, questa funzione è disabilitata per impostazione predefinita su molte distribuzioni Linux, incluso Ubuntu. È possibile abilitarlo, ma potrebbe non funzionare come previsto. Segui queste informazioni a tuo rischio. Se non si desidera eseguire questa operazione, non utilizzare mai la funzione di spegnimento e spegnimento (e impostare il comportamento di chiusura del coperchio su spegnimento anziché su spegnimento).

Segui uno di questi tutorial per abilitare l'ibernazione:

Dopo aver abilitato l'ibernazione, modifica il comportamento in modo che il tuo laptop vada in letargo quando chiudi il coperchio seguendo questo tutorial per Ubuntu 20.04 https://ubuntuhandbook.org/index.php/2020/05/lid-close-behavior-ubuntu- 20-04/ ^{[Archive.org]} e questo tutorial per Ubuntu 18.04 https://tipsonubuntu.com/2018/04/28/change-lid-close-action-ubuntu-18-04-lts/ ^{[Archive.org]} . Non esiste ancora un tutorial per Ubuntu 21.04 o 21.10, ma probabilmente anche il precedente per 20.04 dovrebbe funzionare.

Sfortunatamente, questo non pulirà la chiave direttamente dalla memoria durante l'ibernazione. Per evitarlo a scapito di alcune prestazioni, potresti considerare di crittografare il file di scambio seguendo questo tutorial: https://help.ubuntu.com/community/EnableHibernateWithEncryptedSwap ^{[Archive.org]}

Queste impostazioni dovrebbero mitigare gli attacchi di avvio a freddo se riesci a ibernare abbastanza velocemente.

Abilita la randomizzazione dell'indirizzo MAC:

Ubuntu, segui questi passaggi https://help.ubuntu.com/community/AnonymizingNetworkMACAddresses ^{[Archive.org]} .
Qualsiasi altra distribuzione: dovrai trovare tu stesso la documentazione, ma dovrebbe essere abbastanza simile al tutorial di Ubuntu.
Considera questo tutorial che dovrebbe ancora funzionare: https://josh.works/shell-script-basics-change-mac-address ^{[Archive.org]}

Rafforzamento di Linux:

Come introduzione leggera per i nuovi utenti Linux, considera https://www.youtube.com/watch?v=Sa0KqbpLye4 ^[Invidious]

Per opzioni più approfondite e avanzate, fare riferimento a:

Questa eccellente guida: https://madaidans-insecurities.github.io/guides/linux-hardening.html ^{[Archive.org]}
Questa eccellente risorsa wiki: https://wiki.archlinux.org/title/Security ^{[Archive.org]}
Questi eccellenti script si basano sulla guida e sul wiki sopra: https://codeberg.org/SalamanderSecurity/PARSEC ^{[Archive.org]}
Questi strumenti che possono aiutarti a rafforzare il tuo kernel Linux:
- Lynis: https://github.com/CISOfy/lynis
- Kconfig-hardened-check: https://github.com/a13xp0p0v/kconfig-hardened-check
Considera l'uso di KickSecure quando usi Debian: https://www.whonix.org/wiki/Kicksecure ^{[Archive.org]}
Questo articolo interessante: https://0pointer.net/blog/authenticated-boot-and-disk-encryption-on-linux.html ^{[Archive.org]}

Configurazione di un browser sicuro:

Vedere Appendice G: Browser sicuro sul sistema operativo host

Sistema operativo host macOS:

Nota: al momento, questa guida non supporterà (ancora) i MacBook ARM M1. A causa di Virtualbox non supporta ancora questa architettura. Potrebbe tuttavia essere possibile se utilizzi strumenti commerciali come VMWare o Parallels, ma questi non sono trattati in questa guida.

Ti consiglio inoltre di eseguire l'installazione iniziale completamente offline per evitare perdite di dati.

Non accedere mai con il tuo account Apple utilizzando quel Mac.

Durante l'installazione:

Rimani offline
Disattiva tutte le richieste di condivisione dei dati quando richiesto, inclusi i servizi di localizzazione
Non accedere con Apple
Non abilitare Siri

Rafforzamento di macOS:

Come introduzione leggera per i nuovi utenti di macOS, considera https://www.youtube.com/watch?v=lFx5icuE6Io ^[Invidious]

Ora, per approfondire la protezione e il rafforzamento del tuo macOS, ti consiglio di leggere questa guida GitHub che dovrebbe coprire molti dei problemi: https://github.com/drduh/macOS-Security-and-Privacy-Guide ^{[Archive. org]}

Di seguito sono riportati i passaggi di base da eseguire dopo l'installazione offline:

Abilita la password del firmware con l'opzione "disable-reset-capability":

Innanzitutto, dovresti impostare una password del firmware seguendo questa guida di Apple: https://support.apple.com/en-us/HT204455 ^{[Archive.org]}

Sfortunatamente, alcuni attacchi sono ancora possibili e un avversario potrebbe disabilitare questa password, quindi dovresti anche seguire questa guida per evitare di disabilitare la password del firmware da chiunque, inclusa Apple: https://support.apple.com/en-gb/guide/security/ sec28382c9ca/web ^{[Archive.org]}

Abilita l'ibernazione invece del sonno:

Ancora una volta, questo serve a prevenire alcuni attacchi di avvio a freddo e diabolica spegnendo la RAM e pulendo la chiave di crittografia quando si chiude il coperchio. Dovresti sempre ibernare o spegnere. Su macOS, la funzione di ibernazione ha anche un'opzione speciale per cancellare in modo specifico la chiave di crittografia dalla memoria durante l'ibernazione (mentre potresti dover attendere che la memoria decada su altri sistemi operativi). Ancora una volta non ci sono opzioni facili per farlo all'interno delle impostazioni, quindi dovremo farlo eseguendo alcuni comandi per abilitare l'ibernazione:

Apri un terminale
Correre:sudo pmset -a destroyfvkeyonstandby 1
- Questo comando indicherà a macOS di distruggere la chiave Filevault in standby (sospensione)
Correre:sudo pmset -a hibernatemode 25
- Questo comando indicherà a macOS di spegnere la memoria durante la sospensione invece di eseguire un'ibernazione ibrida che mantiene accesa la memoria. Si tradurrà in scia più lente ma aumenterà la durata della batteria.

Ora, quando chiudi il coperchio del tuo MacBook, dovrebbe andare in letargo invece di dormire e mitigare i tentativi di eseguire attacchi di avvio a freddo.

Inoltre, dovresti anche impostare una sospensione automatica (Impostazioni> Energia) in modo che il tuo MacBook si iberna automaticamente se lasciato incustodito.

Disabilita i servizi non necessari:

Disabilita alcune impostazioni non necessarie all'interno delle impostazioni:

Disabilita Bluetooth
Disabilita la fotocamera e il microfono
Disabilita i servizi di localizzazione
Disabilita Airdrop
Disabilita l'indicizzazione

Impedisci le chiamate OCSP di Apple:

Queste sono le famigerate chiamate di "telemetria non bloccabile" di macOS Big Sur divulgate qui: https://sneak.berlin/20201112/your-computer-isnt-yours/ ^{[Archive.org]}

Puoi bloccare la segnalazione OCSP emettendo il seguente comando nel Terminale:

sudo sh -c 'echo "127.0.0.1 ocsp.apple.com" >> /etc/hosts'

Ma dovresti documentarti sul problema reale prima di agire. Questa pagina è un buon punto di partenza: https://blog.jacopo.io/en/post/apple-ocsp/ ^{[Archive.org]}

Dipende da te davvero. Lo bloccherei perché non voglio alcuna telemetria dal mio sistema operativo alla nave madre senza il mio specifico consenso. Nessuno.

Abilita la crittografia del disco completo (Filevault):

Dovresti abilitare la crittografia completa del disco sul tuo Mac utilizzando Filevault secondo questa parte della guida: https://github.com/drduh/macOS-Security-and-Privacy-Guide#full-disk-encryption ^{[Archive.org]}

Fai attenzione quando abiliti. Non archiviare la chiave di ripristino su Apple se richiesto (non dovrebbe essere un problema poiché in questa fase dovresti essere offline). Non vuoi che una terza parte abbia la tua chiave di ripristino.

Randomizzazione dell'indirizzo MAC:

Sfortunatamente, macOS non offre un modo conveniente nativo per randomizzare il tuo indirizzo MAC e quindi dovrai farlo manualmente. Questo verrà ripristinato ad ogni riavvio e dovrai farlo di nuovo ogni volta per assicurarti di non utilizzare il tuo indirizzo MAC effettivo quando ti connetti a vari Wi-Fi

Puoi farlo emettendo i seguenti comandi nel terminale (senza parentesi):

(Disattiva il Wi-Fi)networksetup -setairportpower en0 off
(Cambia l'indirizzo MAC)sudo ifconfig en0 ether 88:63:11:11:11:11
(Riattiva il Wi-Fi)networksetup -setairportpower en0 on

Configurazione di un browser sicuro:

Vedere Appendice G: Browser sicuro sul sistema operativo host

Sistema operativo host Windows:

Ti consiglio inoltre di eseguire l'installazione iniziale completamente offline per evitare perdite di dati.

Installazione:

Dovresti seguire l'Appendice A: Installazione di Windows

Come introduzione leggera, considera di guardare https://www.youtube.com/watch?v=vNRics7tlqw ^[Invidious]

Abilita la randomizzazione dell'indirizzo MAC:

Dovresti randomizzare il tuo indirizzo MAC come spiegato in precedenza in questa guida:

Vai in Impostazioni > Rete e Internet > Wi-Fi > Abilita indirizzi hardware casuali

In alternativa, puoi utilizzare questo software gratuito: https://technitium.com/tmac/ ^{[Archive.org]}

Configurazione di un browser sicuro:

Vedere Appendice G: Browser sicuro sul sistema operativo host

Abilita alcune impostazioni di privacy aggiuntive sul tuo sistema operativo host:

Vedere Appendice B: Impostazioni aggiuntive sulla privacy di Windows

Crittografia del sistema operativo host Windows:

Se intendi utilizzare la negazione plausibile a livello di sistema:

Veracrypt ³³³ è il software che consiglierò per la crittografia dell'intero disco, la crittografia dei file e la negazione plausibile. È un fork del noto ma deprecato e non mantenuto TrueCrypt. Può essere utilizzato per:

Crittografia semplice del disco completo (il tuo disco rigido è crittografato con una passphrase).
Crittografia del disco completo con negabilità plausibile (questo significa che, a seconda della passphrase inserita all'avvio, avvierai un sistema operativo esca o un sistema operativo nascosto).
Crittografia semplice del contenitore di file (è un file di grandi dimensioni che potrai montare all'interno di Veracrypt come se fosse un'unità esterna in cui archiviare i file crittografati).
Contenitore di file con plausibile negabilità (è lo stesso file di grandi dimensioni ma a seconda della passphrase utilizzata durante il montaggio, monterai un "volume nascosto" o il "volume esca").

^{Per quanto ne so, è
l'unico software di crittografia} gratuito (comodo e utilizzabile da chiunque) gratuito, open source e apertamente controllato che fornisce anche una negazione plausibile per un uso diffuso e funziona con Windows Home Edition.

Vai avanti e scarica e installa Veracrypt da: https://www.veracrypt.fr/en/Downloads.html ^{[Archive.org]}

Dopo l'installazione, prenditi un momento per esaminare le seguenti opzioni che aiuteranno a mitigare alcuni attacchi:

Crittografa la memoria con un'opzione Veracrypt ³³⁵ (impostazioni > prestazioni/opzioni driver > crittografa RAM) al costo del 5-15% di prestazioni. Questa impostazione disabiliterà anche l'ibernazione (che non cancella attivamente la chiave durante l'ibernazione) e crittograferà invece del tutto la memoria per mitigare alcuni attacchi di avvio a freddo. Maggiori dettagli su questa funzione qui: https://sourceforge.net/p/veracrypt/discussion/technical/thread/3961542951/ ^{[Archive.org]}
Abilita l'opzione Veracrypt per cancellare le chiavi dalla memoria se viene inserito un nuovo dispositivo (sistema > impostazioni > sicurezza > cancella chiavi dalla memoria se viene inserito un nuovo dispositivo). Questo potrebbe aiutare nel caso in cui il tuo sistema venga sequestrato mentre è ancora acceso (ma bloccato).
Abilita l'opzione Veracrypt per montare i volumi come volumi rimovibili (Impostazioni > Preferenze > Monta volume come supporto rimovibile). Ciò impedirà a Windows di scrivere alcuni registri sui tuoi montaggi nei registri eventi ³³⁶ e impedirà alcune perdite di dati locali.
Fai attenzione e abbi una buona consapevolezza della situazione se senti qualcosa di strano. Spegni il tuo laptop il più velocemente possibile.

Se non si desidera utilizzare la memoria crittografata (perché le prestazioni potrebbero essere un problema), è necessario abilitare almeno l'ibernazione anziché la sospensione. Questo non cancellerà le chiavi dalla memoria (sei ancora vulnerabile agli attacchi di avvio a freddo) ma almeno dovrebbe mitigarle se la tua memoria ha abbastanza tempo per decadere.

Maggiori dettagli più avanti in Route A e B: Simple Encryption using Veracrypt (esercitazione di Windows) .

Se non si intende utilizzare la negazione plausibile a livello di sistema:

In questo caso, consiglierò l'uso di BitLocker invece di Veracrypt per la crittografia dell'intero disco. Il ragionamento è che BitLocker non offre una possibilità di negazione plausibile contraria a Veracrypt. Un duro avversario non ha quindi alcun incentivo a perseguire il suo interrogatorio "potenziato" se riveli la passphrase.

Normalmente, in questo caso dovresti aver installato Windows Pro e l'installazione di BitLocker è abbastanza semplice.

Fondamentalmente, puoi seguire le istruzioni qui: https://support.microsoft.com/en-us/windows/turn-on-device-encryption-0c453637-bc88-5f74-5105-741561aae838 ^{[Archive.org]}

Ma ecco i passaggi:

Fare clic sul menu di Windows
Digita "Bitlocker"
Fai clic su "Gestisci BitLocker"
Fai clic su "Attiva Bitlocker" sull'unità di sistema
Seguire le istruzioni
- Non salvare la chiave di ripristino su un account Microsoft se richiesto.
- Salva la chiave di ripristino solo su un'unità crittografata esterna. Per aggirare questo problema, stampa la chiave di ripristino utilizzando la stampante Microsoft Print to PDF e salva la chiave nella cartella Documenti. Elimina quel file più tardi.
- Crittografa l'intera unità (non crittografare solo lo spazio su disco utilizzato).
- Usa "Nuova modalità di crittografia"
- Esegui il controllo di BitLocker
- Riavviare
La crittografia dovrebbe ora essere avviata in background (puoi controllare facendo clic sull'icona Bitlocker nella parte in basso a destra della barra delle applicazioni).

Sfortunatamente, questo non è abbastanza. Con questa configurazione, la tua chiave Bitlocker può essere semplicemente archiviata così com'è nel chip TPM del tuo computer. Questo è piuttosto problematico in quanto la chiave può essere estratta in alcuni casi con facilità ³³⁷ ' ³³⁸ ' ³³⁹ ' ³⁴⁰ .

Per mitigare ciò, dovremo abilitare alcune opzioni in più secondo le raccomandazioni di Microsoft ³⁴¹ :

Fare clic sull'icona di Windows
Digita Esegui
Digita "gpedit.msc" (questo è l'editor dei criteri di gruppo)
Passare a Configurazione computer > Modelli amministrativi > Componenti di Windows > BitLocker > Unità del sistema operativo
- Fare doppio clic su "Richiedi autenticazione aggiuntiva all'avvio"
  - Fare clic su "Configura PIN di avvio TPM" e impostarlo su "Richiedi PIN di avvio con TPM"
- Fare doppio clic su "Consenti PIN avanzati per l'avvio"
  - Fare clic su "Abilita" (questo ci consentirà di impostare una password anziché un PIN)
Chiudere l'Editor criteri di gruppo
Fare clic sull'icona di Windows
Digita Command per visualizzare il "Prompt dei comandi"
Fare clic destro su di esso e fare clic su "Esegui come amministratore"
Esegui manage-bde -protectors -delete c:(questo cancellerà la protezione corrente: la chiave di ripristino non ci servirà)
Esegui manage-bde -protectors -add c: -TPMAndPIN(questo ti chiederà una password di pre-avvio)
- Inserisci una password o una passphrase a tua scelta (buona)
Correremanage-bde -status
- Ora dovresti vedere sul tuo C: guidare sotto "Key Protectors" l'opzione "TPM e PIN"
Hai fatto

Ora quando riavvii il computer, dovresti idealmente essere richiesto per:

Una password di avvio BIOS/UEFI
Una password di sblocco SSD/HDD (se la funzione è disponibile nel BIOS)
Una schermata Pin di pre-avvio di Bitlocker in cui è necessario inserire la password/passphrase appena impostata
E infine, la schermata di accesso di Windows in cui puoi inserire le credenziali che hai impostato in precedenza

Abilita ibernazione (opzionale):

Ancora una volta, come spiegato in precedenza. Non dovresti mai usare la funzione di sospensione/stand-by per mitigare alcuni attacchi di avvio a freddo e cameriera malvagia. Invece, dovresti spegnere o ibernare. Dovresti quindi cambiare il tuo laptop dalla modalità di sospensione alla modalità di ibernazione quando chiudi il coperchio o quando il tuo laptop va in modalità di sospensione.

( Si noti che non è possibile abilitare l'ibernazione se in precedenza è stata abilitata la crittografia della RAM all'interno di Veracrypt)

Il motivo è che l'ibernazione spegnerà completamente il laptop e pulirà la memoria. Il sonno, d'altra parte, lascerà la memoria accesa (inclusa la chiave di decrittazione) e potrebbe rendere il tuo laptop vulnerabile agli attacchi di avvio a freddo.

Per impostazione predefinita, Windows 10 potrebbe non offrirti questa possibilità, quindi dovresti abilitarla seguendo questo tutorial Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/disable-and-re- abilita-ibernazione ^{[Archive.org]}

Apri un prompt dei comandi dell'amministratore (fai clic con il tasto destro del mouse su Prompt dei comandi e "Esegui come amministratore")
Esegui: powercfg.exe /hibernate on
Ora esegui il comando aggiuntivo:**powercfg /h /type full**
- Questo comando assicurerà che la tua modalità di ibernazione sia piena e pulirà completamente la memoria (non in modo sicuro).

Dopodiché dovresti entrare nelle impostazioni di alimentazione:

Apri il pannello di controllo
Sistema aperto e sicurezza
Apri Opzioni risparmio energia
Apri "Scegli cosa fa il pulsante di accensione"
Cambia tutto, dalla sospensione alla sospensione o allo spegnimento
Torna alle Opzioni risparmio energia
Seleziona Modifica impostazioni piano
Seleziona Impostazioni di alimentazione avanzate
Cambia tutti i valori del sonno per ogni piano di alimentazione su 0 (mai)
Assicurati che la sospensione ibrida sia disattivata per ogni piano di alimentazione
Abilita l'ibernazione Dopo il tempo che desideri
Disabilita tutti i timer Wake

Decidere quale sub-percorso prendere:

Ora dovrai scegliere il tuo prossimo passo tra due opzioni:

Percorso A: crittografia semplice del tuo attuale sistema operativo
- Professionisti:
  - Non richiede di pulire il tuo laptop
  - Nessun problema con le perdite di dati locali
  - Funziona bene con un'unità SSD
  - Funziona con qualsiasi sistema operativo
  - Semplice
- Contro:
  - Potresti essere costretto da un avversario a rivelare la tua password e tutti i tuoi segreti e non avrai alcuna plausibile negazione.
  - Il pericolo di fughe di dati online
Percorso B: crittografia semplice del tuo attuale sistema operativo con uso successivo di una negazione plausibile sui file stessi:
- Professionisti:
  - Non richiede di pulire il tuo laptop
  - Funziona bene con un'unità SSD
  - Funziona con qualsiasi sistema operativo
  - La negazione plausibile è possibile con avversari "morbidi".
- Contro:
  - Il pericolo di fughe di dati online
  - Il pericolo di perdite di dati locali (che porteranno a più lavoro per ripulire tali perdite)
Percorso C: Crittografia plausibile negabilità del tuo sistema operativo (avrai un "sistema operativo nascosto" e un "sistema operativo esca" in esecuzione sul laptop):
- Professionisti:
  - Nessun problema con le perdite di dati locali
  - La negazione plausibile è possibile con avversari "morbidi".
- Contro:
  - Richiede Windows (questa funzionalità non è "facilmente" supportata su Linux).
  - Il pericolo della fuga di dati online
  - Richiede la cancellazione completa del tuo laptop
  - Nessun utilizzo con un'unità SSD a causa della necessità di disabilitare Trim ³⁴² Operazioni ³⁴³ . Ciò degraderà gravemente le prestazioni/lo stato di salute dell'unità SSD nel tempo.

Come puoi vedere, Route C offre solo due vantaggi in termini di privacy rispetto agli altri e sarà utile solo contro un avversario legale e morbido. Ricorda https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis ^[Wikiless] ^{[Archive.org]} .

Decidere quale percorso intraprendere dipende da te. Il percorso A è un minimo.

Assicurati sempre di controllare frequentemente la presenza di nuove versioni di Veracrypt per assicurarti di beneficiare delle patch più recenti. In particolare, controllalo prima di applicare aggiornamenti di Windows di grandi dimensioni che potrebbero interrompere il bootloader di Veracrypt e inviarti in un ciclo di avvio.

NOTA CHE PER DEFAULT VERACRYPT PROPORRÀ SEMPRE UNA PASSWORD DI SISTEMA IN QWERTY (visualizzare la password come test). Ciò può causare problemi se l'input di avvio utilizza la tastiera del laptop (ad esempio AZERTY), poiché avrai impostato la password in QWERTY e la inserirai all'avvio in AZERTY. Quindi, assicurati di controllare quando esegui l'avvio di prova quale layout di tastiera sta utilizzando il tuo BIOS. Potresti non riuscire ad accedere solo a causa della confusione QWERTY/AZERTY. Se il tuo BIOS si avvia utilizzando AZERTY, dovrai digitare la password in QWERTY all'interno di Veracrypt.

Percorso A e B: crittografia semplice utilizzando Veracrypt (esercitazione di Windows)

Salta questo passaggio se hai usato BitLocker in precedenza.

Non è necessario disporre di un HDD per questo metodo e non è necessario disabilitare Trim su questo percorso. Le perdite di trim saranno utili solo alla scientifica per rilevare la presenza di un volume nascosto, ma non saranno di grande utilità in caso contrario.

Questo percorso è piuttosto semplice e crittograferà semplicemente il tuo attuale sistema operativo senza perdere dati. Assicurati di leggere tutti i testi che Veracrypt ti sta mostrando, in modo da avere una piena comprensione di cosa sta succedendo. Ecco i passaggi:

Avvia VeraCrypt
Vai in Impostazioni:
- Impostazioni > Opzioni prestazioni/driver > Crittografa RAM
- Sistema > Impostazioni > Sicurezza > Cancella chiavi dalla memoria se viene inserito un nuovo dispositivo
- Sistema > Impostazioni > Windows > Abilita desktop sicuro
Seleziona Sistema
Selezionare Crittografa partizione/unità di sistema
Seleziona Normale (Semplice)
Seleziona Avvio singolo
Selezionare AES come algoritmo di crittografia (fare clic sul pulsante di prova se si desidera confrontare le velocità)
Seleziona SHA-512 come algoritmo hash (perché no)
Inserisci una passphrase forte (più lunga è meglio è, ricorda l' Appendice A2: Linee guida per password e passphrase )
Raccogli un po' di entropia spostando casualmente il cursore finché la barra non è piena
Fare clic su Avanti nella schermata Chiavi generate
Per ripristinare il disco ³⁴⁴ o non il disco di ripristino, dipende da te. Consiglio di crearne uno (per ogni evenienza), assicurati di archiviarlo all'esterno dell'unità crittografata (ad esempio una chiave USB o attendi e consulta la fine di questa guida per indicazioni su backup sicuri). Questo disco di ripristino non memorizzerà la tua passphrase e ti servirà comunque per utilizzarla.
Modalità di pulizia:
- Se non hai ancora dati sensibili su questo laptop, seleziona Nessuno
- Se hai dati sensibili su un SSD, Trim da solo dovrebbe occuparsene ³⁴⁵ ma consiglierei un passaggio (dati casuali) solo per essere sicuro.
- Se hai dati sensibili su un HDD, non c'è Trim e consiglierei almeno 1 passaggio.
Metti alla prova la tua configurazione. Veracrypt ora riavvierà il tuo sistema per testare il bootloader prima della crittografia. Questo test deve essere superato affinché la crittografia possa andare avanti.
Dopo il riavvio del computer e il superamento del test. Verrà richiesto da Veracrypt di avviare il processo di crittografia.
Avvia la crittografia e attendi il completamento.
Hai finito, salta il percorso B e vai ai passaggi successivi.

Ci sarà un'altra sezione sulla creazione di contenitori di file crittografati con Plausible Deniability su Windows.

Percorso B: Crittografia di negazione plausibile con un sistema operativo nascosto (solo Windows)

Questo è supportato solo su Windows.

Questo è consigliato solo su un'unità HDD. Questo non è raccomandato su un'unità SSD.

Il tuo sistema operativo nascosto non dovrebbe essere attivato (con un codice prodotto MS). Pertanto, questo percorso ti consiglierà e ti guiderà attraverso un'installazione completamente pulita che cancellerà tutto sul tuo laptop.

Leggi la documentazione di Veracrypt https://www.veracrypt.fr/en/VeraCrypt%20Hidden%20Operating%20System.html ^{[Archive.org]} (Processo di creazione della parte del sistema operativo nascosto) e https://www.veracrypt.fr /it/Security%20Requirements%20for%20Hidden%20Volumes.html ^{[Archive.org]} (Requisiti di sicurezza e precauzioni relative ai volumi nascosti).

Ecco come si occuperà il tuo sistema al termine di questo processo:

(Illustrazione dalla documentazione di Veracrypt, https://veracrypt.fr/en/VeraCrypt%20Hidden%20Operating%20System.html ^{[Archive.org]} )

Come puoi vedere, questo processo richiede che tu abbia due partizioni sul tuo disco rigido dall'inizio.

Questo processo eseguirà le seguenti operazioni:

Crittografa la tua seconda partizione (il volume esterno) che sembrerà un disco vuoto non formattato dal sistema operativo esca.
Ti suggerisce l'opportunità di copiare alcuni contenuti esca all'interno del volume esterno.
- Qui è dove copierai la tua raccolta di esca Anime/Porno da un disco rigido esterno al volume esterno.
Crea un volume nascosto all'interno del volume esterno di quella seconda partizione. Qui è dove risiederà il sistema operativo nascosto.
Clona l'installazione di Windows 10 attualmente in esecuzione sul volume nascosto.
Pulisci il tuo Windows 10 attualmente in esecuzione.
Ciò significa che il tuo attuale Windows 10 diventerà il Windows 10 nascosto e che dovrai reinstallare un nuovo sistema operativo Windows 10 esca.

Obbligatorio se si dispone di un'unità SSD e si desidera ancora farlo contro la raccomandazione: Disabilita SSD Trim in Windows ³⁴⁶ (di nuovo questo NON è affatto raccomandato poiché disabilitare Trim di per sé è altamente sospetto ). Inoltre , come accennato in precedenza, la disabilitazione di Trim ridurrà la durata dell'unità SSD e avrà un impatto significativo sulle sue prestazioni nel tempo (il tuo laptop diventerà sempre più lento nel corso di diversi mesi di utilizzo fino a diventare quasi inutilizzabile, dovrai quindi pulire l'unità e reinstallare tutto). Ma devi farlo per prevenire fughe di dati ³⁴⁷ che potrebbero consentire alla scientifica di sconfiggere la tua plausibile negabilità ³⁴⁸³⁴⁹. L'unico modo per aggirare questo problema al momento è avere un laptop con una classica unità HDD.

Passaggio 1: crea una chiave USB di installazione di Windows 10

Vedere l'Appendice C: Creazione del supporto di installazione di Windows e seguire il percorso della chiave USB.

Passaggio 2: avvia la chiave USB e avvia il processo di installazione di Windows 10 (sistema operativo nascosto)

Inserisci la chiavetta USB nel tuo laptop
Consulta l'Appendice A: Installazione di Windows e procedi con l'installazione di Windows 10 Home.

Passaggio 3: impostazioni sulla privacy (sistema operativo nascosto)

Vedere Appendice B: Impostazioni aggiuntive sulla privacy di Windows

Passaggio 4: avvio del processo di crittografia e installazione di Veracrypt (sistema operativo nascosto)

Ricordati di leggere https://www.veracrypt.fr/en/VeraCrypt%20Hidden%20Operating%20System.html ^{[Archive.org]}

Non connettere questo sistema operativo al tuo Wi-Fi noto. Dovresti scaricare il programma di installazione di Veracrypt da un altro computer e copiare il programma di installazione qui usando una chiave USB. Ecco i passaggi:

Installa Veracrypt
Avvia Veracrypt
Vai in Impostazioni:
- Impostazioni > Opzioni prestazioni/driver > Crittografa RAM (tieni presente che questa opzione non è compatibile con l'ibernazione del tuo laptop e significa che dovrai spegnerlo completamente)
- Sistema > Impostazioni > Sicurezza > Cancella chiavi dalla memoria se viene inserito un nuovo dispositivo
- Sistema > Impostazioni > Windows > Abilita desktop sicuro
Vai in Sistema e seleziona Crea sistema operativo nascosto
Leggi attentamente tutte le istruzioni
Selezionare Avvio singolo se richiesto
Crea il volume esterno usando AES e SHA-512.
Usa tutto lo spazio disponibile sulla seconda partizione per il volume esterno
Usa una passphrase forte (ricorda l'Appendice A2: Linee guida per password e passphrase )
Selezionare sì per file di grandi dimensioni
Crea un po' di Entropia muovendo il mouse finché la barra non è piena e seleziona NTFS (non selezionare exFAT perché vogliamo che questo volume esterno appaia "normale" e NTFS è normale).
Formatta il volume esterno
Aprire il volume esterno:
- A questo punto, dovresti copiare i dati dell'esca sul volume esterno. Quindi, dovresti avere alcuni file/cartelle sensibili ma non così sensibili da copiare lì. Nel caso in cui sia necessario rivelare una password a questo volume . Questo è un buon posto per la tua raccolta di Anime/Mp3/Film/Porno.
- Vi consiglio di non riempire troppo o troppo poco il volume esterno (circa il 40%). Ricorda che devi lasciare spazio sufficiente per il sistema operativo nascosto (che avrà le stesse dimensioni della prima partizione creata durante l'installazione).
Usa una passphrase forte per il volume nascosto (ovviamente una diversa da quella per il volume esterno).
Ora creerai il volume nascosto, seleziona AES e SHA-512
Riempi la barra dell'entropia fino alla fine con movimenti casuali del mouse
Formatta il volume nascosto
Procedi con la Clonazione
Veracrypt ora si riavvierà e clonerà le finestre in cui hai avviato questo processo nel volume nascosto. Questo Windows diventerà il tuo sistema operativo nascosto.
Al termine della clonazione, Veracrypt si riavvierà all'interno del sistema nascosto
Veracrypt ti informerà che il sistema nascosto è ora installato e quindi ti chiederà di cancellare il sistema operativo originale (quello che hai installato in precedenza con la chiave USB).
Usa 1-Pass Wipe e procedi.
Ora il tuo sistema operativo nascosto sarà installato, procedi al passaggio successivo

Passaggio 5: riavvia e avvia la chiave USB e avvia nuovamente il processo di installazione di Windows 10 (sistema operativo Decoy)

Ora che il sistema operativo nascosto è completamente installato, dovrai installare un sistema operativo Decoy:

Inserisci la chiavetta USB nel tuo laptop
Vedi Appendice A: Installazione di Windows e procedi con l'installazione di nuovo di Windows 10 Home (non installare una versione diversa e rimani con Home).

Passaggio 6: impostazioni sulla privacy (sistema operativo Decoy)

Vedere Appendice B: Impostazioni aggiuntive sulla privacy di Windows

Passaggio 7: avvio del processo di crittografia e installazione di Veracrypt (sistema operativo Decoy)

Ora crittograferemo il sistema operativo Decoy:

Installa Veracrypt
Avvia VeraCrypt
Seleziona Sistema
Selezionare Crittografa partizione/unità di sistema
Seleziona Normale (Semplice)
Seleziona Avvio singolo
Selezionare AES come algoritmo di crittografia (fare clic sul pulsante di prova se si desidera confrontare le velocità)
Seleziona SHA-512 come algoritmo hash (perché no)
Inserisci una password breve e debole (sì, è una cosa seria, fallo, sarà spiegato più avanti).
Raccogli un po' di entropia spostando casualmente il cursore finché la barra non è piena
Fare clic su Avanti nella schermata Chiavi generate
Per ripristinare il disco ³⁵⁰ o non il disco di ripristino, dipende da te. Consiglio di crearne uno (per ogni evenienza), assicurati di archiviarlo all'esterno dell'unità crittografata (ad esempio una chiave USB o attendi e consulta la fine di questa guida per indicazioni su backup sicuri). Questo disco di ripristino non memorizzerà la tua passphrase e ti servirà comunque per utilizzarla.
Modalità Wipe: seleziona 1-Pass solo per sicurezza
Pre-testa la tua configurazione. Veracrypt ora riavvierà il tuo sistema per testare il bootloader prima della crittografia. Questo test deve essere superato affinché la crittografia possa andare avanti.
Dopo il riavvio del computer e il superamento del test. Verrà richiesto da Veracrypt di avviare il processo di crittografia.
Avvia la crittografia e attendi il completamento.
Il tuo sistema operativo Decoy è ora pronto per l'uso.

Passaggio 8: verifica la configurazione (avvio in entrambi)

È ora di testare la tua configurazione:

Riavvia e inserisci la passphrase del sistema operativo nascosto, dovresti avviare il sistema operativo nascosto.
Riavvia e inserisci la passphrase del sistema operativo Decoy, dovresti avviare il sistema operativo Decoy.
Avvia Veracrypt sul sistema operativo Decoy e monta la seconda partizione usando la passphrase del volume esterno (montala come di sola lettura, andando in Opzioni di montaggio e selezionando Sola lettura) e dovrebbe montare la seconda partizione come di sola lettura visualizzando la tua esca dati (la tua raccolta di anime/porno). Ora lo stai montando come di sola lettura perché se dovessi scrivere dati su di esso, potresti sovrascrivere il contenuto dal tuo sistema operativo nascosto.

Passaggio 9: modificare in modo sicuro i dati esca sul volume esterno

Prima di passare al passaggio successivo, dovresti imparare il modo per montare il tuo volume esterno in modo sicuro per scrivere contenuti su di esso. Questo è spiegato anche in questa documentazione ufficiale di Veracrypt https://www.veracrypt.fr/en/Protection%20of%20Hidden%20Volumes.html ^{[Archive.org]}

Dovresti farlo da un luogo sicuro e affidabile.

Fondamentalmente, monterai il tuo volume esterno fornendo anche la passphrase del volume nascosto all'interno delle opzioni di montaggio per proteggere il volume nascosto dalla sovrascrittura. Veracrypt ti consentirà quindi di scrivere dati sul volume esterno senza rischiare di sovrascrivere alcun dato sul volume nascosto:

Apri Veracrypt
Seleziona la tua seconda partizione
Fare clic su Monta
Fare clic su Opzioni di montaggio
Seleziona l'opzione "Proteggi il volume nascosto..."
Immettere la passphrase del sistema operativo nascosto
Fare clic su OK
Inserisci la passphrase del volume esterno
Fare clic su OK
Ora dovresti essere in grado di aprire e scrivere sul tuo volume esterno per modificare il contenuto (copia/sposta/elimina/modifica...)

Questa operazione non monterà effettivamente il volume nascosto e dovrebbe impedire la creazione di qualsiasi prova forense che potrebbe portare alla scoperta del sistema operativo nascosto. Tuttavia, durante l'esecuzione di questa operazione, entrambe le password verranno archiviate nella RAM e pertanto potresti essere ancora suscettibile di un attacco di avvio a freddo. Per mitigare questo, assicurati di avere la possibilità di crittografare anche la tua RAM come indicato in precedenza.

Passaggio 10: lascia alcune prove forensi del tuo volume esterno (con i dati esca) all'interno del tuo sistema operativo Decoy

Dobbiamo rendere il sistema operativo Decoy il più plausibile possibile. Vogliamo anche che il tuo avversario pensi che non sei così intelligente.

Pertanto, è importante lasciare volontariamente alcune prove forensi del tuo contenuto Decoy all'interno del tuo sistema operativo Decoy. Questa prova consentirà agli esaminatori forensi di vedere che hai montato frequentemente il tuo volume esterno per accedere al suo contenuto.

Ecco alcuni suggerimenti utili per lasciare alcune prove forensi:

Riproduci il contenuto dal volume esterno dal tuo sistema operativo Decoy (usando VLC per esempio). Assicurati di mantenere una cronologia di quelli.
Modifica i documenti e lavora su di essi.
Abilita nuovamente l'indicizzazione dei file sul sistema operativo Decoy e includi il volume esterno montato.
Smontalo e montalo frequentemente per guardare alcuni contenuti.
Copia alcuni contenuti dal tuo volume esterno al tuo sistema operativo Decoy e quindi eliminali in modo non sicuro (basta metterli nel cestino).
Avere un client Torrent installato sul sistema operativo Decoy, utilizzalo di tanto in tanto per scaricare alcune cose simili che lascerai sul sistema operativo Decoy.
Potresti avere un client VPN installato sul sistema operativo Decoy con una tua VPN nota (non pagata in contanti).

Non inserire nulla di sospetto sul sistema operativo Decoy come:

Questa guida
Eventuali collegamenti a questa guida
Qualsiasi software di anonimato sospetto come Tor Browser

Appunti:

Ricorda che avrai bisogno di scuse valide per far funzionare questo plausibile scenario di negazione:

Stai usando Veracrypt perché stai usando Windows 10 Home che non include Bitlocker ma volevi comunque Privacy.
Hai due partizioni perché volevi separare il sistema e i dati per una facile organizzazione e perché un amico geek ti ha detto che questo era migliore per le prestazioni.
Hai usato una password debole per un facile e comodo avvio sul sistema e una passphrase lunga Strong sul volume esterno perché eri troppo pigro per digitare una passphrase forte ad ogni avvio.
Hai crittografato la seconda partizione con una password diversa da quella del sistema perché non vuoi che nessuno nel tuo entourage veda le tue cose. E quindi, non volevi che quei dati fossero disponibili a nessuno.

Prenditi del tempo per leggere di nuovo le "Possibili spiegazioni per l'esistenza di due partizioni di Veracrypt su un'unità singola" della documentazione di Veracrypt qui https://www.veracrypt.fr/en/VeraCrypt%20Hidden%20Operating%20System.html ^{[Archive.org ]}

Stai attento:

Non dovresti mai montare il volume nascosto dal sistema operativo Decoy (MAI MAI). Se lo facessi, creerebbe prove forensi del volume nascosto all'interno del sistema operativo Decoy che potrebbero mettere a repentaglio il tuo tentativo di negabilità plausibile . Se lo hai fatto comunque (intenzionalmente o per errore) dal sistema operativo Decoy, ci sono modi per cancellare le prove forensi che verranno spiegate più avanti alla fine di questa guida.
Non utilizzare mai il sistema operativo Decoy dalla stessa rete (Wi-Fi pubblico) del sistema operativo nascosto.
Quando monti il volume esterno dal sistema operativo Decoy, non scrivere alcun dato all'interno del volume esterno in quanto ciò potrebbe sovrascrivere quello che sembra spazio vuoto ma in realtà è il tuo sistema operativo nascosto. Dovresti sempre montarlo in sola lettura.
Se si desidera modificare il contenuto Decoy del volume esterno, è necessario utilizzare una chiave USB del sistema operativo Live che eseguirà Veracrypt.
Tieni presente che non utilizzerai il sistema operativo nascosto per eseguire attività sensibili, ciò verrà eseguito in seguito da una macchina virtuale all'interno del sistema operativo nascosto. Il sistema operativo nascosto ha solo lo scopo di proteggerti da un debole avversario che potrebbe accedere al tuo laptop e costringerti a rivelare la tua password.
Fai attenzione a qualsiasi manomissione del tuo laptop. Gli attacchi di Evil-Maid possono rivelare il tuo sistema operativo nascosto.

Virtualbox sul tuo sistema operativo host:

Ricorda Appendice W: Virtualizzazione .

Questo passaggio e i passaggi seguenti devono essere eseguiti dal sistema operativo host. Questo può essere il tuo sistema operativo host con crittografia semplice (Windows/Linux/macOS) o il tuo sistema operativo nascosto con negabilità plausibile (solo Windows).

In questo percorso, faremo ampio uso del software gratuito Oracle Virtualbox ³⁵¹ . Questo è un software di virtualizzazione in cui puoi creare macchine virtuali che emulano un computer che esegue un sistema operativo specifico (se vuoi usare qualcos'altro come Xen, Qemu, KVM o VMWARE, sentiti libero di farlo ma questa parte della guida copre Virtualbox solo per comodità).

Quindi, dovresti essere consapevole che Virtualbox non è il software di virtualizzazione con il miglior track record in termini di sicurezza e alcuni dei problemi segnalati ³⁵² non sono stati completamente risolti fino a questa data ³⁵³ e se stai usando Linux con un po' più di competenze tecniche , dovresti invece considerare l'utilizzo di KVM seguendo la guida disponibile su Whonix qui https://www.whonix.org/wiki/KVM ^{[Archive.org]} e qui https://www.whonix.org/wiki/KVM#Why_Use_KVM_Over_VirtualBox .3F ^{[Archivio.org]}

Alcuni passaggi dovrebbero essere presi in tutti i casi:

Tutte le tue attività sensibili verranno eseguite da una macchina virtuale guest che esegue Windows 10 Pro (non Home questa volta), Linux o macOS.

Questo ha alcuni vantaggi che ti aiuteranno a rimanere anonimo:

Dovrebbe impedire al sistema operativo della macchina virtuale guest (Windows/Linux/macOS), alle app e a qualsiasi telemetria all'interno delle macchine virtuali di accedere direttamente all'hardware. Anche se la tua VM è compromessa da malware, questo malware non dovrebbe essere in grado di accedere alla VM e compromettere il tuo laptop effettivo.
Ci consentirà di forzare tutto il traffico di rete dalla VM del tuo client a passare attraverso un'altra VM Gateway che dirigerà (torrificherà) tutto il traffico verso la rete Tor. Questo è un "kill switch" di rete. La tua VM perderà completamente la connettività di rete e andrà offline se l'altra VM perderà la connessione alla rete Tor.
La stessa VM che ha solo connettività Internet tramite un gateway di rete Tor si collegherà al tuo servizio VPN pagato in contanti tramite Tor.
Le perdite DNS saranno impossibili perché la VM si trova su una rete isolata che deve passare attraverso Tor in ogni caso.

Scegli il tuo metodo di connettività:

Ci sono sette possibilità all'interno di questo percorso:

Consigliato e preferito:
- Usa Tor da solo (Utente > Tor > Internet)
- Usa VPN su Tor (Utente > Tor > VPN > Internet) in casi specifici
- Utilizzare un VPS con una VPN/proxy self-hosted su Tor (Utente > Tor > VPN/Proxy self-hosted > Internet) in casi specifici
Possibile se richiesto dal contesto:
- Usa VPN su Tor su VPN (Utente > VPN > Tor > VPN > Internet)
- Usa Tor su VPN (Utente > VPN > Tor > Internet)
Sconsigliato e rischioso:
- Usa VPN da solo (Utente > VPN > Internet)
- Usa VPN su VPN (Utente > VPN > VPN > Internet)
Non consigliato e altamente rischioso (ma possibile)
- Niente VPN e niente Tor (Utente > Internet)

Solo Tor:

Questa è la soluzione preferita e più consigliata.

Con questa soluzione, tutta la tua rete passa attraverso Tor e dovrebbe essere sufficiente per garantire il tuo anonimato nella maggior parte dei casi.

C'è uno svantaggio principale però: alcuni servizi bloccano/bancano i nodi Tor Exit a titolo definitivo e non consentiranno la creazione di account da quelli.

Per mitigare questo, potresti dover considerare l'opzione successiva: VPN su Tor, ma considera alcuni rischi associati spiegati nella prossima sezione.

VPN/Proxy su Tor:

Questa soluzione può portare alcuni vantaggi in alcuni casi specifici rispetto all'utilizzo di Tor solo dove l'accesso al servizio di destinazione sarebbe impossibile da un nodo Tor Exit. Questo perché molti servizi bandiranno, ostacoleranno o bloccheranno i nodi di uscita Tor (vedi https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor ^{[Archive.org]} ).

Questa soluzione può essere raggiunta in due modi:

VPN a pagamento su Tor (il più semplice)
VPS self-hosted a pagamento configurato come VPN/Proxy (il più efficiente nell'evitare ostacoli online come i captcha ma richiede più competenze con Linux)

Come puoi vedere in questa illustrazione, se i tuoi contanti (preferiti)/VPN/Proxy pagati con Monero sono compromessi da un avversario (nonostante la loro dichiarazione sulla privacy e le politiche di non registrazione), troveranno solo una VPN/Proxy anonimi pagati in contanti/Monero account che si connette ai propri servizi da un nodo Tor Exit.

Se un avversario riesce in qualche modo a compromettere anche la rete Tor, rivelerà solo l'IP di un Wi-Fi pubblico casuale che non è legato alla tua identità.

Se un avversario in qualche modo compromette il tuo sistema operativo VM (con malware o un exploit, ad esempio), sarà intrappolato all'interno della rete interna di Whonix e non dovrebbe essere in grado di rivelare l'IP del Wi-Fi pubblico.

Questa soluzione ha tuttavia uno svantaggio principale da considerare: Interferenza con Tor Stream Isolation ³⁵⁴ .

L'isolamento del flusso è una tecnica di mitigazione utilizzata per prevenire alcuni attacchi di correlazione disponendo di circuiti Tor diversi per ciascuna applicazione. Ecco un'illustrazione per mostrare cos'è l'isolamento del flusso:

(Illustrazione di Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ ^{[Archive.org]} )

VPN/Proxy su Tor cade sul lato destro ³⁵⁵ , il che significa che l'utilizzo di una VPN/Proxy su Tor costringe Tor a utilizzare un circuito per tutte le attività invece di più circuiti per ciascuna. Ciò significa che l'utilizzo di una VPN/Proxy su Tor può ridurre l'efficacia di Tor in alcuni casi e dovrebbe quindi essere utilizzato solo per alcuni casi specifici:

Quando il tuo servizio di destinazione non consente nodi Tor Exit.
Quando non ti dispiace usare un circuito Tor condiviso per vari servizi. Ad esempio, quando si utilizzano vari servizi autenticati.

Tuttavia, dovresti considerare di non utilizzare questo metodo quando il tuo obiettivo è solo quello di navigare casualmente in vari siti Web non autenticati poiché non trarrai vantaggio dall'isolamento dello streaming e questo potrebbe rendere più facili gli attacchi di correlazione nel tempo per un avversario tra ciascuna delle tue sessioni (vedi Il tuo Tor anonimizzato / traffico VPN ). Se il tuo obiettivo, tuttavia, è utilizzare la stessa identità in ogni sessione sugli stessi servizi autenticati, il valore dell'isolamento del flusso viene ridotto poiché puoi essere correlato con altri mezzi.

Dovresti anche sapere che Stream Isolation non è necessariamente configurato per impostazione predefinita su Whonix Workstation. È preconfigurato solo per alcune applicazioni (incluso Tor Browser).

Inoltre, nota che Stream Isolation non cambia necessariamente tutti i nodi nel tuo circuito Tor. A volte può cambiarne solo uno o due. In molti casi, Stream Isolation (ad esempio all'interno del Tor Browser) cambierà solo il nodo di inoltro (centrale) e il nodo di uscita mantenendo lo stesso nodo di guardia (di ingresso).

Maggiori informazioni su:

Tor su VPN:

Ti starai chiedendo: beh, che ne dici di usare Tor su VPN invece di VPN su Tor? Beh, non lo farei necessariamente:

Svantaggi:
- Il tuo provider VPN è solo un altro ISP che conoscerà quindi il tuo IP di origine e sarà in grado di renderti anonimo se necessario. Non ci fidiamo di loro. Preferisco una situazione in cui il tuo provider VPN non sa chi sei. Non aggiunge molto in termini di anonimato.
- Ciò comporterebbe la connessione a vari servizi utilizzando l'IP di un Tor Exit Node che è bandito/contrassegnato in molti luoghi. Non aiuta in termini di convenienza.
vantaggi:
- Il vantaggio principale è che se ti trovi in un ambiente ostile in cui l'accesso a Tor è impossibile/pericoloso/sospetto, ma VPN va bene.
- Anche questo metodo non interrompe l'isolamento di Tor Stream.
- Questo nasconde anche le tue attività Tor dal tuo ISP principale.

Nota, se riscontri problemi di accesso alla rete Tor a causa del blocco/censura, puoi provare a utilizzare Tor Bridges. Vedi Appendice X: Utilizzo dei bridge Tor in ambienti ostili .

È anche possibile considerare VPN su Tor su VPN (Utente > VPN > Tor > VPN > Internet) utilizzando invece due VPN pagate in contanti/Monero. Ciò significa che collegherai il sistema operativo host a una prima VPN dal tuo Wi-Fi pubblico, quindi Whonix si connetterà a Tor e, infine, la tua VM si connetterà a una seconda VPN su Tor su VPN (vedi https://www. whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor ^{[Archive.org]} ).

Questo ovviamente avrà un impatto significativo sulle prestazioni e potrebbe essere piuttosto lento, ma Tor è necessario da qualche parte per raggiungere un ragionevole anonimato.

Raggiungere questo risultato tecnicamente è facile all'interno di questo percorso, sono necessari due account VPN anonimi separati e devi connetterti alla prima VPN dal sistema operativo host e seguire il percorso.

Conclusione: fallo solo se pensi che usare Tor da solo sia rischioso/impossibile, ma le VPN vanno bene. O solo perché puoi e quindi perché no. Questo metodo non abbasserà la tua sicurezza/privacy/anonimato.

Solo VPN:

Questo percorso non verrà spiegato né consigliato.

Se puoi utilizzare le VPN, dovresti essere in grado di aggiungere un livello Tor su di esso. E se puoi usare Tor, puoi aggiungere una VPN anonima su Tor per ottenere la soluzione preferita.

Il semplice utilizzo di una VPN o anche di una VPN su VPN non ha senso in quanto è possibile risalire a te nel tempo. Uno dei provider VPN conoscerà il tuo vero IP di origine (anche se si trova in uno spazio pubblico sicuro) e anche se ne aggiungi uno sopra, il secondo saprà comunque che stavi utilizzando l'altro primo servizio VPN. Questo ritarderà solo leggermente la tua de-anonimizzazione. Sì, è un livello aggiunto … ma è un livello aggiunto centralizzato persistente e puoi essere anonimizzato nel tempo. Questo è solo il concatenamento di 3 ISP che sono tutti soggetti a richieste legittime.

Per ulteriori informazioni, consultare i seguenti riferimenti:

Nel contesto di questa guida, Tor è richiesto da qualche parte per ottenere un anonimato ragionevole e sicuro e dovresti usarlo se puoi.

Nessuna VPN/Tor:

Se non puoi utilizzare VPN né Tor dove ti trovi, probabilmente ti trovi in un ambiente molto ostile in cui la sorveglianza e il controllo sono estremamente elevati.

Basta non farlo, non ne vale la pena e troppo rischioso IMHO. Puoi essere reso anonimo quasi istantaneamente da qualsiasi avversario motivato che potrebbe raggiungere la tua posizione fisica in pochi minuti.

Non dimenticare di ricontrollare Avversari (minacce) e Appendice S: controlla la tua rete per sorveglianza/censura usando OONI .

Se non hai assolutamente altre opzioni e vuoi comunque fare qualcosa, consulta l'Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor/VPN non è un'opzione (a tuo rischio) e considera invece il percorso di The Tails .

Conclusione:

Tipo di connessione	Anonimato	Facilità di accesso alle risorse online	Isolamento Tor Stream	Più sicuro dove Tor è sospettoso/pericoloso	Velocità	Costo	Consigliato
Tor da solo	Buona	medio	Possibile	No	medio	Libero	sì
Tor su VPN	Buono+	medio	Possibile	sì	medio	Circa 50€/anno	Se necessario (Tor inaccessibile)
Tor su VPN su Tor	Migliore	medio	Possibile	sì	Povero	Circa 50€/anno	sì
VPN su Tor	Buona-	Buona	No	No	medio	Circa 50€/anno	Se necessario (comodità)
VPN/proxy VPS self-hosted su Tor	Buona-	Molto bene	No	sì	medio	Circa 50€/anno	Se necessario (comodità)
VPN/Proxy su Tor su VPN	Buona-	Buona	No	sì	Povero	Circa 100€/anno	Se necessario (comodità e Tor inaccessibili)
Solo VPN/Proxy	Male	Buona	N / A	sì	Buona	Circa 50€/anno	No.
Niente Tor e VPN	Male	Sconosciuto	N / A	No	Buona	Circa 100€ (Antenna)	No.

Sfortunatamente, l'utilizzo di Tor da solo solleverà il sospetto di piattaforme di molte destinazioni. Incontrerai molti ostacoli (captcha, errori, difficoltà di registrazione) se usi solo Tor. Inoltre, usare Tor dove ti trovi potrebbe metterti nei guai solo per questo. Ma Tor è ancora la migliore soluzione per l'anonimato e deve essere da qualche parte per l'anonimato.

Se intendi creare identità condivise e autenticate persistenti su vari servizi in cui l'accesso da Tor è difficile, ti consiglio le opzioni VPN su Tor e VPS VPN/Proxy su Tor (o VPN su Tor su VPN, se necessario). Potrebbe essere un po' meno sicuro contro gli attacchi di correlazione a causa della rottura dell'isolamento di Tor Stream, ma offre una comodità molto migliore nell'accesso alle risorse online rispetto al semplice utilizzo di Tor. È un compromesso "accettabile" IMHP se stai abbastanza attento con la tua identità.
- Nota: sta diventando sempre più comune che anche i servizi tradizionali e CDNS blocchino o ostacolino gli utenti VPN con captcha e altri vari ostacoli . In tal caso, un VPS self-hosted con una VPN/Proxy su Tor è la soluzione migliore per questo, poiché avere il tuo VPS dedicato ti garantisce di essere l'unico utente del tuo IP e di incontrare pochi o nessun ostacolo. Prendi in considerazione una VPN/proxy self-hosted su un VPS Monero/pagato in contanti (per utenti che hanno più familiarità con Linux) se desideri il minor numero di problemi (questo sarà spiegato nella sezione successiva in maggiori dettagli).
Se invece il tuo intento è solo quello di navigare tra servizi casuali in modo anonimo senza creare identità condivise specifiche, utilizzando servizi tor friendly; o se non vuoi accettare quel compromesso nell'opzione precedente. Quindi consiglio di utilizzare il percorso Tor Only per mantenere tutti i vantaggi di Stream Isolation (o Tor over VPN se necessario).
Se il costo è un problema, raccomando l'opzione Tor Only, se possibile.
Se l'accesso a Tor e VPN è impossibile o pericoloso, non hai altra scelta che affidarti al Wi-Fi pubblico in sicurezza. Vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Per ulteriori informazioni, puoi anche vedere le discussioni qui che potrebbero aiutarti a decidere:

Progetto Tor: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN ^{[Archive.org]}
Documentazione sulle code:
- https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ ^{[Archive.org]}
- https://tails.boum.org/support/faq/index.en.html#index20h2 ^{[Archive.org]}
Documentazione Whonix (in questo ordine):
Alcuni articoli sull'argomento:
- https://www.researchgate.net/publication/324251041_Anonymity_communication_VPN_and_Tor_a_comparative_study ^{[Archive.org]}

Ottenere una VPN/proxy anonimo:

Salta questo passaggio se desideri utilizzare solo Tor.

Vedi Appendice O: Ottenere una VPN/proxy anonimo

Whonix:

Salta questo passaggio se non puoi usare Tor.

Questo percorso utilizzerà la virtualizzazione e Whonix ³⁵⁶ come parte del processo di anonimizzazione. Whonix è una distribuzione Linux composta da due Macchine Virtuali:

La Whonix Workstation (questa è una VM dove puoi condurre attività sensibili)
Il gateway Whonix (questa VM stabilirà una connessione alla rete Tor e indirizzerà tutto il traffico di rete dalla workstation attraverso la rete Tor).

Questa guida proporrà quindi due gusti di questo percorso:

L'unico percorso Whonix in cui tutto il traffico viene instradato attraverso la rete Tor (solo Tor o Tor su VPN).

Un percorso ibrido Whonix in cui tutto il traffico viene instradato tramite una VPN in contanti (preferita)/pagata Monero sulla rete Tor (VPN su Tor o VPN su Tor su VPN).

Sarai in grado di decidere quale sapore usare in base ai miei consigli. Consiglio il secondo come spiegato prima.

Whonix è ben mantenuto e ha una documentazione ampia e incredibilmente dettagliata.

Una nota sugli snapshot di Virtualbox:

Successivamente, creerai ed eseguirai diverse macchine virtuali all'interno di Virtualbox per le tue attività sensibili. Virtualbox fornisce una funzionalità chiamata "Istantanee" ³⁵⁷ che consente di salvare lo stato di una VM in qualsiasi momento. Se per qualsiasi motivo in seguito desideri tornare a quello stato, puoi ripristinare l'istantanea in qualsiasi momento.

Consiglio vivamente di utilizzare questa funzionalità creando uno snapshot dopo l'installazione/l'aggiornamento iniziale di ciascuna VM. Questa istantanea deve essere eseguita prima del suo utilizzo per qualsiasi attività sensibile/anonima.

Ciò ti consentirà di trasformare le tue VM in una sorta di "sistemi operativi live" usa e getta (come Tails discusso in precedenza). Ciò significa che sarai in grado di cancellare tutte le tracce delle tue attività all'interno di una macchina virtuale ripristinando uno snapshot a uno stato precedente. Ovviamente, questo non sarà "buono" come Tails (dove tutto è archiviato in memoria) poiché potrebbero esserci tracce di questa attività lasciate sul tuo disco rigido. Studi forensi hanno dimostrato la capacità di recuperare i dati da una macchina virtuale ripristinata ³⁵⁸ . Fortunatamente, ci saranno modi per rimuovere quelle tracce dopo l'eliminazione o ripristinare uno snapshot precedente. Tali tecniche saranno discusse nella sezione Alcune misure aggiuntive contro la medicina legale di questa guida.

Scarica le utility Virtualbox e Whonix:

Dovresti scaricare alcune cose all'interno del sistema operativo host:

L'ultima versione del programma di installazione di Virtualbox in base al tuo sistema operativo host https://www.virtualbox.org/wiki/Downloads ^{[Archive.org]}
(Salta questo se non puoi usare Tor in modo nativo o tramite una VPN) L'ultimo file Whonix OVA da https://www.whonix.org/wiki/Download ^{[Archive.org]} in base alle tue preferenze (Linux/Windows, con un desktop interfaccia XFCE per semplicità o solo con il client di testo per utenti avanzati)

Questo concluderà i preparativi e ora dovresti essere pronto per iniziare a configurare l'ambiente finale che proteggerà il tuo anonimato online.

Consigli per l'indurimento di Virtualbox:

Per una sicurezza ideale, dovresti seguire i consigli forniti qui per ciascuna macchina virtuale Virtualbox https://www.whonix.org/wiki/Virtualization_Platform_Security#VirtualBox_Hardening ^{[Archive.org]} :

Disabilita l'audio.
Non abilitare le cartelle condivise.
Non abilitare l'accelerazione 2D. Questo è fatto eseguendo il comando seguenteVBoxManage modifyvm "vm-id" --accelerate2dvideo on|off
Non abilitare l'accelerazione 3D.
Non abilitare la porta seriale.
Rimuovere l'unità floppy.
Rimuovere l'unità CD/DVD.
Non abilitare il server di visualizzazione remota.
Abilita PAE/NX (NX è una funzione di sicurezza).
Disabilita la configurazione avanzata e l'interfaccia di alimentazione (ACPI). Questo è fatto eseguendo il comando seguenteVBoxManage modifyvm "vm-id" --acpi on|off
Non collegare dispositivi USB.
Disabilita il controller USB che è abilitato per impostazione predefinita. Impostare il dispositivo di puntamento su "Mouse PS/2" o le modifiche verranno ripristinate.

Infine, segui anche questa raccomandazione per desincronizzare l'orologio della tua VM rispetto al tuo sistema operativo host https://www.whonix.org/wiki/Network_Time_Synchronization#Spoof_the_Initial_Virtual_Hardware_Clock_Offset ^{[Archive.org]}

Questo offset dovrebbe rientrare in un intervallo di 60000 millisecondi e dovrebbe essere diverso per ogni VM e qui ci sono alcuni esempi (che possono essere successivamente applicati a qualsiasi VM):

VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset -35017
VBoxManage modifyvm "Whonix-Gateway-XFCE" --biossystemtimeoffset +27931
VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset -35017
VBoxManage modifyvm "Whonix-Workstation-XFCE" --biossystemtimeoffset +27931

Inoltre, considera l'applicazione di queste mitigazioni da VirtualBox per mitigare le vulnerabilità di Spectre ³⁵⁹ /Meltdown ³⁶⁰ eseguendo questo comando dalla directory del programma VirtualBox. Tutti questi sono descritti qui: https://www.whonix.org/wiki/Spectre_Meltdown ^{[Archive.org]} (tieni presente che possono influire gravemente sulle prestazioni delle tue VM, ma dovrebbero essere fatti per la massima sicurezza).

Infine, considera i consigli sulla sicurezza di Virtualbox stessi qui https://www.virtualbox.org/manual/ch13.html ^{[Archive.org]}

Tor su VPN:

Salta questo passaggio se non intendi utilizzare Tor su VPN e intendi utilizzare Tor o non puoi.

Se intendi utilizzare Tor su VPN per qualsiasi motivo. Devi prima configurare un servizio VPN sul tuo sistema operativo host.

Ricorda che in questo caso ti consiglio di avere due account VPN. Entrambi pagati in contanti/Monero (vedi Appendice O: Ottenere una VPN/Proxy anonimo ). Uno verrà utilizzato nel sistema operativo host per la prima connessione VPN. L'altro potrebbe essere utilizzato nella VM per ottenere VPN su Tor su VPN (Utente > VPN > Tor > VPN).

Se intendi utilizzare Tor su VPN solo, hai bisogno di un solo account VPN.

Per istruzioni, vedere l'Appendice R: Installazione di una VPN sulla macchina virtuale o sul sistema operativo host .

Macchine virtuali Whonix:

Salta questo passaggio se non puoi usare Tor.

Avvia Virtualbox sul tuo sistema operativo host.
Importa il file Whonix in Virtualbox seguendo le istruzioni su https://www.whonix.org/wiki/VirtualBox/XFCE ^{[Archive.org]}
Avvia le macchine virtuali Whonix

Ricorda a questo punto che se riscontri problemi di connessione a Tor a causa della censura o del blocco, dovresti considerare di connetterti utilizzando Bridges come spiegato in questo tutorial https://www.whonix.org/wiki/Bridges ^{[Archive.org]} .

Aggiorna le VM Whonix seguendo le istruzioni su https://www.whonix.org/wiki/Operating_System_Software_and_Updates#Updates ^{[Archive.org]}
Arrestare le macchine virtuali Whonix
Scatta uno snapshot delle VM Whonix aggiornate all'interno di Virtualbox (seleziona una VM e fai clic sul pulsante Take Snapshot). Ne parleremo più avanti.
Vai al passaggio successivo

Nota importante: dovresti anche leggere questi ottimi consigli laggiù https://www.whonix.org/wiki/DoNot ^{[Archive.org]} poiché la maggior parte di questi principi si applicherà anche a questa guida. Dovresti anche leggere la loro documentazione generale qui https://www.whonix.org/wiki/Documentation ^{[Archive.org]} che fornirà anche tonnellate di consigli come questa guida.

Scegli la tua macchina virtuale per la workstation ospite:

L'uso di Whonix/Linux richiederà più competenze da parte tua poiché si tratta di distribuzioni Linux. Incontrerai anche maggiori difficoltà se intendi utilizzare software specifico che potrebbe essere più difficile da usare su Whonix/Linux. Anche la configurazione di una VPN su Tor su Whonix sarà più complicata che su Windows.

Se puoi usare Tor:

Puoi decidere se preferisci condurre le tue attività sensibili dalla Whonix Workstation fornita nella sezione precedente (altamente consigliata) o da una VM personalizzata che utilizzerà il Whonix Gateway come la Whonix Workstation (meno sicura ma potrebbe essere necessaria a seconda di ciò che intende fare).

Se non puoi usare Tor:

Se non puoi utilizzare Tor, puoi utilizzare una VM personalizzata a tua scelta che idealmente utilizzerà una VPN anonima, se possibile, per poi connettersi alla rete Tor. Oppure potresti seguire la strada rischiosa: vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Macchina virtuale Linux (Whonix o Linux):

Whonix Workstation (consigliato e preferito) :

Salta questo passaggio se non puoi usare Tor.

Basta usare la Whonix Workstation VM fornita. È il modo più sicuro e protetto per percorrere questa strada.

È anche l'unica macchina virtuale che fornirà l'isolamento del flusso preconfigurato per la maggior parte delle app per impostazione predefinita ³⁶¹ .

Se desideri software aggiuntivo sulla workstation (come un altro browser), segui la loro guida qui https://www.whonix.org/wiki/Install_Software ^{[Archive.org]}

Prendi in considerazione l'esecuzione di Whonix in modalità live se per una protezione aggiuntiva dal malware, consulta https://www.whonix.org/wiki/Anti-Forensics_Precautions ^{[Archive.org]}

Non dimenticare di applicare i consigli per la protezione avanzata delle macchine virtuali qui: Raccomandazioni per la protezione avanzata di Virtualbox .

Prendi in considerazione l'utilizzo di AppArmor sulle workstation Whonix seguendo questa guida: https://www.whonix.org/wiki/AppArmor ^{[Archive.org]}

Linux (qualsiasi distribuzione):

Fai attenzione, qualsiasi personalizzazione che apporti alle VM guest non Whonix (layout della tastiera, lingua, fuso orario, risoluzione dello schermo o altro) potrebbe essere usata per le impronte digitali delle tue VM in un secondo momento. Vedi https://www.whonix.org/wiki/VM_Fingerprinting ^{[Archive.org]}

Se puoi utilizzare Tor (nativamente o tramite una VPN):

Usa la distribuzione Linux di tua scelta. Consiglierei Ubuntu o Fedora per comodità, ma anche qualsiasi altro funzionerebbe. Assicurati di non abilitare alcuna telemetria.

Fare riferimento a questo tutorial https://www.whonix.org/wiki/Other_Operating_Systems ^{[Archive.org]} per istruzioni dettagliate.

Considerare la protezione avanzata della VM come consigliato in Protezione avanzata di Linux .

Se non puoi usare Tor:

Usa la distribuzione Linux di tua scelta. Consiglierei Ubuntu o Fedora per comodità, ma anche qualsiasi altro funzionerebbe. Assicurati di non abilitare alcuna telemetria. Potresti seguire la strada rischiosa: Vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Scegli un browser all'interno della VM:

Questa volta, consiglierò il browser Brave.

Scopri perché qui: Appendice V: quale browser utilizzare nella tua macchina virtuale guest/macchina virtuale usa e getta

Vedi anche l'Appendice V1: Rafforzamento dei tuoi browser.

Macchina virtuale Windows 10:

Download ISO di Windows 10:

Vai con la VM ufficiale di Windows 10 Pro e rafforzala tu stesso: consulta l' Appendice C: Creazione di supporti di installazione di Windows e segui il percorso ISO.

C'è anche un'altra opzione di cui potresti sentire parlare che è Windows AME (Ameliorated) dal progetto https://ameliorated.info/ ^{[Archive.org]} che è una build speciale di Windows 10 rimossa da tutti i componenti di telemetria/pubblicità e aggiornamento. Non consiglio questa opzione a causa della natura insicura di quella versione priva degli ultimi aggiornamenti/patch e della capacità di aggiornare completamente. Credo che l'idea generale del progetto sia buona, ma è semplicemente troppo insicura/rischiosa e contiene software non necessario scelto dallo sviluppatore.

Se puoi utilizzare Tor (nativamente o tramite una VPN):

Fare riferimento a questo tutorial https://www.whonix.org/wiki/Other_Operating_Systems ^{[Archive.org]} per istruzioni dettagliate.

Installare:

Spegnere la macchina virtuale Whonix Gateway (questo impedirà a Windows di inviare dati di telemetria e consentirà di creare un account locale).
Apri Virtualbox
Seleziona Macchina > Nuovo > Seleziona Windows 10 64 bit
Assegna una quantità minima di 2048 MB ma idealmente 4096 MB se la tua Ram lo consente
Crea un disco virtuale utilizzando il formato VDI e seleziona Allocato dinamicamente
Mantieni la dimensione del disco a 50 GB (questo è un massimo; non dovrebbe raggiungere così tanto)
Seleziona la VM e fai clic su Impostazioni, vai nella scheda Rete
Seleziona "Rete interna" nel campo "Allegato a" e seleziona Whonix.
Vai nella scheda Archiviazione, seleziona il CD vuoto e fai clic sull'icona accanto alla porta SATA 1
Fai clic su "Scegli un file del disco" e seleziona l'ISO di Windows che hai scaricato in precedenza
Fare clic su OK e avviare la VM
Virtualbox ti chiederà di selezionare un disco di avvio (il file ISO), selezionarlo e fare clic su Start
Seguire i passaggi nell'Appendice A: Installazione di Windows
Avvia la macchina virtuale Whonix Gateway

Impostazioni di rete:

Torna in Impostazioni, quindi Rete e Internet
Fare clic su Proprietà (sotto Ethernet)
Modifica impostazioni IP:
Abilita IPv4 e imposta quanto segue:
- Indirizzo IP 10.152.152.50(aumentare questo IP di uno per qualsiasi altra VM)
- Lunghezza prefisso sottorete 18( 255.255.192.0)
- Gateway 10.152.152.10(questo è il Gateway Whonix)
- DNS 10.152.152.10(questo è di nuovo il Whonix Gateway)
- Salva
Windows potrebbe chiederti se vuoi essere "rilevabile" su questa rete. Fare clic su NO.

Ogni volta che accendi questa VM in futuro, assicurati di cambiare il suo indirizzo Mac Ethernet prima di ogni avvio. Puoi farlo in Virtualbox> Impostazioni> Rete> Avanzate> Fai clic sul pulsante di aggiornamento accanto all'indirizzo MAC. Puoi farlo solo mentre la VM è spenta.

Se non puoi usare Tor:

Vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Installare:

Apri Virtualbox
Seleziona Macchina > Nuovo > Seleziona Windows 10 64 bit
Assegna una quantità minima di 2048 MB ma idealmente 4096 MB se la tua Ram lo consente
Crea un disco virtuale utilizzando il formato VDI e seleziona Allocato dinamicamente
Mantieni la dimensione del disco a 50 GB (questo è un massimo; non dovrebbe raggiungere così tanto)
Vai nella scheda Archiviazione, seleziona il CD vuoto e fai clic sull'icona accanto alla porta SATA 1
Fai clic su "Scegli un file del disco" e seleziona l'ISO di Windows che hai scaricato in precedenza
Fare clic su OK e avviare la VM
Virtualbox ti chiederà di selezionare un disco di avvio (il file ISO), selezionarlo e fare clic su Start
Seguire i passaggi nell'Appendice A: Installazione di Windows

Impostazioni di rete:

Windows ti chiederà se vuoi essere "rilevabile" su questa rete. Fare clic su NO.

Scegli un browser all'interno della VM:

Questa volta, consiglierò il browser Brave.

Scopri perché qui: Appendice V: quale browser utilizzare nella tua macchina virtuale guest/macchina virtuale usa e getta

Vedi anche l'Appendice V1: Rafforzamento dei tuoi browser.

Ulteriori impostazioni sulla privacy in Windows 10:

Vedere Appendice B: Impostazioni aggiuntive sulla privacy di Windows

Macchina virtuale Android:

Perché a volte vuoi eseguire anche le app mobili in modo anonimo. Puoi anche configurare una macchina virtuale Android per questo scopo. Come in altri casi, idealmente, questa VM si troverà anche dietro il gateway Whonix per la connettività di rete Tor. Ma questo può anche essere impostato come VPN su Tor su VPN

Se puoi utilizzare Tor (nativamente o tramite una VPN):

Successivamente nelle impostazioni della VM durante la creazione, vai in Rete e seleziona Rete interna, Whonix.

Quindi su Android stesso:

Seleziona Wi-Fi
Seleziona VirtWifi per connetterti
Accedi alle proprietà Wi-Fi avanzate
Passa da DHCP a statico
- Indirizzo IP 10.152.152.50(aumentare questo IP di uno per qualsiasi altra VM)
- Lunghezza prefisso sottorete 18( 255.255.192.0)
- Gateway 10.152.152.10(questo è il Gateway Whonix)
- DNS 10.152.152.10(questo è di nuovo il Whonix Gateway)

Se non puoi usare Tor:

Usa i tutorial così come sono e consulta l'Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Installazione:

Due possibilità: AnBox o Android-x86

AnBox:

Fondamentalmente segui il tutorial qui per installare AnBox sulla workstation Whonix: https://www.whonix.org/wiki/Anbox ^{[Archive.org]} per eseguire applicazioni Android all'interno di una macchina virtuale AnBox.

Oppure segui le istruzioni qui https://anbox.io/ per installare su qualsiasi altra VM (solo Linux)

Android-x86:

Fondamentalmente, segui il tutorial qui: https://www.android-x86.org/documentation/virtualbox.html ^{[Archive.org]}

Scarica il file ISO di tua scelta
Crea una nuova macchina virtuale.
Seleziona Linux e Linux 2.6 / 3.x / 4.x 64 bit.
Nel sistema:
- Assegna almeno 2048 MB (2 GB) di memoria
- Deseleziona l'unità floppy
- Nella scheda Processore, seleziona almeno 1 o più CPU
- Abilita PAE/NX
In Impostazioni schermo, cambia l'adattatore in VBoxVGA
In Impostazioni audio, passa a Intel HD Audio
Avvia la VM
Seleziona Avanzate se vuoi la persistenza, Live se vuoi un Boot usa e getta (e salta i passaggi successivi).
Selezionare Installazione automatica sul disco rigido selezionato
Seleziona Esegui Android
Configura come desideri (disabilita tutte le richieste per la raccolta dei dati). Consiglio di utilizzare la barra delle applicazioni Home.
Vai in Impostazioni, Opzioni Android-x86 e disabilita tutte le raccolte.
Connettiti alla rete Wi-Fi VirtWifi (vedi la sezione sopra se sei dietro Whonix e vuoi usare Tor)

Ora hai finito e ora puoi installare qualsiasi app Android.

Macchina virtuale macOS:

Sì, puoi effettivamente eseguire macOS all'interno di Virtualbox (su sistemi host Windows/Linux/macOS) se desideri utilizzare macOS. Puoi eseguire qualsiasi versione di macOS che desideri.

Se puoi utilizzare Tor (nativamente o tramite una VPN):

Durante le esercitazioni seguenti, prima di avviare la VM macOS, assicurati di inserire le VM macOS sulla rete Whonix.

Seleziona la VM e fai clic su Impostazioni, vai nella scheda Rete
Seleziona "Rete interna" nel campo "Allegato a" e seleziona Whonix

Successivamente, e durante l'installazione, dovrai inserire manualmente un indirizzo IP per connetterti tramite il gateway Whonix.

Usa queste impostazioni quando richiesto nel processo di installazione di macOS:

Indirizzo IP 10.152.152.50(aumentare questo IP di uno per qualsiasi altra VM)
Lunghezza prefisso sottorete 18( 255.255.192.0)
Gateway 10.152.152.10(questo è il Gateway Whonix)
DNS 10.152.152.10(questo è di nuovo il Whonix Gateway)

Se non puoi usare Tor:

Usa i tutorial così come sono e consulta l'Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Installazione:

Sistema operativo host Windows:
- Tutorial di Virtualbox Catalina: https://www.wikigain.com/install-macos-catalina-on-virtualbox-on-windows/ ^{[Archive.org]}
- Tutorial Virtualbox Big Sur: https://www.wikigain.com/how-to-install-macos-big-sur-on-virtualbox-on-windows-pc/ ^{[Archive.org]}
- Tutorial Virtualbox Monterey: https://www.wikigain.com/install-macos-monterey-on-virtualbox/ ^{[Archive.org]}
Sistema operativo host macOS:
- Basta usare gli stessi tutorial di cui sopra ma eseguire i vari comandi nel terminale. Dovrebbe funzionare senza problemi.
Sistema operativo host Linux:
- Basta usare gli stessi tutorial di cui sopra ma eseguire i vari comandi nel terminale. Dovrebbe funzionare senza problemi.

Ci sono alcuni svantaggi nell'esecuzione di macOS su macchine virtuali. Il principale è che non hanno un numero di serie (0 per impostazione predefinita) e non sarai in grado di accedere a nessun servizio fornito da Apple (iCloud, iMessage...) senza un ID autentico. Puoi impostare tali ID utilizzando questo script: https://github.com/myspaghetti/macos-virtualbox ^{[Archive.org]} ma tieni presente che gli ID generati casualmente non funzioneranno e l'utilizzo dell'ID di qualcun altro violerà i loro Termini di Servizi e potrebbero essere considerati furti di identità (e quindi potrebbero essere illegali).

Nota: ho anche riscontrato diversi problemi con l'esecuzione di questi su processori AMD. Questo può essere risolto, quindi ecco la configurazione che ho usato che ha funzionato bene con Catalina, Big Sur e Monterey che dirà a Virtualbox di emulare invece un processore Intel:

VBoxManage modifyvm "macOSCatalina" ---cpuidset 00000001 000106e5 00100800 0098e3fd bfebfbff
VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/efi/0/Config/DmiSystemProduct" "MacBookPro15,1"
VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/efi/0/Config/DmiBoardProduct" "Mac-551B86E5744E2388"
VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/smc/0/Config/DeviceKey" "ourhardworkbythesewordsguardedpleasedontsteal(c)AppleComputerInc"
VBoxManage setextradata "macOSCatalina" "VBoxInternal/Devices/smc/0/Config/GetKeyFromRealSMC" 1
VBoxManage modifyvm "macOSCatalina" --cpu-profile "Intel Core i7-6700K"
VBoxManage setextradata "macOSCatalina" VBoxInternal2/EfiGraphicsResolution 1920x1080

Rafforzamento di macOS:

Fare riferimento a Protezione avanzata di macOS .

Scegli un browser all'interno della VM:

Questa volta, consiglierò il browser Brave.

Scopri perché qui: Appendice V: quale browser utilizzare nella tua macchina virtuale guest/macchina virtuale usa e getta

Vedi anche l'Appendice V1: Rafforzamento dei tuoi browser.

KeepassXC:

Avrai bisogno di qualcosa per archiviare i tuoi dati (accesso/password, identità e informazioni TOTP ³⁶² ).

A tal fine, consiglio vivamente KeePassXC per la sua funzione TOTP integrata. Questa è la possibilità di creare voci per l'autenticazione 2FA ³⁶³ con la funzione di autenticazione.

Ricorda che idealmente dovrebbe essere installato sulla tua macchina virtuale guest e non sul tuo sistema operativo host. Non dovresti mai svolgere attività sensibili dal tuo sistema operativo host.

Ecco i tutorial:

Tails: KeePassXC è integrato per impostazione predefinita
Whonix: https://www.whonix.org/wiki/Keepassxc ^{[Archive.org]}
Linux:
- Scarica da https://keepassxc.org/download/ ^{[Archive.org]}
- Segui il tutorial qui https://keepassxc.org/docs/KeePassXC_GettingStarted.html#_linux ^{[Archive.org]}
Finestre:
- Scarica da https://keepassxc.org/download/ ^{[Archive.org]}
- Segui il tutorial qui https://KeePassXC.org/docs/KeePassXC_GettingStarted.html#_microsoft_windows ^{[Archive.org]}
Mac OS:
- Scarica da https://keepassxc.org/download/ ^{[Archive.org]}
- Segui il tutorial qui https://keepassxc.org/docs/KeePassXC_GettingStarted.html#_macos ^{[Archive.org]}

Verifica che KeePassXC funzioni prima di passare al passaggio successivo.

Installazione client VPN (pagamento in contanti/monero):

Se hai deciso di non utilizzare una VPN pagata in contanti e desideri semplicemente utilizzare Tor, salta questo passaggio.

Se non puoi utilizzare una VPN in un ambiente ostile, salta questo passaggio.

In caso contrario, vedere l'Appendice R: Installazione di una VPN sulla macchina virtuale o sul sistema operativo host per installare un client VPN sulla macchina virtuale client.

Questo dovrebbe concludere il percorso e ora dovresti essere pronto.

Informazioni sul data mining/perdite di dati del client VPN:

Potresti chiederti se quei client VPN sono affidabili per non divulgare alcuna informazione sul tuo ambiente locale al provider VPN quando li utilizzano nel contesto "VPN su Tor".

Questa è una preoccupazione valida, ma dovrebbe essere presa con le pinze.

Ricorda che tutte le attività VPN vengono eseguite da una VM sandbox su una rete interna dietro un gateway di rete (il gateway Whonix). Non importa molto se il client VPN lascia alcuni identificatori sulla tua macchina virtuale guest. La macchina virtuale guest è ancora in modalità sandbox e isolata dal sistema operativo host. La superficie di attacco è IMHO piuttosto piccola soprattutto quando si utilizzano i provider VPN affidabili e consigliati all'interno delle guide (iVPN, Mullvad, ProtonVPN e forse Safing.io).

Nella migliore delle ipotesi, il client VPN conoscerebbe il tuo IP locale (IP interno) e alcuni identificatori casuali ma non dovrebbe essere in grado di ottenere nulla dal sistema operativo host. E in teoria, il client VPN non dovrebbe inviare alcuna telemetria al provider VPN. Se il tuo client VPN fa questo o lo chiede, dovresti considerare di cambiare il provider.

(Facoltativo) Consentire solo alle macchine virtuali di accedere a Internet interrompendo il sistema operativo host per evitare perdite:

Questo passaggio ti consentirà di configurare il tuo sistema operativo host in modo che solo la VM del gateway Whonix abbia accesso a Internet. Ciò impedirà quindi qualsiasi "fuga" dal tuo sistema operativo host lasciando che il gateway Whonix stabilisca la connettività tor. Le altre VM (Whonix Workstation o qualsiasi altra VM installata dietro non saranno interessate)

Ci sono tre modi per farlo:

The Lazy Way (non consigliato): non supportato da Whonix e potrebbe avere alcune implicazioni sulla sicurezza poiché esporrai la VM del gateway Whonix alla rete Wi-Fi pubblica. Consiglierei di non farlo a meno che tu non abbia fretta o sia molto pigro.
- Questo metodo non funziona con i captive portal Wi-Fi che richiedono alcuna registrazione per connettersi.
The Better Way (vedi più in basso): non è ancora supportato da Whonix ma non esporrà la Whonix Gateway VM alla rete Wi-Fi pubblica. Questo dovrebbe tenere le cose sotto controllo in termini di sicurezza.
Il modo migliore: utilizzare un dongle Wi-Fi USB esterno e disabilitare semplicemente il Wi-Fi sul sistema operativo/computer host.

The Lazy Way ( non supportato da Whonix ma funzionerà se hai fretta, vedi oltre per il modo migliore):

In questo modo non è supportato dal progetto Whonix ³⁶⁴ ma andrò avanti e darò comunque questa opzione. IMHO questo è utile per evitare che il tuo sistema operativo host perda informazioni mentre stai utilizzando le macchine virtuali Whonix.

Nota che questa opzione così com'è funzionerà solo su Wi-Fi senza un captive portal (dove devi inserire alcune informazioni per sbloccare l'accesso).

L'illustrazione seguente mostra il risultato di questo passaggio:

Configurazione della VM Whonix Gateway:

Affinché ciò funzioni, dovremo modificare alcune configurazioni sulla VM del gateway Whonix. Dovremo aggiungere un client DHCP al gateway Whonix per ricevere indirizzi IP dalla rete. Per apportare tali modifiche, per il momento il sistema operativo host dovrà comunque disporre dell'accesso a Internet consentito.

Quindi ecco come:

Assicurati di avere il tuo sistema operativo host connesso a un Wi-Fi sicuro.
Tramite VirtualBox, avvia la Whonix Gateway VM
Avvia un terminale sulla VM
Installare un client DHCP sulla macchina virtuale Whonix Gateway utilizzando il comando seguente:
- sudo apt install dhcpcd5
Ora modifica la configurazione di rete della VM di Whonix Gateway utilizzando il comando seguente:
- sudo nano /etc/network/interfaces.d/30_non-qubes-whonix
All'interno del file modificare le seguenti righe:
- # auto eth0aauto eth0
- # iface eth0 inet dhcpaiface eth0 inet dhcp
- iface eth0 inet statica# iface eth0 inet static
- address 10.0.2.15a# address 10.0.2.15
- netmask 255.255.255.0a# netmask 255.255.255.0
- gateway 10.0.2.2a# gateway 10.0.2.2
Salva (usando Ctrl+X e conferma con Y) e spegni la VM dal menu in alto a sinistra
Vai nell'applicazione VirtualBox e seleziona Whonix Gateway VM
Fare clic su Impostazioni
Fare clic sulla scheda Rete
Per Adapter 1, modificare il valore "Attached To" da "NAT" a "Bridged Adapter"
Come "Nome", seleziona il tuo adattatore di rete Wi-Fi
Fare clic su OK e hai finito con la parte di configurazione della VM

Configurazione del sistema operativo host:

Ora dobbiamo bloccare l'accesso a Internet dal tuo sistema operativo host consentendo comunque alla VM di connettersi. Ciò avverrà collegandosi al Wi-Fi con il sistema operativo host ma senza assegnarsi un indirizzo IP. La VM utilizzerà quindi la tua associazione Wi-Fi per ottenere un indirizzo IP.

Sistema operativo host Windows:

L'obiettivo qui è quello di associarsi a una rete Wi-Fi senza avere una connessione Internet. Otterremo questo eliminando il gateway dalla connessione dopo che ti sarai connesso:

Innanzitutto, connettiti al Wi-Fi sicuro di tua scelta
Aprire un prompt dei comandi amministrativo (fare clic con il tasto destro del mouse su Prompt dei comandi ed eseguire come amministratore)
Eseguire il comando seguente: route delete 0.0.0.0(questo elimina il gateway dalla configurazione IP)
Hai finito, il tuo sistema operativo host ora non sarà in grado di accedere a Internet mentre è ancora connesso al Wi-Fi
- Tieni presente che questo verrà ripristinato a ogni disconnessione/riconnessione a una rete e dovrai eliminare nuovamente il percorso. Questo non è permanente.
Ora puoi avviare la Whonix Gateway VM che ora dovrebbe ottenere automaticamente un IP dalla rete Wi-Fi e dovrebbe fornire Network alle altre VM dietro (Whonix Workstation o altro).
E infine, dopodiché, puoi avviare la Whonix Workstation VM (o qualsiasi altra VM che hai configurato per funzionare dietro la Whonix Gateway VM) e dovrebbe essere connessa a Internet tramite Tor.

Sistema operativo host Linux:

L'obiettivo qui è quello di associarsi a una rete Wi-Fi senza avere una connessione Internet. Otterremo questo eliminando il gateway dalla connessione dopo che ti sarai connesso:

Innanzitutto, connettiti al Wi-Fi sicuro di tua scelta
Apri un terminale
Eseguire il comando seguente: sudo ip route del default(questo elimina il gateway dalla configurazione IP)
Hai finito, il tuo sistema operativo host ora non sarà in grado di accedere a Internet mentre è ancora connesso al Wi-Fi
- Tieni presente che questo verrà ripristinato a ogni disconnessione/riconnessione a una rete e dovrai eliminare nuovamente il percorso. Questo non è permanente.
Ora puoi avviare la Whonix Gateway VM che ora dovrebbe ottenere automaticamente un IP dalla rete Wi-Fi e dovrebbe fornire Network alle altre VM dietro (Whonix Workstation o altro).
E infine, dopodiché, puoi avviare la Whonix Workstation VM (o qualsiasi altra VM che hai configurato per funzionare dietro la Whonix Gateway VM) e dovrebbe essere connessa a Internet tramite Tor.

Sistema operativo host macOS:

L'obiettivo qui è quello di associarsi a una rete Wi-Fi senza avere una connessione Internet. Otterremo questo eliminando il gateway dalla connessione dopo che ti sarai connesso:

Innanzitutto, connettiti al Wi-Fi sicuro di tua scelta
Apri un terminale
Eseguire il comando seguente: sudo route delete default(questo elimina il gateway dalla configurazione IP)
Hai finito, il tuo sistema operativo host ora non sarà in grado di accedere a Internet mentre è ancora connesso al Wi-Fi
- Tieni presente che questo verrà ripristinato a ogni disconnessione/riconnessione a una rete e dovrai eliminare nuovamente il percorso. Questo non è permanente.
Ora puoi avviare la Whonix Gateway VM che ora dovrebbe ottenere automaticamente un IP dalla rete Wi-Fi e dovrebbe fornire Network alle altre VM dietro (Whonix Workstation o altro).
E infine, dopodiché, puoi avviare la Whonix Workstation VM (o qualsiasi altra VM che hai configurato per funzionare dietro la Whonix Gateway VM) e dovrebbe essere connessa a Internet tramite Tor.

Il modo migliore (consigliato):

Tuttavia, questo non sarà ancora supportato dal progetto Whonix, ma va bene poiché la preoccupazione principale per il precedente Lazy Way è avere la VM del gateway Whonix esposta alla rete host, e non sarà il caso qui.

Questa opzione richiederà una macchina virtuale aggiuntiva tra il sistema operativo host e il gateway Whonix per fungere da bridge di rete.

A questo scopo, raccomanderò l'uso di una distribuzione Linux leggera. Qualsiasi cosa andrà bene, ma l'IMHO più semplice sarà una distribuzione basata su Ubuntu e consiglierei il leggero XUbuntu poiché sarà estremamente facile configurare questa configurazione.

Perché XUbuntu e non Ubuntu o KUbuntu? Perché XUbuntu utilizza un ambiente desktop XFCE che è leggero e questa VM fungerà solo da proxy e nient'altro.

Naturalmente, puoi ottenere questo risultato anche con qualsiasi altra distribuzione Linux se decidi che non ti piace XUbuntu.

Ecco come apparirà alla fine:

Installazione di XUbuntu VM:

Assicurati di essere connesso a un Wi-Fi sicuro per questa operazione.

Innanzitutto, dovrai scaricare l'ultima versione ISO di XUbuntu Stable da https://xubuntu.org/download/

Al termine del download, è il momento di creare una nuova VM:

Avvia VirtualBox Manager
Crea una nuova VM e chiamala come vuoi, ad esempio "XUbuntu Bridge"
Seleziona il tipo "Linux"
Seleziona la versione "Ubuntu (64-bit)"
Lascia le altre opzioni predefinite e fai clic su Crea
Nella schermata successiva, lascia le opzioni predefinite e fai clic su Crea
Seleziona la macchina virtuale appena creata e fai clic su Impostazioni
Seleziona rete
Per l'adattatore 1, passa alla modalità bridge e scegli l'adattatore Wi-Fi nel nome
Seleziona l'adattatore 2 e abilitalo
Allegalo a "Rete interna" e chiamalo "XUbuntu Bridge"
Seleziona Archiviazione
Seleziona l'unità CD vuota
Sul lato destro, fai clic sull'icona del CD e seleziona "Scegli un file del disco"
Seleziona l'ISO di XUbuntu che hai scaricato in precedenza e fai clic su OK
Avvia la VM
Seleziona Avvia XUbuntu
Seleziona Installa XUbuntu
Scegli il layout della tastiera e fai clic su Continua
Seleziona Installazione minima e Scarica aggiornamenti durante l'installazione di XUbuntu
Seleziona Cancella disco e installa XUbuntu e fai clic su Installa ora
Seleziona il fuso orario che preferisci e fai clic su Continua
Scegli alcuni nomi casuali non correlati a te (il mio nome utente preferito è "NoSuchAccount")
Scegli una password e richiedi una password per accedere
Fare clic su Continua e attendere il completamento dell'installazione e il riavvio
Al termine del riavvio, effettuare il login
Fare clic sull'icona di connessione in alto a destra (sembra due sfere rotanti)
Fare clic su Modifica connessioni
Seleziona Wired Connection 2 (Adattatore 2 precedentemente configurato nelle impostazioni di VirtualBox)
Seleziona la scheda IPv4
Modifica il metodo in "Condiviso su altri computer" e fai clic su Salva
Ora hai finito di configurare XUbuntu Bridge VM

Configurazione della VM del gateway Whonix:

Per impostazione predefinita, il gateway Whonix non ha client DHCP e ne richiederà uno per ottenere un IP da una rete condivisa configurata in precedenza:

Tramite VirtualBox, avvia la Whonix Gateway VM
Avvia un terminale sulla VM
Installare un client DHCP sulla macchina virtuale Whonix Gateway utilizzando il comando seguente:
- sudo apt install dhcpcd5
Ora modifica la configurazione di rete della VM di Whonix Gateway utilizzando il comando seguente:
- sudo nano /etc/network/interfaces.d/30_non-qubes-whonix
All'interno del file modificare le seguenti righe:
- # auto eth0aauto eth0
- # iface eth0 inet dhcpaiface eth0 inet dhcp
- iface eth0 inet statica# iface eth0 inet static
- address 10.0.2.15a# address 10.0.2.15
- netmask 255.255.255.0a# netmask 255.255.255.0
- gateway 10.0.2.2a# gateway 10.0.2.2
Salva (usando Ctrl+X e conferma con Y) e spegni la VM dal menu in alto a sinistra
Vai nell'applicazione VirtualBox e seleziona Whonix Gateway VM
Fare clic su Impostazioni
Fare clic sulla scheda Rete
Per l'adattatore 1, modificare il valore "Attached To" da "NAT" a "Rete interna"
Come "Nome", seleziona la rete interna "XUbuntu Bridge" che hai creato in precedenza e fai clic su OK
Riavvia la macchina virtuale Whonix Gateway
Dal menu in alto a sinistra, seleziona Sistema, Pannello di controllo Tor e verifica di essere connesso (dovresti esserlo)
Hai finito di configurare la Whonix Gateway VM

Configurazione del sistema operativo host:

Ora dobbiamo bloccare l'accesso a Internet dal tuo sistema operativo host pur consentendo la connessione di XUbuntu Bridge VM. Ciò avverrà collegandosi al Wi-Fi con il sistema operativo host ma senza assegnarsi un indirizzo gateway. La VM utilizzerà quindi la tua associazione Wi-Fi per ottenere un indirizzo IP.

Se necessario, da XUbuntu Bridge VM, sarai in grado di avviare un browser per inserire informazioni in qualsiasi portale di captive/registrazione sulla rete Wi-Fi.

Solo XUbuntu Bridge VM dovrebbe essere in grado di accedere a Internet. Il sistema operativo host sarà limitato al solo traffico locale.

Sistema operativo host Windows:

L'obiettivo qui è quello di associarsi a una rete Wi-Fi senza avere una connessione Internet. Otterremo questo eliminando il gateway dalla connessione dopo che ti sarai connesso:

Innanzitutto, connettiti al Wi-Fi sicuro di tua scelta
Aprire un prompt dei comandi amministrativo (fare clic con il tasto destro del mouse su Prompt dei comandi ed eseguire come amministratore)
Eseguire il comando seguente: route delete 0.0.0.0(questo elimina il gateway dalla configurazione IP)
Hai finito, il tuo sistema operativo host ora non sarà in grado di accedere a Internet mentre è ancora connesso al Wi-Fi
- Tieni presente che questo verrà ripristinato a ogni disconnessione/riconnessione a una rete e dovrai eliminare nuovamente il percorso. Questo non è permanente.
Ora puoi avviare XUbuntu Bridge VM che ora dovrebbe ottenere automaticamente un IP dalla rete Wi-Fi e dovrebbe fornire Network alle altre VM dietro (Whonix Workstation o altro).
Se necessario, puoi utilizzare il browser XUbuntu Bridge VM per inserire qualsiasi informazione su qualsiasi captive/portale di registrazione per accedere al Wi-Fi.
Successivamente, puoi avviare la Whonix Gateway VM che dovrebbe ottenere la connessione Internet dalla XUbuntu Bridge VM.
E infine, dopodiché, puoi avviare la Whonix Workstation VM (o qualsiasi altra VM che hai configurato per funzionare dietro la Whonix Gateway VM) e dovrebbe essere connessa a Internet tramite Tor.

Sistema operativo host Linux:

L'obiettivo qui è quello di associarsi a una rete Wi-Fi senza avere una connessione Internet. Otterremo questo eliminando il gateway dalla connessione dopo che ti sarai connesso:

Innanzitutto, connettiti al Wi-Fi sicuro di tua scelta
Apri un terminale
Eseguire il comando seguente: sudo ip route del default(questo elimina il gateway dalla configurazione IP)
Hai finito, il tuo sistema operativo host ora non sarà in grado di accedere a Internet mentre è ancora connesso al Wi-Fi
- Tieni presente che questo verrà ripristinato a ogni disconnessione/riconnessione a una rete e dovrai eliminare nuovamente il percorso. Questo non è permanente.
Ora puoi avviare XUbuntu Bridge VM che ora dovrebbe ottenere automaticamente un IP dalla rete Wi-Fi e dovrebbe fornire Network alle altre VM dietro (Whonix Workstation o altro).
Se necessario, puoi utilizzare il browser XUbuntu Bridge VM per inserire qualsiasi informazione su qualsiasi captive/portale di registrazione per accedere al Wi-Fi.
Successivamente, puoi avviare la Whonix Gateway VM che dovrebbe ottenere la connessione Internet dalla XUbuntu Bridge VM.
E infine, dopodiché, puoi avviare la Whonix Workstation VM (o qualsiasi altra VM che hai configurato per funzionare dietro la Whonix Gateway VM) e dovrebbe essere connessa a Internet tramite Tor.

Sistema operativo host macOS:

L'obiettivo qui è quello di associarsi a una rete Wi-Fi senza avere una connessione Internet. Otterremo questo eliminando il gateway dalla connessione dopo che ti sarai connesso:

Innanzitutto, connettiti al Wi-Fi sicuro di tua scelta
Apri un terminale
Eseguire il comando seguente: sudo route delete default(questo elimina il gateway dalla configurazione IP)
Hai finito, il tuo sistema operativo host ora non sarà in grado di accedere a Internet mentre è ancora connesso al Wi-Fi
- Tieni presente che questo verrà ripristinato a ogni disconnessione/riconnessione a una rete e dovrai eliminare nuovamente il percorso. Questo non è permanente.
Ora puoi avviare XUbuntu Bridge VM che ora dovrebbe ottenere automaticamente un IP dalla rete Wi-Fi e dovrebbe fornire Network alle altre VM dietro (Whonix Workstation o altro).
Se necessario, puoi utilizzare il browser XUbuntu Bridge VM per inserire qualsiasi informazione su qualsiasi captive/portale di registrazione per accedere al Wi-Fi.
Successivamente, puoi avviare la Whonix Gateway VM che dovrebbe ottenere la connessione Internet dalla XUbuntu Bridge VM.
E infine, dopodiché, puoi avviare la Whonix Workstation VM (o qualsiasi altra VM che hai configurato per funzionare dietro la Whonix Gateway VM) e dovrebbe essere connessa a Internet tramite Tor.

Il modo migliore:

In questo modo non andrà contro le raccomandazioni di Whonix (in quanto non esporrà il Whonix Gateway al sistema operativo Host) e avrà il vantaggio di consentire connessioni non solo per aprire Wi-Fi ma anche a quelle con un Captive Portal dove è necessario inserire alcune informazioni per accedere a Internet. Tuttavia, questo non sarà ancora supportato dal progetto Whonix, ma va bene poiché la preoccupazione principale per il precedente Lazy Way è avere la VM del gateway Whonix esposta alla rete host, e non sarà il caso qui. Questa opzione è la migliore perché la rete verrà completamente disabilitata sul sistema operativo host dall'avvio.

Questa opzione richiederà una macchina virtuale aggiuntiva tra il sistema operativo host e il gateway Whonix per fungere da bridge di rete e connettersi alla rete Wi-Fi. Questa opzione richiede un dongle Wi-Fi USB funzionante che verrà passato a una VM bridge.

Perché XUbuntu e non Ubuntu o KUbuntu? Perché XUbuntu utilizza un ambiente desktop XFCE che è leggero e questa VM fungerà solo da proxy e nient'altro.

Naturalmente, puoi ottenere questo risultato anche con qualsiasi altra distribuzione Linux se decidi che non ti piace XUbuntu.

Ecco come apparirà alla fine:

Configurazione del sistema operativo host:

Disattiva completamente la rete sul tuo sistema operativo host (disattiva completamente il Wi-Fi integrato)
Collega e installa il tuo dongle Wi-Fi USB. Collegalo a un Wi-Fi pubblico sicuro. Questo dovrebbe essere facile e installato automaticamente da qualsiasi sistema operativo recente (Windows 10, macOS, Linux).

Configurazione della VM del gateway Whonix:

Per impostazione predefinita, il gateway Whonix non ha client DHCP e ne richiederà uno per ottenere un IP da una rete condivisa che configurerai in seguito, su una VM Bridge:

Tramite VirtualBox, avvia la Whonix Gateway VM
Avvia un terminale sulla VM
Installare un client DHCP sulla macchina virtuale Whonix Gateway utilizzando il comando seguente:
- sudo apt install dhcpcd5
Ora modifica la configurazione di rete della VM di Whonix Gateway utilizzando il comando seguente:
- sudo nano /etc/network/interfaces.d/30_non-qubes-whonix
All'interno del file modificare le seguenti righe:
- # auto eth0aauto eth0
- # iface eth0 inet dhcpaiface eth0 inet dhcp
- iface eth0 inet statica# iface eth0 inet static
- address 10.0.2.15a# address 10.0.2.15
- netmask 255.255.255.0a# netmask 255.255.255.0
- gateway 10.0.2.2a# gateway 10.0.2.2
Salva (usando Ctrl+X e conferma con Y) e spegni la VM dal menu in alto a sinistra

Installazione di XUbuntu VM:

Assicurati di essere connesso a un Wi-Fi sicuro per questa operazione.

Innanzitutto, dovrai scaricare l'ultima versione ISO di XUbuntu Stable da https://xubuntu.org/download/

Al termine del download, è il momento di creare una nuova VM:

Scollega il tuo sistema operativo host dal Wi-Fi a cui ti sei connesso in precedenza con il dongle e dimentica la rete.
Avvia VirtualBox Manager
Crea una nuova VM e chiamala come vuoi, ad esempio "XUbuntu Bridge"
Seleziona il tipo "Linux"
Seleziona la versione "Ubuntu (64-bit)"
Lascia le altre opzioni predefinite e fai clic su Crea
Nella schermata successiva, lascia le opzioni predefinite e fai clic su Crea
Seleziona la macchina virtuale appena creata e fai clic su Impostazioni
Seleziona rete
Per l'adattatore 1, collegalo a "Rete interna" e chiamalo "XUbuntu Bridge"
Seleziona Archiviazione
Seleziona l'unità CD vuota
Sul lato destro, fai clic sull'icona del CD e seleziona "Scegli un file del disco"
Seleziona l'ISO di XUbuntu che hai scaricato in precedenza e fai clic su OK
Seleziona la scheda USB
Sul lato destro, fai clic sull'icona USB con un segno + (il secondo dall'alto)
Seleziona il dongle dell'adattatore Wi-Fi dall'elenco e assicurati che sia selezionato (lascia le opzioni USB predefinite)
Avvia la VM
Seleziona Avvia XUbuntu
Seleziona Installa XUbuntu
Scegli il layout della tastiera e fai clic su Continua
Selezionare Installazione minima e non selezionare Scarica aggiornamenti durante l'opzione di installazione
Seleziona Cancella disco e installa XUbuntu e fai clic su Installa ora
Seleziona il fuso orario che preferisci e fai clic su Continua
Scegli alcuni nomi casuali non correlati a te (il mio nome utente preferito è "NoSuchAccount")
Scegli una password e richiedi una password per accedere
Fare clic su Continua e attendere il completamento dell'installazione e il riavvio
Al termine del riavvio, effettuare il login
Fare clic sull'icona di connessione in alto a destra (sembra due sfere rotanti)
Fare clic su Modifica connessioni
Seleziona Connessione cablata 1 (normalmente dovrebbe essercene solo una)
Seleziona la scheda IPv4
Modifica il metodo in "Condiviso su altri computer" e fai clic su Salva
Ancora una volta, fai clic sull'icona di connessione in alto a destra
Collegati al Wi-Fi sicuro di tua scelta e, se necessario, inserisci le informazioni necessarie in un Captive Portal.
Ora hai finito di configurare XUbuntu Bridge VM

A questo punto, il tuo sistema operativo host non dovrebbe avere alcuna rete e la tua macchina virtuale XUbuntu dovrebbe avere una connessione Wi-Fi completamente funzionante e questa connessione Wi-Fi sarà condivisa con la rete interna "XUbuntu Bridge".

Configurazione aggiuntiva della Whonix Gateway VM:

Ora è il momento di configurare la Whonix Gateway VM per ottenere l'accesso dalla rete condivisa dalla VM bridge appena creata nel passaggio precedente:

Vai nell'applicazione VirtualBox e seleziona Whonix Gateway VM
Fare clic su Impostazioni
Fare clic sulla scheda Rete
Per l'adattatore 1, modificare il valore "Attached To" da "NAT" a "Rete interna"
Come "Nome", seleziona la rete interna "XUbuntu Bridge" che hai creato in precedenza e fai clic su OK
Riavvia la macchina virtuale Whonix Gateway
Dal menu in alto a sinistra, seleziona Sistema, Pannello di controllo Tor e verifica di essere connesso (dovresti esserlo)
Hai finito di configurare la Whonix Gateway VM

A questo punto, la tua Whonix Gateway VM dovrebbe ottenere l'accesso a Internet dalla XUbuntu Bridge VM che a sua volta ottiene l'accesso a Internet dal Wi-Fi Dongle e lo condivide. Il tuo sistema operativo host non dovrebbe avere alcuna connettività di rete.

Tutte le macchine virtuali dietro il gateway Whonix ora dovrebbero funzionare correttamente senza configurazione aggiuntiva.

Passo finale:

Fai uno snapshot di VirtualBox post-installazione delle tue VM.

Hai finito e ora puoi saltare il resto per andare alla parte Ottenere online .

Il percorso di Qubes:

Nota che mentre questo percorso è scritto per Qubes OS 4.0.x, dovrebbe funzionare anche con Qubes OS 4.1.x ma non è stato ancora testato. La guida verrà aggiornata quando verrà rilasciato Qubes OS 4.1 (ora nella fase Release Candidate 3 al momento della stesura di questo articolo).

Come si dice sul loro sito Web, Qubes OS è un sistema operativo ragionevolmente sicuro, gratuito, open source e orientato alla sicurezza per il desktop computing per utente singolo. Il sistema operativo Qubes sfrutta e utilizza ampiamente la virtualizzazione basata su Xen per consentire la creazione e la gestione di compartimenti isolati chiamati Qubes.

Qubes OS non è una distribuzione Linux ³⁶⁵ ma una distribuzione Xen. È diverso dalle distribuzioni Linux perché farà ampio uso di virtualizzazione e compartimentazione in modo che qualsiasi app venga eseguita in una VM diversa (Qube). Come bonus, Qubes OS integra Whonix per impostazione predefinita e consente una maggiore privacy e anonimato. Si consiglia vivamente di documentarsi sui principi del sistema operativo Qubes prima di intraprendere questa strada. Ecco alcune risorse consigliate:

Introduzione al sistema operativo Qubes, https://www.qubes-os.org/intro/ ^{[Archive.org]}
Tour video del sistema operativo Qubes, https://www.qubes-os.org/video-tours/ ^{[Archive.org]}
Introduzione al sistema operativo Qubes, https://www.qubes-os.org/doc/getting-started/ ^{[Archive.org]}
YouTube, Life Behind the Tinfoil: Uno sguardo a Qubes e Copperhead - Konstantin Ryabitsev, The Linux Foundation https://www.youtube.com/watch?v=8cU4hQg6GvU ^[Invidious]
YouTube, ho usato il sistema operativo Qubes ragionevolmente sicuro per 6 mesi e sono sopravvissuto - Matty McFatty [@themattymcfatty] https://www.youtube.com/watch?v=sbN5Bz3v-uA ^[Invidious]
YouTube, sistema operativo Qubes: come funziona e una demo di questo sistema operativo incentrato sulle macchine virtuali https://www.youtube.com/watch?v=YPAvoFsvSbg ^[Invidious]

Questo sistema operativo è consigliato da figure di spicco come Edward Snowden, PrivacyGuides.org.

Qubes è l'opzione migliore in questa guida per le persone che si sentono più a proprio agio con Linux e la tecnologia in generale. Ma ha alcuni aspetti negativi come la mancanza di una negabilità plausibile a livello di sistema operativo, i suoi requisiti hardware e la sua compatibilità hardware. Sebbene sia possibile eseguirlo su 4 GB di RAM secondo i loro requisiti ³⁶⁶ , la RAM consigliata è 16 GB. Consiglierei di non utilizzare Qubes OS se hai meno di 8 GB di RAM. Se vuoi un'esperienza confortevole, dovresti avere 16 GB, se vuoi un'esperienza particolarmente piacevole, dovresti avere 24 GB o 32 GB.

Il motivo di questo requisito di RAM è che ogni app verrà eseguita in una VM diversa e ciascuna di queste VM richiederà e allocherà una certa quantità di memoria che non sarà disponibile per altre app. Se esegui app Windows native all'interno di Qubes OS Qubes, il sovraccarico della ram sarà significativo.

Dovresti anche verificare la loro compatibilità hardware qui https://www.qubes-os.org/hcl/ ^{[Archive.org]} prima di procedere. Il tuo chilometraggio potrebbe variare e potresti riscontrare diversi problemi sulla compatibilità hardware che dovrai risolvere e risolvere da solo.

Penso che se te lo puoi permettere e sei a tuo agio con l'idea di usare Linux, dovresti seguire questa strada poiché è probabilmente la migliore in termini di sicurezza e privacy. L'unico svantaggio di questo percorso è che non fornisce un modo per abilitare la negazione plausibile a livello di sistema operativo ²⁹⁷ , a differenza del percorso Whonix.

Scegli il tuo metodo di connettività:

Ci sono sette possibilità all'interno di questo percorso:

Consigliato e preferito:
- Usa Tor da solo (Utente > Tor > Internet)
- Usa VPN su Tor (Utente > Tor > VPN > Internet) in casi specifici
- Utilizzare un VPS con una VPN/proxy self-hosted su Tor (Utente > Tor > VPN/Proxy self-hosted > Internet) in casi specifici
Possibile se richiesto dal contesto:
- Usa VPN su Tor su VPN (Utente > VPN > Tor > VPN > Internet)
- Usa Tor su VPN (Utente > VPN > Tor > Internet)
Sconsigliato e rischioso:
- Usa VPN da solo (Utente > VPN > Internet)
- Usa VPN su VPN (Utente > VPN > VPN > Internet)
Non consigliato e altamente rischioso (ma possibile)
- Niente VPN e niente Tor (Utente > Internet)

Solo Tor:

Questa è la soluzione preferita e più consigliata.

Con questa soluzione, tutta la tua rete passa attraverso Tor e dovrebbe essere sufficiente per garantire il tuo anonimato nella maggior parte dei casi.

C'è uno svantaggio principale però: alcuni servizi bloccano/bancano i nodi Tor Exit a titolo definitivo e non consentiranno la creazione di account da quelli.

Per mitigare questo, potresti dover considerare l'opzione successiva: VPN su Tor, ma considera alcuni rischi associati spiegati nella prossima sezione.

VPN/Proxy su Tor:

Questa soluzione può essere raggiunta in due modi:

VPN a pagamento su Tor (il più semplice)
VPS self-hosted a pagamento configurato come VPN/Proxy (il più efficiente nell'evitare ostacoli online come i captcha ma richiede più competenze con Linux)

Come puoi vedere in questa illustrazione, se il tuo denaro (preferito)/VPN/Proxy pagato con Monero è compromesso da un avversario (nonostante la sua dichiarazione sulla privacy e le politiche di non registrazione), troverà solo un account VPN anonimo pagato in contanti/Monero che si connette ai loro servizi da un nodo Tor Exit.

Se un avversario riesce in qualche modo a compromettere anche la rete Tor, rivelerà solo l'IP di un Wi-Fi pubblico casuale che non è legato alla tua identità.

Questa soluzione ha tuttavia uno svantaggio principale da considerare: Interferenza con Tor Stream Isolation ³⁶⁷ .

(Illustrazione di Marcelo Martins, https://stakey.club/en/decred-via-tor-network/ ^{[Archive.org]} )

VPN/Proxy su Tor cade sul lato destro ³⁶⁸ , il che significa che l'utilizzo di una VPN/Proxy su Tor costringe Tor a utilizzare un circuito per tutte le attività invece di più circuiti per ciascuna. Ciò significa che l'utilizzo di una VPN/Proxy su Tor può ridurre l'efficacia di Tor in alcuni casi e dovrebbe quindi essere utilizzato solo per alcuni casi specifici:

Quando il tuo servizio di destinazione non consente nodi Tor Exit.
Quando non ti dispiace usare un circuito Tor condiviso per vari servizi. Ad esempio per l'utilizzo di vari servizi autenticati.

Maggiori informazioni su:

Tor su VPN:

Ti starai chiedendo: beh, che ne dici di usare Tor su VPN invece di VPN su Tor? Beh, non lo farei necessariamente:

Svantaggi
- Il tuo provider VPN è solo un altro ISP che conoscerà quindi il tuo IP di origine e sarà in grado di renderti anonimo se necessario. Non ci fidiamo di loro. Preferisci una situazione in cui il tuo provider VPN non sa chi sei. Non aggiunge molto in termini di anonimato.
- Ciò comporterebbe la connessione a vari servizi utilizzando l'IP di un Tor Exit Node che è bandito/contrassegnato in molti luoghi. Non aiuta in termini di convenienza.
vantaggi:
- Il vantaggio principale è che se ti trovi in un ambiente ostile in cui l'accesso a Tor è impossibile/pericoloso/sospetto, ma VPN va bene.
- Anche questo metodo non interrompe l'isolamento di Tor Stream.

Nota, se riscontri problemi di accesso alla rete Tor a causa di blocco/censura, puoi provare a utilizzare Tor Bridges (vedi Documentazione Tor https://2019.www.torproject.org/docs/bridges ^{[Archive.org]} e Whonix Documentazione https://www.whonix.org/wiki/Bridges ^{[Archive.org]} ).

Questo ovviamente avrà un impatto significativo sulle prestazioni e potrebbe essere piuttosto lento, ma Tor è necessario da qualche parte per raggiungere un ragionevole anonimato.

Solo VPN:

Questo percorso non verrà spiegato né consigliato.

Se puoi utilizzare le VPN, dovresti essere in grado di aggiungere un livello Tor su di esso. E se puoi usare Tor, puoi aggiungere una VPN anonima su Tor per ottenere la soluzione preferita.

Per ulteriori informazioni, consultare i seguenti riferimenti:

Nel contesto di questa guida, Tor è richiesto da qualche parte per ottenere un anonimato ragionevole e sicuro e dovresti usarlo se puoi.

Nessuna VPN/Tor:

Se non puoi utilizzare VPN né Tor dove ti trovi, probabilmente ti trovi in un ambiente molto ostile in cui la sorveglianza e il controllo sono estremamente elevati.

Non dimenticare di ricontrollare Avversari (minacce) e Appendice S: controlla la tua rete per sorveglianza/censura usando OONI .

Se non hai assolutamente altre opzioni e vuoi comunque fare qualcosa, consulta l'Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor/VPN non è un'opzione (a tuo rischio).

Conclusione:

Tipo di connessione	Anonimato	Facilità di accesso alle risorse online	Isolamento Tor Stream	Più sicuro dove Tor è sospettoso/pericoloso	Velocità	Costo	Consigliato
Tor da solo	Buona	medio	Possibile	No	medio	Libero	sì
Tor su VPN	Buono+	medio	Possibile	sì	medio	Circa 50€/anno	Se necessario (Tor inaccessibile)
Tor su VPN su Tor	Migliore	medio	Possibile	sì	Povero	Circa 50€/anno	sì
VPN su Tor	Buona-	Buona	No	No	medio	Circa 50€/anno	Se necessario (comodità)
VPN/proxy VPS self-hosted su Tor	Buona-	Molto bene	No	No	medio	Circa 50€/anno	Se necessario (comodità)
VPN/Proxy su Tor su VPN	Buona-	Buona	No	sì	Povero	Circa 100€/anno	Se necessario (comodità e Tor inaccessibili)
Solo VPN/Proxy	Male	Buona	N / A	sì	Buona	Circa 50€/anno	No
Niente Tor e VPN	Male	Sconosciuto	N / A	No	Buona	Circa 100€ (Antenna)	No. A proprio rischio.

Sfortunatamente, l'utilizzo di Tor da solo solleverà il sospetto di piattaforme di molte destinazioni. Incontrerai molti ostacoli (captcha, errori, difficoltà di registrazione) se usi solo Tor. Inoltre, usare Tor dove ti trovi potrebbe metterti nei guai solo per questo. Ma Tor rimane la migliore soluzione per l'anonimato e deve essere da qualche parte per l'anonimato.

Se intendi creare identità condivise e autenticate persistenti su vari servizi in cui l'accesso da Tor è difficile, ti consiglio le opzioni VPN su Tor e VPS VPN/Proxy su Tor (o VPN su Tor su VPN, se necessario). Potrebbe essere un po' meno sicuro contro gli attacchi di correlazione a causa della rottura dell'isolamento di Tor Stream, ma offre una comodità molto migliore nell'accesso alle risorse online rispetto al semplice utilizzo di Tor. È un compromesso "accettabile" IMHP se stai abbastanza attento con la tua identità.
- Nota: sta diventando sempre più comune che anche i servizi tradizionali e CDNS blocchino o ostacolino gli utenti VPN con captcha e altri vari ostacoli . In tal caso, un VPS self-hosted con una VPN/Proxy su Tor è la soluzione migliore per questo, poiché avere il tuo VPS dedicato ti garantisce di essere l'unico utente del tuo IP e di incontrare pochi o nessun ostacolo. Prendi in considerazione una VPN/proxy self-hosted su un VPS Monero/pagato in contanti (per utenti che hanno più familiarità con Linux) se desideri il minor numero di problemi (questo sarà spiegato nella sezione successiva in maggiori dettagli).
Se invece il tuo intento è solo quello di navigare tra servizi casuali in modo anonimo senza creare identità condivise specifiche, utilizzando servizi tor friendly; o se non vuoi accettare quel compromesso nell'opzione precedente. Quindi consiglio di utilizzare il percorso Tor Only per mantenere tutti i vantaggi di Stream Isolation (o Tor over VPN se necessario).
Se il costo è un problema, raccomando l'opzione Tor Only, se possibile.
Se l'accesso a Tor e VPN è impossibile o pericoloso, non hai altra scelta che affidarti al Wi-Fi pubblico in sicurezza. Vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Per ulteriori informazioni, puoi anche vedere le discussioni qui che potrebbero aiutarti a decidere:

Progetto Tor: https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN ^{[Archive.org]}
Documentazione sulle code:
- https://gitlab.tails.boum.org/tails/blueprints/-/wikis/vpn_support/ ^{[Archive.org]}
- https://tails.boum.org/support/faq/index.en.html#index20h2 ^{[Archive.org]}
Documentazione Whonix (in questo ordine):
Alcuni articoli sull'argomento:
- https://www.researchgate.net/publication/324251041_Anonymity_communication_VPN_and_Tor_a_comparative_study ^{[Archive.org]}

Ottenere una VPN/proxy anonimo:

Salta questo passaggio se desideri utilizzare solo Tor o la VPN non è un'opzione.

Vedi Appendice O: Ottenere una VPN/proxy anonimo

Nota sulla negazione plausibile:

Il sistema operativo Qubes utilizza LUKS per la crittografia dell'intero disco ed è tecnicamente possibile ottenere una forma di negabilità utilizzando intestazioni LUKS separate. Questo non è ancora integrato in questa guida, ma troverai un tutorial su come ottenerlo qui: http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/post/af76301c21e1b4a33851 e alcune altre informazioni di base nella sezione del sistema operativo host Linux (vedi Nota sulla negazione plausibile su Linux ).

Installazione:

Seguiremo le istruzioni della loro guida https://www.qubes-os.org/doc/installation-guide/ ^{[Archive.org]} :

(Secure Boot non è supportato secondo le loro FAQ: https://www.qubes-os.org/faq/#is-secure-boot-supported ^{[Archive.org]} quindi dovrebbe essere disabilitato nelle impostazioni BIOS/UEFI. )

Scarica l'ultima ISO di installazione di Qubes OS 4.0.x in base all'elenco di compatibilità hardware.
Prepara una chiavetta USB con il file ISO di Qubes OS
Installa Qubes OS in base alla guida all'installazione:
- Se desideri utilizzare Tor o VPN su Tor: controlla " Abilitazione degli aggiornamenti di sistema e modelli sulla rete anonima di Tor utilizzando Whonix" durante l'ultimo passaggio. Ciò forzerà tutti gli aggiornamenti del sistema operativo Qubes a passare attraverso Tor. Sebbene ciò riduca significativamente la velocità di aggiornamento, aumenterà il tuo anonimato dall'inizio. (Se riscontri problemi di connessione a Tor a causa della censura o del blocco, considera l'utilizzo di Tor Bridges come consigliato in precedenza. Segui semplicemente il tutorial fornito qui: https://www.whonix.org/wiki/Bridges ^{[Archive.org]} )
- Se desideri utilizzare Tor su VPN o non puoi utilizzare nessuno di questi, lascialo deselezionato.
Se non puoi utilizzare Tor, non ha senso installare Whonix. Quindi, dovresti disabilitare l'installazione di Whonix nel menu di selezione del software.

Comportamento di chiusura del coperchio:

Sfortunatamente, il sistema operativo Qubes non supporta l'ibernazione ³⁶⁹ , che è IMHO un problema per quanto riguarda gli attacchi di avvio a freddo. Per mitigarli, consiglio vivamente di configurare il sistema operativo Qubes in modo che si spenga a qualsiasi azione di alimentazione (pulsante di accensione, chiusura del coperchio). Puoi impostarlo da XFCE Power Manager. Non utilizzare le funzioni del sonno.

Connessione a una rete Wi-Fi pubblica:

Ricorda che questo dovrebbe essere fatto da un luogo sicuro (vedi Trova alcuni luoghi sicuri con Wi-Fi pubblico decente e Appendice Q: Utilizzo dell'antenna a lungo raggio per connettersi a Wi-Fi pubblici da una distanza di sicurezza ):

Nell'angolo in alto a destra, fai clic con il pulsante sinistro del mouse sull'icona della rete e prendi nota dell'SSID Wi-Fi a cui desideri connetterti
Ora fai clic con il pulsante destro del mouse sull'icona della rete e seleziona Modifica connessioni
Aggiungine uno usando il segno +
Seleziona Wi-Fi
Immettere l'SSID della rete desiderata annotata in precedenza (se necessario)
Seleziona Indirizzo Mac clonato
Seleziona Casuale per randomizzare il tuo indirizzo Mac
- Avviso: questa impostazione dovrebbe funzionare nella maggior parte dei casi, ma può essere inaffidabile su alcune schede di rete. Si prega di fare riferimento a questa documentazione per essere sicuri: https://github.com/Qubes-Community/Contents/blob/master/docs/privacy/anonymizing-your-mac-address.md ^{[Archive.org]}
Salva
Ora di nuovo fai clic con il pulsante sinistro del mouse sull'account di connessione e connettiti al Wi-Fi desiderato
Se si tratta di un Wi-Fi aperto che richiede la registrazione: dovrai avviare un browser per registrarti
- Dopo esserti connesso, avvia un browser Fedora Firefox usa e getta
- Vai nel menu in alto a sinistra
- Seleziona Usa e getta, Fedora, Firefox
- Apri Firefox e registrati (in modo anonimo) nel Wi-Fi

Aggiornamento del sistema operativo Qubes:

Dopo esserti connesso a una rete Wi-Fi, devi aggiornare Qubes OS e Whonix. È necessario mantenere Qubes OS sempre aggiornato prima di condurre qualsiasi attività sensibile. Soprattutto le tue VM browser. Normalmente, Qubes OS ti avviserà degli aggiornamenti nell'angolo in alto a destra con un'icona a forma di ingranaggio. Poiché in questo caso potrebbe volerci del tempo a causa dell'utilizzo di Tor, puoi forzare il processo procedendo come segue:

Fare clic sull'icona Applicazioni in alto a sinistra
Seleziona Utilità di sistema
Seleziona Qubes Update e avvialo
Seleziona "Abilita aggiornamenti per Qubes senza aggiornamenti disponibili noti"
Seleziona tutti i Qubes
Fare clic su Avanti e aggiornare
Se hai selezionato l'opzione Tor durante l'installazione, attendi pazientemente perché potrebbe volerci un po' di tempo su Tor

Aggiornamento di Whonix dalla versione 15 alla versione 16:

Segui le istruzioni su https://www.whonix.org/wiki/Qubes/Install ^{[Archive.org]}

Sistema operativo Hardening Qubes:

Dichiarazione di non responsabilità: questa sezione è in costruzione e verrà lavorata pesantemente nelle prossime versioni. Questa sezione è per utenti più avanzati.

Applicazione sandbox:

Sebbene il sistema operativo Qubes stia già sandboxing di tutto in base alla progettazione, è anche utile considerare le app di sandboxing stesse utilizzando AppArmor o SELinux.

AppArmor:

“AppArmor è un framework di controllo degli accessi obbligatorio. Quando abilitato, AppArmor limita i programmi in base a una serie di regole che specificano a quali file può accedere un determinato programma. Questo approccio di iniziativa aiuta a proteggere il sistema da vulnerabilità note e sconosciute” (Debian.org).

Fondamentalmente, AppArmor ³⁷⁰ è un sistema di sandbox delle applicazioni. Per impostazione predefinita, non è abilitato ma supportato dal sistema operativo Qubes.

Informazioni sulle macchine virtuali Fedora:
- Fedora non usa AppArmor ma piuttosto SELinux, quindi vedi la prossima sezione per questo.
Informazioni sulle macchine virtuali Debian:
- Esci e leggi https://wiki.debian.org/AppArmor ^{[Archive.org]}
Informazioni su qualsiasi altra VM Linux:
- Esci e leggi:
  - https://wiki.archlinux.org/title/AppArmor ^{[Archive.org]}
  - https://wiki.debian.org/AppArmor ^{[Archive.org]}
Informazioni sulle macchine virtuali Whonix, dovresti considerare di abilitare e utilizzare AppArmor, in particolare sulle macchine virtuali Whonix del sistema operativo Qubes:
- Per prima cosa, dovresti uscire e leggere https://www.whonix.org/wiki/AppArmor ^{[Archive.org]}
- In secondo luogo, dovresti uscire di nuovo e leggere https://www.whonix.org/wiki/Qubes/AppArmor ^{[Archive.org]}

SELinux:

SELinux ³⁷¹ è simile ad AppArmor. Le differenze tra SELinux e AppArmor sono dettagli tecnici in cui non entreremo.

Ecco una buona spiegazione di cosa si tratta: https://www.youtube.com/watch?v=_WOKRaM-HI4 ^[Invidious]

In questa guida e nel contesto di Qubes OS, è importante menzionarlo in quanto è il metodo consigliato da Fedora che è uno dei sistemi predefiniti su Qubes OS.

Quindi, esci e leggi https://docs.fedoraproject.org/en-US/quick-docs/getting-started-with-selinux/ ^{[Archive.org]}

Potresti usare SELinux sui tuoi modelli Fedora. Ma questo dipende da te. Ancora una volta, questo è per utenti avanzati.

Configura la VPN ProxyVM:

Salta questo passaggio se non vuoi utilizzare una VPN e usa solo Tor o se neanche la VPN è un'opzione.

Questo tutorial dovrebbe funzionare anche con qualsiasi provider OpenVPN (Mullvad, IVPN, Safing.io o ProtonVPN per esempio).

Questo si basa sul tutorial fornito da Qubes OS stesso ( https://github.com/Qubes-Community/Contents/blob/master/docs/configuration/vpn.md ^{[Archive.org]} ). Se hai familiarità con questo processo, puoi seguire il loro tutorial. Ecco il mio:

Crea la ProxyVM:

Fare clic sull'icona Applicazioni (angolo in alto a sinistra)
Fare clic su Crea macchina virtuale Qubes
Nome ed etichetta come desideri: ti suggerisco “VPNGatewayVM”
Seleziona tipo: Qube autonomo copiato da un modello
Seleziona Modello: Debian-10 (o Debian-11 se lo hai già installato)
Seleziona Rete:
- Seleziona sys-whonix se vuoi fare VPN solo su Tor / Tor (consigliato)
- Seleziona sys-firewall se vuoi eseguire Tor su VPN/No Tor o VPN/Solo VPN
Avanzate: Verifica fornisce rete
Seleziona "Avvia Qube automaticamente all'avvio"
Crea la VM
Metti alla prova la tua connettività:
- Se stai utilizzando una VPN su Tor, prova la connettività della VM a Tor avviando un browser all'interno della ProxyVM e andando su https://check.torproject.org ^{[Archive.org]} (dovrebbe dire che sei connesso a Tor)
- Se stai utilizzando Tor su VPN, verifica la connettività della VM a Internet avviando un browser all'interno della ProxyVM e accedi a qualsiasi sito Web.

Scarica la configurazione VPN dal tuo provider VPN con pagamento in contanti/monero:

Se puoi usare Tor:

Usando Tor Browser (fai attenzione a non usare Clearnet Browser per questo), scarica i file di configurazione OpenVPN necessari per Linux dal tuo provider VPN.

Questo può essere fatto utilizzando il Tor Browser integrato nel sistema operativo Qubes accedendo all'icona Applicazioni (angolo in alto a sinistra) e selezionando l'applicazione Tor Browser usa e getta.

Se non puoi usare Tor:

Avvia un browser da una DisposableVM e scarica i file di configurazione OpenVPN necessari per Linux dal tuo provider VPN. Vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione.

Quando hai finito di scaricare i file di configurazione all'interno del browser usa e getta (di solito un file zip), copiali sul tuo computer gateway VPN ProxyVM (facendo clic con il pulsante destro del mouse sul file e invialo a un'altra AppVM).

Configura la ProxyVM:

Salta questo passaggio se non hai intenzione di utilizzare una VPN

Fare clic sull'angolo in alto a sinistra
Seleziona la VM VPN che hai appena creato
Apri i file della VM VPN
Vai in "Qubesincoming"> dispXXXX (questa era la tua macchina virtuale del browser usa e getta)
Fare doppio clic sul file zip scaricato contenente i file di configurazione di OpenVPN per decomprimerlo
Ora seleziona nuovamente la VPN VM e avvia un terminale
Installa OpenVPN con il seguente comandosudo apt-get install openvpn
Copia tutti i file di configurazione di OpenVPN forniti dal tuo provider VPN in /etc/openvpn/
Per tutti i file di configurazione di OpenVPN (per ogni posizione):
- Modifica ogni file usando sudo nano configfile(non dimenticare sudo per modificare il file all'interno di /etc)
- Cambia il protocollo da "udp" a "tcp" (Tor non supporta UDP)
- Cambia la porta in una porta TCP supportata (dal tuo provider VPN) (come 80 o 443)
- Salva ed esci da ogni file
Modifica il file di configurazione di OpenVPN (/etc/default/openvpn) digitando sudo nano /etc/default/openvpn(perché non mi piace l'editor vi)
- Cambia #AUTOSTART="all"in AUTOSTART="all"(in altre parole, rimuovi il "#")
- Salva ed esci
Modifica il file delle regole del firewall di Qubes (/rw/config/qubes-firewall-user-script) digitando "sudo nano /rw/config/qubes-firewall-user-script"
- Aggiungi le seguenti righe (senza virgolette e commenti tra parentesi)
  - virtualif=10.137.0.17

(Questo è l'IP di ProxyVM, questo non è dinamico e potrebbe essere necessario cambiarlo al riavvio)

vpndns1=10.8.0.1

(Questo è il primo server DNS del tuo provider VPN; non dovrebbe cambiare)

vpndns2=10.14.0.1

(Questo è il secondo server DNS del tuo provider VPN; non dovrebbe cambiare)

iptables -F OUTPUT
iptables -I FORWARD -o eth0 -j DROP
iptables -I FORWARD -i eth0 -j DROP
ip6tables -I FORWARD -o eth0 -j DROP
ip6tables -I FORWARD -i eth0 -j DROP

(Questi bloccheranno il traffico in uscita quando la VPN è inattiva, è un kill switch, maggiori informazioni qui https://linuxconfig.org/how-to-create-a-vpn-killswitch-using-iptables-on-linux ^{[Archive .org]} )

iptables -A OUTPUT -d 10.8.0.1 -j ACCEPT
iptables -A OUTPUT -d 10.14.0.1 -j ACCEPT

(Questi consentiranno alle richieste DNS al DNS del tuo provider VPN di risolvere il nome dei server VPN nei file di configurazione di OpenVPN)

iptables -F PR-QBS -t nat
iptables -A PR-QBS -t nat -d $virtualif -p udp --dport 53 -j DNAT --to $vpndns1
iptables -A PR-QBS -t nat -d $virtualif -p tcp --dport 53 -j DNAT --to $vpndns1
iptables -A PR-QBS -t nat -d $virtualif -p udp --dport 53 -j DNAT --to $vpndns2
iptables -A PR-QBS -t nat -d $virtualif -p tcp --dport 53 -j DNAT --to $vpndns2

(Questi reindirizzeranno tutte le richieste DNS dalla ProxyVM ai server DNS del provider VPN)

Riavvia la ProxyVM digitando "sudo reboot"
Verifica la connettività VPN ProxyVM avviando un browser al suo interno e andando alla pagina di prova del tuo provider VPN. Ora dovrebbe dire che sei connesso a una VPN:
- Mullvad: https://mullvad.net/en/check/ ^{[Archive.org]}
- IVPN: https://www.ivpn.net/ ^{[Archive.org]} (controlla il banner in alto)
- ProtonVPN: segui le loro istruzioni qui https://protonvpn.com/support/vpn-ip-change/ ^{[Archive.org]}

VPN su Tor:

Configura un browser Qube usa e getta per VPN su Tor:

All'interno del menu Applicazioni (angolo in alto a sinistra), seleziona Fedora VM usa e getta
Vai in Impostazioni Qube
Fare clic su Clona Qube e nominarlo (come "VPNoverTor")
Ancora una volta, nel menu dell'applicazione, seleziona il clone che hai appena creato
Vai in Impostazioni Qube
Cambia la rete con la tua ProxyVPN creata in precedenza
Fare clic su OK
Avvia un browser all'interno della workstation Whonix
Verifica di avere la connettività VPN e dovrebbe funzionare

Ora dovresti avere una VM browser usa e getta che funziona con la tua VPN pagata in contanti/Monero su Tor.

Tor su VPN:

Riconfigura la tua Whonix Gateway VM per utilizzare la tua ProxyVM come NetVM invece di sys-firewall:

All'interno del menu Applicazioni (angolo in alto a sinistra), seleziona la VM sys-whonix.
Vai in Impostazioni Qube
Cambia il Networking NetVM con il tuo ProxyVPN creato in precedenza invece di sys-firewall
Fare clic su OK
Crea una VM usa e getta Whonix Workstation (segui questo tutorial https://www.whonix.org/wiki/Qubes/DisposableVM ^{[Archive.org]} )
Avvia un browser dalla macchina virtuale e verifica di avere la connettività VPN e dovrebbe funzionare.

In alternativa, puoi creare anche qualsiasi altro tipo di VM usa e getta (ma meno sicura di quella Whonix):

All'interno del menu Applicazioni (angolo in alto a sinistra), seleziona Fedora VM usa e getta
Vai in Impostazioni Qube
Fare clic su Clona Qube e nominarlo (come "TorOverVPN")
Ancora una volta, nel menu dell'applicazione, seleziona il clone che hai appena creato
Vai in Impostazioni Qube
Cambia il Networking nel tuo sys-whonix creato in precedenza
Fare clic su OK
Avvia un browser all'interno della VM
Verifica di avere la connettività VPN e dovrebbe funzionare

Ora dovresti avere una VM browser usa e getta che funziona con Tor su una VPN pagata in contanti/Monero.

Qualche altra combinazione? (VPN su Tor su VPN per esempio)

A questo punto dovresti capire quanto sia facile instradare il traffico da una VM all'altra con Qubes.

Puoi creare diverse ProxyVM per gli accessi VPN e mantenere quella Whonix per Tor. È sufficiente modificare le impostazioni NetVM delle varie VM per modificare il layout.

Potresti avere:

Una VPN ProxyVM per la connessione del sistema operativo Qubes di base
Usa sys-whonix VM (Whonix Gateway) ottenendo la sua rete dalla prima ProxyVM
Una seconda VPN ProxyVM che ottiene la rete da sys-whonix
VM usa e getta che ottengono la loro NetVM dalla seconda ProxyVM

Ciò risulterebbe in Utente > VPN > Tor > VPN > Internet (VPN su Tor su VPN). Sperimenta tu stesso. Qubes OS è ottimo per queste cose.

Configura un browser sicuro all'interno del sistema operativo Qubes (opzionale ma consigliato):

Vedere: Appendice V: quale browser utilizzare nella macchina virtuale guest/macchina virtuale monouso

Macchina virtuale usa e getta Fedora:

All'interno del menu Applicazioni (in alto a sinistra), seleziona il modello Fedora-3x (x è l'ultimo modello Fedora disponibile nella tua installazione):

Vai in Impostazioni Qube
Clona la VM e chiamala "fedora-3x-brave" (questo modello di VM avrà Brave)
Di nuovo, vai nel menu Applicazioni e seleziona il clone che hai appena creato
Vai in Impostazioni Qube
Cambia la sua rete in ProxyVPN e applica
Avvia un terminale dalla VM

Se vuoi usare Brave: applica le istruzioni da https://brave.com/linux/ ^{[Archive.org]} (sezione Fedora 28+) ed esegui i seguenti comandi:

sudo dnf install dnf-plugins-core
sudo dnf config-manager --add-repo https://brave-browser-rpm-release.s3.brave.com/x86_64/
sudo rpm --import https://brave-browser-rpm-release.s3.brave.com/brave-core.asc
sudo dnf install brave-browser

Dovresti anche considerare di rafforzare il tuo browser, vedi

Macchina virtuale monouso Whonix:

Modifica il modello Whonix Disposable VM e segui le istruzioni qui https://www.whonix.org/wiki/Install_Software ^{[Archive.org]}

Ulteriori precauzioni per il browser:

Configura una macchina virtuale Android:

Poiché Android-x86 non funziona "bene" con il sistema operativo Qubes (la mia esperienza). Consiglierò invece di utilizzare AnBox ( https://anbox.io/ ^{[Archive.org]} ) che funziona "abbastanza bene" con il sistema operativo Qubes. Ulteriori informazioni possono essere trovate anche su https://www.whonix.org/wiki/Anbox ^{[Archive.org]}

Se puoi utilizzare Tor (nativamente o tramite una VPN):

Più avanti nelle impostazioni di Qubes durante la creazione:

Seleziona Rete
Passa a sys-Whonix per metterlo dietro il Whonix Gateway (su Tor).

Se non puoi usare Tor:

Usa i tutorial così com'è. Vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione .

Installazione:

Fondamentalmente, segui il tutorial qui:

Fare clic sull'icona Applicazioni (angolo in alto a sinistra)
Fare clic su Crea macchina virtuale Qubes
Nome ed etichetta come desideri: ti consiglio “Android Box”
Seleziona tipo: Qube autonomo copiato da un modello
Seleziona Modello: Debian-10 (o Debian-11 se lo hai già installato)
Seleziona Rete:
- Seleziona sys-whonix se vuoi fare VPN solo su Tor / Tor (consigliato)
- Seleziona sys-firewall se vuoi eseguire Tor su VPN/No Tor o VPN/Solo VPN
Avvia Qube e apri un Terminale

Ora dovrai seguire le istruzioni da qui: https://github.com/anbox/anbox-modules ^{[Archive.org]} :

Inizia chiudendo il repository AnBox Modules eseguendo:
- git clone https://github.com/anbox/anbox-modules.git
- Vai nella directory clonata
- Esegui ./INSTALL.sh(o segui le istruzioni manuali sul tutorial)
Riavvia la macchina
Apri un nuovo terminale
Installa Snap eseguendo:
- sudo apt install snapd

Ora seguiremo il loro altro tutorial da qui: https://github.com/anbox/anbox/blob/master/docs/install.md ^{[Archive.org]} :

Installa AnBox eseguendo:
- snap install --devmode --beta anbox
Per aggiornare AnBox in un secondo momento, esegui:
- snap refresh --beta --devmode anbox
Riavvia la macchina
Apri di nuovo un terminale e avvia l'emulatore eseguendo:
- anbox.appmgr

Questo dovrebbe far apparire un'interfaccia Android. A volte si blocca e potrebbe essere necessario eseguirlo due volte per farlo funzionare.

Se vuoi installare app su questo emulatore:

Installa ADB eseguendo:
- sudo apt install android-tools-adb
Primo avvio Anbox (esegui anbox.appmgr)
Prendi l'APK di qualsiasi app che desideri installare
Ora installa qualsiasi APK eseguendo:
- adb install my-app.apk

Ecco fatto, ora dovresti avere un Android Qube su Tor (o qualsiasi altra cosa) in grado di eseguire praticamente qualsiasi app che puoi caricare lateralmente con ADB. Questo è, per ora, e IMHO, il modo più semplice per ottenere l'emulazione Android su Qubes OS.

KeePassXC:

Avrai bisogno di qualcosa per memorizzare i tuoi dati (accesso/password, identità e informazioni TOTP ³⁷² ).

A tal fine, consiglio vivamente KeePassXC per la sua funzione TOTP integrata. Questa è la possibilità di creare voci per l'autenticazione 2FA ³⁷³ con la funzione di autenticazione.

Nel contesto del sistema operativo Qubes dovresti archiviare le tue informazioni sensibili all'interno del Domain-vault Qube:

Innanzitutto, fai clic sull'icona Applicazioni (in alto a sinistra) e seleziona Dominio: Vault Qube.
Fare clic su Impostazioni Qubes
Abilita temporaneamente la rete cambiando la rete nella tua VPN ProxyVM che hai creato in precedenza
Apri un terminale all'interno del dominio: Vault Qube
Digita: sudo dnf install keepassxce attendi che venga installato
Chiudere il terminale e disabilitare la rete riportando la rete a (nessuno)
Torna in Dominio: Impostazioni Vault Qube e nella scheda Applicazioni
Fare clic su Aggiorna
Aggiungi KeePassXC alla scheda Selezionati
Avvia KeePassXC all'interno del dominio: Vault Qube

Hai finito e ora puoi saltare il resto per andare alla parte " Creazione delle tue identità online anonime ".

Creare le tue identità online anonime:

Comprendere i metodi utilizzati per prevenire l'anonimato e verificare l'identità:

Captcha:

(Illustrazioni di Randall Munroe, xkcd.com, con licenza CC BY-NC 2.5)

Captcha ¹⁵⁴ sta per "Completely Automated Public Turing test to tell Computers and Humans Apart" sono test di Turing ³⁷⁴ enigmi che devi completare prima di accedere a un modulo/sito web. Incontrerai principalmente quelli forniti da Google (servizio reCAPTCHA ³⁷⁵ ) e Cloudflare (hCaptcha ³⁷⁶ ). hCaptcha viene utilizzato sul 15% di Internet dalle proprie metriche ³⁷⁷ .

Sono progettati per separare i bot dagli esseri umani, ma sono anche chiaramente utilizzati per dissuadere utenti anonimi e privati dall'accesso ai servizi.

Se utilizzi spesso VPN o Tor, incontrerai rapidamente molti captcha ovunque ³⁷⁸ . Abbastanza spesso quando usi Tor, anche se riesci a risolvere tutti i puzzle (a volte dozzine di seguito), ti verrà comunque negato dopo aver risolto i puzzle.

Vedi https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor ^{[Archive.org]}

Sebbene la maggior parte delle persone pensi che questi enigmi riguardino solo la risoluzione di un piccolo enigma, è importante capire che è molto più complesso e che i captcha moderni utilizzano algoritmi avanzati di apprendimento automatico e analisi del rischio per verificare se sei umano ³⁷⁹ :

Controllano il browser, i cookie e la cronologia di navigazione utilizzando l'impronta digitale del browser ³⁸⁰ .
Tracciano i movimenti del tuo cursore (velocità, precisione) e usano algoritmi per decidere se è "umano/organico".
Tracciano il tuo comportamento prima/durante/dopo i test per assicurarsi che tu sia "umano" ³⁸¹ .

È anche molto probabile che quelle piattaforme possano già identificarti in modo affidabile in base al modo unico in cui interagisci con quegli enigmi. Ciò potrebbe funzionare nonostante l'offuscamento del tuo indirizzo IP/browser e la cancellazione di tutti i cookie.

Ne sperimenterai spesso diversi di seguito (a volte all'infinito) e talvolta estremamente difficili che coinvolgono la lettura di caratteri indecifrabili o l'identificazione di vari oggetti su set di immagini infinite. Avrai anche più captcha se utilizzi un sistema di blocco degli annunci (ad esempio uBlock) o se il tuo account è stato segnalato per qualsiasi motivo per l'utilizzo di VPN o Tor in precedenza.

Avrai anche (secondo la mia esperienza) più Captcha (reCAPTCHA di Google) se non utilizzi un browser basato su Chromium. Ma questo può essere mitigato utilizzando un browser basato su Chromium come Brave. C'è anche un'estensione del browser chiamata Buster che potrebbe aiutarti https://github.com/dessant/buster ^{[Archive.org]} .

Per quanto riguarda Cloudflare (hCaptcha), potresti anche utilizzare la loro soluzione di accessibilità qui ( https://www.hcaptcha.com/accessibility ^{[Archive.org]} ) che ti permetterebbe di registrarti (con la tua identità anonima creata in seguito) e imposta un cookie all'interno del tuo browser che ti permetta di bypassare i loro captcha. Un'altra soluzione per mitigare hCaptcha sarebbe quella di utilizzare la propria soluzione chiamata "Privacy Pass" ³⁸² https://privacypass.github.io/ ^{[Archive.org]} sotto forma di un'estensione del browser che potresti installare nel tuo browser VM.

Dovresti quindi trattarli con attenzione e sforzarti di modificare il modo in cui li stai risolvendo (velocità/movimento/precisione/...) per prevenire il "Captcha Fingerprinting".

Fortunatamente, per quanto ne so, questi non sono ancora usati ufficialmente/pubblicamente per rendere anonimi gli utenti per terze parti.

Per non avere questi problemi, dovresti considerare di utilizzare una VPN su Tor. E l'opzione migliore per evitarli è probabilmente quella di utilizzare una VPN/proxy self-hosted su Tor su un server VPS pagato in contanti/Monero.

Verifica telefonica:

La verifica del telefono è pubblicizzata dalla maggior parte delle piattaforme per verificare che tu sia umano. Ma non lasciarti ingannare, il motivo principale per la verifica telefonica non è solo quello di verificare se sei umano ma anche di poterti anonimizzare se necessario.

La maggior parte delle piattaforme (comprese quelle orientate alla privacy come Signal/Telegram/ProtonMail richiedono un numero di telefono per la registrazione e la maggior parte dei paesi ora rende obbligatorio presentare una prova di identità per la registrazione ³⁸³ .

Fortunatamente, questa guida ha spiegato in precedenza come ottenere un numero per questi casi: Ottenere un numero di telefono anonimo .

Verifica email:

La verifica tramite posta elettronica è ciò che una volta era sufficiente, ma nella maggior parte dei casi non lo è più. Ciò che è importante sapere è che i provider di posta elettronica aperti (ad esempio i provider di posta elettronica usa e getta) sono contrassegnati tanto quanto i proxy aperti (come Tor).

La maggior parte delle piattaforme non ti consentirà di registrarti utilizzando un'e-mail "anonima" o usa e getta. Poiché non ti permetteranno di registrarti utilizzando un indirizzo IP dalla rete Tor.

La cosa fondamentale è che sta diventando sempre più difficile registrarsi per un account di posta elettronica gratuito ovunque senza fornire (avete indovinato)... un numero di cellulare. Lo stesso numero di cellulare può essere utilizzato comodamente per rintracciarti nella maggior parte dei luoghi.

È possibile che tali servizi (ad esempio ProtonMail) richiedano di fornire un indirizzo e-mail per la registrazione. In tal caso, ti consiglio di creare un indirizzo e-mail da questi provider:

MailFence: https://mailfence.com/
Disroot: https://disroot.org
Autistici: https://autistici.org
Envs.net: https://envs.net/
RiseUp: https://riseup.net ^{[Tor Mirror]} (Mi è venuto in mente che il sito ora, purtroppo, richiede un invito da parte di un utente registrato)
CTemplar: https://ctemplar.com (purtroppo richiede anche l'invito)

Tieni presente che quelli non forniscono un design ad accesso zero (il che significa che possono accedere alla tua posta elettronica inattiva nel loro database) in cui solo tu puoi accedere alla tua posta elettronica.

Protezione delle e-mail di identità online anonime utilizzando i servizi di aliasing:

Se vuoi evitare di comunicare i tuoi indirizzi di posta elettronica anonimi a vari soggetti. Suggerirei vivamente di considerare l'utilizzo di servizi di aliasing e-mail come:

https://simplelogin.io/ (preferibilmente prima scelta a causa di più opzioni disponibili per il livello gratuito)
https://anonaddy.com/

Questi servizi consentiranno di creare alias casuali per la tua e-mail anonima (su ProtonMail per esempio) e potrebbero aumentare la tua privacy generale se non desideri divulgare quella e-mail per qualsiasi scopo. Sono entrambi consigliati da Privacyguides.org e Privacytools.io. Li sto consigliando anche io.

Controllo dettagli utente:

Ovviamente, Reddit non lo fa (ancora), ma Facebook molto probabilmente lo fa e cercherà cose "sospette" nei tuoi dettagli (che potrebbero includere il riconoscimento facciale).

Qualche esempio:

Indirizzo IP di un Paese diverso dal Paese del tuo profilo.
Età nel profilo non corrispondente all'età dell'immagine.
L'etnia nel profilo non corrisponde all'etnia dell'immagine.
Lingua non corrispondente alla lingua del paese.
Sconosciuto nei contatti di qualcun altro (il che significa che nessun altro ti conosce).
Blocco delle impostazioni sulla privacy dopo la registrazione.
Nome che non corrisponde all'etnia/lingua/paese corretti?

Prova di verifica dell'identità:

Il rompicapo nella maggior parte dei casi. Per quanto ne so, solo Facebook e LinkedIn (al di fuori dei servizi finanziari) hanno richiesto tali verifiche che prevedono l'invio di foto di qualche forma di identificazione (passaporto, carta d'identità, patente di guida...). L'unico modo per farlo consisterebbe nella creazione di documenti ufficiali falsi (falsificazione) utilizzando alcune abilità decenti di Photoshop e questo potrebbe essere illegale nella maggior parte dei luoghi.

Pertanto, questa è una linea che non ho intenzione di aiutarti a superare all'interno di questa guida. Alcuni servizi offrono tali servizi online, ma penso che siano cattivi attori e stiano oltrepassando i loro confini.

In molti paesi, solo le forze dell'ordine, alcuni processi specifici (come le richieste GDPR) e alcuni servizi finanziari ben regolamentati possono richiedere una prova di identificazione. Quindi, la legalità della richiesta di tali documenti è discutibile e penso che tali piattaforme non dovrebbero essere autorizzate a richiederli.

In alcuni paesi (come la Germania), questa pratica è illegale e le piattaforme online come Facebook o LinkedIn sono legalmente vincolate a consentirti di utilizzare uno pseudonimo e rimanere anonimo.

Filtri IP:

Come affermato in precedenza in questa guida, molte piattaforme applicheranno filtri sugli IP degli utenti. I nodi di uscita Tor sono elencati pubblicamente e i server di uscita VPN sono "ben noti". Esistono molti servizi commerciali e gratuiti che offrono la possibilità di bloccare facilmente quegli IP (ciao Cloudflare).

Gli operatori e gli amministratori di molte piattaforme non desiderano traffico da questi IP poiché spesso indirizzano molto traffico illegale/dannoso/non redditizio alle loro piattaforme. Di solito usando le stesse scuse:

Illegittimo perché “Pensa ai bambini” o “Terroristi”.
Dannoso a causa dei "troll russi".
Non redditizio perché “Beh, c'è rumore nei dati che vendiamo agli inserzionisti” (AdSense, Facebook Ads…). Eppure paghiamo ancora il traffico per loro, quindi neghiamoli tutti invece.

Fortunatamente, quei sistemi non sono perfetti e sarai (ancora) in grado di aggirare queste restrizioni cambiando identità (nel caso di Tor) e cercando di accedere al sito Web ogni volta finché non trovi un nodo di uscita che non è bloccato -elencato (ancora).

A volte alcune piattaforme ti permetteranno di accedere con un IP Tor ma non di registrarti (vedi https://gitlab.torproject.org/legacy/trac/-/wikis/org/doc/ListOfServicesBlockingTor ^{[Archive.org]} ). Tali piattaforme manterranno un comodo registro permanente dell'IP utilizzato durante la registrazione. E alcuni manterranno tali registri a tempo indeterminato inclusi tutti gli IP che hai utilizzato per accedere (ciao Facebook).

La tolleranza è molto più alta con le VPN in quanto non sono considerate "proxy aperti", ma ciò non impedirà a molte piattaforme di renderle difficili da usare forzando captcha sempre più difficili sulla maggior parte degli utenti VPN.

Per questo motivo, questa guida consiglia l'uso di VPN su Tor (e non Tor su VPN) in determinati casi d'uso. Ricorda che l'opzione migliore per evitarli è utilizzare una VPN/Proxy self-hosted su Tor su un server VPS pagato in contanti/Monero .

Impronte digitali del browser e del dispositivo:

Browser e dispositivo ²⁵³ Fingerprinting sono solitamente integrati nei servizi Captcha ma anche in altri vari servizi.

Molte piattaforme (come Google ³⁸⁴ ) controlleranno il tuo browser per varie funzionalità e impostazioni e bloccheranno i browser che non gli piacciono. Questo è uno dei motivi per cui consiglio di utilizzare browser basati su Chromium come Brave Browser su Tor Browser all'interno di questa VM.

Ecco alcune delle cose che controllano nei browser recenti:

User-Agent: questo è il nome e la versione del browser.
Intestazioni HTTP_ACCEPT: questo è il tipo di contenuto che il tuo browser può gestire.
Fuso orario e fuso orario: il tuo fuso orario.
Dimensioni dello schermo e profondità del colore: la risoluzione dello schermo.
Caratteri di sistema: i caratteri di digitazione installati sul sistema.
Supporto per i cookie: se il tuo browser supporta i cookie o meno.
Impronta Hash of Canvas e Impronta Hash of WebGL: sono ID univoci generati in base alle tue capacità di rendering grafico.
WebGL Vendor & Renderer: Nome della tua scheda video
Do-Not-Track abilitato o meno: beh, sì, possono usare le tue informazioni DNT per rintracciarti
Lingua: la lingua del tuo browser
Piattaforma: il sistema operativo in uso
Supporto touch: se il tuo sistema supporta il tocco (come un telefono/tablet o laptop abilitato al touchscreen)
Uso del blocco degli annunci: se il tuo browser blocca gli annunci
Impronta digitale AudioContext: come le impronte digitali Canvas e WebGL, queste impronteranno le tue capacità audio.
CPU: che tipo di CPU stai utilizzando e quante di esse
Memoria: quanta memoria hai nel tuo sistema
Permessi del browser: il tuo browser consente alcune cose come la geolocalizzazione o l'accesso al microfono/webcam.
…

Ecco due servizi che puoi utilizzare per controllare l'impronta digitale del tuo browser:

È probabile che troverai l'impronta digitale del tuo browser univoca, indipendentemente da ciò che fai.

Interazione umana:

Alcune piattaforme lo aggiungeranno come passaggio bonus e richiedono un'effettiva interazione umana con un rappresentante dell'assistenza clienti. Di solito via e-mail ma a volte via chat/telefono. Vorranno verificare la tua esistenza chiedendoti di rispondere a una e-mail/chat/telefonata.

È fastidioso ma abbastanza facile da affrontare nel nostro caso. Non stiamo facendo bot. Questa guida è per gli esseri umani che fanno conti umani.

Moderazione utente:

Molte piattaforme delegheranno e si affideranno ai loro utenti per moderare gli altri e il loro contenuto. Queste sono le funzionalità di "report" che troverai sulla maggior parte delle piattaforme.

Essere segnalato migliaia di volte non importa quando sei Donald Trump o Kim Kardashian, ma se tu come unico utente anonimo "senza amici" vieni segnalato anche una volta, potresti essere sospeso/segnalato/bannato all'istante.

Analisi comportamentale:

Guarda la tua impronta digitale, impronta e comportamento online .

Transazioni finanziarie:

Semplici ed efficienti, alcune piattaforme ti richiedono di eseguire una transazione finanziaria per verificare il tuo account a volte con il pretesto di verificare la tua età. Potrebbe trattarsi di una verifica della carta di credito o di un bonifico bancario di importo estremamente ridotto. Alcuni accetteranno una donazione in una delle principali criptovalute come Bitcoin o Ethereum.

Anche se questo potrebbe sembrare innocente, questo è ovviamente un metodo di verifica dell'identità e de-anonimizzazione. ^{Questo si basa solo
indirettamente su regolamenti finanziari KYC 242} di terze parti .

Questo è ad esempio ora il caso su YouTube per alcuni Utenti europei ³⁸⁵ ma utilizzato anche da servizi come Amazon che richiedono un metodo di pagamento valido per la creazione di un account.

Perché questa verifica dell'utente noi stessi quando possiamo semplicemente chiedere ad altri di affrontarla?

Lo noterai e probabilmente lo hai già riscontrato. Alcune app/piattaforme ti chiederanno/richiederanno di accedere con una piattaforma affidabile nota e ben utilizzata invece del proprio sistema (Accedi con Google/Facebook/Apple/Twitter).

Questa opzione è spesso presentata come "predefinita", nascondendo il "Accedi con e-mail e password" con intelligenti Dark Patterns ³⁸⁶ e purtroppo a volte necessaria.

Questo metodo delegherà il processo di verifica su tali piattaforme invece di presumere che non sarai in grado di creare facilmente un account Google/Facebook/Apple/Twitter anonimo.

Fortunatamente, è ancora possibile crearli fino ad oggi.

Riconoscimento facciale e biometria dal vivo (di nuovo):

Questo è un metodo comune utilizzato su alcune piattaforme di trading Crypto e alcune app di incontri.

Alcune piattaforme/app richiedono di scattare una foto dal vivo di te stesso mentre fai qualcosa (strizzando l'occhio, alzando un braccio...) o mostrando un'informazione personalizzata (un testo scritto a mano, un passaporto o un documento d'identità) all'interno dell'immagine. A volte la piattaforma/app richiederà più immagini per aumentare la propria certezza.

Questa guida non tratterà questo (ancora) in quanto viene utilizzato principalmente su piattaforme finanziarie (che saranno comunque in grado di identificarti con altri mezzi) e alcune app di incontri come Tinder ³⁸⁷ . Sfortunatamente, questo metodo ora viene talvolta utilizzato anche su Facebook ³⁸⁸ e Instagram come parte dei loro metodi di verifica (anche se finora non l'ho affrontato).

In alcuni casi, queste verifiche devono essere eseguite dal tuo Smartphone e con una fotocamera "in-app" per impedirti di inviare un'immagine precedentemente salvata (modificata).

Recentemente anche piattaforme come PornHub hanno deciso di implementare misure simili in futuro ³⁸⁹ .

Questa verifica è estremamente difficile da sconfiggere ma possibile. Un metodo per sconfiggerli potrebbe essere quello di utilizzare un software tecnologico "deep fake" come l'open source FaceSwap https://github.com/deepfakes/faceswap ^{[Archive.org]} per generare le immagini di verifica richieste utilizzando un computer in modo casuale- faccia generata che verrebbe scambiata sull'immagine di un modello complice (o su una foto d'archivio).

Sfortunatamente, alcune app richiedono l'accesso diretto alla fotocamera di uno smartphone per elaborare la verifica. In tal caso, dovremo trovare un modo per eseguire tali "scambio di volti" al volo utilizzando un filtro e un altro modo per inserirlo nella fotocamera utilizzata dall'app. Un possibile approccio sarebbe simile a questo impressionante progetto https://github.com/iperov/DeepFaceLive ^{[Archive.org]} .

Revisioni manuali:

Questi possono essere attivati da uno qualsiasi dei precedenti e significa semplicemente che qualcuno (di solito dipendenti specializzati) esaminerà il tuo profilo manualmente e deciderà se è reale o meno in base alla propria opinione soggettiva.

Alcuni paesi hanno persino sviluppato hotline in cui è possibile segnalare qualsiasi contenuto sovversivo ³⁹⁰ .

Pro: Di solito il verdetto è "definitivo" e probabilmente eviterai ulteriori problemi se sei bravo.

Contro: Di solito quel verdetto è "definitivo" e probabilmente verrai bannato senza possibilità di appello se non sei bravo. A volte quelle recensioni finiscono sulla piattaforma solo facendoti fantasma e annullandoti senza alcun motivo. Qualsiasi appello verrà lasciato senza risposta, ignorato o genererà un bug di pattern scuro casuale quando si tenta di fare appello a quella specifica identità (questo accade ad esempio su Instagram dove se il tuo account viene "sospeso" ovviamente da qualche revisione manuale, cercando di completare l'appello il modulo genererà semplicemente un errore e ti dirà di riprovare più tardi (ho provato lo stesso appello per quell'identità almeno negli ultimi 6 mesi).

Connettersi:

Ora che hai una conoscenza di base di tutti i modi in cui puoi essere anonimizzato, tracciato e verificato. Iniziamo a eluderli rimanendo anonimi. Ricordare:

Non puoi fidarti degli ISP
Non puoi fidarti dei provider VPS
Non puoi fidarti dei provider Wi-Fi pubblici
Non puoi fidarti dei provider di rete mobile
Non puoi fidarti dei provider VPN
Non puoi fidarti di nessuna piattaforma online
Non puoi fidarti di Tor
Non puoi fidarti del tuo sistema operativo
Non puoi fidarti del tuo laptop
Non puoi fidarti del tuo Smartphone (soprattutto Android)
Non puoi fidarti dei tuoi dispositivi Smart
Soprattutto, non puoi fidarti delle persone

E allora? Bene, invece di non fidarti di nessuno o qualcosa, consiglierei di "Fidarsi ma verificare" ³⁹¹ (o "Non fidarti mai, verifica sempre" se sei più sfegatato e vuoi applicare Zero-Trust Security ²⁶ ).

Non avviare questo processo a meno che:

Hai consultato la tua legge locale per la conformità e la legalità delle tue azioni.
Sei a conoscenza del tuo modello di minaccia.
Sei in un luogo sicuro con il Wi-Fi pubblico senza il tuo smartphone o qualsiasi altro dispositivo intelligente con te. E preferibilmente in un luogo senza telecamere a circuito chiuso che ti riprendono (ricorda di Trovare alcuni luoghi sicuri con Wi-Fi pubblico decente e Appendice Q: Utilizzo dell'antenna a lungo raggio per connettersi a Wi-Fi pubblici da una distanza di sicurezza )
Hai finito e stai preparando uno dei percorsi.
Ancora una volta, è di fondamentale importanza capire che non sarai in grado di creare la maggior parte degli account senza un numero di telefono valido. Pertanto, la maggior parte del tuo anonimato sulle piattaforme tradizionali dipende dall'anonimato del tuo numero di telefono online e/o dal telefono del masterizzatore con la sua scheda SIM prepagata (se ne usi una). Se il tuo numero di telefono non è anonimo o il tuo telefono masterizzatore può essere ricondotto a te, puoi essere reso anonimo. Se non riesci a ottenere questo numero di telefono anonimo e/o una SIM fisica con un telefono Burner, dovrai limitarti a piattaforme che non richiedono la verifica del numero di telefono.

Ricordati di consultare l' Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Creare nuove identità:

Questa è la parte divertente in cui ora creerai le tue identità dal nulla. Queste identità non esistono ma dovrebbero essere plausibili e apparire “organiche”. Dovrebbero idealmente avere una storia, una “leggenda” (sì, questo è il vero termine per questo ³⁹² ).

Cos'è una leggenda? Bene, è un retroscena completo per il tuo personaggio:

Età
Sesso
Genere
Etnia
Luogo di nascita e data di nascita
Residenza
Paese di origine
Paesi visitati (per viaggi ad esempio)
Interessi e hobby
Storia dell'educazione
Esperienza lavorativa
Informazioni sulla salute
Religione se esiste
Obiettivi
Storia famigliare
Eventuale composizione familiare (figli? coniuge? marito?)
Stato sentimentale se presente (sposato? single?)
Lingue parlate
Tratti della personalità (Introverso, Estroverso...)
…

Tutti questi dovrebbero essere realizzati con cura per ogni singola identità e dovresti stare incredibilmente attento ad attenerti ai dettagli di ogni leggenda quando usi quelle identità. Niente può trapelare che potrebbe portare alla tua vera persona. Non potrebbe trapelare nulla che possa compromettere la consistenza della tua leggenda. Tutto dovrebbe essere sempre coerente.

Strumenti che possono aiutare in questo:

Ora è anche il momento in cui potresti finalmente prendere in considerazione l'idea di ottenere un numero di telefono online come spiegato nella sezione Numero di telefono online (meno consigliato) .

Ti aiuterò un po' elencando alcuni suggerimenti che ho imparato durante la ricerca nel corso degli anni (disclaimer: questo si basa solo sulle mie esperienze individuali) :

“Alcuni animali sono più uguali di altri”.
- L'etnia è importante e avrai meno problemi e attirerai meno attenzione sugli algoritmi di verifica se la tua identità è caucasica/est-asiatica rispetto a se è araba/nera (sì, l'ho testato ampiamente ed è sicuramente un problema).
- L'età è importante e avrai meno problemi se sei giovane (18-22) che se sei di mezza età o più vecchio. Le piattaforme sembrano essere più indulgenti nel non imporre restrizioni al nuovo pubblico più giovane.
- Sesso/genere è importante e avrai meno problemi se sei una donna che se sei un maschio.
- Il paese di origine è importante e avrai meno problemi se la tua identità è norvegese che se è ucraina, nigeriana o messicana.
- Il paese di residenza è importante e avrai meno problemi se la tua identità ha la residenza a Oslo o Parigi che se decidi di vivere a Kiev o al Cairo.
- La lingua è importante e avrai meno problemi se parli inglese o la lingua della tua identità che se usi una lingua non correlata. Non fare una donna araba di 20 anni nata in Norvegia che parli ucraino o arabo.
Le identità che sono "residenti nell'UE" con un "IP UE" (VPN/Tor Exit IP) beneficeranno delle protezioni GDPR su molte piattaforme. Altri no. Il GDPR è tuo amico nella maggior parte dei casi e dovresti tenerne conto.
Allo stesso modo, la geolocalizzazione dell'IP di origine (il tuo IP/posizione quando vai su "whatsmyipaddress.com") dovrebbe corrispondere il più possibile alla posizione della tua identità (quando usi una VPN su Tor, puoi selezionarlo nel client VPN se usi la VPN sull'approccio Tor o semplicemente creare una nuova identità in Tor Browser o Brave Tor Tab fino a quando non ottieni un nodo di uscita appropriato o configura Tor per limitare i tuoi nodi di uscita). Considera di escludere qualsiasi IP di uscita che non si trova in Europa occidentale/Stati Uniti/Canada/Giappone/Corea del Sud/Australia/Nuova Zelanda poiché avrai meno problemi. Idealmente, dovresti ottenere un IP dell'Unione Europea per ottenere un'ulteriore protezione GDPR e, se possibile, un IP di uscita tedesco a causa della loro posizione legale sull'utilizzo di account anonimi su piattaforme online.
Brave Browser (basato su Chromium) con una scheda Tor privata ha (IMHO) un livello di accettazione migliore rispetto a Tor Browser (basato su Firefox). Avrai meno problemi con i captcha e le piattaforme online ³⁸⁴ se usi Brave che se usi Tor Browser (sentiti libero di provarlo tu stesso).
Per ogni identità, dovresti avere un'immagine del profilo corrispondente associata ad essa. A tal fine, ti consiglio di andare su https://thispersondoesnotexist.com/ ^{[Archive.org]} e generare un'immagine del profilo generata dal computer (tieni presente che sono stati sviluppati algoritmi ³⁹³ ' ³⁹⁴ per rilevarli e potrebbe non funzionare il 100% delle volte). Puoi anche generare tali immagini da solo dal tuo computer, se preferisci, utilizzando il progetto StyleGan open source qui https://github.com/NVlabs/stylegan2 ^{[Archive.org]}. Aggiorna la pagina finché non trovi un'immagine che corrisponda alla tua identità in tutti gli aspetti (età, sesso ed etnia) e salva quell'immagine. Sarebbe ancora meglio avere diverse immagini associate a quell'identità, ma non ho ancora un "modo semplice" per farlo.
- Bonus , potresti anche renderlo più reale utilizzando questo servizio (con un'identità anonima) https://www.myheritage.com/deep-nostalgia ^{[Archive.org]} per rendere un'immagine più realistica. Ecco un esempio:
  - Originale:

Risultato (vedi Online perché i PDF non funzionano bene con i media incorporati):

Piccolo problema però: MyHeritrage.com vieta i nodi Tor Exit, quindi potresti dover nuovamente considerare VPN su Tor per questo.

Potresti anche ottenere lo stesso risultato senza utilizzare MyHeritage e facendolo tu stesso utilizzando ad esempio https://github.com/AliaksandrSiarohin/first-order-model ^{[Archive.org]} ma ciò richiederà più operazioni manuali ( e richiede un NVIDIA GPU ). Presto saranno disponibili altri prodotti commerciali come: https://www.d-id.com/talkingheads/ ^{[Archive.org]} con esempi qui: https://www.youtube.com/channel/UCqyzLOHYamYX2tNXBNSHr1w/videos ^{[Invidious ]} .

Nota: se crei più immagini della stessa identità utilizzando alcuni degli strumenti sopra menzionati, assicurati di confrontare le somiglianze utilizzando lo strumento di verifica facciale di Microsoft Azure all'indirizzo https://azure.microsoft.com/en-us/services/cognitive -servizi/viso/#demo .

Crea in anticipo e archivia in KeePassXC ogni dettaglio dell'identità che dovrebbe includere alcuni dettagli realizzati come menzionato in precedenza.
Non scegliere un'occupazione in una nota società/azienda privata in quanto hanno persone nei loro dipartimenti delle risorse umane che monitorano le attività su piattaforme come LinkedIn e segnaleranno il tuo profilo come falso se non corrisponde al loro database. Invece, scegli un'occupazione come libero professionista o in una grande istituzione pubblica dove dovrai affrontare meno controllo a causa della loro natura decentralizzata.
Tieni traccia (scrivi) delle storie di fondo delle tue Identità. Dovresti usare sempre le stesse date e risposte ovunque. Tutto dovrebbe sempre combaciare. Anche le storie che racconti sulla tua vita immaginaria dovrebbero sempre corrispondere. Se dici che un giorno lavori come stagista presso il Dipartimento della Salute e poi su un'altra piattaforma, dici che lavori come stagista presso il Dipartimento dei Trasporti, le persone potrebbero mettere in dubbio la tua identità. Sii coerente.
Utilizzare un numero di telefono diverso per ciascuna identità. Le piattaforme online tengono traccia dell'utilizzo del numero di telefono e se un'identità/un numero viene segnalato per aver violato le Linee guida della community o i Termini di servizio, potrebbero anche far sì che le altre identità utilizzino lo stesso numero contrassegnato/bannato.
Adatta la tua lingua/scrittura all'identità per non destare sospetti e ridurre le tue possibilità di essere rilevato dalle piattaforme online. Fai particolare attenzione all'uso di parole e figure retoriche/citazioni pedanti che potrebbero consentire ad alcune persone di indovinare che la tua scrittura è molto simile a quella persona con questo handle di Twitter o questo utente di Reddit. Vedi Appendice A4: Contrastare la linguistica forense .
Usa sempre TOTP 2FA (non SMS per prevenire attacchi Sim Swapping ³⁹⁵ e per mantenere la tua identità funzionante alla scadenza della tua carta prepagata) usando KeePassXC quando disponibile per proteggere i tuoi accessi a varie piattaforme.
Ricorda Appendice A2: Linee guida per password e passphrase .

Ecco anche una buona guida su questo argomento specifico: https://gendersec.tacticaltech.org/wiki/index.php/Complete_manual#.22Real.22_names ^{[Archive.org]}

Nota: se hai difficoltà a trovare un nodo di uscita nel paese di tua scelta, puoi forzare l'utilizzo di paesi specifici per i nodi di uscita (e quindi i paesi di uscita) su Tor modificando il file torrc sul gateway Whonix o anche sul browser Tor:

Whonix/Tails: creare/modificare un file /usr/local/etc/torrc.d/50_user.conf³⁹⁶ .
Su Tor Browser: Modifica il file torrc che si trova in Browser/TorBrowser/Data/Tor³⁹⁷ .

Una volta che sei nel file, puoi fare quanto segue:

Specificare i nodi di uscita aggiungendo queste due righe (che richiederanno un nodo di uscita in Cina/Russia/Ucraina:
- ExitNodes {CH},{RU},{UA}
- StrictNodes 1
Escludi nodi di uscita specifici aggiungendo questa riga (che escluderà tutti i nodi di uscita da Francia/Germania/USA/Regno Unito):
- ExcludeNodes {FR},{DE},{US},{UK}

Utilizzare sempre lettere maiuscole per qualsiasi impostazione.

Tieni presente che questo sta limitando Onion Routing potrebbe limitare il tuo anonimato se sei troppo restrittivo. Puoi vedere un elenco visualizzato dei nodi di uscita disponibili qui: https://www.bigdatacloud.com/insights/tor-exit-nodes ^{[Archive.org]}

Ecco l'elenco delle possibilità (questo è un elenco generale e molti di questi paesi potrebbero non avere nodi Exit): https://web.archive.org/web/https://b3rn3d.herokuapp.com/blog/ 2014/03/05/codici-paese-torre/

Verifica se il tuo nodo di uscita Tor è terribile:

Salta questo se stai usando una VPN/Proxy su Tor (anche se puoi fare gli stessi controlli con un nodo di uscita VPN, se lo desideri).

Non tutti i nodi Tor Exit sono uguali. Ciò è dovuto principalmente al tipo di "polizza di uscita" applicata dal loro operatore.

Alcuni nodi Tor Exit sono più o meno "puliti" e verranno visualizzati solo negli elenchi dei nodi Tor Exit. Alcuni altri nodi Tor Exit sono visti come "sporchi" e appariranno in dozzine di diverse liste di blocco. Quindi, come fai a sapere se sei su uno pulito o su uno cattivo? Non è così semplice.

Se stai utilizzando Tor Browser Bundle (non su Whonix Workstation, su Tails o sul sistema operativo host/ospite):

Vai sul sito Web di destinazione a cui desideri iscriverti in una prima scheda
Fare clic sull'icona "lucchetto" nell'angolo in alto a sinistra
Guarda il terzo IP (IP di uscita) che stai utilizzando in quella scheda per quel sito web
Apri una nuova seconda scheda e vai su https://mxtoolbox.com/blacklists.aspx
Inserisci l'IP di uscita dalla prima scheda nella casella di ricerca
Controlla la quantità di Blocklist in cui si trova il nodo Tor Exit. Idealmente, dovrebbe essere solo in due:
- DAN TOR
- DAN TOREXIT
- Se è in altri elenchi, potresti riscontrare problemi
Se Exit Node è "pulito" (in alcuni elenchi), procedi per tornare alla prima scheda e apri il sito per il quale vuoi provare a registrarti.

Se stai utilizzando Tor Browser sulla workstation Whonix:

Apri Tor Browser
Apri la prima scheda e vai a un sito che rivela il tuo IP come https://browserleaks.com/ip
Apri una seconda scheda e vai su https://mxtoolbox.com/blacklists.aspx
Inserisci l'IP di uscita dalla prima scheda nella casella di ricerca
Controlla la quantità di Blocklist in cui si trova il nodo Tor Exit. Idealmente, dovrebbe essere solo in due:
- DAN TOR
- DAN TOREXIT
- Se è in altri elenchi, potresti riscontrare problemi
Se Exit Node è "pulito" (in alcuni elenchi), procedi per tornare alla prima scheda e apri il sito per il quale vuoi provare a registrarti.

Se non stai utilizzando Tor Browser su una VM guest non whonix dietro Whonix Gateway:

Apri il tuo browser preferito
Apri la prima scheda e vai a un sito che rivela il tuo IP come https://browserleaks.com/ip
Apri una seconda scheda e vai su https://mxtoolbox.com/blacklists.aspx
Inserisci l'IP di uscita dalla prima scheda nella casella di ricerca
Controlla la quantità di Blocklist in cui si trova il nodo Tor Exit. Idealmente, dovrebbe essere solo in due:
- DAN TOR
- DAN TOREXIT
- Se è in altri elenchi, potresti riscontrare problemi
Se Exit Node è "pulito" (in alcuni elenchi), procedi per tornare alla prima scheda e apri il sito per il quale vuoi provare a registrarti.

Il sistema del nome reale:

Sfortunatamente, non utilizzare la tua vera identità è contro i ToS (Termini di servizio) di molti servizi (soprattutto quelli di proprietà di Microsoft e Facebook). Ma non disperate, come spiegato nei Requisiti , è ancora legale in Germania dove i tribunali hanno sostenuto la legalità del non utilizzare nomi reali sulle piattaforme online (§13 VI del German Telemedia Act del 2007 ¹ ' ² ). Fortunatamente, ToS non può (ancora) ignorare le leggi .

Ciò non significa che sia illegale in altri luoghi, ma che potrebbe essere una violazione dei loro Termini di servizio se non hai la legge dalla tua parte. Ricorda che questa guida lo approva solo per gli utenti tedeschi che risiedono in Germania.

Da parte mia, condanno fermamente questo tipo di politica del nome reale. Vedi ad esempio questo articolo di Wikipedia che fornisce alcuni esempi: https://en.wikipedia.org/wiki/Facebook_real-name_policy_controversy ^[Wikiless] ^{[Archive.org]}

Ecco alcuni altri riferimenti sul caso tedesco come riferimento:

In alternativa, potresti essere un adulto residente in qualsiasi altro paese in cui puoi confermare e verificare tu stesso la legalità di questo. Ancora una volta, questa non è una consulenza legale e io non sono un avvocato. Fai questo a tuo rischio.

Altri paesi in cui questo è stato dichiarato illegale:

Corea del Sud (vedi https://en.wikipedia.org/wiki/Real-name_system#South_Corea ^[Wikiless] ^{[Archive.org]} )
Se ne conoscete altri, fatemelo sapere con i riferimenti nei problemi di GitHub.

Alcune piattaforme aggirano del tutto questo requisito richiedendo invece un metodo di pagamento valido (vedi Transazioni finanziarie: ). Sebbene ciò non richieda direttamente un nome reale tramite i loro ToS, ciò ha gli stessi risultati in quanto di solito accettano solo metodi di pagamento tradizionali (non Monero/Cash) (come Visa/MasterCard/Maestro o PayPal) che richiedono un nome reale legalmente come parte dei loro regolamenti KYC ²⁴² . Il risultato è lo stesso e persino migliore di una semplice politica con nome reale che potresti ignorare in alcuni paesi come la Germania.

Informazioni sui servizi a pagamento:

Se intendi utilizzare servizi a pagamento, privilegia coloro che accettano pagamenti in contanti o pagamenti Monero che puoi fare direttamente e in sicurezza mantenendo il tuo anonimato.

Se il servizio che intendi acquistare non li accetta ma accetta Bitcoin (BTC), considera la seguente appendice: Appendice Z: Pagare in modo anonimo online con BTC (o qualsiasi altra criptovaluta) .

Panoramica:

Questa sezione ti mostrerà una panoramica dei vari requisiti attuali su alcune piattaforme:

Prendi in considerazione l'utilizzo degli strumenti consigliati su https://privacyguides.org ^{[Archive.org]} per una migliore privacy invece dei soliti strumenti tradizionali.
Prendi in considerazione l'utilizzo degli strumenti consigliati su https://www.whonix.org/wiki/Documentation ^{[Archive.org]} invece dei soliti strumenti tradizionali come i provider di posta elettronica: https://www.whonix.org/wiki /E-Mail#Anonymity_Friendly_Email_Provider_List ^{[Archive.org]}

La panoramica seguente non menziona le pratiche sulla privacy di tali piattaforme, ma solo i loro requisiti per la registrazione di un account. Se desideri utilizzare strumenti e piattaforme sensibili alla privacy, vai su https://privacyguides.org ^{[Archive.org]} .

Leggenda:

"Non chiaro": non chiaro a causa della mancanza di informazioni o di informazioni confuse.
"Forse": è successo in una minoranza dei miei test.
"Probabile": è successo nella maggior parte dei miei test.
"Sì" o "No": questo è successo o non è mai successo sistematicamente in tutti i miei test.
"Facile": l'esperienza complessiva è stata semplice con pochi o nessun ostacolo.
"Medio": l'esperienza complessiva presenta alcuni ostacoli, ma è comunque fattibile senza troppi problemi.
"Difficile": L'esperienza complessiva è una lotta dolorosa con molti ostacoli.
“N/A”: Non applicabile perché non è stato possibile eseguire il test nel contesto di questa guida
"Indirettamente": Ciò significa che richiedono qualcosa ma indirettamente attraverso un sistema di terze parti (ad esempio KYC finanziario).

Servizio	Contro ToS	Richiede telefono	Richiede e-mail	Registrazione VPN	Registrazione Tor	Captcha	ID o Controlli finanziari	Controlli facciali	Controlli manuali	Difficoltà complessiva
Amazon	No	No	sì	sì	sì	No	Sì*	No	Non chiaro	N / A
Apple	Sì*	sì	sì	sì	sì	No	No	No	No	medio
Binance	Sì*	No	sì	sì	No	sì	No	No	No	medio
Briar	No	No	No	sì	sì	No	No	No	No	Facile
Discord	No	No	sì	sì	sì	sì	No	No	No	medio
Element	No	No	No	sì	sì	sì	No	No	No	Facile
Facebook	Sì*	sì	sì	Forse	Forse	sì	Forse	Forse	Forse	Difficile
GitHub	No	No	sì	sì	sì	sì	No	No	No	Facile
GitLab	No	No	sì	sì	sì	sì	No	No	No	Facile
Google	No	Probabile	Probabile	sì	sì	sì	Forse	No	Forse	medio
HackerNews	No	No	No	sì	sì	sì	No	No	No	Facile
Instagram	Non chiaro	Probabile	sì	sì	sì	sì	No	Forse	Forse	medio
Jami	No	No	No	sì	No	No	No	No	No	Facile
iVPN	No	No	No	sì	sì	No	No	No	No	Facile
Kraken	Sì*	No	sì	sì	No	No	No	No	No	medio
LinkedIn	Sì*	sì	sì	sì	sì	sì	Forse	Forse	Forse	Difficile
MailFence	No	No	sì	sì	Forse	sì	No	No	No	medio
Medium	No	No	sì	sì	sì	No	No	No	No	Facile
Microsoft	Sì*	Forse	Forse	sì	sì	sì	No	No	No	medio
Mullvad	No	No	No	sì	sì	No	No	No	No	Facile
Njalla	No	No	No	sì	sì	No	No	No	No	Facile
OnionShare	No	No	No	sì	sì	No	No	No	No	Facile
OnlyFans	No	No	sì	sì	sì	sì	Sì (per funzionalità complete)	No	No	Difficile (per funzionalità complete)
ProtonMail	No	Forse	Probabile	sì	sì	sì	No	No	No	medio
Proton VPN	No	No	sì	sì	sì	No	No	No	No	medio
Reddit	No	No	No	sì	sì	No	No	No	No	Facile
Slashdot	Sì*	No	No	sì	sì	sì	No	No	No	medio
Telegram	No	sì	No	sì	sì	No	No	No	No	Facile
Tutanota	No	No	No	Forse	No	sì	No	No	No	Difficile
Twitch	No	No	sì	sì	sì	sì	No	No	No	Facile
Twitter	No	Probabile	sì	sì	sì	sì	No	No	Forse	medio
WhatsApp	Sì*	sì	No	sì	sì	No	No	No	No	medio
4chan	No	No	No	No	No	sì	No	No	No	Difficile

Vedere Il sistema del nome reale per informazioni essenziali. Vedi sotto per i dettagli.

Amazon:

È contro i loro ToS? No, ma sì https://www.amazon.com/gp/help/customer/display.html?nodeId=202140280 ^{[Archive.org]}

“1. Servizi Amazon, Software Amazon

A. Utilizzo dei Servizi Amazon su un Prodotto. Per utilizzare determinati Servizi Amazon su un Prodotto, devi disporre del tuo account Amazon.com, aver effettuato l'accesso al tuo account sul Prodotto e disporre di un metodo di pagamento valido associato al tuo account. “

Anche se tecnicamente non richiede un nome reale. Richiede un metodo di pagamento valido. Sfortunatamente, non accetterà "contanti" o "Monero" come metodo di pagamento. Quindi, invece, si affidano al KYC finanziario (dove una politica del nome reale è praticamente applicata ovunque).

Avranno bisogno di un numero di telefono? Sì, ma vedi sotto
Puoi creare account tramite Tor? Sì, ma vedi sotto

A causa di questo requisito relativo al metodo di pagamento valido, non ho potuto testarlo. Sebbene ciò non sia apparentemente contro i loro Termini di servizio, non è possibile nel contesto di questa guida a meno che tu non riesca a ottenere un metodo di pagamento KYC valido in modo anonimo, cosa che AFAIK è praticamente impossibile o estremamente difficile.

Quindi, AFAIK, non è possibile creare un account Amazon anonimo.

Apple:

È contro i loro ToS? Sì https://www.apple.com/legal/internet-services/icloud/en/terms.html ^{[Archive.org]}

"IV. Il tuo utilizzo del servizio

A. Il tuo account

Per poter utilizzare il Servizio, devi inserire il tuo ID Apple e la password per autenticare il tuo Account . Accetti di fornire informazioni accurate e complete quando ti registri e mentre utilizzi il Servizio ("Dati di registrazione del servizio") e accetti di aggiornare i tuoi Dati di registrazione del servizio per mantenerli accurati e completi".

Avranno bisogno di un numero di telefono? sì
Puoi creare account tramite Tor? sì

Tieni presente che questo account non ti consentirà di configurare un account di posta Apple. Per questo, avrai bisogno di un dispositivo Apple.

Binance:

È contro i loro ToS? Sì https://www.binance.com/en/terms ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, richiedono un'e-mail
Puoi creare account tramite Tor? No

Briar:

È contro i loro ToS? No https://briarproject.org/privacy-policy/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, non richiedono nemmeno un'e-mail
Puoi creare account tramite Tor? sì

Discord:

È contro i loro ToS? No https://discord.com/terms ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, ma richiedono un'e-mail
Puoi creare account tramite Tor? Finora non ho avuto problemi con il client desktop

Potresti riscontrare più problemi utilizzando il client Web (Captcha). Soprattutto con Tor Browser.

Suggerisco di utilizzare l'app Discord Client su una macchina virtuale tramite Tor o idealmente tramite VPN/Proxy su Tor per mitigare tali problemi.

Element:

È contro i loro ToS? No https://element.io/terms-of-service ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, non richiedono nemmeno un'e-mail
Puoi creare account tramite Tor? sì

Aspettati alcuni Captcha durante la creazione dell'account su alcuni homeserver.

Facebook:

È contro i loro ToS? Sì https://www.facebook.com/terms.php ^{[Archive.org]}

“1. Chi può usare Facebook

Quando le persone sostengono le loro opinioni e azioni, la nostra community è più sicura e responsabile. Per questo motivo devi:

Usa lo stesso nome che usi nella vita di tutti i giorni.
Fornisci informazioni accurate su di te.
Avranno bisogno di un numero di telefono? Sì, e probabilmente più tardi
Puoi creare account tramite Tor? Sì, ma è molto difficile e il loro indirizzo onion ³⁹⁸ non aiuterà. Nella maggior parte dei casi, avrai solo un errore casuale al momento della registrazione e il tuo account sospeso dopo l'accesso".

Ma questa clausola dei loro ToS è illegale in Germania (vedi Requisiti ).

Facebook è una delle piattaforme più aggressive con la verifica dell'identità e sta spingendo al massimo la loro "politica del nome reale". Ecco perché questa guida è consigliata solo ai residenti tedeschi.

Durante i miei test sono stato in grado di individuare alcuni suggerimenti:

Sarà più facile se prima hai un account Instagram.
Iscriversi tramite Tor è quasi impossibile (anche usando il loro indirizzo .onion che è uno scherzo) e riuscirai solo se sei "molto fortunato" (presumo se stai utilizzando un nodo di uscita che non è ancora conosciuto dai sistemi di verifica di Facebook) . Nella maggior parte dei casi, non consentirà affatto la registrazione e fallirà semplicemente con "Si è verificato un errore durante la registrazione".
È più probabile che la registrazione tramite VPN riesca, ma potrebbe comunque causare lo stesso errore. Quindi, devi essere pronto per molti tentativi ed errori qui.
La registrazione tramite una VPN/proxy self-hosted è la soluzione migliore, ma assicurati che il tuo profilo/identità corrisponda alla geolocalizzazione IP.
La mia voce precedente nella guida sulla citazione orwelliana di Animal Farm è in pieno effetto su Facebook. Sperimenterai enormi variazioni nell'accettazione a seconda dell'età/sesso/etnia/nazionalità/... È qui che avrai molti meno problemi se stai facendo un resoconto di una giovane donna caucasica europea. Quasi sicuramente fallirai se provi a creare un maschio di mezza età in cui i miei altri account non sono ancora sospesi/non banditi fino ad oggi.
L'accesso (dopo la registrazione) tuttavia funziona bene con VPN e Tor, ma potrebbe comunque attivare la sospensione dell'account per aver violato le Linee guida della community o i Termini di servizio (nonostante tu non utilizzi l'account per nient'altro che la registrazione/registrazione -in). Idealmente, dovresti riconnetterti con lo stesso IP da una VPN/proxy self-hosted.

Sospetto inoltre fortemente, in base al mio test, che i seguenti punti abbiano un impatto sulla tua probabilità di essere sospeso nel tempo:

Non avere amici
Non avere interessi e una “attività organica”
Non essere nei contatti di nessun altro utente
Non essere su altre piattaforme (come Instagram/WhatsApp)
Limitazione delle impostazioni sulla privacy del tuo profilo troppo presto dopo la registrazione

Se il tuo account viene sospeso, dovrai presentare ricorso contro la decisione tramite un modulo abbastanza semplice che ti richiederà di presentare una "prova di identità". Tuttavia, quel sistema di verifica dell'identità è più clemente di LinkedIn e ti consentirà di inviare vari documenti che richiedono competenze di Photoshop molto inferiori.

È anche possibile che ti chiedano di fare un video selfie o di fare determinati gesti per dimostrare la tua identità. Se è così, temo che per ora sia un vicolo cieco a meno che non usi una tecnica di scambio di volti deepfake.

Se presenti un ricorso, dovrai aspettare che Facebook lo esamini (non so se sia automatico o umano) e dovrai aspettare e sperare che loro annullino la sospensione del tuo account.

GitHub:

È contro i loro ToS? No https://docs.github.com/en/free-pro-team@latest/github/site-policy/github-terms-of-service ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, tutto bene
Puoi creare account tramite Tor? Sì, ma aspettati dei captcha

GitHub è semplice e non richiede alcun numero di telefono.

Assicurati di andare in Impostazioni> E-Mail e rendi privata la tua e-mail e blocca qualsiasi push che rivelerebbe la tua e-mail.

GitLab:

È contro i loro ToS? No https://about.gitlab.com/handbook/legal/subscription-agreement/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, tutto bene
Puoi creare account tramite Tor? Sì, ma aspettati captcha

GitLab è semplice e non richiede numero di telefono.

Google:

È contro i loro ToS? No https://policies.google.com/terms ^{[Archive.org]}
Avranno bisogno di un numero di telefono? Si lo faranno. Non c'è via di scampo qui.
Puoi creare account tramite Tor? Sì, ma aspettati alcuni captcha e sarà richiesto il tuo numero di telefono

ProtonMail va bene... ma per apparire meno sospettosi, è semplicemente meglio avere anche un account Google Mail mainstream.

Come ProtonMail, molto probabilmente Google richiederà anche un numero di telefono durante la registrazione come parte del processo di verifica. Tuttavia, contrariamente a ProtonMail, Google memorizzerà quel numero di telefono durante il processo di registrazione e limiterà anche il numero di account che possono essere creati durante la registrazione ³⁹⁹ ' ⁴⁰⁰ .

Dalla mia esperienza durante la mia ricerca, questo conteggio è limitato a tre conti/numeri di telefono. Se sei sfortunato con il tuo numero (se è stato precedentemente utilizzato da un altro utente mobile), potrebbe essere inferiore.

Dovresti quindi utilizzare nuovamente il tuo numero di telefono online OPPURE il tuo telefono masterizzatore e la scheda SIM prepagata per creare l'account. Non dimenticare di utilizzare i dettagli identificativi che hai creato in precedenza (data di nascita). Quando l'account è stato creato, prenditi del tempo per fare quanto segue:

(Trucco) Accedi a Google Mail e vai nelle Impostazioni di Gmail> Vai nelle opzioni di inoltro della posta> Configura un inoltro della posta al tuo indirizzo ProtonMail> Verifica (usando ProtonMail)> Torna a Gmail e imposta l'inoltro per inoltrare ed eliminare Google copia > Salva. Questo passaggio ti consentirà di controllare la tua posta di Google utilizzando invece ProtonMail e ti consentirà di evitare di attivare i controlli di sicurezza di Google accedendo da vari indirizzi IP di uscita VPN/Tor in futuro mentre memorizzi invece la tua posta sensibile su ProtonMail. Questo trucco ti consentirà di ricevere tutte le e-mail dal tuo indirizzo Gmail sul tuo indirizzo ProtonMail (o altro) senza dover accedere al tuo account Google (riducendo i rischi che venga sospeso, soprattutto se usi Tor).
Abilita 2FA nelle impostazioni dell'account Google. Innanzitutto, dovrai abilitare 2FA utilizzando il numero di telefono. Quindi vedrai apparire l'opzione per abilitare 2FA utilizzando un'app Authenticator. Usa questa opzione e configurala con una nuova voce TOTP KeePassXC. Al termine, rimuovere il telefono 2FA dall'account Google. Ciò impedirà a qualcuno di utilizzare quel numero di telefono in futuro (quando non ce l'hai più) per recuperare/ottenere l'accesso a quell'account.
Aggiungi ProtonMail come indirizzo e-mail di recupero per l'account.
Rimuovere il numero di telefono dai dettagli dell'account come opzione di recupero.
Carica un'immagine del profilo Google che hai creato in precedenza durante la fase di creazione dell'identità.
Esamina le impostazioni sulla privacy di Google per disabilitare il più possibile:
- Registrazione attività
- Youtube
Esci e non toccarlo se non necessario (come accennato, utilizzerai ProtonMail per controllare il tuo Gmail).

Tieni presente che esistono diversi algoritmi in atto per verificare la presenza di attività strane. Se ricevi un messaggio di posta (su ProtonMail) che richiede un avviso di sicurezza di Google. Fare clic e fare clic sul pulsante per dire "Sì, sono stato io". Aiuta.

Non utilizzare quell'account per "registrarsi con Google" da nessuna parte a meno che non sia necessario.

Fai molta attenzione se decidi di utilizzare l'account per attività di Google (come le recensioni su Google Maps o i commenti su YouTube) poiché possono facilmente attivare alcuni controlli (recensioni negative, commenti che infrangono le Linee guida della community su YouTube).

Se il tuo account viene sospeso ⁴⁰¹ (questo può accadere al momento della registrazione, dopo la registrazione o dopo averlo utilizzato in alcuni servizi Google), puoi comunque ripristinarlo inviando ⁴⁰² un ricorso/verifica (che richiederà nuovamente il tuo numero di telefono ed eventualmente un contatto e-mail con il supporto di Google con il motivo).La sospensione dell'account non disabilita l'inoltro dell'e-mail, ma l'account sospeso verrà cancellato dopo un po'.

Dopo la sospensione, se il tuo account Google viene ripristinato, dovresti stare bene.

Se il tuo account viene bannato, non avrai appello e l'inoltro verrà disabilitato. Il tuo numero di telefono verrà contrassegnato e non potrai utilizzarlo per registrarti su un altro account. Fai attenzione quando li usi per evitare di perderli. Sono preziosi.

È anche possibile che Google richieda un controllo dell'identità tramite KYC finanziario indiretto o controllo dell'immagine dell'identità se si tenta di accedere/pubblicare contenuti per adulti sulla loro piattaforma ⁴⁰³ .

HackerNews:

È contro i loro ToS? No https://www.ycombinator.com/legal/#tou ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, non richiedono nemmeno un'e-mail
Puoi creare account tramite Tor? sì

Instagram:

È contro i loro ToS? Forse? Non sono sicuro https://help.instagram.com/581066165581870?ref=dp ^{[Archive.org]}

“ Non puoi impersonare altri o fornire informazioni inesatte. Non devi rivelare la tua identità su Instagram, ma devi fornirci informazioni accurate e aggiornate (comprese le informazioni di registrazione) . Inoltre, non puoi impersonare qualcuno che non sei e non puoi creare un account per qualcun altro a meno che tu non abbia il suo esplicito permesso”.

Questo è un po' un ossimoro, non credi? Quindi, non sono sicuro se sia consentito o meno.

Avranno bisogno di un numero di telefono? Forse ma meno probabile su VPN e molto probabilmente su Tor
Puoi creare account tramite Tor? Sì, ma aspettati alcuni captcha e sarà richiesto il tuo numero di telefono

È anche possibile che ti chiedano di scattare un video selfie o di eseguire determinati gesti per dimostrare la tua identità (all'interno dell'app o tramite una richiesta e-mail). Se questo è il caso, temo che per ora sia un vicolo cieco.

Non è un segreto che Instagram faccia parte di Facebook, tuttavia è più indulgente di Facebook quando si tratta di verifica degli utenti. È abbastanza improbabile che tu venga sospeso o bandito dopo la registrazione. Ma potrebbe aiutare.

Ad esempio, ho notato che dovrai affrontare meno problemi creando un account Facebook se hai già un account Instagram valido. Dovresti sempre creare un account Instagram prima di provare Facebook.

Sfortunatamente, ci sono alcune limitazioni quando si utilizza la versione web di Instagram. Ad esempio, non sarai in grado di abilitare Authenticator 2FA dal Web per un motivo che non capisco.

Dopo la registrazione, procedi come segue:

Carica un'immagine della tua identità generata, se lo desideri.
Vai nelle tue Impostazioni
Rendi privato l'account (almeno inizialmente)
Non mostrare lo stato dell'attività
Non consentire la condivisione

Jami:

È contro i loro ToS? No https://jami.net/privacy-policy/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, non richiedono nemmeno un'e-mail
Puoi creare account tramite Tor? No, non funziona per qualche motivo tecnico

iVPN:

È contro i loro ToS? No https://www.ivpn.net/tos/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, non richiedono nemmeno un'e-mail
Puoi creare account tramite Tor? sì

Kraken:

È contro i loro ToS? Sì https://www.kraken.com/legal ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, richiedono un'e-mail
Puoi creare account tramite Tor? sì

LinkedIn:

È contro i loro ToS? Sì https://www.linkedin.com/legal/user-agreement ^{[Archive.org]}

"Per utilizzare i Servizi, accetti che: (1) devi avere " Età minima " (descritta di seguito) o più anziani; (2) avrai un solo account LinkedIn, che deve essere nel tuo vero nome ; e (3) non sei già limitato da LinkedIn a utilizzare i Servizi. La creazione di un account con informazioni false è una violazione dei nostri termini , inclusi gli account registrati per conto di altri o persone di età inferiore ai sedici anni. “

Ma questa clausola dei loro ToS è illegale in Germania (vedi Requisiti ).

Avranno bisogno di un numero di telefono? Si lo faranno.
Puoi creare account tramite Tor? Sì, ma aspettati alcuni captcha e sarà richiesto il tuo numero di telefono

LinkedIn è molto meno aggressivo di Twitter, ma richiederà comunque una e-mail valida (preferibilmente di nuovo il tuo Gmail) e un numero di telefono nella maggior parte dei casi (anche se non sempre).

LinkedIn, tuttavia, fa molto affidamento sui rapporti e sulla moderazione utente/cliente. Non dovresti creare un profilo con un'occupazione all'interno di una società privata o di una piccola società di avvio. I dipendenti dell'azienda stanno monitorando l'attività di LinkedIn e ricevono notifiche quando nuove persone si uniscono. Possono quindi segnalare il tuo profilo come falso e il tuo profilo verrà quindi sospeso o bandito in attesa di ricorso.

LinkedIn ti richiederà quindi di eseguire un processo di verifica che, sfortunatamente, richiederà l'invio di una prova d'identità (carta d'identità, passaporto, patente di guida). Questa verifica dell'identità viene elaborata da una società chiamata Jumio ⁴⁰⁴ specializzata nella verifica dell'identità. Questo è molto probabilmente un vicolo cieco in quanto ciò ti costringerebbe a sviluppare alcune forti abilità di Photoshop.

Invece, è molto meno probabile che tu venga segnalato se rimani sul vago (diciamo di essere uno studente/tirocinante/freelance) o fai finta di lavorare per una grande istituzione pubblica che è troppo grande per essere curata o controllata da chiunque.

Come con Twitter e Google, dovresti fare quanto segue dopo la registrazione:

Disabilita gli annunci
Disabilita le notifiche
Disabilita la ricerca per telefono/e-mail
Carica una foto della tua identità

MailFence:

È contro i loro ToS? No
Avranno bisogno di un numero di telefono? No, ma richiedono una e-mail
Puoi creare account tramite Tor? Forse. Dai miei test, le e-mail di verifica della registrazione non vengono inviate quando si utilizza Tor per la registrazione. Nessun problema, tuttavia, quando si utilizza una VPN su Tor o un proxy su Tor.

Medium:

È contro i loro ToS? No, a meno che non si tratti di crittografia https://policy.medium.com/medium-terms-of-service-9db0094a1e0f ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, ma richiedono una e-mail
Puoi creare account tramite Tor? Nessun problema finora

L'accesso richiede un'e-mail ogni volta.

Microsoft:

È contro i loro ToS? Sì https://www.microsoft.com/en/servicesagreement/ ^{[Archive.org]}

"io. Creazione di un account. Puoi creare un account Microsoft registrandoti online. L'utente accetta di non utilizzare informazioni false, imprecise o fuorvianti durante la registrazione del proprio account Microsoft”.

Ma questa clausola dei loro ToS è illegale in Germania (vedi Requisiti ).

Avranno bisogno di un numero di telefono? Probabile ma non sempre. A seconda della tua fortuna con il tuo nodo di uscita Tor, potrebbero richiedere solo la verifica tramite e-mail. Se utilizzi una VPN su Tor, probabilmente chiederanno solo un'e-mail.
Puoi creare account tramite Tor? Sì, puoi aspettarti captcha, almeno la verifica tramite posta elettronica e una probabile verifica telefonica.

Quindi sì, è ancora possibile creare un account MS senza un numero di telefono e utilizzando Tor o VPN, ma potrebbe essere necessario scorrere alcuni nodi di uscita per raggiungere questo obiettivo.

Dopo la registrazione è necessario impostare l'autenticazione 2FA all'interno delle opzioni di sicurezza e utilizzare KeePassXC TOTP.

Mullvad:

È contro i loro ToS? No https://mullvad.net/en/help/terms-service/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, non richiedono nemmeno un'e-mail.
Puoi creare account tramite Tor? Sì.

Njalla:

È contro i loro ToS? No https://njal.la/tos/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, ma richiedono un'e-mail o un account XMPP (Jabber) da qualche parte.
Puoi creare account tramite Tor? Sì, hanno anche un indirizzo ".onion" su http://njallalafimoej5i4eg7vlnqjvmb6zhdh27qxcatdn647jtwwwui3nad.onion/

OnionShare:

È contro i loro ToS? No, non hanno nemmeno i Termini di servizio
Avranno bisogno di un numero di telefono? No, non richiedono nemmeno un'e-mail
Puoi creare account tramite Tor? Sì (ovviamente)

OnlyFans:

È contro i loro ToS? No, sembra a posto https://onlyfans.com/terms ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, richiedono un'e-mail
Puoi creare account tramite Tor? Si, puoi

Sfortunatamente, sarai estremamente limitato con quell'account e per fare qualsiasi cosa dovrai completare il processo di verifica che richiede un controllo delle transazioni finanziarie di tipo KYC. Quindi, non molto utile.

ProtonMail:

È contro i loro ToS? No https://ProtonMail.com/terms-and-conditions ^{[Archive.org]}
Avranno bisogno di un numero di telefono? Forse. Dipende dall'IP da cui provieni. Se vieni da Tor, è probabile. Da una VPN, è meno probabile.
Puoi creare account tramite Tor? Sì, ma è molto probabile che sarà richiesto un numero di telefono quando sarà richiesta solo un'e-mail o un captcha su una VPN. Hanno anche un indirizzo ".onion" su http://protonmailrmez3lotcipshtkleegetolb73fuirgj7r4o4vfu7ozyd.onion/ .

Ovviamente hai bisogno di un'e-mail per la tua identità online e le e-mail usa e getta sono praticamente bandite ovunque.

ProtonMail è un provider di posta elettronica gratuito con sede in Svizzera che sostiene la sicurezza e la privacy.

Sono consigliati da Privacyguides.org ⁴⁰⁵ . Il loro unico problema apparente è che richiedono (nella maggior parte dei casi) un numero di telefono o un altro indirizzo e-mail per la registrazione (quando si tenta di registrarsi da una VPN o almeno Tor).

Affermano di non memorizzare/collegare il telefono/l'e-mail associati alla registrazione, ma di memorizzare solo un hash che non è collegato all'account ⁴⁰⁶ . Se la loro affermazione è vera e l'hash non è collegato al tuo account e hai seguito la mia guida sul numero di telefono, dovresti essere ragionevolmente al sicuro dal tracciamento.

Questo account e-mail può essere utilizzato per creare un account Google/Gmail.

Proton VPN:

È contro i loro ToS? No https://protonvpn.com/terms-and-conditions ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, ma richiedono un'e-mail.
Puoi creare account tramite Tor? sì

Reddit:

È contro i loro ToS? No https://www.redditinc.com/policies ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, non lo faranno.
Puoi creare account tramite Tor? sì

Reddit è semplice. Tutto ciò che serve per registrarsi è un nome utente e una password validi. Normalmente non richiedono nemmeno una e-mail (puoi saltare l'e-mail in fase di registrazione, lasciandola vuota).

Nessun problema con la registrazione su Tor o VPN oltre ai Captcha occasionali.

Considera di leggere questo post su reddit: https://old.reddit.com/r/ShadowBan/comments/8a2gpk/an_unofficial_guide_on_how_to_avoid_being/ ^{[Archive.org]}

Slashdot:

È contro i loro ToS? Sì https://slashdotmedia.com/terms-of-use/ ^{[Archive.org]}

“8. Registrazione; Utilizzo di aree sicure e password

Alcune aree dei Siti potrebbero richiedere la registrazione con noi. Quando e se ti registri, accetti di (a) fornire informazioni accurate, aggiornate e complete su di te come richiesto dal nostro modulo di registrazione (incluso il tuo indirizzo e-mail) e (b) per mantenere e aggiornare le tue informazioni (incluso il tuo e -indirizzo e-mail) per mantenerlo accurato, aggiornato e completo. Riconosci che qualora le informazioni da te fornite dovessero risultare false, inesatte, non aggiornate o incomplete, ci riserviamo il diritto di risolvere il presente Accordo con te e il tuo uso attuale o futuro dei Siti (o parte di essi)”.

Avranno bisogno di un numero di telefono? No
Puoi creare account tramite Tor? sì

Telegram:

È contro i loro ToS? No https://telegram.org/tos ^{[Archive.org]}
Avranno bisogno di un numero di telefono? Sì purtroppo
Puoi creare account tramite Tor? Sì, ma a volte vieni bannato casualmente senza alcun motivo

Telegram è abbastanza semplice e puoi scaricare la loro app Windows portatile per registrarti e accedere.

Richiederà un numero di telefono (che può essere utilizzato solo una volta) e nient'altro.

Nella maggior parte dei casi, non ho avuto problemi se fosse su Tor o VPN, ma ho avuto alcuni casi in cui il mio account Telegram è stato semplicemente bannato per aver violato i termini di servizio (non sei sicuro di quale?). Anche questo nonostante non li usi per nulla.

Forniscono un processo di appello tramite e-mail, ma non ho avuto successo nell'ottenere alcuna risposta.

Il loro processo di appello è semplicemente l'invio di un'e-mail a recovery@telegram.org ^{[Archive.org]} indicando il tuo numero di telefono e il problema è sperare che rispondano.

Dopo esserti registrato dovresti fare quanto segue:

Vai in Modifica profilo
Imposta un nome utente
Vai in Impostazioni (app desktop)
Imposta la visibilità del numero di telefono su Nessuno
Imposta Ultimo visto e online su Nessuno
Imposta i messaggi inoltrati su Nessuno
Imposta le foto del profilo su Contatti
Imposta le chiamate ai contatti
Imposta Gruppo e canali su Contatti

Tutanota:

È contro i loro ToS? No https://tutanota.com/terms/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, ma richiedono un'e-mail.
Puoi creare account tramite Tor? Non proprio, quasi tutti i nodi Tor Exit sono banditi dall'AFAIK

Twitter:

È contro i loro ToS? No https://twitter.com/en/tos
Avranno bisogno di un numero di telefono? Potrebbero non registrarsi, ma lo faranno subito dopo la registrazione o successivamente.
Puoi creare account tramite Tor? Sì, ma aspettati alcuni captcha e il tuo numero di telefono sarà richiesto dopo un po'.

Twitter è estremamente aggressivo nel prevenire l'anonimato sulla sua rete. Devi registrarti utilizzando e-mail e password (non telefono) e non utilizzando "Accedi con Google". Usa il tuo Gmail come indirizzo e-mail.

Molto probabilmente, il tuo account verrà sospeso immediatamente durante la procedura di registrazione e richiederà il completamento di una serie di test automatici per sbloccarlo. Ciò includerà una serie di captcha, la conferma della tua e-mail e l'handle di Twitter o altre informazioni. In alcuni casi, richiederà anche il tuo numero di telefono.

In alcuni casi, nonostante tu selezioni una verifica di testo, il sistema di verifica di Twitter chiamerà il telefono in ogni caso. In tal caso, dovrai ritirare e ascoltare il codice di verifica. Sospetto che questo sia un altro metodo per impedire ai sistemi automatizzati e agli utenti malintenzionati di vendere servizi di ricezione di testo su Internet.

Twitter memorizzerà tutte queste informazioni e le collegherà al tuo account, inclusi IP, e-mail e numero di telefono. Non sarai in grado di quel numero di telefono per creare un account diverso.

Una volta che l'account è stato ripristinato, dovresti dedicare del tempo a fare quanto segue:

Carica l'immagine del profilo dell'identità.
Abilita 2FA dalle impostazioni di sicurezza utilizzando una nuova voce TOTP KeePassXC, salva anche i codici di sicurezza in KeePassXC.
Disabilita la codifica delle foto
Disabilita la ricerca e-mail
Disabilita la ricerca del telefono
Disattiva tutte le impostazioni pubblicitarie personalizzate
Disabilita la geolocalizzazione dei tweet
Rimuovere il numero di telefono dall'account
Segui alcune persone in base
Esci e lascia stare.

Dopo circa una settimana, dovresti controllare di nuovo Twitter e le probabilità che venga sospeso di nuovo per "attività sospetta" o "violazione delle linee guida della community" nonostante tu non lo utilizzi affatto (nemmeno un singolo tweet/segui/mi piace /retweet o DM) ma questa volta da un altro sistema. Lo chiamo il "doppio tocco".

Questa volta dovrai presentare un ricorso utilizzando un modulo ⁴⁰⁷ , fornire una buona motivazione e attendere che il ricorso venga elaborato da Twitter. Durante questo processo, potresti ricevere un'e-mail (su ProtonMail) che ti chiede di rispondere a un ticket del servizio clienti per dimostrare che hai accesso alla tua e-mail e che sei tu. Questo sarà indirizzato al tuo indirizzo Gmail ma arriverà sul tuo ProtonMail.

Non rispondere da ProtonMail poiché ciò solleverà sospetti, devi accedere a Gmail (purtroppo) e comporre una nuova posta da lì copiando e incollando l'e-mail, l'oggetto e il contenuto da ProtonMail. Oltre a una risposta che conferma l'accesso a tale e-mail.

Dopo alcuni giorni, il tuo account dovrebbe essere sospeso "per sempre". Nessun problema dopo, ma tieni presente che possono comunque vietare il tuo account per qualsiasi motivo se violi le linee guida della community. Il numero di telefono e l'e-mail verranno quindi contrassegnati e non avrai altra scelta che ottenere una nuova identità con un nuovo numero per registrarti nuovamente. Non utilizzare questo account per la pesca alla traina.

Contrazione:

È contro i loro ToS? No https://www.twitch.tv/p/en/legal/terms-of-service/ ^{[Archive.org]}
Avranno bisogno di un numero di telefono? No, ma richiedono un'e-mail.
Puoi creare account tramite Tor? sì

Tieni presente che non potrai abilitare la 2FA su Twitch utilizzando solo la posta elettronica. Questa funzione richiede un numero di telefono per essere abilitata.

WhatsApp:

È contro i loro ToS? Sì https://www.whatsapp.com/legal/updates/terms-of-service-eea ^{[Archive.org]}

“ Registrazione . Devi registrarti ai nostri Servizi utilizzando informazioni accurate , fornire il tuo numero di cellulare attuale e, se lo modifichi, aggiornare il tuo numero di cellulare utilizzando la nostra funzione di modifica del numero in-app. Accetti di ricevere messaggi di testo e telefonate (da noi o dai nostri fornitori di terze parti) con i codici per registrarti ai nostri Servizi”.

Avranno bisogno di un numero di telefono? Si lo fanno.
Puoi creare account tramite Tor? Nessun problema finora.

4chan:

È contro i loro ToS? No
Avranno bisogno di un numero di telefono? No, non lo faranno.
Puoi postare lì con Tor o VPN? Non è probabile.

4chan è 4chan... Questa guida non ti spiegherà 4chan. Bloccano i nodi di uscita Tor e gli intervalli IP VPN noti.

Dovrai trovare un modo separato per postare lì usando almeno sette proxy ⁴⁰⁸ che non sono conosciuti dal sistema di blocco 4chan (suggerimento: VPS anonimo che usa Monero è probabilmente la tua migliore opzione).

Portafogli crittografici:

Usa qualsiasi app di portafoglio crittografico all'interno della macchina virtuale Windows. Ma fai attenzione a non trasferire nulla verso un Exchange o un portafoglio noto. Nella maggior parte dei casi, le criptovalute NON sono anonime e possono essere ricondotte a te quando ne acquisti / vendi (ricorda la sezione sulle transazioni delle tue criptovalute ).

Se vuoi davvero usare Crypto, usa Monero che è l'unico con ragionevole privacy/anonimato.

Idealmente, dovresti trovare un modo per acquistare/vendere criptovalute con contanti da una persona sconosciuta.

Che dire di quelle app solo mobili (WhatsApp/Signal)?

Esistono solo tre modi per utilizzarli in modo sicuro in modo anonimo (che consiglierei). L'utilizzo di una VPN sul telefono non è uno di quei modi. Tutti questi sono, sfortunatamente, "noiosi" per non dire altro.

Usa un emulatore Android all'interno della VM Windows ed esegui l'app tramite il tuo multi-livello di Tor/VPN. Lo svantaggio è che tali emulatori di solito sono piuttosto affamati di risorse e rallenteranno la tua VM e utilizzeranno più batteria. Ecco anche una guida (obsoleta) su questo argomento: https://www.bellingcat.com/resources/how-tos/2018/08/23/creating-android-open-source-research-device-pc/ ^{[Archivio .org]} . Per quanto mi riguarda, consiglierei l'uso di:
- Android-x86 su Virtualbox (vedi https://www.android-x86.org/documentation/virtualbox.html ^{[Archive.org]} ) che puoi anche configurare facilmente.
- AnBox ( https://anbox.io ^{[Archive.org]} ) che puoi anche configurare piuttosto facilmente anche sulla Workstation Whonix, vedere https://www.whonix.org/wiki/Anbox ^{[Archive.org]}
Non consigliato: utilizzare un'app non ufficiale (come Wassapp per WhatsApp) per connettersi dalla macchina virtuale Windows all'app. Usalo a tuo rischio in quanto potresti essere bannato per aver violato i termini dei servizi utilizzando un'app non ufficiale.
Sconsigliato e più complicato: avere uno Smartphone masterizzatore da collegare alla rete a strati della VM tramite Tethering/Condivisione della connessione tramite Wi-Fi. Non lo descriverò in dettaglio qui, ma è un'opzione.

Non c'è modo di impostare facilmente un approccio di connettività multilivello decente su un telefono Android (non è nemmeno possibile su IOS per quanto ne so). Per affidabile, intendo essere sicuro che lo smartphone non perderà nulla come la geolocalizzazione o altro dall'avvio allo spegnimento.

Qualunque altra cosa:

Dovresti usare la stessa logica e sicurezza per qualsiasi altra piattaforma.

Dovrebbe funzionare nella maggior parte dei casi con la maggior parte delle piattaforme. La piattaforma più difficile da usare con il pieno anonimato è Facebook.

Questo ovviamente non funzionerà con le banche e la maggior parte delle piattaforme finanziarie (come PayPal o Crypto Exchanges) che richiedono un'identificazione ufficiale reale ed esistente. Questa guida non ti aiuterà in quanto sarebbe illegale nella maggior parte dei luoghi.

Ci sono un sacco di app di messaggistica ovunque. Alcuni hanno un'interfaccia utente e un'esperienza utente eccellenti e una terribile sicurezza/privacy. Alcuni hanno un'eccellente sicurezza/privacy ma un'interfaccia utente e un'esperienza utente terribili. Non è facile scegliere quelli che dovresti usare per le attività sensibili. Quindi, questa sezione ti aiuterà a farlo.

Prima di andare oltre, ci sono anche alcuni concetti di base chiave che dovresti capire:

Crittografia end-to-end:

La crittografia end-to-end ⁴⁰⁹ (aka e2ee) è un concetto piuttosto semplice. Significa solo che solo tu e la tua destinazione conoscete le chiavi di crittografia pubbliche e nessuno nel mezzo che intercetterebbe sarebbe in grado di decrittografare la comunicazione.

Tuttavia, il termine è spesso usato in modo diverso a seconda del provider:

Alcuni provider rivendicheranno e2ee ma dimenticano di menzionare ciò che è coperto dai loro protocolli. Ad esempio, i metadati sono protetti anche all'interno del loro protocollo e2ee? O è solo il contenuto dei messaggi?
Alcuni provider forniscono e2ee ma solo come opzione di attivazione (disabilitata per impostazione predefinita).
Alcuni provider offrono e2ee con messaggi 1 a 1 ma non con messaggi di gruppo.
Alcuni provider rivendicheranno l'uso di e2ee, ma le loro app proprietarie sono closed source in cui nessuno può verificare l'affermazione e la forza della crittografia utilizzata.

Per questi motivi, è sempre importante controllare le affermazioni delle varie app. Le app open source dovrebbero sempre essere preferite per verificare che tipo di crittografia stanno utilizzando e se le loro affermazioni sono vere. Se non open source, tali app dovrebbero avere un rapporto indipendente apertamente disponibile (realizzato da una terza parte rispettabile) che confermi le loro affermazioni.

Lancia la tua criptovaluta:

Vedi la sezione Crittografia errata all'inizio di questa guida.

Sii sempre cauto con le app che lanciano le proprie criptovalute fino a quando non sono state riviste da molti nella comunità delle criptovalute (o anche meglio pubblicate e sottoposte a revisione paritaria a livello accademico) . Ancora una volta, questo è più difficile da verificare con app proprietarie closed-source.

Non è che rotolare le tue stesse criptovalute sia essenzialmente negativo, è che una buona crittografia ha bisogno di una vera revisione tra pari, auditing, test... E poiché probabilmente non sei un crittoanalista (e nemmeno io lo sono), è probabile che lo siamo non competente per valutare la crittografia di alcune app.

Segretezza in avanti:

Forward Secrecy ⁴¹⁰ (FS aka PFS per Perfect Forward Secrecy) è una proprietà del protocollo di accordo chiave di alcune di queste app di messaggistica ed è una funzionalità complementare di e2ee. Ciò accade prima di stabilire la comunicazione con la destinazione. Il "Forward" si riferisce al futuro nel tempo e significa che ogni volta che si stabilisce una nuova comunicazione e2ee, verrà generato un nuovo set di chiavi per quella specifica sessione. L'obiettivo della segretezza in avanti è mantenere la segretezza delle comunicazioni (sessioni) passate anche se quella attuale è compromessa. Se un avversario riesce a entrare in possesso delle tue attuali chiavi e2ee, quell'avversario sarà quindi limitato al contenuto della singola sessione e non sarà in grado di decifrare facilmente quelle passate.

Ciò presenta alcuni svantaggi dell'esperienza utente come, ad esempio, un nuovo dispositivo non potrebbe essere in grado di accedere comodamente alla cronologia chat archiviata in remoto senza passaggi aggiuntivi.

Quindi, in breve, Forward Secrecy protegge le sessioni passate da future compromissioni di chiavi o password.

Maggiori informazioni su questo argomento in questo video di YouTube: https://www.youtube.com/watch?v=zSQtyW_ywZc ^[Invidious]

Alcuni provider e app che affermano di offrire e2ee non offrono FS/PFS a volte per motivi di usabilità (la messaggistica di gruppo, ad esempio, è più complessa con PFS). È quindi importante preferire le app open source che forniscono segretezza in avanti a quelle che non lo fanno.

Crittografia ad accesso zero a riposo:

Zero-Access Encryption ⁴¹¹ a riposo viene utilizzato quando si archiviano i dati presso un provider (diciamo la cronologia delle chat o i backup delle chat) ma questa cronologia o backup è crittografato dalla tua parte e non può essere letto o decrittografato dal provider che lo ospita.

La crittografia ad accesso zero è una funzionalità/compagno aggiunta a e2ee, ma viene applicata principalmente ai dati inattivi e non alle comunicazioni.

Esempi di questo problema sarebbero iMessage e WhatsApp, consulta i servizi di backup/sincronizzazione del tuo cloud all'inizio di questa guida.

Quindi, ancora una volta, è meglio preferire app/provider che offrono la crittografia ad accesso zero a riposo e non possono leggere/accedere a nessuno dei tuoi dati/metadati anche a riposo e non solo alle comunicazioni.

Una tale funzionalità avrebbe impedito importanti hack come lo scandalo Cambridge Analytica ⁴¹² se fosse stata implementata.

Protezione dei metadati:

Ricorda la sezione I tuoi metadati inclusa la tua posizione geografica . La crittografia end-to-end è una cosa, ma non protegge necessariamente i tuoi metadati.

Ad esempio, WhatsApp potrebbe non sapere cosa stai dicendo, ma potrebbe sapere con chi stai parlando, da quanto tempo e quando parli con qualcuno, chi altro è nei gruppi con te e se hai trasferito dati con loro (come file di grandi dimensioni).

La crittografia end-to-end di per sé non protegge un intercettatore dalla raccolta dei tuoi metadati.

Questi dati possono anche essere protetti/offuscati da alcuni protocolli per rendere la raccolta dei metadati sostanzialmente più difficile per gli intercettatori. Questo è il caso, ad esempio, del protocollo Signal che offre una protezione aggiuntiva con funzionalità come:

L'opzione Mittente sigillato ⁴¹³ .
La scoperta del contatto privato ⁴¹⁴ .
Il sistema dei gruppi privati ⁴¹⁵ .

Altre app come Briar o OnionShare proteggeranno i metadati utilizzando Tor Network come scudo e archiviando tutto localmente sul dispositivo. Nulla viene archiviato in remoto e tutte le comunicazioni sono dirette tramite Wi-Fi/Bluetooth di prossimità o in remoto tramite la rete Tor.

Tuttavia, la maggior parte delle app e in particolare le app commerciali proprietarie closed-source raccoglieranno e conserveranno i tuoi metadati per vari scopi. E tali metadati da soli sono sufficienti per capire molte cose sulle tue comunicazioni.

Ancora una volta, è importante preferire le app open source tenendo presente la privacy e vari metodi in atto per proteggere non solo il contenuto delle comunicazioni ma tutti i metadati associati.

Open Source:

Infine, le app Open-Source dovrebbero essere sempre preferite perché consentono a terze parti di verificare le capacità e i punti deboli effettivi rispetto alle affermazioni dei dipartimenti di marketing. Open-Source non significa che l'app debba essere gratuita o non commerciale. Significa solo trasparenza.

Confronto:

Di seguito troverai una piccola tabella che mostra lo stato delle app di messaggistica al momento della stesura di questa guida in base ai miei test e ai dati provenienti dalle varie fonti di seguito:

Wikipedia, https://en.wikipedia.org/wiki/Comparison_of_instant_messaging_protocols ^[Wikiless] ^{[Archive.org]}
Wikipedia, https://en.wikipedia.org/wiki/Comparison_of_cross-platform_instant_messaging_clients ^[Wikiless] ^{[Archive.org]}
App di messaggistica sicura https://www.securemessagingapps.com/ ^{[Archive.org]}
Blog di ProtonMail, https://protonmail.com/blog/whatsapp-alternatives/ ^{[Archive.org]}
Documentazione Whonix, chat di messaggistica istantanea https://www.whonix.org/wiki/Chat ^{[Archive.org]}
Dai un'occhiata a https://securechatguide.org/featuresmatrix.html ^{[Archive.org]} che è anche una buona tabella di confronto per le app di messaggistica.
Messenger-Matrix.de su https://www.messenger-matrix.de/messenger-matrix-en.html ^{[Archive.org]}

App ⁰	e2ee ¹	Lancia le tue criptovalute	Perfetto Segretezza in avanti	Crittografia ad accesso zero a riposo ⁵	Protezione dei metadati (offuscamento, crittografia...)	Open Source	Impostazioni di privacy predefinite	Iscrizione anonima nativa (senza e-mail o telefono)	Possibile tramite Tor	Record di privacy e sicurezza ***	Decentralizzato
Briar (preferibile)	sì	n. ¹	sì	sì	Sì (forte)	sì	Buona	sì	Nativamente ³	Buona	Sì (peer to peer)
Cwtch (preferito)	sì	No	sì	sì	Sì (forte)	sì	Buona	sì	Nativamente	Buona	Sì (peer to peer)
Discord (evitare)	No	closed source ⁷	No	No	No	No	Male	Email (obbligatorio	Virtualizzazione	Male	No
Element / Matrix.org (preferito)	Sì (partecipazione)	No	sì	sì	Povero ²	sì	Buona	sì	Tramite proxy ³ o virtualizzazione	Buona	Parziale (server federati)
Facebook Messenger (evitare)	Parziale (solo 1to1 / opt-in)	closed source ⁷	sì	No	No	No	Male	E-Mail e Telefono richiesti	Virtualizzazione	Male	No
OnionShare (preferito)	sì	No	da definire ⁸	da definire ⁸	Sì (forte)	sì	Buona	sì	Nativamente	Buona	Sì (peer to peer)
Messaggi Apple (aka iMessage)	sì	closed source ⁷	No	Parziale	No	No	Buona	Dispositivo Apple Richiesto	Forse la virtualizzazione utilizzando l'ID dispositivo Apple reale	Male	No
IRC	Sì (plugin OTR)	No	No	No	No	sì	Male	sì	Tramite proxy ³ o virtualizzazione	Buona	No
Jami (preferito)	sì	n. ³	sì	sì	Parziale	sì	Buona	sì	Tramite proxy ³ o virtualizzazione ⁹	Buona	Parziale
KakaoTalk (evitare)	sì	closed source ⁷	n. ⁴	No	No	No	Male	No (ma possibile)	Virtualizzazione	Male	No
Keybase	sì	No	Parziale (messaggio che esplode)	No	No	sì	Buona	Email (obbligatorio			No
Kik (evitare)	No	closed source ⁷	No	No	No	No	Male	No (ma possibile)	Virtualizzazione	Male	No
Line (evitare)	Parziale (opt-in)	closed source ⁷	No	No	No	No	Male	No (ma possibile)	Virtualizzazione	Male	No
Pidgin con OTR (evitare)	Sì (OTR ⁵ )	No	sì	No	No	sì	Male	sì	Tramite proxy ³ o virtualizzazione	Cattivo ⁶	No
qTox	sì	No	No	No	No	sì	Buona	sì	Tramite proxy ³ o virtualizzazione	Medio ⁷	sì
Session (Preferito solo su iOS)	sì	No	No	sì	sì	sì	Buona	sì	Tramite proxy ³ o virtualizzazione ¹⁰	Buona	sì
Signal	sì	No	sì	sì	Sì (moderato)	sì	Buona	Telefono richiesto	Virtualizzazione	Buona	No
Skype (evitare)	Parziale (solo 1to1 / opt-in)	closed source ⁷	No	No	No	No	Male	No (ma possibile)	Virtualizzazione	Male	No
SnapChat (evitare)	No	closed source ⁷	No	No	No	No	Male	No (ma possibile)	Virtualizzazione	Male	No
Teams (evitare)	sì	closed source ⁷	No	No	No	No	Male	No (ma possibile)	Virtualizzazione	Male	No
Telegram	Parziale (solo 1to1 / opt-in)	Sì (MTProto ⁸ )	Parziale (solo chat segrete)	sì	No	Parziale ⁵	Medio (e2ee disattivato per impostazione predefinita)	Telefono richiesto	Tramite proxy ³ o virtualizzazione	Medio ⁹	No
Viber (evitare)	Parziale (solo 1 a 1)	closed source ⁷	sì	No	No	No	Male	No (ma possibile)	Virtualizzazione	Male	No
WeChat (evitare)	No	closed source ⁷	No	No	No	No	Male	No	Virtualizzazione	Male	No
WhatsApp (evitare)	sì	closed source ⁷	sì	No	No	No	Male	Telefono richiesto	Virtualizzazione	Male	No
Wickr Me	Parziale (solo 1 a 1)	No	sì	No	Sì (moderato)	No	Buona	sì	Virtualizzazione	Buona	No
Gajim (XMPP) (preferito)	sì	No	sì	No	No	sì	Buona	sì	Tramite proxy ³ o virtualizzazione	Buona	Parziale
Zoom (evitare ¹⁰ )	Contestato ¹¹	No	da definire ⁸	No	No	No	Male	Email (obbligatorio	Virtualizzazione	Cattivo ¹²	No

Documentazione Briar, protocollo di trasporto Bramble versione 4 https://code.briarproject.org/briar/briar-spec/blob/master/protocols/BTP.md ^{[Archive.org]} ↩︎
Serpentsec, Matrix https://web.archive.org/web/https://serpentsec.1337.cx/matrix ↩︎
Wikipedia, GnuTLS, https://en.wikipedia.org/wiki/GnuTLS ^[Wikiless] ^{[Archive.org]} ↩︎
KTH ROYAL INSTITUTE OF TECHNOLOGYSCHOOL OF ELECTRICAL ENGINEERING, un audit di sicurezza e privacy della crittografia end-to-end di KakaoTalk www.diva-portal.org/smash/get/diva2:1046438/FULLTEXT01.pdf ^{[Archive.org]} ↩︎
Wikipedia, OTR https://en.wikipedia.org/wiki/Off-the-Record_Messaging ^[Wikiless] ^{[Archive.org]} ↩︎
Avvisi sulla sicurezza di Pidgin, https://www.pidgin.im/about/security/advisories/ ^{[Archive.org]} ↩︎
Forum Whonix, integrazione Tox https://forums.whonix.org/t/tox-qtox-whonix-integration/1219 ^{[Archive.org]} ↩︎
Documentazione Telegram, protocollo MTProto Mobile https://core.telegram.org/mtproto ^{[Archive.org]} ↩︎
Wikipedia, Telegram Security Breaches, https://en.wikipedia.org/wiki/Telegram_(software)#Security_breaches ^[Wikiless] ^{[Archive.org]} ↩︎
TechCrunch, forse non dovremmo usare Zoom dopo tutto, https://techcrunch.com/2020/03/31/zoom-at-your-own-risk/ ^{[Archive.org]} ↩︎
The Incercept, le riunioni Zoom non sono crittografate end-to-end, nonostante il marketing fuorviante https://theintercept.com/2020/03/31/zoom-meeting-encryption/ ^{[Tor Mirror]} ^{[Archive.org]} ↩︎
Serpentsec, messaggistica sicura: scelta di un'app di chat https://web.archive.org/web/https://serpentsec.1337.cx/secure-messaging-choosing-a-chat-app ↩︎

Leggenda:

La menzione "preferito" o "evitare" si riferisce all'uso di tali app per comunicazioni sensibili. Questa è solo la mia opinione e puoi crearne una tua usando le risorse sopra e altre. Ricorda "Fidati ma verifica".
e2ee si riferisce alla "crittografia end-to-end"
Potrebbero essere necessari passaggi aggiuntivi per proteggere Tor Connectivity
La loro capacità e volontà di lottare per la privacy e di non collaborare con vari avversari
Solo le app client sono open source, non le app lato server
Ciò significa che i dati sono completamente crittografati a riposo (e non solo durante il transito) e illeggibili da terze parti senza una chiave che conosci solo tu (inclusi i backup)
Non verificabile perché proprietario closed source.
Da determinare, sconosciuto al momento in cui scrivo
Jami ti richiederà di abilitare DHTProxy nelle loro opzioni per funzionare e sarà limitato al solo testo.
Session utilizza anche la propria soluzione Onion Routing chiamata LokiNet

Alcune app come Threema e Wire sono state escluse da questo confronto perché non sono gratuite e non accettano metodi di pagamento anonimi come Cash/Monero.

Conclusione:

Ricorda: Appendice B1: Elenco di controllo delle cose da verificare prima di condividere le informazioni .

Consiglierò queste opzioni in quest'ordine (come raccomandato anche da Privacyguides.org ⁴¹⁶ ' ⁴¹⁷ ad eccezione di Session e Cwtch):

Mac OS:
- Supporto nativo per il routing della cipolla di Tor ( preferito ):
  - OnionShare versione >2.3 ( https://onionshare.org/ ^{[Tor
    Mirror]} ^{[Archive.org]} )**
  - Cwtch ( https://cwtch.im ^{[Archive.org]} avviso, questo è in fase alpha/beta )**
- Supporto Tor non nativo (richiede passaggi aggiuntivi per l'anonimato ideale per proxy tramite Tor tramite virtualizzazione o proxy):
  - Element/Matrix.org ( https://element.io/ ^{[Archive.org]} )
  - Jami ( https://jami.net/ ^{[Archive.org]} )*
  - Gajim/XMPP ( https://gajim.org/ ^{[Archive.org]} )
Windows:
- Supporto nativo per il routing della cipolla di Tor ( preferito ):
  - OnionShare versione >2.3 ( https://onionshare.org/ ^{[Tor
    Mirror]} ^{[Archive.org]} )**
  - Cwtch ( https://cwtch.im ^{[Archive.org]} avviso, questo è in fase alpha/beta )**
- Supporto Tor non nativo (richiede passaggi aggiuntivi per l'anonimato ideale per proxy tramite Tor tramite virtualizzazione o proxy):
  - Element/Matrix.org ( https://element.io/ ^{[Archive.org]} )
  - Jami ( https://jami.net/ ^{[Archive.org]} )*
  - Gajim/XMPP ( https://gajim.org/ ^{[Archive.org]} )
Linux:
- Supporto nativo per il routing della cipolla di Tor ( preferito ):
  - Radica ( https://briarproject.org/ ^{[Archive.org]} )*
  - OnionShare versione >2.3 ( https://onionshare.org/ ^{[Tor
    Mirror]} ^{[Archive.org]} )**
  - Cwtch ( https://cwtch.im ^{[Archive.org]} avviso, questo è in fase alpha/beta )**
- Supporto Tor non nativo (richiede passaggi aggiuntivi per l'anonimato ideale per proxy tramite Tor tramite virtualizzazione o proxy):
  - Element/Matrix.org ( https://element.io/ ^{[Archive.org]} )
  - Jami ( https://jami.net/ ^{[Archive.org]} )*
  - Gajim/XMPP ( https://gajim.org/ ^{[Archive.org]} )
Nota che affinché Jami funzioni su Tor, dovrai abilitare l'opzione DHTProxy locale all'interno delle impostazioni di Jami. Funzionerà solo per i messaggi di testo e non per le chiamate/video)

** Tieni presente che queste opzioni (Briar, Cwtch e OnionShare) non supportano ancora più dispositivi. Le tue informazioni sono rigorosamente archiviate sul dispositivo/sistema operativo su cui le stai configurando. Non usarli su un sistema operativo non persistente a meno che tu non voglia un uso effimero.

Qualche opzione sicura per i dispositivi mobili? Sì, ma questi non sono approvati/consigliati tranne Briar su Android. Ricordiamo inoltre che questa guida sconsiglia l'utilizzo degli smartphone per attività sensibili in genere.

Android:
- Briar ( https://briarproject.org/ ^{[Archive.org]} )
- Cwtch ( https://cwtch.im ^{[Archive.org]} avviso, questo è in fase alpha/beta )
iOS:
- A causa della mancanza di un'opzione migliore e anche se normalmente non è consigliata : Session Messenger: https://getsession.org/ ^{[Archive.org]} . Perché non è raccomandato in questi giorni all'interno della comunità della privacy? Bene, è perché recentemente ⁴¹⁸ hanno eliminato due funzionalità di sicurezza chiave dal loro protocollo: Perfect Forward Secrecy e Deniability che sono considerate piuttosto essenziali nella maggior parte delle altre app. Eppure Session è stata sottoposta a audit ⁴¹⁹ con risultati soddisfacenti, ma tale audit non menziona questi cambiamenti. Al momento, inoltre, mancano informazioni sufficienti su LokiNet (la Onion Routing Network utilizzata da Session) per approvarlo. La sessione è ancora consigliata da alcuni come Techlore ⁴²⁰ .

Tieni presente che tutte le opzioni Tor non native devono essere utilizzate su Tor per motivi di sicurezza (da Tails o da un sistema operativo guest in esecuzione dietro il gateway Whonix come la workstation Whonix o una VM Android-x86).

Anche se sconsiglio la maggior parte delle piattaforme di messaggistica per i vari motivi sopra delineati (numero di telefono e requisiti di posta elettronica), ciò non significa che non sia possibile utilizzarle in modo anonimo se sai cosa stai facendo. Puoi utilizzare anche Facebook Messenger in modo anonimo adottando le dovute precauzioni delineate in questa guida (virtualizzazione dietro un Tor Gateway su OS non persistente).

Quelli che sono preferiti sono consigliati per la loro posizione sulla privacy, le loro impostazioni predefinite, le loro scelte crittografiche ma anche perché consentono una comoda registrazione anonima senza passare attraverso i tanti problemi di avere un metodo di verifica del numero di telefono/e-mail e sono open source.

Quelli dovrebbero essere privilegiati nella maggior parte dei casi. Sì, questa guida ha un server Discord e un account Twitter nonostante quelli non siano affatto raccomandati per la loro posizione sulla privacy e la loro lotta con l'anonimato. Ma si tratta di me che agisco in modo appropriato nel rendere questa guida disponibile a molti e utilizzando convenientemente la mia esperienza e conoscenza per farlo nel modo più anonimo possibile.

Non approvo né raccomando alcune piattaforme tradizionali per l'anonimato, incluso il tanto elogiato Signal che fino ad oggi richiede ancora un numero di telefono per registrarsi e contattare gli altri. Nel contesto di questa guida, consiglio vivamente di non utilizzare Signal, se possibile.

Attenzione: prima di condividere qualcosa pubblicamente, assicurati che i tuoi file siano curati da qualsiasi informazione che potrebbe compromettere la tua identità. Vedi Appendice B1: Elenco di controllo delle cose da verificare prima di condividere le informazioni .

Considera le seguenti piattaforme:

Cryptpad.fr ( https://cryptpad.fr/ ): livello gratuito limitato a 1 GB in totale e consigliato da PrivacyGuides.org su https://privacyguides.org/providers/cloud-storage/ ^{[Archive.org]}
AnonArchive ( https://anonarchive.org/ ): livello gratuito limitato a 1 GB in totale
Filen ( https://filen.io/ ): livello gratuito limitato a 10 GB in totale

Considera l'uso di IPFS ⁴²¹ :

Pinata ( https://www.pinata.cloud/ ): livello gratuito limitato a 1 GB totale

Redigere documenti/immagini/video/audio in sicurezza:

Potresti voler autopubblicare alcune informazioni in modo sicuro e anonimo sotto forma di scritti, immagini, video, ...

Per tutti questi scopi ecco alcuni consigli:

Idealmente, non dovresti usare software proprietario come Adobe Photoshop, Microsoft Office...
Preferibilmente, dovresti usare invece software open source come LibreOffice, Gimp...

Sebbene le alternative commerciali siano ricche di funzionalità, sono anche proprietarie closed-source e spesso presentano vari problemi come:

Invio delle informazioni di telemetria all'azienda.
Aggiunta di metadati non necessari e talvolta filigrane ai tuoi documenti.
Queste app non sono gratuite e qualsiasi perdita di metadati potrebbe essere ricondotta a te poiché dovevi acquistarle da qualche parte.

È possibile utilizzare software commerciali per creare documenti sensibili, ma dovresti prestare la massima attenzione a tutte le opzioni nelle varie App (commerciali o gratuite) per evitare che qualsiasi fuga di dati riveli informazioni su di te.

Ecco una tabella comparativa del software consigliato/incluso compilato da varie fonti (PrivacyGuides.org, Whonix, Tails, Prism-Break.org e me). Tieni presente che la mia raccomandazione considera il contesto di questa guida con una presenza online solo sporadica in base alla necessità.

Tipo	Whonix	Prism-Break.org	PrivacyGuides.org	Tails	Questa guida
Modifica dei documenti offline	LibreOffice	N / A	LibreOffice*	LibreOffice	LibreOffice, Blocco note++
Modifica documenti online (collaborazione)	N / A	Cryptpad.fr	Cryptpad.fr, Etherpad.org, Privatebin.net	N / A	Cryptpad.fr, Etherpad.org, Privatebin.net
Modifica delle immagini	Flameshot (L)	N / A	N / A	GIMP	GIMP
Modifica audio	Audacity	N / A	N / A	Audacity	Audacity
Montaggio video	Flowblade (L)	N / A	N / A	N / A	Flowblade (L) Olive (?) OpenShot (?) ShotCut (?)
Registratore dello schermo	Vokoscreen	N / A	N / A	N / A	Vokoscreen
Media Player	VLC	N / A	N / A	VLC	VLC
Visualizzatore PDF	Ristretto (L)	N / A	N / A	N / A	Browser
Redazione PDF	PDF-Redact Tools (L)	N / A	N / A	PDF-Redact Tools (L)	LibreOffice, PDF-Redact Tools (L)

Legenda: * Non consigliato ma menzionato. N/A = Non incluso o assenza di consigli per quel tipo di software. (L)= Solo Linux ma può essere utilizzato su Windows/macOS con altri mezzi (HomeBrew, Virtualization, Cygwin). (?)= Non testato ma open-source e potrebbe essere considerato.

In tutti i casi, consiglio vivamente di utilizzare tali applicazioni solo dall'interno di una VM o di Tails per evitare il maggior numero possibile di perdite. In caso contrario, dovrai disinfettare accuratamente quei documenti prima della pubblicazione (consulta Rimozione dei metadati da file/documenti/immagini ).

Comunicazione di informazioni sensibili a varie organizzazioni note:

Potresti essere interessato a comunicare informazioni ad alcune organizzazioni come la stampa in modo anonimo.

Se devi farlo, dovresti prendere alcune misure perché non puoi fidarti di nessuna organizzazione per proteggere il tuo anonimato ⁴²² . Vedi Appendice B1: Elenco di controllo delle cose da verificare prima di condividere le informazioni .

Per questo, consiglio vivamente l'uso di SecureDrop ⁴²³ ( https://securedrop.org/ ^{[Archive.org]} ) che è un progetto open source della Freedom of the Press Foundation.

Prenditi un momento per leggere la loro "guida ai sorgenti" qui: https://docs.securedrop.org/en/stable/source.html ^{[Archive.org]}
Idealmente, dovresti usare SecureDrop su Tor e troverai un elenco curato di quelli qui https://github.com/alecmuffett/real-world-onion-sites#securedrop ^{[Archive.org]}

Se non SecureDrop non è disponibile, potresti prendere in considerazione qualsiasi altro mezzo di comunicazione, ma dovresti privilegiare quelli che sono crittografati end-to-end. Non farlo mai dalla tua vera identità ma solo da un ambiente sicuro usando un'identità anonima.

Senza SecureDrop potresti considerare:

Utilizzo della posta elettronica con crittografia GPG a condizione che il destinatario abbia pubblicato una chiave GPG da qualche parte. Puoi cercare questo qui:
- Sui loro account di social media verificati (Twitter) se lo hanno fornito.
- Su https://keybase.io (indirizzo Tor http://keybase5wmilwokqirssclfnsqrjdsi7jdir5wy7y7iu3tanwmtp6oid.onion )
- Su directory PGP aperte come: (attenzione perché sono directory pubbliche e chiunque può caricare qualsiasi chiave per qualsiasi indirizzo e-mail, dovrai controllare la firma con altre piattaforme per assicurarti che sia la loro).
Utilizzando qualsiasi altra piattaforma (anche Twitter DM) ma ancora utilizzando GPG per crittografare il messaggio per il destinatario.

Cosa dovresti evitare IMHO:

Non inviare materiale fisico utilizzando la posta a causa del rischio di lasciare DNA/impronte digitali o altre informazioni tracciabili (vedi VPN pagata in contanti (preferito) ).
Non utilizzare metodi legati a un numero di telefono (anche di masterizzatore) come Signal/WhatsApp/Telegram.
Non utilizzare alcun tipo di comunicazione voce/video.
Non trapelare alcun indizio sulla tua vera identità durante lo scambio di messaggi.
Non incontrare persone nella vita reale a meno che tu non abbia assolutamente altra opzione (questa è un'opzione di ultima istanza).

Se intendi rompere il tuo anonimato per proteggere la tua sicurezza:

Valuta prima i rischi con molta attenzione.
Informati attentamente sulla legalità/sicurezza del tuo intento e sulle conseguenze per te e per gli altri. Pensaci attentamente.
Eventualmente contattare un avvocato di fiducia prima di farlo.

Attività di manutenzione:

Di tanto in tanto dovresti registrarti attentamente nei tuoi account per mantenerli in vita.
Controlla regolarmente la tua e-mail per i controlli di sicurezza e qualsiasi altra notifica dell'account.
Controlla regolarmente l'eventuale apparenza di compromissione di una qualsiasi delle tue identità utilizzando https://haveibeenpwned.com/ ^{[Archive.org]} (ovviamente da un ambiente sicuro).

Backup sicuro del tuo lavoro:

Non caricare mai contenitori di file crittografati con possibilità di negazione plausibile (contenitori nascosti al loro interno) sulla maggior parte dei servizi cloud (iCloud, Google Drive, OneDrive, Dropbox) senza precauzioni di sicurezza. Ciò è dovuto al fatto che la maggior parte dei servizi cloud conserva backup/versioni dei file e tali backup/versioni dei contenitori crittografati possono essere utilizzati per l'analisi differenziale per dimostrare l'esistenza di un contenitore nascosto.

Invece, questa guida consiglierà altri metodi per eseguire il backup delle tue cose in modo sicuro.

Backup offline:

Questi backup possono essere eseguiti su un disco rigido esterno o una chiave USB. Ecco le varie possibilità.

Backup dei file selezionati:

Requisiti:

Per questi backup, avrai bisogno di una chiave USB o di un disco rigido esterno con una capacità di archiviazione sufficiente per archiviare i file di cui desideri eseguire il backup.

Veracrypt:

A tal fine, consiglierò l'uso di Veracrypt su tutte le piattaforme (Linux/Windows/macOS) per comodità, sicurezza e portabilità.

Contenitori di file normali:

Il processo è abbastanza semplice e tutto ciò di cui avrai bisogno è seguire il tutorial di Veracrypt qui: https://www.veracrypt.fr/en/Beginner%27s%20Tutorial.html ^{[Archive.org]}

In questo contenitore, puoi quindi archiviare i dati sensibili manualmente e/o utilizzare qualsiasi utilità di backup di cui desideri eseguire il backup dei file dal sistema operativo a quel contenitore.

È quindi possibile conservare questo contenitore ovunque in modo sicuro.

Contenitori di file nascosti con plausibile negazione:

Il processo è anche abbastanza semplice e simile al tutorial precedente, tranne per il fatto che questa volta utilizzerai la procedura guidata Veracrypt per creare un volume Veracrypt nascosto invece di un volume Veracrypt standard.

Puoi creare un volume nascosto all'interno di un volume standard esistente o semplicemente utilizzare la procedura guidata per crearne uno nuovo.

Supponiamo che tu voglia un contenitore da 8 GB, la procedura guidata creerà prima un "volume esterno" in cui sarai in grado di memorizzare le informazioni sull'esca quando richiesto. Alcuni file esca (piuttosto sensati, plausibili ma non quelli che vuoi nascondere) dovrebbero essere archiviati nel volume esca.

Quindi Veracrypt ti chiederà di creare un contenitore nascosto più piccolo (ad esempio 2 GB o 4 GB) all'interno del volume esterno in cui puoi archiviare i tuoi file nascosti effettivi.

Quando selezioni il file per il montaggio in Veracrypt, a seconda della password fornita, monterà il volume dell'esca esterno o il volume nascosto.

È quindi possibile montare il volume nascosto e utilizzarlo per archiviare normalmente i file sensibili.

Fai attenzione quando monti il volume dell'esca esterna per aggiornarne il contenuto. Dovresti proteggere il volume nascosto dalla sovrascrittura quando lo fai poiché lavorare nel volume esca potrebbe sovrascrivere i dati nel volume nascosto.

Per fare ciò, quando si monta il volume Decoy, selezionare Opzioni di montaggio e selezionare l'opzione "Proteggi volume nascosto" e fornire la password del volume nascosto sullo stesso schermo. Quindi montare il volume dell'esca. Ciò proteggerà il volume nascosto dalla sovrascrittura durante la modifica dei file esca. Questo è spiegato anche qui nella documentazione di Veracrypt: https://www.veracrypt.fr/en/Protection%20of%20Hidden%20Volumes.html ^{[Archive.org]}

Sii estremamente cauto con questi contenitori di file:

Non archiviarne più versioni o archiviarle in un punto in cui è in corso il controllo delle versioni (dal file system o dal sistema di archiviazione). Questi contenitori di file dovrebbero essere identici ovunque li memorizzi. Se hai un backup di tali contenitori da qualche parte, deve essere assolutamente identico a quello che stai utilizzando. Se non prendi questa precauzione, un avversario potrebbe confrontare due diverse versioni di questo contenitore e provare l'esistenza di dati nascosti. Segui attentamente i consigli qui https://www.veracrypt.fr/en/Security%20Requirements%20for%20Hidden%20Volumes.html ^{[Archive.org]} . Ricorda la perdita di dati locali e le analisi forensi: sezione.
Consiglio vivamente di archiviare tali contenitori su chiavi USB esterne che monterai solo dalle tue VM guest e mai dal tuo sistema operativo host. Dopo ogni modifica ai file, dovresti pulire lo spazio libero sul disco USB e assicurarti che qualsiasi backup di tali contenitori sia assolutamente identico su ogni chiave e sul tuo computer. Consulta la sezione Come eliminare in modo sicuro file/cartelle/dati specifici su HDD/SSD e unità Thumb di questa guida per assistenza su questa operazione.
Se hai tempo, ti consiglierò anche di eliminare completamente la cancellazione delle chiavi prima di apportare qualsiasi modifica a tali contenitori sul tuo computer (se non lavori direttamente dalla chiave USB). Questo per evitare che un avversario che sequestrerebbe le tue risorse prima che tu possa aggiornare le chiavi di avere più versioni dei contenitori che potrebbero portare a dimostrare l'esistenza di dati nascosti utilizzando tecniche forensi.
Non archiviare mai tali contenitori su piattaforme di archiviazione cloud che dispongono di backup e dove non hai il controllo diretto sull'eliminazione permanente. Potrebbero conservare "vecchie versioni" dei tuoi file che possono quindi essere utilizzate anche dalla scientifica per dimostrare l'esistenza di dati nascosti.
Se stai montando il volume nascosto dal tuo sistema operativo host ( non consigliato ), dovresti cancellare tutte le tracce di questo volume nascosto ovunque dopo l'uso. Potrebbero esserci tracce in vari luoghi (registri di sistema, journaling dei file system, documenti recenti nelle applicazioni, indicizzazione, voci di registro...). Fare riferimento al Alcune misure aggiuntive contro la scientificasezione di questa guida per rimuovere tali artefatti. Soprattutto su Windows. Invece, dovresti montarli sulle tue macchine virtuali guest. Con Virtualbox, ad esempio, è possibile acquisire un'istantanea della VM prima di aprire/lavorare sul volume nascosto e quindi ripristinare l'istantanea prima di aprirla/lavorare su di essa dopo l'uso. Questo dovrebbe cancellare le tracce della sua presenza e mitigare il problema. Il tuo sistema operativo host potrebbe conservare i registri della chiave USB inserita ma non dell'utilizzo del volume nascosto. Pertanto, non consiglio di utilizzarli dal tuo sistema operativo host.
Non archiviarli su unità SSD esterne se non sei sicuro di poter utilizzare Trim su di esse (consulta la sezione Comprendere HDD vs SSD ).

Backup completi di disco/sistema:

Versione TLDR: usa semplicemente Clonezilla perché ha funzionato in modo affidabile e coerente con tutti i miei test su tutti i sistemi operativi ad eccezione dei Mac dove probabilmente dovresti utilizzare utility native (utility Time Machine/Disk invece) per evitare problemi di compatibilità e poiché stai utilizzando la crittografia macOS nativa . Quando si utilizza Windows, non eseguire il backup di una partizione contenente un sistema operativo nascosto nel caso in cui si utilizzi la negazione plausibile (come spiegato in precedenza, questo backup potrebbe consentire a un avversario di provare l'esistenza del sistema operativo nascosto confrontando l'ultimo backup con il sistema corrente in cui i dati sarà cambiato e sconfiggerà plausibili negazioni, utilizzare invece contenitori di file).

Avrai due opzioni qui:

(Non consigliato) Eseguire il backup dal sistema operativo live utilizzando un'utilità di backup (utilità commerciali come EaseUS Todo Free, Macrium Reflect...) o utilità native come macOS Time Machine, QubesOS Backup, Ubuntu Déjà Dup o Windows Backup...).
- Questo backup può essere eseguito mentre il sistema operativo è in esecuzione.
- Questo backup non verrà crittografato utilizzando la crittografia del disco ma utilizzando l'algoritmo di crittografia dell'utilità di backup (di cui dovrai fidarti e che non puoi davvero controllare per la maggior parte). In alternativa, puoi crittografare il supporto di backup da solo separatamente (ad esempio con Veracrypt). Non sono a conoscenza di alcuna utilità gratuita o non gratuita che supporti Veracrypt in modo nativo.
- Alcune utilità consentiranno backup differenziali/incrementali anziché backup completi.
- Queste utilità di backup non saranno in grado di ripristinare l'unità crittografata così com'è poiché non supportano i file system crittografati in modo nativo. E quindi, questi richiederanno più lavoro per ripristinare il tuo sistema in uno stato crittografato (ricrittografia dopo il ripristino).
(Consigliato) Farlo offline da un'unità di avvio (come con Clonezilla open source gratuito).
- Questo backup può essere eseguito solo mentre il sistema operativo non è in esecuzione.
- Questo backup eseguirà il backup del disco crittografato così com'è e quindi verrà crittografato per impostazione predefinita con lo stesso meccanismo (è più simile a una soluzione fire and forget). Il ripristino ripristinerà anche la crittografia così com'è e il tuo sistema sarà immediatamente pronto per l'uso dopo un ripristino.
- Questo metodo non consentirà backup incrementali/differenziali (il che significa che dovrai ripetere ogni volta un backup completo).
- Questo metodo è il più semplice da gestire.

Ho effettuato test approfonditi utilizzando utility di backup live (Macrium Reflect, EaseUS Todo Reflect, Déjà Dup…) e personalmente non credo ne valga la pena. Invece, ti consiglio di eseguire periodicamente il backup del tuo sistema con una semplice immagine Clonezilla. È molto più facile da eseguire, molto più facile da ripristinare e di solito funziona in modo affidabile senza problemi in tutti i casi. E contrariamente a molte credenze, non è così lento con la maggior parte dei backup che impiegano circa un'ora a seconda della velocità del supporto di destinazione.

Per eseguire il backup di singoli file mentre si lavora, si consiglia di utilizzare contenitori di file o supporti crittografati direttamente e manualmente, come spiegato nella sezione precedente.

Requisiti:

Avrai bisogno di un'unità esterna separata con almeno lo stesso o più spazio libero disponibile rispetto al tuo disco di origine. Se il tuo laptop ha un disco da 250 GB. Avrai bisogno di almeno 250 GB di spazio libero su disco per il backup completo dell'immagine. A volte questo sarà notevolmente ridotto con la compressione da parte dell'utilità di backup, ma come regola di sicurezza, dovresti avere almeno lo stesso o più spazio sull'unità di backup.

Alcune avvertenze e considerazioni generali:

Se utilizzi Secure Boot, avrai bisogno di un'utilità di backup che supporti Secure Boot che include le versioni Clonezilla AMD64.
Considera l'uso di exFAT come file system per le tue unità di backup in quanto forniranno una migliore compatibilità tra vari sistemi operativi (macOS, Linux e Windows) rispetto a NTFS/HFS/ext4...

Linux:

Ubuntu (o qualsiasi altra distribuzione a scelta):

Consiglierò l'uso dell'utilità Clonezilla open source per comodità e affidabilità, ma ci sono molte altre utilità e metodi nativi di Linux che potresti utilizzare per questo scopo.

Quindi, dovresti seguire i passaggi nell'Appendice E: Clonezilla

QubesOS:

Qubes OS consiglia di utilizzare la propria utilità per i backup, come documentato qui https://www.qubes-os.org/doc/backup-restore/ ^{[Archive.org]} . Ma è solo una seccatura e fornisce un valore aggiunto limitato a meno che tu non voglia semplicemente eseguire il backup di un singolo Qube. Quindi, invece, sto anche consigliando di creare un'immagine completa con Clonezilla che rimuoverà tutti i problemi e ti riporterà un sistema funzionante in pochi semplici passaggi.

Quindi, dovresti seguire i passaggi nell'Appendice E: Clonezilla

Finestre:

Consiglierò solo l'uso dell'utilità Clonezilla open source e gratuita per questo scopo. Ci sono utility commerciali che offrono le stesse funzionalità, ma non vedo alcun vantaggio nell'usarne nessuna rispetto a Clonezilla.

Alcuni avvertimenti:

Se usi Bitlocker per la crittografia con TPM ⁴²⁴ abilitato, potrebbe essere necessario salvare la tua chiave Bitlocker (in modo sicuro) da qualche parte e potrebbe essere necessario per ripristinare l'unità se l'HDD/SSD o altre parti hardware sono state modificate. Un'altra opzione sarebbe quella di utilizzare Bitlocker senza l'uso di TPM che non richiederebbe questa opzione. Ma ancora una volta, non consiglio affatto di usare Bitlocker.
Dovresti sempre avere un backup del tuo disco di ripristino Veracrypt a portata di mano da qualche parte per poter risolvere alcuni problemi che potrebbero ancora apparire dopo un ripristino. Ricorda che questo disco di ripristino non contiene la tua passphrase o informazioni riservate. Puoi conservarlo così com'è.
Se hai modificato l'HDD/SSD dopo un errore, Windows 10 potrebbe rifiutarsi di avviarsi se l'ID del tuo disco rigido viene modificato. Dovresti anche salvare questo ID prima di eseguire il backup poiché potrebbe essere necessario modificare l'ID della nuova unità poiché Windows 10 potrebbe richiedere un ID corrispondente prima dell'avvio. Vedere Appendice F: Diskpart
Nel caso in cui utilizzi Plausible Deniability su Windows. NON eseguire il backup della partizione del sistema operativo nascosta poiché questa immagine potrebbe essere utilizzata da Forensics per dimostrare l'esistenza del volume nascosto come spiegato in precedenza. Va bene eseguire il backup della partizione del sistema operativo Decoy senza problemi, ma non dovresti mai eseguire il backup della partizione contenente il sistema operativo nascosto.

Segui i passaggi nell'Appendice E: Clonezilla

Mac OS:

Consiglierei semplicemente di utilizzare il backup nativo di Time Machine con crittografia (e una passphrase forte che potrebbe essere la stessa del tuo sistema operativo) secondo le guide fornite su Apple: https://support.apple.com/en-ie/guide/ mac-help/mh21241/mac ^{[Archive.org]} e https://support.apple.com/en-ie/guide/mac-help/mh11421/11.0/mac/11.0 ^{[Archive.org]} .

Quindi, collega un'unità esterna e dovrebbe chiederti di utilizzarla come backup di Time Machine.

Tuttavia, dovresti considerare di formattare questa unità come exFAT in modo che sia utilizzabile comodamente anche da altri sistemi operativi (Windows/Linux) senza software aggiunto utilizzando questa guida: https://support.apple.com/en-ie/guide/disk-utility /dskutl1010/mac ^{[Archive.org]}

È solo più semplice e funzionerà online mentre lavori. Sarai in grado di recuperare i tuoi dati su qualsiasi altro Mac dalle opzioni di ripristino e potrai anche utilizzare questo disco per il backup di altri dispositivi.

È anche possibile utilizzare Clonezilla per clonare il disco rigido del tuo Mac, ma potrebbe portare problemi di compatibilità hardware e probabilmente non aggiungerà molto in termini di sicurezza. Quindi, per macOS, non sto raccomandando specificamente Clonezilla.

Backup in linea:

File:

Questo è difficile. Il problema è che dipende dal tuo modello di minaccia.

TLDR: non archiviare contenitori di file con plausibile negabilità (Veracrypt) online. Se utilizzi container con possibilità di negazione plausibile, non dovresti mai archiviarli su alcuna piattaforma in cui non hai il pieno controllo sul processo di eliminazione poiché molto probabilmente la piattaforma avrà backup delle versioni precedenti per un po' di tempo. E ancora, queste versioni precedenti potrebbero consentire alla scientifica di dimostrare l'esistenza di dati nascosti e sconfiggere plausibili negazioni. Ciò include piattaforme come DropBox, Google Drive, OneDrive o altri. L'unico spazio di archiviazione online accettabile potrebbe essere il "cold storage" (il che significa che non cambierai mai più quei file e li manterrai intatti rispetto a qualsiasi versione locale).
Se utilizzi backup normalmente crittografati senza plausibile negazione, puoi archiviarli praticamente ovunque se sono correttamente crittografati localmente prima del caricamento (ad esempio con Veracrypt, utilizzando passphrase e crittografia forti). Non fidarti mai della crittografia di nessun provider online. Fidati solo della tua crittografia locale (usando Veracrypt per esempio). In questi casi, puoi archiviare i tuoi backup praticamente ovunque negli account delle tue identità online (iCloud, Google Drive, DropBox...) se sono fortemente crittografati localmente prima del caricamento. Ma potresti anche preferire servizi di tutela della privacy come Cryptpad.fr (1GB).

Ovviamente non eseguire mai/accedere a quei backup da dispositivi non protetti/non sicuri ma solo dagli ambienti protetti, che hai scelto in precedenza.

Self-hosting:

Anche il self-hosting (usando Nextcloud, ad esempio) è una possibilità a condizione che tu disponga di un hosting anonimo

Consulta l' Appendice A1: Provider di hosting VPS consigliati .

Si prega di considerare anche l'Appendice B2: Disclaimer Monero .

Hosting su cloud:

Per file più piccoli, considera:

Cryptpad.fr ( https://cryptpad.fr/ ): livello gratuito limitato a 1 GB in totale e consigliato da PrivacyGuides.org su https://privacyguides.org/providers/cloud-storage/ ^{[Archive.org]}
AnonArchive ( https://anonarchive.org/ ): livello gratuito limitato a 1 GB in totale
Filen ( https://filen.io/ ): livello gratuito limitato a 10 GB in totale

Al momento non sono a conoscenza di alcuna piattaforma di archiviazione/hosting online che accetti pagamenti in contanti a differenza dei fornitori menzionati in precedenza.

Se intendi archiviare dati sensibili su "piattaforme tradizionali" (Dropbox, Google Drive, OneDrive...), ricorda di non archiviare mai contenitori di negazione plausibili su quelle e ricordati di crittografare e controllare (per i metadati...) qualsiasi cosa in locale prima di caricare lì . O con un software come Veracrypt o con un software come Cryptomator ( https://cryptomator.org/ ). Non caricare mai file non crittografati su quelle piattaforme e ripetermi, accedi solo ad essi da una VM protetta e protetta.

Informazione:

Se vuoi solo salvare le informazioni (testo), ti consiglierò l'uso di pastebin sicuri e privati ⁴²⁵ . Per lo più mi atterrò a quelli consigliati da PrivacyGuides.org ( https://privacyguides.org/providers/paste/ ^{[Archive.org]} ):

Su questi provider, puoi semplicemente creare un pad protetto da password con le informazioni che desideri archiviare.

Basta creare un pad, proteggerlo con una password e scriverci le tue informazioni. Ricorda l'indirizzo del pad.

Sincronizzazione dei file tra dispositivi online:

A questo, la risposta è molto semplice e un chiaro consenso per tutti: https://syncthing.net/ ^{[Archive.org]}

Basta usare SyncThing, è il modo più sicuro e protetto per sincronizzare tra dispositivi, è gratuito e open source e può essere facilmente utilizzato in modo portatile senza installazione da un contenitore che deve essere sincronizzato.

Coprire le tue tracce:

Capire HDD vs SSD:

Se intendi cancellare l'intero laptop HDD, il processo è piuttosto semplice. I dati vengono scritti in una posizione precisa su un piatto magnetico (rigido) (perché viene chiamato disco rigido) e il tuo sistema operativo sa esattamente dove si trova sul piatto, dove eliminarlo e dove sovrascriverlo per un'eliminazione sicura utilizzando processi semplici (come sovrascrivere quella posizione più e più volte fino a quando non rimangono tracce).

D'altra parte, se si utilizza un'unità SSD, il processo non è così semplice poiché l'unità utilizza diversi meccanismi interni per prolungarne la durata e le prestazioni. Tre di questi processi sono di particolare interesse quando si tratta di noi in questa guida. Le unità SSD si dividono in due categorie principali:

Unità ATA (solitamente SATA e solitamente in formato 2,5" come nell'immagine sopra).
Unità NVMe (solitamente in formato M.2 come nell'illustrazione seguente).

Ecco alcuni esempi dei formati più comuni:

Tutti questi sono venduti come unità interne ed esterne all'interno di contenitori.

I metodi e le utilità per gestirli/cancellarli variano a seconda del tipo di unità in uso. Quindi, è importante sapere quale hai all'interno del tuo laptop.

Sui laptop più recenti, è molto probabile che sia una delle opzioni intermedie (M.2 SATA o M.2 NVMe).

Livellamento dell'usura.

Queste unità utilizzano una tecnica chiamata livellamento dell'usura⁴²⁶. Ad alto livello, il livellamento dell'usura funziona come segue. Lo spazio su ogni disco è diviso in blocchi che sono a loro volta divisi in pagine, come i capitoli di un libro sono fatti di pagine. Quando un file viene scritto su disco, viene assegnato a un determinato insieme di pagine e blocchi. Se volessi sovrascrivere il file in un HDD, tutto ciò che dovresti fare è dire al disco di sovrascrivere quei blocchi. Ma negli SSD e nelle unità USB, cancellare e riscrivere lo stesso blocco può logorarlo. Ogni blocco può essere cancellato e riscritto solo un numero limitato di volte prima che quel blocco non funzioni più (allo stesso modo se continui a scrivere e cancellare con carta e matita, alla fine la carta potrebbe strapparsi ed essere inutile). Per contrastare questo, Gli SSD e le unità USB cercheranno di assicurarsi che il numero di volte in cui ciascun blocco è stato cancellato e riscritto sia più o meno lo stesso in modo che l'unità duri il più a lungo possibile (da qui il termine livellamento dell'usura). Come effetto collaterale, a volte invece di cancellare e scrivere il blocco, un file è stato originariamente archiviato, l'unità lascerà invece quel blocco da solo, lo contrassegnerà come non valido e scriverà semplicemente il file modificato in un blocco diverso. È come lasciare invariato il capitolo del libro, scrivere il file modificato su una pagina diversa e quindi aggiornare semplicemente il sommario del libro in modo che punti alla nuova posizione. Tutto ciò si verifica a un livello molto basso nell'elettronica del disco, quindi il sistema operativo non si rende nemmeno conto che è successo. Ciò significa, tuttavia, che anche se si tenta di sovrascrivere un file,

Il solo livellamento dell'usura può quindi essere uno svantaggio per la sicurezza e un vantaggio per gli avversari come gli esaminatori forensi. Questa funzionalità rende controproducente e inutile la classica "cancellazione sicura" ed è per questo che questa funzionalità è stata rimossa su alcuni sistemi operativi come macOS (a partire dalla versione 10.11 El Capitan) dove era possibile abilitarla prima nel Cestino.

La maggior parte di quelle vecchie utilità di eliminazione sicura sono state scritte pensando all'HDD e non hanno alcun controllo sul livellamento dell'usura e sono completamente inutili quando si utilizza un SSD. Evitali su un'unità SSD.

Operazioni di taglio:

Così quello che ora? Bene, ecco che arriva l'operazione Trim ⁴²⁷ . Quando elimini i dati sul tuo SSD, il tuo sistema operativo dovrebbe supportare quello che viene chiamato un comando operativo Trim e potrebbe (dovrebbe) emettere questo comando Trim sull'unità SSD periodicamente (giornaliero, settimanale, mensile...). Questo comando Trim farà quindi sapere al controller dell'unità SSD che ci sono pagine all'interno di blocchi contenenti dati che ora sono liberi di essere davvero eliminati senza eliminare nulla di per sé.

Trim dovrebbe essere abilitato per impostazione predefinita su tutti i moderni sistemi operativi che rilevano un'unità SSD trattata in questa guida (macOS, Windows 10, Ubuntu, Qubes OS...).

Se le operazioni di taglio non vengono eseguite regolarmente (o del tutto), i dati non vengono mai eliminati in modo proattivo e ad un certo punto tutti i blocchi e le pagine saranno occupati dai dati. Il tuo sistema operativo non lo vedrà e vedrà solo lo spazio libero mentre elimini i file, ma il tuo controller SSD non lo farà (questo è chiamato Amplificazione di scrittura⁴²⁸). Ciò forzerà quindi il controller SSD a cancellare al volo quelle pagine e blocchi che ridurranno le prestazioni di scrittura. Questo perché mentre il tuo OS/SSD può scrivere dati su qualsiasi pagina libera in qualsiasi bock, la cancellazione è possibile solo su interi blocchi, quindi, costringendo il tuo SSD a eseguire molte operazioni per scrivere nuovi dati. La sovrascrittura non è possibile. Ciò sconfiggerà il sistema di livellamento dell'usura e causerà un degrado delle prestazioni del tuo SSD nel tempo. Ogni volta che elimini un file su un SSD, il tuo sistema operativo dovrebbe emettere un comando Trim insieme all'eliminazione per far sapere al controller SSD che le pagine contenenti i dati del file sono ora libere per l'eliminazione.

Quindi, Trim stesso non elimina alcun dato ma lo contrassegna semplicemente per l'eliminazione. I dati eliminati senza utilizzare Trim (se Trim è stato disabilitato/bloccato/ritardato, ad esempio) verranno comunque eliminati ad un certo punto dalla garbage collection dell'SSD o se si desidera sovrascrivere ciò che il sistema operativo vede nello spazio libero. Ma potrebbe rimanere un po 'più a lungo rispetto a quando usi Trim.

Ecco un'illustrazione da Wikipedia che mostra come funziona su un'unità SSD:

Come puoi vedere nell'illustrazione sopra, i dati (da un file) verranno scritti nelle prime quattro pagine del Blocco X. Successivamente verranno scritti nuovi dati nelle pagine rimanenti e i dati dei primi file verranno contrassegnati come non validi ( ad esempio da un'operazione di taglio durante l'eliminazione di un file). Come spiegato su https://en.wikipedia.org/wiki/Trim_(computing) ^[Wikiless] ^{[Archive.org]} ; l'operazione di cancellazione può essere eseguita solo su interi blocchi (e non su singole pagine).

Oltre a contrassegnare i file per l'eliminazione (su unità SSD affidabili), Trim di solito li rende illeggibili utilizzando un metodo chiamato "Lettura deterministica dopo il taglio" o "Zeri deterministici dopo il taglio". Ciò significa che se un avversario tenta di leggere i dati da una pagina/blocco ritagliato e riesce in qualche modo a disabilitare la raccolta dei rifiuti, il controller non restituirà alcun dato significativo.

Trim è il tuo alleato e dovrebbe essere sempre abilitato quando si utilizza un'unità SSD e dovrebbe offrire una protezione ragionevole sufficiente . E questo è anche il motivo per cui non dovresti usare Veracrypt Plausible Denial su un SSD abilitato Trim poiché questa funzione è incompatibile con Trim ⁴²⁹ .

Raccolta dei rifiuti:

Garbage Collection ⁴³⁰ è un processo interno in esecuzione all'interno dell'unità SSD che cerca i dati contrassegnati per la cancellazione. Questo processo viene eseguito dal controller SSD e non hai alcun controllo su di esso. Se torni all'illustrazione sopra, vedrai che la raccolta dei rifiuti è l'ultimo passaggio e noterai che alcune pagine sono contrassegnate per l'eliminazione in un blocco specifico, quindi copia le pagine valide (non contrassegnate per l'eliminazione) in una diversa destinazione libera blocco e quindi sarà in grado di cancellare completamente il blocco di origine.

La raccolta dei rifiuti di per sé NON richiede Trim per funzionare, ma sarà molto più veloce ed efficiente se viene eseguito Trim. La raccolta dei rifiuti è uno dei processi che cancellerà effettivamente i dati dall'unità SSD in modo permanente.

Conclusione:

Quindi, il fatto è che è molto improbabile ⁴³¹ ' ⁴³² e difficile per un esaminatore forense essere in grado di recuperare dati da un SSD tagliato ma non è nemmeno del tutto impossibile ⁴³³ ' ⁴³⁴ ' ⁴³⁵ se sono abbastanza veloci e hanno accesso a vasta attrezzatura, abilità e motivazione ⁴³⁶ .

Nel contesto di questa guida che utilizza anche la crittografia completa del disco. L'eliminazione e il taglio dovrebbero essere ragionevolmente sicuri su qualsiasi unità SSD e saranno consigliati come metodo standard di eliminazione.

Come cancellare in modo sicuro l'intero laptop/unità disco se si desidera cancellare tutto:

Quindi, vuoi essere sicuro. Per ottenere un'eliminazione sicura al 100% su un'unità SSD, dovremo utilizzare tecniche SSD specifiche (se stai utilizzando un'unità HDD, salta questa parte e vai al tuo sistema operativo preferito):

Opzioni facili per utenti meno esperti:
- Se disponibile, usa l'opzione Secure Erase disponibile dal tuo BIOS/UEFI (ATA/NVME Secure Erase o Sanitize).
- Basta reinstallare un nuovo sistema operativo (eliminare/formattare rapidamente l'unità) e crittografarlo nuovamente. Il processo di crittografia del disco completo dovrebbe cancellare tutti i dati precedenti dal disco.
- Acquista PartedMagic ⁴³⁷ per 11 $ e usalo per cancellare qualsiasi disco.
Opzioni tecniche per utenti più avanzati:
- Cancellazione sicura ATA/NVMe: questo metodo rimuoverà la tabella di mappatura che tiene traccia dei dati allocati sui blocchi di archiviazione ma non distrugge i dati effettivi.
- ATA/NVMe Sanitize Crypto Scramble (aka Instant Secure Erase, Crypto Erase), che si applica alle unità SSD con crittografia automatica: questo metodo cambierà la chiave di crittografia dell'unità SSD con crittografia automatica e renderà illeggibili tutti i dati in essa memorizzati.
- Cancellazione blocco ATA/NVMe: questo metodo esegue una cancellazione blocco effettiva su ogni blocco di archiviazione e distruggerà i dati e cambierà la chiave di crittografia se presente.
- ATA/NVMe Sanitize Overwrite (terribilmente lento, potrebbe essere pericoloso e non consigliato) : questo metodo esegue una cancellazione dei blocchi e quindi sovrascrive ogni blocco di archiviazione (è lo stesso di Block Erase ma sovrascriverà i dati in aggiunta). Questo metodo è eccessivo e non necessario IMHO.
Distruzione fisica:
- HDD:
  1. Aprire l'unità (con un cacciavite, solitamente Torx T8)
  2. Rimuovere i piatti (con un cacciavite, solitamente Torx T6)
  3. Strofina i piatti con un magnete in terre rare
  4. Rompere/deformare/schiacciare i piatti
  5. Bruciali
  6. Separare i detriti
  7. Butta via in posti separati
- SSD:
  1. Apri l'unità
  2. Rompi/schiaccia la scheda e le celle di memoria
  3. Bruciali
  4. Separare i detriti
  5. Butta via in posti separati
- Bonus: vedi https://www.youtube.com/watch?v=-bpX8YvNg6Y ^[Invidious]

Per la massima sicurezza da paranoia eccessiva, l'opzione Sanitize Block Erase dovrebbe essere preferita, ma Secure Erase è probabilmente più che sufficiente se si considera che l'unità è già crittografata. Sfortunatamente, non sono disponibili strumenti all-in-one facili (avviabili con un menu grafico) gratuiti e rimarrai con gli strumenti forniti dai produttori di unità, il manuale gratuito hdparm ⁴³⁸ e le utility nvme-cli ⁴³⁹ o con un strumento commerciale come PartedMagic.

Questa guida consiglierà quindi l'uso delle utility gratuite hdparm e nvme-cli utilizzando un sistema Live System Rescue.

Se te lo puoi permettere, acquista Parted Magic per 11 $ che fornisce uno strumento grafico facile da usare per pulire le unità SSD utilizzando l'opzione di tua scelta ⁴⁴⁰ ' ⁴⁴¹ .

Nota: ancora una volta, prima di procedere, dovresti controllare il tuo BIOS poiché alcuni offrono uno strumento integrato per cancellare in modo sicuro l'unità (ATA/NVMe Secure Erase o ATA/NVMe Sanitize). Se questo è disponibile, dovresti usarlo e i seguenti passaggi non saranno necessari. Controllalo prima di andare avanti per evitare problemi, vedi Appendice M: Opzioni BIOS/UEFI per cancellare i dischi di varie marche ).

Linux (tutte le versioni incluso Qubes OS):

Sistema/SSD interno:

Opzione A: controlla se il tuo BIOS/UEFI ha un'opzione integrata per farlo e, in tal caso, usa l'opzione corretta ("ATA/NVMe Secure Erase" o "ATA/NVMe Sanitize"). Non utilizzare la cancellazione con i pass su un'unità SSD.
Opzione B: vedere l'appendice D: utilizzo di System Rescue per cancellare in modo sicuro un'unità SSD.
Opzione C: cancella il disco e reinstalla Linux con la nuova crittografia del disco completo per sovrascrivere tutti i settori con nuovi dati crittografati. Questo metodo sarà terribilmente lento rispetto all'opzione A e B poiché sovrascriverà lentamente l'intero SSD. Si noti inoltre che questo potrebbe non essere il comportamento predefinito quando si utilizza LUKS. Potrebbe essere necessario selezionare l'opzione per crittografare anche lo spazio vuoto per cancellare efficacemente l'unità.

Tieni presente che tutte queste opzioni devono essere applicate sull'intera unità fisica e non su una partizione/volume specifico. In caso contrario, i meccanismi di livellamento dell'usura potrebbero impedirne il corretto funzionamento.

SSD esterno:

Per prima cosa, consulta l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Il taglio dovrebbe essere sufficiente nella maggior parte dei casi e potresti semplicemente usare il comando blkdiscard per forzare il taglio di un intero dispositivo come spiegato qui: https://wiki.archlinux.org/index.php/Solid_state_drive#Trim_an_entire_device ^{[Archive.org]}

Se il controller USB e il disco SSD USB supportano Trim e cancellazione sicura ATA/NVMe, puoi cancellarli con cautela usando hdparm usando lo stesso metodo del disco di sistema sopra, tranne per il fatto che ovviamente non installerai Linux su di esso. Tieni presente che questo non è raccomandato (vedi Considerazioni sopra).

Se non supporta Trim e/o cancellazione sicura ATA, è possibile (non in modo sicuro) cancellare l'unità normalmente (senza passaggi come un HDD) e crittografarla nuovamente utilizzando l'utilità preferita (LUKS o Veracrypt per esempio). Il processo di decrittografia e ricrittografia dell'intero disco sovrascriverà l'intero disco SSD e dovrebbe garantire una cancellazione sicura.

In alternativa, potresti anche (non in modo sicuro) cancellare il disco normalmente e quindi riempirlo completamente con dati pseudocasuali che dovrebbero anche garantire una cancellazione sicura (questo può essere fatto con BleachBit https://www.bleachbit.org/download/linux ^{[Archive. org]} o dalla riga di comando utilizzando secure-delete utilizzando questo tutorial https://superuser.com/questions/19326/how-to-wipe-free-disk-space-in-linux ^{[Archive.org]} ).

HDD interno/di sistema:

Opzione A: controlla se il tuo BIOS/UEFI ha un'opzione integrata e usale e, in tal caso, usa l'opzione corretta (Cancella + Pass nel caso di un HDD).
Opzione B: vedere l'Appendice I: utilizzo di ShredOS per cancellare in modo sicuro un'unità HDD
Opzione C: cancella il disco e reinstalla Linux con la nuova crittografia del disco completo per sovrascrivere tutti i settori con nuovi dati crittografati. Questo metodo sarà terribilmente lento rispetto all'opzione A e B poiché sovrascriverà lentamente l'intero HDD.

HDD esterni/secondari e unità Thumb:

Opzione A: segui uno di questi tutorial:

Consiglio di usare dd o shred per questo scopo.

Opzione B: installa e usa BleachBit https://www.bleachbit.org/download/linux ^{[Archive.org]} o segui questo tutorial EFF https://ssd.eff.org/en/module/how-delete-your- data-securely-linux ^{[Archive.org]}
Opzione C: vedere l'Appendice I: utilizzo di ShredOS per cancellare in modo sicuro un'unità HDD

Windows:

Sfortunatamente, non sarai in grado di cancellare il tuo sistema operativo host utilizzando gli strumenti integrati di Microsoft nelle impostazioni. Questo perché il tuo bootloader è stato modificato con Veracrypt e farà fallire l'operazione. Inoltre, questo metodo non sarebbe efficace con un'unità SSD.

Sistema/SSD interno:

Opzione A: controlla se il tuo BIOS/UEFI ha un'opzione integrata per farlo e, in tal caso, usa l'opzione corretta ("ATA/NVMe Secure Erase" o "ATA/NVMe Sanitize"). Non utilizzare la cancellazione con i pass su un'unità SSD.
Opzione B: controlla l'Appendice J: Strumenti del produttore per pulire le unità HDD e SSD.
Opzione C: vedere l'Appendice D: Utilizzo di System Rescue per cancellare in modo sicuro un'unità SSD.
Opzione D: cancella il disco e reinstalla Windows prima di eseguire la nuova crittografia del disco completo (usando Veracrypt o Bitlocker) per sovrascrivere tutti i settori con nuovi dati crittografati. Questo metodo sarà più lento rispetto all'opzione A e B poiché sovrascriverà l'intero SSD.

SSD esterno:

Per prima cosa, consulta l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Se possibile, utilizzare gli strumenti forniti dal produttore. Tali strumenti dovrebbero fornire supporto per la cancellazione o la sanificazione sicura tramite USB e sono disponibili per la maggior parte delle marche: vedere l' Appendice J: Strumenti del produttore per pulire le unità HDD e SSD.

Se non sei sicuro del supporto Trim sul tuo disco USB, (non in modo sicuro) puliscilo normalmente (farà una semplice formattazione rapida) e quindi crittografa nuovamente il disco usando Veracrypt o Bitlocker. Il processo di decrittografia e ricrittografia dell'intero disco sovrascriverà l'intero disco SSD e dovrebbe garantire una cancellazione sicura.

In alternativa, potresti anche (non in modo sicuro) cancellare il disco normalmente e quindi riempirlo completamente con dati pseudocasuali che dovrebbero anche garantire un'eliminazione sicura (questo può essere fatto con le opzioni di cancellazione dello spazio libero BleachBit o PrivaZer). Vedere Pulizia degli strumenti extra .

HDD interno/di sistema:

Opzione A: controlla se il tuo BIOS/UEFI ha un'opzione integrata per farlo e, in tal caso, usa l'opzione corretta (Wipe + Passes).
Opzione B: controlla l'Appendice J: Strumenti del produttore per pulire le unità HDD e SSD
Opzione C: vedere l'Appendice I: utilizzo di ShredOS per cancellare in modo sicuro un'unità HDD

HDD esterni/secondari e unità Thumb:

Opzione A: controlla l'Appendice J: Strumenti del produttore per pulire le unità HDD e SSD
Opzione B: utilizza strumenti esterni come:
- Gomma (open source): https://eraser.heidi.ie/download/ ^{[Archive.org]}
- KillDisk gratuito: https://killdisk.com/killdisk-freeware.htm ^{[Archive.org]}
Opzione C: vedere l'Appendice I: utilizzo di ShredOS per cancellare in modo sicuro un'unità HDD

Mac OS:

Sistema/SSD interno:

Sfortunatamente, l'utilità del disco di ripristino di macOS non sarà in grado di eseguire una cancellazione sicura dell'unità SSD come indicato nella documentazione Apple https://support.apple.com/en-gb/guide/disk-utility/dskutl14079/mac ^{[Archive .org]} .

Nella maggior parte dei casi, se il tuo disco è stato crittografato con Filevault ed esegui semplicemente una normale cancellazione, dovrebbe essere "abbastanza" secondo loro. Non è secondo me, quindi non hai altra scelta che reinstallare nuovamente macOS e crittografarlo nuovamente con Filevault dopo la reinstallazione. Questo dovrebbe eseguire una "cancellazione crittografica" sovrascrivendo l'installazione e la crittografia precedenti. Questo metodo sarà piuttosto lento, sfortunatamente.

Se desideri eseguire una cancellazione sicura più rapida (o non hai tempo per eseguire una reinstallazione e una nuova crittografia), puoi provare a utilizzare il metodo descritto nell'Appendice D: Utilizzo di System Rescue per cancellare in modo sicuro un'unità SSD (questo non funziona su Mac M1) . Fai attenzione perché questo cancellerà anche la partizione di ripristino necessaria per reinstallare macOS.

SSD esterno:

Per prima cosa, consulta l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Se il controller USB e il disco SSD USB supportano Trim e cancellazione sicura ATA e se Trim è abilitato sul disco da macOS, puoi semplicemente cancellare l'intero disco normalmente e i dati non dovrebbero essere recuperabili sui dischi recenti.

Se non sei sicuro del supporto Trim o desideri maggiore certezza, puoi cancellarlo (non in modo sicuro) utilizzando l'utilità disco di macOS prima di crittografarli nuovamente utilizzando questi due tutorial di Apple:

https://support.apple.com/guide/disk-utility/erase-and-reformat-a-storage-device-dskutl14079/mac ^{[Archive.org]}
https://support.apple.com/guide/disk-utility/encrypt-protect-a-storage-device-password-dskutl35612/mac ^{[Archive.org]} o utilizzando la crittografia del disco completo di Veracrypt.

Il processo di ricrittografia del disco completo sovrascriverà l'intero disco SSD e dovrebbe garantire una cancellazione sicura.

HDD esterni e unità Thumb:

Segui questo tutorial: https://support.apple.com/guide/disk-utility/erase-and-reformat-a-storage-device-dskutl14079/mac ^{[Archive.org]} e usa l'opzione di cancellazione sicura di Utility Disco che dovrebbe funzionare bene su HDD e Thumb drive.

Come eliminare in modo sicuro file/cartelle/dati specifici su HDD/SSD e unità Thumb:

Gli stessi principi dei capitoli precedenti si applicano a questo. Sorgono anche gli stessi problemi.

Con un'unità HDD, puoi eliminare in modo sicuro i file semplicemente eliminandoli e quindi applicare uno o più "passaggi" per sovrascrivere i dati in questione. Questo può essere fatto con molte utilità su tutti i sistemi operativi.

Con un'unità SSD, tuttavia, ancora una volta tutto diventa un po' complicato perché non sei mai sicuro che qualcosa venga davvero eliminato a causa del livellamento dell'usura, della dipendenza dall'operazione di taglio e della raccolta dei rifiuti dell'unità. Un avversario che ha la chiave di decrittazione del tuo SSD (che sia LUKS, Filevault 2, Veracrypt o Bitlocker) potrebbe sbloccare l'unità e quindi tentare un ripristino utilizzando le classiche utilità di ripristino ⁴⁴² e potrebbe riuscire se i dati non sono stati tagliati correttamente. Ma questo è ancora una volta altamente improbabile.

Poiché l'operazione di ritaglio non è continua sui dischi rigidi più recenti ma è programmata, dovrebbe essere sufficiente forzare un'operazione di ritaglio. Ma ancora una volta, l'unico modo per essere sicuri al 100% che un file sia stato eliminato in modo sicuro dall'SSD crittografato sbloccato è sovrascrivere nuovamente tutto lo spazio libero dopo l'eliminazione dei file in questione o decrittografare/ricrittografare l'unità. Ma questo è eccessivo e non necessario. Un semplice Trim a livello di disco dovrebbe essere sufficiente.

Ricorda che, indipendentemente dal metodo di eliminazione utilizzato per qualsiasi file su qualsiasi supporto (unità HDD, SSD, chiavetta USB). Probabilmente lascerà altre tracce (registri, indicizzazione, shellbag ...) all'interno del tuo sistema e anche quelle tracce dovranno essere ripulite. Inoltre, ricorda che le tue unità dovrebbero essere completamente crittografate e quindi questa è molto probabilmente una misura in più. Ne parleremo più avanti nella sezione Alcune misure aggiuntive contro la scientifica .

Finestre:

Ricorda che non puoi utilizzare Trim se stai utilizzando Plausible Deniability su un'unità SSD contro tutti i consigli.

Sistema/unità SSD interna:

A questo punto, elimina il file in modo permanente (svuota il cestino) e la raccolta di ritagli/spazzatura farà il resto. Questo dovrebbe essere sufficiente.

Se non vuoi attendere il Trim periodico (impostato su Settimanale per impostazione predefinita in Windows 10), puoi anche forzare un Trim a livello di disco utilizzando lo strumento Ottimizza nativo di Windows (vedi Appendice H: Strumenti di pulizia di Windows ).

Se i dati sono stati eliminati da qualche utilità (ad esempio da Virtualbox quando si ripristina uno snapshot), è anche possibile emettere un taglio a livello di disco per pulire tutto ciò che rimane utilizzando lo stesso strumento di ottimizzazione.

Basta aprire Esplora risorse, fare clic con il pulsante destro del mouse sull'unità di sistema e fare clic su Proprietà. Seleziona Strumenti. Fare clic su Ottimizza e quindi su Ottimizza di nuovo per forzare un taglio. Hai fatto. Probabilmente è abbastanza secondo me.

Se desideri maggiore sicurezza e non ti fidi dell'operazione di ritaglio, non avrai altra scelta che:

Decrittografa e cripta nuovamente (usando Veracrypt o Bitlocker) l'intera unità per sovrascrivere tutto lo spazio libero dopo l'eliminazione dei dati. Ciò garantirà la sovrascrittura di tutto lo spazio libero.
Taglia e quindi riempi l'intero spazio libero del disco utilizzando un'utilità come BleachBit o PrivaZer.

HDD interno/esterno o chiavetta USB:

Fare riferimento all'Appendice H: Strumenti di pulizia di Windows e selezionare un'utilità prima di procedere.

Il processo è abbastanza semplice a seconda dello strumento che hai scelto dall'Appendice:

Fare clic con il pulsante destro del mouse su un file/cartella:
- PrivaZer: Elimina senza lasciare traccia
- BleachBit: Shred with BleachBit (o guarda questo tutorial da EFF https://ssd.eff.org/en/module/how-delete-your-data-securely-windows ^{[Archive.org]} )

Nel caso delle chiavette USB, prendere in considerazione la possibilità di cancellare lo spazio libero utilizzando una delle utilità di cui sopra dopo l'eliminazione dei file o di cancellarle completamente utilizzando Eraser/KillDisk come indicato in precedenza.

Unità SSD esterna:

Per prima cosa, consulta l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Se Trim è supportato e abilitato da Windows per l'unità SSD esterna. Non dovrebbero esserci problemi nell'eliminazione sicura dei dati normalmente solo con i normali comandi di eliminazione. Inoltre, puoi anche forzare un taglio usando lo strumento Ottimizza nativo di Windows (vedi Appendice H: Strumenti di pulizia di Windows ):

Se Trim non è supportato o non sei sicuro, potresti dover garantire l'eliminazione sicura dei dati:

Riempire tutto lo spazio libero dopo ogni eliminazione (usando BleachBit o PrivaZer per esempio).
Decrittografa e ricrittografa il disco con una chiave diversa dopo ogni eliminazione (usando Veracrypt o Bitlocker).

Linux (sistema operativo non Qubes):

Sistema/unità SSD interna:

Elimina in modo permanente il file (e svuota il cestino) e dovrebbe essere irrecuperabile a causa delle operazioni di taglio e della raccolta dei rifiuti.

Se non vuoi attendere il Trim periodico (impostato su Weekly per impostazione predefinita in Ubuntu), puoi anche forzare un Trim a livello di disco eseguendo fstrim --allda un terminale. Ciò emetterà un assetto immediato e dovrebbe garantire una sicurezza sufficiente. Questa utility fa parte del util-linuxpacchetto su Debian/Ubuntu e dovrebbe essere installata di default su Fedora.

Se desideri maggiore sicurezza e non ti fidi dell'operazione di ritaglio, non avrai altra scelta che:

Decrittografa e cripta nuovamente (usando LUKS ad esempio seguendo questo tutorial https://wiki.archlinux.org/index.php/dm-crypt/Device_encryption#Re-encrypting_devices ^{[Archive.org]} ) l'intero disco per sovrascrivere tutto lo spazio libero dopo la cancellazione dei dati. Ciò garantirà la sovrascrittura di tutto lo spazio libero.
Taglia usando fstrim --alle poi riempi l'intero spazio libero del disco usando un'utilità come:
- BleachBit https://www.bleachbit.org/download/linux ^{[Archive.org]}
- Installa il pacchetto secure-delete e usa sfill sulla radice dell'unità:
  - sudo sfill -l -l /per esempio dovrebbe fare il trucco (questo richiederà una notevole quantità di tempo)
- Usa il metodo dd della vecchia scuola (tratto da questa risposta https://superuser.com/questions/19326/how-to-wipe-free-disk-space-in-linux ^{[Archive.org]} ) esegui questi comandi sull'unità vuoi riempire:
  - dd if=/dev/zero of=zero.small.file bs=1024 count=102400
  - dd if=/dev/zero of=zero.file bs=1024
  - sync ; sleep 60 ; sync
  - rm zero.small.file
  - rm zero.file

Unità HDD interna/esterna o un'unità Thumb:

Puoi farlo in modo grafico con BleachBit seguendo questo tutorial dell'EFF: https://ssd.eff.org/en/module/how-delete-your-data-securely-linux ^{[Archive.org]}
Oppure puoi farlo dalla riga di comando seguendo questo tutorial: https://linuxhint.com/completely_wipe_hard_drive_ubuntu/ ^{[Archive.org]} (a questo scopo ti consiglio di cancellare e distruggere).

Unità SSD esterna:

Per prima cosa, consulta l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Se Trim è supportato e abilitato dalla tua distribuzione Linux per l'unità SSD esterna. Non dovrebbero esserci problemi nell'eliminazione sicura dei dati normalmente e basta emettere un messaggio fstrim --alldal terminale per tagliare l'unità. Questa utility fa parte del pacchetto “util-linux” su Debian/Ubuntu e dovrebbe essere installata di default su Fedora.

Se Trim non è supportato o vuoi essere sicuro, potresti dover garantire la cancellazione sicura dei dati riempiendo l'intero spazio libero del disco utilizzando un'utilità come:

Decrittografa e cripta nuovamente (usando LUKS usando questo tutorial https://wiki.archlinux.org/index.php/dm-crypt/Device_encryption#Re-encrypting_devices ^{[Archive.org]} o Veracrypt dall'interfaccia grafica, ad esempio) l'intero drive per sovrascrivere tutto lo spazio libero dopo l'eliminazione dei dati. Ciò garantirà la sovrascrittura di tutto lo spazio libero.
Riempi lo spazio libero usando uno di questi metodi:
- BleachBit https://www.bleachbit.org/download/linux ^{[Archive.org]}
- Installa il pacchetto secure-delete e usa sfill sulla radice dell'unità:
  - sudo sfill -l -l /per esempio dovrebbe fare il trucco (questo richiederà una notevole quantità di tempo)
- Usa il metodo dd della vecchia scuola (tratto da questa risposta https://superuser.com/questions/19326/how-to-wipe-free-disk-space-in-linux ^{[Archive.org]} ) esegui questi comandi:
  - dd if=/dev/zero of=zero.small.file bs=1024 count=102400
  - dd if=/dev/zero of=zero.file bs=1024
  - sync ; sleep 60 ; sync
  - rm zero.small.file
  - rm zero.file

Linux (sistema operativo Qubes):

Sistema/unità SSD interna:

Come con altre distribuzioni Linux, la normale eliminazione e il taglio dovrebbero essere sufficienti sulla maggior parte delle unità SSD. Quindi elimina definitivamente il file (e svuota qualsiasi cestino) e dovrebbe essere irrecuperabile a causa delle periodiche operazioni di taglio e raccolta dei rifiuti.

Segui questa documentazione per tagliare all'interno del sistema operativo Qubes: https://github.com/Qubes-Community/Contents/blob/master/docs/configuration/disk-trim.md ^{[Archive.org]}

Come con altri sistemi Linux, se desideri maggiore sicurezza e non ti fidi dell'operazione Trim, non avrai altra scelta che:

Decrittografa e ricrittografa l'intera unità per sovrascrivere tutto lo spazio libero dopo l'eliminazione dei dati. Ciò garantirà la sovrascrittura di tutto lo spazio libero. Non ho trovato un tutorial affidabile su come farlo in sicurezza su Qubes OS, ma è possibile che questo tutorial possa funzionare: https://wiki.archlinux.org/index.php/dm-crypt/Device_encryption#Re-encrypting_devices ^{[ Archive.org]} (a proprio rischio, questo non è stato ancora testato).
Fare riferimento a questa documentazione ( https://github.com/Qubes-Community/Contents/blob/master/docs/configuration/disk-trim.md ^{[Archive.org]} ) e quindi tagliare usando "fstrim –all" e quindi riempire aumentare l'intero spazio libero del disco utilizzando un'utilità come:
- BleachBit https://www.bleachbit.org/download/linux ^{[Archive.org]}
- Installa il pacchetto secure-delete e usa sfill sulla radice dell'unità:
  - sudo sfill -l -l /per esempio dovrebbe fare il trucco (questo richiederà una notevole quantità di tempo)
- Usa il metodo dd della vecchia scuola (tratto da questa risposta https://superuser.com/questions/19326/how-to-wipe-free-disk-space-in-linux ^{[Archive.org]} ) esegui questi comandi sull'unità vuoi riempire:
  - dd if=/dev/zero of=zero.small.file bs=1024 count=102400
  - dd if=/dev/zero of=zero.file bs=1024
  - sync ; sleep 60 ; sync
  - rm zero.small.file
  - rm zero.file

Unità HDD interna/esterna o un'unità Thumb:

Usa lo stesso metodo di Linux da un Qube collegato a quello specifico dispositivo USB

Puoi farlo in modo grafico con BleachBit seguendo questo tutorial dell'EFF: https://ssd.eff.org/en/module/how-delete-your-data-securely-linux ^{[Archive.org]}
Oppure puoi farlo dalla riga di comando seguendo questo tutorial: https://linuxhint.com/completely_wipe_hard_drive_ubuntu/ ^{[Archive.org]} (a questo scopo ti consiglio di cancellare e distruggere).

Unità SSD esterna:

Per prima cosa, consulta l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Se Trim è supportato e abilitato dalla tua distribuzione Linux per l'unità SSD esterna. Non dovrebbero esserci problemi nell'eliminazione sicura dei dati normalmente e basta emettere un "fstrim -all" dal terminale per tagliare l'unità. Fare riferimento a questa documentazione ( https://github.com/Qubes-Community/Contents/blob/master/docs/configuration/disk-trim.md ^{[Archive.org]} ) per abilitare il trim su un'unità.

Se Trim non è supportato o vuoi essere sicuro, potresti dover garantire la cancellazione sicura dei dati riempiendo l'intero spazio libero del disco utilizzando un'utilità da un Qube collegato al dispositivo USB in questione:

Decrittografa e cripta nuovamente (usando LUKS usando questo tutorial https://wiki.archlinux.org/index.php/dm-crypt/Device_encryption#Re-encrypting_devices ^{[Archive.org]} o Veracrypt dall'interfaccia grafica, ad esempio) l'intero drive per sovrascrivere tutto lo spazio libero dopo l'eliminazione dei dati. Ciò garantirà la sovrascrittura di tutto lo spazio libero.
Riempi lo spazio libero usando uno di questi metodi:
- BleachBit https://www.bleachbit.org/download/linux ^{[Archive.org]}
- Installa il pacchetto secure-delete e usa sfill sulla radice dell'unità:
  - sudo sfill -l -l /per esempio dovrebbe fare il trucco (questo richiederà una notevole quantità di tempo)
- Usa il metodo dd della vecchia scuola (tratto da questa risposta https://superuser.com/questions/19326/how-to-wipe-free-disk-space-in-linux ^{[Archive.org]} ) esegui questi comandi:
  - dd if=/dev/zero of=zero.small.file bs=1024 count=102400
  - dd if=/dev/zero of=zero.file bs=1024

Ripeti questi passaggi su qualsiasi altra partizione se ci sono partizioni separate sulla stessa unità SSD prima di eliminare i file.

sync ; sleep 60 ; sync
rm zero.small.file
rm zero.file

Ripeti questi passaggi su qualsiasi altra partizione se ci sono partizioni separate sulla stessa unità SSD.

Mac OS:

Sistema/unità SSD interna:

Elimina in modo permanente il file (e svuota il cestino) e dovrebbe essere irrecuperabile a causa delle operazioni di ritaglio e della raccolta dei rifiuti.

Se il tuo file system è APFS, non devi preoccuparti di Trim, accade in modo asincrono poiché il sistema operativo scrive i dati ⁴⁴³ in base alla loro documentazione.

“Apple File System supporta le operazioni TRIM?

Sì. Le operazioni TRIM vengono eseguite in modo asincrono da quando i file vengono eliminati o viene recuperato lo spazio libero, il che garantisce che queste operazioni vengano eseguite solo dopo che le modifiche ai metadati sono state mantenute in una memoria stabile”.

Se il tuo file system è HFS+, puoi eseguire First Aid sull'unità di sistema da Utility Disco che dovrebbe eseguire un'operazione di ritaglio nei dettagli ( https://support.apple.com/en-us/HT210898 ^{[Archive.org]} )

Sistema/unità HDD interna, esterna o un'unità Thumb:

Sfortunatamente, Apple ha rimosso le opzioni di cancellazione sicura dal cestino anche per le unità HDD ⁴⁴⁴ . Quindi, ti rimane l'utilizzo di altri strumenti:

Gomma permanente https://www.edenwaith.com/products/permanent%20eraser/ ^{[Archive.org]}
Dal terminale, puoi usare il comando “rm –P filename” che dovrebbe cancellare il file e sovrascriverlo come spiegato in questo tutorial EFF https://ssd.eff.org/en/module/how-delete-your-data -securely-macos ^{[Archive.org]} .

Nel caso delle chiavette USB, prendi in considerazione la possibilità di pulirle completamente utilizzando Utility Disco come indicato in precedenza.

Unità SSD esterna:

Per prima cosa, consulta l'Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Se Trim è supportato e abilitato da macOS per l'unità SSD esterna. Non dovrebbero esserci problemi con l'eliminazione sicura dei dati.

Se Trim non è supportato, potrebbe essere necessario garantire l'eliminazione sicura dei dati:

Riempimento di tutto lo spazio libero dopo qualsiasi eliminazione utilizzando il metodo Linux sopra (dd).
Decrittografa e ricrittografa il disco con una chiave diversa dopo ogni eliminazione (utilizzando Utility Disco o Veracrypt).

Alcune misure aggiuntive contro la scientifica:

Si noti che qui si presenterà lo stesso problema SSD discusso nella sezione precedente. Non puoi mai essere veramente sicuro al 100% che i tuoi dati SSD vengano eliminati quando lo chiedi a meno che non cancelli l'intera unità utilizzando i metodi specifici sopra.

Non sono a conoscenza di alcun metodo affidabile al 100% per eliminare singoli file in modo selettivo e sicuro su unità SSD a meno che non sovrascriva TUTTO lo spazio libero (che potrebbe ridurre la durata del tuo SSD) dopo l'eliminazione + il taglio di questi file. Fatto ciò, dovrai affidarti all'operazione SSD Trim che secondo me è sufficiente . È ragionevole e ancora molto improbabile che la scientifica sia in grado di ripristinare i file dopo un'eliminazione con Trim.

Inoltre, la maggior parte di queste misure qui non dovrebbero essere necessarie poiché l'intera unità dovrebbe essere crittografata e quindi i tuoi dati non dovrebbero essere comunque accessibili per l'analisi forense tramite l'esame SSD/HDD. Quindi, queste sono solo "misure bonus" per avversari deboli/non qualificati.

Prendi in considerazione anche la lettura di questa documentazione se stai utilizzando Whonix https://www.whonix.org/wiki/Anti-Forensics_Precautions ^{[Archive.org]} , nonché il loro tutorial di rafforzamento generale per tutte le piattaforme qui https://www.whonix .org/wiki/System_Hardening_Checklist ^{[Archive.org]}

Rimozione dei metadati da file/documenti/immagini:

Immagini e video:

Su Windows, macOS e Linux consiglierei ExifTool ( https://exiftool.org/ ^{[Archive.org]} ) e/o ExifCleaner ( https://exifcleaner.com/ ^{[Archive.org]} ) che consente la visualizzazione e/ o rimuovendo quelle proprietà.

ExifTool è nativamente disponibile su Tails e Whonix Workstation.

ExifCleaner:

Basta installarlo da https://exifcleaner.com/ ^{[Archive.org]} , eseguire e trascinare i file nella GUI.

Strumento Exif:

In realtà è semplice, basta installare exiftool ed eseguire:

Per visualizzare i metadati:exiftool filename.jpg
Per rimuovere tutti i metadati:exiftool -All= filename.jpg

Ricorda che ExifTool è nativamente disponibile su Tails e Whonix Workstation.

Strumento nativo di Windows:

Ecco un tutorial per rimuovere i metadati da un'immagine utilizzando gli strumenti forniti dal sistema operativo: https://www.purevpn.com/internet-privacy/how-to-remove-metadata-from-photos ^{[Archive.org]}

Cloaking/offuscamento per impedire il riconoscimento dell'immagine:

Considera l'uso di Fawkes https://sandlab.cs.uchicago.edu/fawkes/ ^{[Archive.org]} ( https://github.com/Shawn-Shan/fawkes ^{[Archive.org]} ) per nascondere le immagini dall'immagine tecnologia di riconoscimento su varie piattaforme.

Oppure, se desideri versioni online, considera:

Documenti PDF:

PDFParanoia (Linux/Windows/macOS/QubesOS):

Prendi in considerazione l'utilizzo di https://github.com/kanzure/pdfparanoia ^{[Archive.org]} che rimuoverà metadati e filigrane su qualsiasi PDF.

ExifCleaner (Linux/Windows/macOS/QubesOS):

Basta installarlo da https://exifcleaner.com/ ^{[Archive.org]} , eseguire e trascinare i file nella GUI.

ExifTool (Linux/Windows/macOS/QubesOS):

In realtà è semplice, basta installare exiftool ed eseguire:

Per visualizzare i metadati:exiftool filename.pdf
Per rimuovere tutti i metadati:exiftool -All= filename.pdf

Documenti MS Office:

Innanzitutto, ecco un tutorial per rimuovere i metadati dai documenti di Office: https://support.microsoft.com/en-us/office/remove-hidden-data-and-personal-information-by-inspecting-documents-presentations-or -workbooks-356b7b5d-77af-44fe-a07f-9aa4d085966f ^{[Archive.org]} . Assicurati tuttavia di utilizzare la versione più recente di Office con gli aggiornamenti di sicurezza più recenti.

In alternativa, su Windows, macOS, Qubes OS e Linux consiglierei ExifTool ( https://exiftool.org/ ^{[Archive.org]} ) e/o ExifCleaner ( https://exifcleaner.com/ ^{[Archive.org]} ) che consente di visualizzare e/o rimuovere tali proprietà

ExifCleaner:

Basta installarlo da https://exifcleaner.com/ ^{[Archive.org]} , eseguire e trascinare i file nella GUI.

Strumento Exif:

In realtà è semplice, basta installare exiftool ed eseguire:

Per visualizzare i metadati:exiftool filename.docx
Per rimuovere tutti i metadati:exiftool -All= filename.docx

Documenti di LibreOffice:

seleziona File nel menu in alto
- Seleziona Proprietà
- Deseleziona "Applica dati utente"
- Deseleziona "Salva immagine di anteprima con il documento"
- Fai clic su "Ripristina proprietà"
- Assicurati che non ci sia nulla nelle schede Descrizione e Proprietà personalizzate
Seleziona Strumenti nel menu in alto
- Seleziona Opzioni
- Seleziona Sicurezza
- Fai clic su "Opzioni di sicurezza e avviso"
- Dai un'occhiata:
  - “Durante la stampa”
  - "Quando si salva o si invia"
  - “Quando si creano file PDF”
  - "Rimuovi le informazioni personali durante il salvataggio"

Inoltre, su Windows, macOS, Qubes OS e Linux consiglierei ExifTool ( https://exiftool.org/ ^{[Archive.org]} ) e/o ExifCleaner ( https://exifcleaner.com/ ^{[Archive.org]} ) che consente di visualizzare e/o rimuovere proprietà aggiuntive

ExifCleaner:

Basta installarlo da https://exifcleaner.com/ ^{[Archive.org]} , eseguire e trascinare i file nella GUI.

Strumento Exif:

In realtà è semplice, basta installare exiftool ed eseguire:

Per visualizzare i metadati:exiftool filename.odt
Per rimuovere tutti i metadati:exiftool -All= filename.odt

Strumento tutto compreso:

Un'altra opzione, un buon strumento IMHO per rimuovere i metadati da vari documenti è mat2 open source consigliato da privacyguides.org ⁴⁴⁵ ( https://0xacab.org/jvoisin/mat2 ^{[Archive.org]} ) che puoi usare su Linux abbastanza facilmente. Non sono mai riuscito a farlo funzionare correttamente all'interno di Windows a causa di vari problemi di dipendenze nonostante le istruzioni fornite. È comunque molto semplice da installare e utilizzare su Linux.

Quindi, suggerirei di creare una piccola VM Debian all'interno di Virtualbox (dietro il tuo Whonix Gateway) che puoi quindi utilizzare dalle tue altre VM per analizzare vari file da una comoda interfaccia web. Per questo vedere l' Appendice L: Creazione di una macchina virtuale guest mat2-web per la rimozione dei metadati dai file

Mat2 è anche preinstallato su Whonix Workstation VM ⁴⁴⁶ e disponibile su Tails per impostazione predefinita ⁴⁴⁷ .

Code:

Tails è ottimo per questo; non hai nulla di cui preoccuparti anche se utilizzi un'unità SSD. Spegnilo ed è tutto sparito non appena la memoria decade.

Whonix:

Nota che è possibile eseguire Whonix in modalità Live senza lasciare tracce quando spegni le VM, considera di leggere la loro documentazione qui https://www.whonix.org/wiki/VM_Live_Mode [ ^Archive.org] e qui https://www.whonix.org/wiki/VM_Live_Mode [Archive.org] e qui https://www.whonix.org/wiki/VM_Live_Mode .whonix.org/wiki/Warning#Whonix_.E2.84.A2_Persistence_vs_Live_vs_Amnesic ^{[Archive.org]} .

Mac OS:

Sistema operativo ospite:

Ripristina uno snapshot precedente su Virtualbox (o qualsiasi altro software VM che stai utilizzando) ed esegui un comando Trim sul tuo Mac utilizzando Utility Disco eseguendo nuovamente un primo soccorso sul sistema operativo host come spiegato alla fine della sezione successiva.

Sistema operativo host:

La maggior parte delle informazioni di questa sezione possono essere trovate anche in questa bella guida https://github.com/drduh/macOS-Security-and-Privacy-Guide ^{[Archive.org]}

Database di quarantena (utilizzato da Gatekeeper e XProtect):

macOS (fino a Big Sur incluso) mantiene un database SQL in quarantena di tutti i file che hai scaricato da un browser. Questo database si trova in ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2.

Puoi interrogarlo tu stesso eseguendo il seguente comando dal terminale:sqlite3 ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2 "select * from LSQuarantineEvent"

Questa è una miniera d'oro per la scientifica e dovresti disabilitare questo:

Eseguire il comando seguente per cancellare completamente il database::>~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2
Esegui il comando seguente per bloccare il file e impedire che venga scritta ulteriore cronologia di download:sudo chflags schg ~/Library/Preferences/com.apple.LaunchServices.QuarantineEventsV2

Infine, puoi anche disabilitare del tutto Gatekeeper emettendo il seguente comando nel terminale ⁴⁴⁸ :

sudo spctl --master-disable

Fare riferimento a questa sezione di questa guida per ulteriori informazioni https://github.com/drduh/macOS-Security-and-Privacy-Guide#gatekeeper-and-xprotect ^{[Archive.org]}

Oltre a questo comodo database, ogni file salvato conterrà anche attributi HFS+/APFS dettagliati del file system che mostrano, ad esempio, quando è stato scaricato, con cosa e da dove.

Puoi visualizzarli semplicemente aprendo un terminale e digitando mdls filenamee xattr -l filenamesu qualsiasi file scaricato da qualsiasi browser.

Per rimuovere tali attributi, dovrai farlo manualmente dal terminale:

Corri xattr -d com.apple.metadata:kMDItemWhereFroms filenameper rimuovere l'origine
- Puoi anche usare semplicemente -dr per farlo ricorsivamente su un'intera cartella/disco
Esegui xattr -d com.apple.quarantine filenameper rimuovere il riferimento alla quarantena
- Puoi anche usare semplicemente -dr per farlo ricorsivamente su un'intera cartella/disco
Verifica eseguendo xattr --l filenamee non dovrebbe esserci alcun output

(Nota che Apple ha rimosso la comoda xattr –c opzione che rimuoverebbe semplicemente tutti gli attributi contemporaneamente, quindi dovrai farlo per ogni attributo su ciascun file)

Questi attributi e voci rimarranno anche se cancelli la cronologia del browser, e questo è ovviamente dannoso per la privacy (giusto?) E non sono a conoscenza di nessuno strumento conveniente che si occuperà di quelli al momento.

Fortunatamente, ci sono alcune mitigazioni per evitare questo problema in primo luogo poiché questi attributi e voci sono impostati dai browser. Quindi, ho testato vari browser (su macOS Catalina, Big Sur e Monterey) ed ecco i risultati alla data di questa guida:

Browser	Voce DB in quarantena	Attributo del file di quarantena	Attributo del file di origine
Safari (normale)	sì	sì	sì
Safari (finestra privata)	No	No	No
Firefox (normale)	sì	sì	sì
Firefox (finestra privata)	No	No	No
Chrome (normale)	sì	sì	sì
Chrome (finestra privata)	Parziale (solo timestamp)	No	No
Brave (normale)	Parziale (solo timestamp)	No	No
Brave (finestra privata)	Parziale (solo timestamp)	No	No
Brave (Finestra Tor)	Parziale (solo timestamp)	No	No
Tor Browser	No	No	No

Come puoi vedere di persona, la mitigazione più semplice consiste nell'usare semplicemente Windows privato. Questi non scrivono quegli attributi di origine/quarantena e non memorizzano le voci nel database QuarantineEventsV2.

Cancellare QuarantineEventsV2 è facile come spiegato sopra. La rimozione degli attributi richiede del lavoro. Brave è l'unico browser testato che non memorizzerà quegli attributi per impostazione predefinita nelle normali operazioni.

Vari manufatti:

Inoltre, macOS conserva vari registri di dispositivi montati, dispositivi connessi, reti note, analisi, revisioni dei documenti...

Consulta questa sezione di questa guida per indicazioni su dove trovare e come eliminare tali artefatti: https://github.com/drduh/macOS-Security-and-Privacy-Guide#metadata-and-artifacts ^{[Archive.org]}

Molti di questi possono essere eliminati utilizzando vari strumenti commerciali di terze parti, ma personalmente consiglierei di utilizzare il famoso e gratuito Onyx che puoi trovare qui: https://www.titanium-software.fr/en/onyx.html ^{[ Archivio.org]} . Sfortunatamente, è closed-source, ma è autenticato, firmato ed è considerato attendibile per molti anni.

Forzare un'operazione di taglio dopo la pulizia:

Se il tuo file system è APFS, non devi preoccuparti di Trim, accade in modo asincrono mentre il sistema operativo scrive i dati.
Se il tuo file system è HFS+ (o diverso da APFS), puoi eseguire First Aid sull'unità di sistema da Utility Disco che dovrebbe eseguire un'operazione di ritaglio nei dettagli ( https://support.apple.com/en-us /HT210898 ^{[Archivio.org]} ).

Linux (sistema operativo Qubes):

Si prega di considerare le loro linee guida https://github.com/Qubes-Community/Contents/blob/master/docs/security/security-guidelines.md ^{[Archive.org]}

Se stai usando Whonix su Qubes OS, considera di seguire alcune delle loro guide:

Guida al rafforzamento del sistema Whonix https://www.whonix.org/wiki/System_Hardening_Checklist ^{[Archive.org]}
Abilitazione di App Armor su Qubes https://www.whonix.org/wiki/Qubes/AppArmor ^{[Archive.org]}
Inoltre, considera l'uso di Linux Kernel Guard https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG ^{[Archive.org]}

Linux (non Qubes):

Sistema operativo ospite:

Ripristina uno snapshot precedente della VM ospite su Virtualbox (o qualsiasi altro software VM che stai utilizzando) ed esegui un comando di ritaglio sul tuo laptop utilizzando fstrim --all. Questa utility fa parte del util-linuxpacchetto su Debian/Ubuntu e dovrebbe essere installata di default su Fedora. Quindi passa alla sezione successiva.

Sistema operativo host:

Normalmente non dovresti avere tracce da pulire all'interno del sistema operativo host poiché stai facendo tutto da una VM se segui questa guida.

Tuttavia, potresti voler pulire alcuni registri. Considera di dare un'occhiata a questo strumento conveniente (ma sfortunatamente non mantenuto): https://github.com/sundowndev/covermyass ^{[Archive.org]}

Dopo aver ripulito, assicurati di aver installato l'utilità fstrim (dovrebbe essere di default su Fedora) e parte del util-linuxpacchetto su Debian/Ubuntu. Quindi esegui semplicemente fstrim --allsul sistema operativo host. Questo dovrebbe essere sufficiente su unità SSD come spiegato in precedenza.

Considera l'uso di Linux Kernel Guard come misura aggiuntiva https://www.whonix.org/wiki/Linux_Kernel_Runtime_Guard_LKRG ^{[Archive.org]}

Windows:

Sistema operativo ospite:

Ripristina uno snapshot precedente su Virtualbox (o qualsiasi altro software VM che stai utilizzando) ed esegui un comando di ritaglio su Windows utilizzando Ottimizza come spiegato alla fine della sezione successiva

Sistema operativo host:

Ora che hai svolto un sacco di attività con le tue macchine virtuali o il sistema operativo host, dovresti prenderti un momento per coprire le tue tracce. La maggior parte di questi passaggi non dovrebbe essere eseguita sul sistema operativo Decoy in caso di utilizzo di una negazione plausibile. Questo perché vuoi mantenere tracce esche/plausibili di attività sensate ma non segrete disponibili per il tuo avversario. Se tutto è pulito, allora potresti destare sospetti.

Dati diagnostici e telemetria:

Innanzitutto, eliminiamo tutti i dati diagnostici che potrebbero essere ancora presenti:

Dopo ogni utilizzo dei tuoi dispositivi Windows, vai in Impostazioni, Privacy, Diagnostica e feedback e fai clic su Elimina.

Quindi ri-randomizziamo gli indirizzi MAC delle tue macchine virtuali e l'indirizzo Bluetooth del tuo sistema operativo host.

Dopo ogni spegnimento della tua VM Windows, cambia il suo indirizzo MAC per la prossima volta andando in Virtualbox > Seleziona la VM > Impostazioni > Rete > Avanzate > Aggiorna l'indirizzo MAC.
Dopo ogni utilizzo del tuo sistema operativo host Windows (la tua VM non dovrebbe avere affatto Bluetooth), vai in Gestione dispositivi, seleziona Bluetooth, disabilita il dispositivo e riattiva il dispositivo (questo forzerà una randomizzazione dell'indirizzo Bluetooth).

Registri eventi:

I registri eventi di Windows conserveranno molte informazioni che potrebbero contenere tracce delle tue attività come i dispositivi che sono stati montati (inclusi i volumi Veracrypt NTFS, ad esempio ³³⁶ ), le connessioni di rete, le informazioni sugli arresti anomali dell'app e vari errori. È sempre meglio pulirli regolarmente. Non farlo sul sistema operativo Decoy.

Avvia, cerca Visualizzatore eventi e avvia Visualizzatore eventi:
- Vai nei registri di Windows.
- Seleziona e cancella tutti e cinque i registri facendo clic con il pulsante destro del mouse.

Storia di Veracrypt:

Per impostazione predefinita, Veracrypt salva una cronologia dei volumi e dei file montati di recente. Dovresti assicurarti che Veracrypt non salvi mai la cronologia. Ancora una volta, non farlo sul sistema operativo Decoy se stai utilizzando una negazione plausibile per il sistema operativo. Dobbiamo conservare la cronologia del montaggio del volume dell'esca come parte della plausibile negazione:

Avvia Veracrypt
Assicurati che la casella di controllo "Non salva mai la cronologia" sia selezionata (questo non dovrebbe essere selezionato sul sistema operativo Decoy)

Ora dovresti pulire la cronologia all'interno di qualsiasi app che hai utilizzato, inclusa la cronologia del browser, i cookie, le password salvate, le sessioni e la cronologia dei moduli.

Cronologia del browser:

Coraggioso (nel caso in cui non avessi abilitato la pulizia all'uscita)
- Vai in Impostazioni
- Vai in Scudi
- Vai in Cancella dati di navigazione
- Seleziona Avanzate
- Seleziona "Sempre"
- Controlla tutte le opzioni
- Elimina i dati
Tor Browser
- Basta chiudere il browser e tutto è pulito

Cronologia Wi-Fi:

Ora è il momento di cancellare la cronologia del Wi-Fi a cui ti connetti. Sfortunatamente, Windows continua a memorizzare un elenco di reti passate nel registro anche se le hai "dimenticate" nelle impostazioni Wi-Fi. Per quanto ne so, nessuna utilità li pulisce ancora (ad esempio BleachBit o PrivaZer), quindi dovrai farlo in modo manuale:

Avvia Regedit usando questo tutorial: https://support.microsoft.com/en-us/windows/how-to-open-registry-editor-in-windows-10-deab38e6-91d6-e0aa-4b7c-8878d9e07b11 ^{[Archive. org]}
All'interno di Regedit, inserisci questo nella barra degli indirizzi:Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
Lì vedrai un mucchio di cartelle sulla destra. Ognuna di queste cartelle è una "Chiave". Ognuna di queste chiavi conterrà informazioni sul tuo attuale Wi-Fi noto o sulle reti precedenti che hai utilizzato. Puoi esplorarli uno per uno e vedere la descrizione sul lato destro.
Elimina tutte quelle chiavi.

SHELLBAGS:

Come spiegato in precedenza, le Shellbag sono fondamentalmente cronologie di volumi/file a cui si accede sul tuo computer. Ricorda che le shellbag sono fonti di informazioni eccezionalmente utili per la scientifica ³²⁸ e devi pulirle. Soprattutto se hai montato un "volume nascosto" ovunque. Ancora una volta, non dovresti farlo sul sistema operativo Decoy:

Scarica Shellbag Analyzer & Cleaner da https://privazer.com/en/download-shellbag-analyzer-shellbag-cleaner.php ^{[Archive.org]}
- Lancialo
- Analizzare
- Fare clic su Pulisci e selezionare:
  - Cartelle eliminate
  - Cartelle su rete/dispositivi esterni
  - risultati di ricerca
- Seleziona avanzato
  - Seleziona tutto tranne le due opzioni di backup (non eseguire il backup)
  - Seleziona Pulizia SSD (se hai un SSD)
  - Seleziona un passaggio (Tutto zero)
  - Pulire

Pulizia degli strumenti extra:

Dopo aver pulito quelle tracce precedenti, dovresti anche utilizzare utilità di terze parti che possono essere utilizzate per pulire varie tracce. Questi includono le tracce dei file/cartelle che hai eliminato.

Fare riferimento all'Appendice H: Strumenti di pulizia di Windows prima di continuare.

Privato:

Ecco i passaggi per PrivaZer:

Scarica e installa PrivaZer da https://privazer.com/en/download.php ^{[Archive.org]}
- Esegui PrivaZer dopo l'installazione
- Non utilizzare il loro mago
- Seleziona Utente avanzato
- Seleziona Scansione in profondità e scegli il tuo obiettivo
- Seleziona Tutto ciò che desideri scansionare e premi Scansione
- Seleziona cosa vuoi pulire (salta la parte della borsa a conchiglia poiché hai usato l'altra utilità per quello)
  - Dovresti semplicemente saltare la parte di pulizia dello spazio libero se usi un SSD e invece usa semplicemente la funzione nativa di Windows Optimize (vedi sotto) che dovrebbe essere più che sufficiente. Lo userei solo su un'unità HDD.
- (Se hai selezionato Pulizia dello spazio libero) Seleziona Opzioni di pulizia e assicurati che il tuo tipo di archiviazione sia ben rilevato (HDD vs SSD).
- (Se hai selezionato Pulizia dello spazio libero) All'interno delle opzioni di pulizia (Fai attenzione con questa opzione poiché cancellerà tutto lo spazio libero sulla partizione selezionata, specialmente se stai eseguendo il sistema operativo esca. Non cancellare lo spazio libero o altro su la seconda partizione poiché rischi di distruggere il tuo sistema operativo nascosto)
  - Se hai un'unità SSD:
    - Scheda Sovrascrittura sicura: sceglierei semplicemente Eliminazione normale + Taglia (Ritaglia stesso dovrebbe essere sufficiente ³⁴⁵ ). L'eliminazione sicura con Trim ³⁴² (1 passaggio) potrebbe essere ridondante e eccessiva qui se si intende comunque sovrascrivere lo spazio libero.
    - Scheda Spazio libero: Personalmente, e ancora "per sicurezza", selezionerei Pulizia normale che riempirà l'intero spazio libero con i dati. Non mi fido davvero di Smart Cleanup in quanto in realtà non riempie tutto lo spazio libero dell'SSD con i dati. Ma ancora una volta, questo probabilmente non è necessario ed è eccessivo nella maggior parte dei casi.
  - Se hai un'unità HDD:
    - Scheda Sovrascrittura sicura: sceglierei semplicemente Eliminazione sicura (1 passaggio).
    - Spazio libero: sceglierei semplicemente Smart Cleanup in quanto non vi è alcun motivo per sovrascrivere i settori senza dati su un'unità HDD.
- Seleziona Pulisci e scegli il tuo gusto:
  - Turbo Cleanup eseguirà solo la normale eliminazione (su HDD/SSD) e non pulirà lo spazio libero. Non è sicuro su un HDD né un SSD.
  - Quick Cleanup eseguirà l'eliminazione sicura (su HDD) e la normale eliminazione + ritaglio (su SSD) ma non pulirà lo spazio libero. Questo è abbastanza sicuro per SSD ma non per HDD.
  - La pulizia normale eseguirà l'eliminazione sicura (su HDD) e la normale eliminazione + ritaglio (su SSD) e quindi pulirà l'intero spazio libero (pulizia intelligente su HDD e pulizia completa su SSD) e dovrebbe essere sicuro. Questa opzione è la migliore per HDD ma completamente eccessiva per SSD.
- Fare clic su Pulisci e attendere il termine della pulizia. Potrebbe volerci del tempo e riempirà l'intero spazio libero di dati.

Bleach Bit:

Ecco i passaggi per BleachBit:

Ottieni e installa l'ultima versione da BleachBit qui https://www.bleachbit.org/download ^{[Archive.org]}
Esegui BleachBit
Pulisci almeno tutto all'interno di quelle sezioni:
- Scansione profonda
- Windows Defender
- Esplora risorse (incluse Shellbag)
- Sistema
- Seleziona tutte le altre tracce che desideri rimuovere dal loro elenco
  - Ancora una volta, come con l'utilità precedente, non pulirei lo spazio libero su un'unità SSD perché penso che l'utilità di "ottimizzazione" nativa di Windows sia sufficiente (vedi sotto) e che riempire lo spazio libero su un SSD abilitato al taglio sia completamente eccessivo e non necessario.
- Fai clic su Pulisci e attendi. Ci vorrà del tempo e riempirà l'intero spazio libero con i dati su entrambe le unità HDD e SSD.

Forza un taglio con Windows Optimize (per unità SSD):

Con questa utility nativa di Windows 10, puoi semplicemente attivare un Trim sul tuo SSD che dovrebbe essere più che sufficiente per pulire in modo sicuro tutti i file eliminati che in qualche modo sarebbero sfuggiti a Trim durante l'eliminazione.

Basta aprire Esplora risorse, fare clic con il pulsante destro del mouse sull'unità di sistema e fare clic su Proprietà. Seleziona Strumenti. Fare clic su Ottimizza e quindi di nuovo su Ottimizza. Hai fatto. Probabilmente è abbastanza secondo me.

Rimozione di alcune tracce della tua identità sui motori di ricerca e piattaforme varie:

È probabile che le tue azioni (come i post su varie piattaforme, i tuoi profili) vengano indicizzate (e memorizzate nella cache) da molti motori di ricerca.

Contrariamente alla credenza diffusa, è possibile rimuovere alcune ma non tutte queste informazioni seguendo alcuni passaggi. Anche se ciò potrebbe non rimuovere le informazioni sui siti Web stessi, renderà più difficile per le persone trovarle utilizzando i motori di ricerca:

Innanzitutto, se puoi, dovrai eliminare le tue identità dalla piattaforma stessa. La maggior parte lo consentirà, ma non tutto. Per alcuni, potresti dover contattare il loro supporto/moderatori e per altri, ci saranno moduli prontamente disponibili per farlo.
Se non consentono la rimozione/cancellazione dei profili, potrebbe esserci la possibilità per te di rinominare la tua identità. Cambia il nome utente se puoi e tutte le informazioni sull'account con informazioni fasulle, inclusa l'e-mail.
Se consentito, a volte puoi anche modificare i post precedenti per rimuovere le informazioni all'interno di essi.

Puoi controllare alcune informazioni utili su come eliminare vari account su questi siti Web:

Quando hai finito con questa parte, ora dovresti gestire i motori di ricerca e anche se potresti non essere in grado di eliminare le informazioni, puoi chiedere loro di aggiornare/rimuovere informazioni obsolete che potrebbero quindi rimuovere alcune informazioni memorizzate nella cache.

Google:

Sfortunatamente, ciò richiederà che tu disponga di un account Google per richiedere l'aggiornamento/rimozione (tuttavia questo può essere fatto con qualsiasi account Google da chiunque). Non c'è modo di aggirare questo se non aspettare.

Vai alla loro pagina "Rimuovi i contenuti obsoleti dalla Ricerca Google" qui: https://search.google.com/search-console/remove-outdated-content ^{[Archive.org]} e invia una richiesta di conseguenza.

Se il tuo profilo/nome utente è stato cancellato/modificato, dovrebbero reindicizzare il contenuto e aggiornarlo di conseguenza e rimuovere queste tracce.

L'elaborazione di queste richieste potrebbe richiedere diversi giorni. Essere pazientare.

Bing:

Sfortunatamente, ciò richiederà che tu disponga di un account Microsoft per richiedere l'aggiornamento/rimozione (tuttavia questo può essere fatto con qualsiasi account Microsoft da qualsiasi identità). Non c'è modo di aggirare questo se non aspettare.

Vai alla loro pagina "Rimozione dei contenuti" qui: https://www.bing.com/webmasters/tools/contentremoval ^{[Archive.org]} e invia una richiesta di conseguenza.

Se il tuo profilo/nome utente è stato cancellato/modificato, dovrebbero reindicizzare il contenuto e aggiornarlo di conseguenza e rimuovere queste tracce.

L'elaborazione potrebbe richiedere diversi giorni. Essere pazientare.

DuckDuckGo:

DuckDuckGo non memorizza una versione memorizzata nella cache delle pagine ⁴⁴⁹ e ti inoltrerà invece a una versione memorizzata nella cache di Google/Bing, se disponibile.

Inoltre, DuckDuckGo estrae la maggior parte delle sue ricerche da Bing (e non da Google) ⁴⁵⁰ e quindi rimuovendo il contenuto da Bing dovrebbe essere rimosso in tempo anche da DuckDuckGo.

Yandex:

Sfortunatamente, ciò richiederà di avere un account Yandex per richiedere la rimozione (tuttavia questo può essere fatto con qualsiasi account Yandex da qualsiasi identità). Non c'è modo di aggirare questo se non aspettare.

Una volta che hai il tuo account Yandex, vai agli strumenti Yandex Webmaster https://webmaster.yandex.com ^{[Archive.org]} e quindi seleziona Strumenti ed Elimina URL https://webmaster.yandex.com/tools/del-url/ ^{[ Archivio.org]}

Lì potresti inserire l'URL che non esiste più se li avessi eliminati.

Questo funzionerà solo con le pagine che sono state eliminate e quindi non funzionerà con la rimozione della cache dei record esistenti. Per questo sfortunatamente non è disponibile uno strumento per forzare un aggiornamento della cache, ma puoi comunque provare il loro strumento di feedback:

Cerca la pagina che è stata modificata (dove il tuo profilo è stato eliminato/modificato) e fai clic sulla freccia accanto al risultato. Seleziona Reclamo. E invia un reclamo sulla pagina che non corrisponde al risultato della ricerca. Si spera che questo costringerà Yandex a eseguire nuovamente la scansione della pagina e a reindicizzarla dopo un po' di tempo. Questo potrebbe richiedere giorni o settimane.

Qwant:

Per quanto ne so, non esiste uno strumento prontamente disponibile per forzarlo e dovrai attendere che i risultati vengano aggiornati se ce ne sono. Se conosci un modo, segnalamelo tramite i problemi di GitHub.

Yahoo Search:

Sì, Yahoo Search esiste ancora ma secondo la loro pagina di aiuto https://help.yahoo.com/kb/SLN4530.html ^{[Archive.org]} , non c'è modo di rimuovere le informazioni o aggiornare le informazioni oltre ad aspettare. Questo potrebbe richiedere da 6 a 8 settimane.

Baidu:

Per quanto ne so, non esiste uno strumento prontamente disponibile per forzarlo a meno che tu non controlli il sito Web (e lo faccia tramite i loro strumenti per i webmaster). Pertanto, dovrai attendere che i risultati vengano aggiornati, se presenti. Se conosci un modo, segnalamelo tramite i problemi di GitHub.

Wikipedia:

Per quanto ne so, non c'è modo di rimuovere le informazioni dagli articoli di Wikipedia stessi, ma se vuoi solo rimuovere tracce del tuo nome utente da esso (come utente che ha contribuito), puoi farlo seguendo questi passaggi: https:/ /en.wikipedia.org/wiki/Wikipedia:Courtesy_vanishing ^[Wikiless] ^{[Archive.org]}

Ciò non rimuoverà alcuna informazione sulle tue identità online che potrebbero apparire in altri articoli, ma solo la tua identità su Wikipedia come utente.

Archivio.oggi:

Alcune informazioni a volte possono essere rimosse su richiesta (ad esempio informazioni sensibili) come puoi vedere molti esempi qui: https://blog.archive.today/archive

Questo viene fatto attraverso la loro pagina "ask" qui: https://blog.archive.today/ask

Archive.today:

Puoi rimuovere pagine dagli archivi Internet ma solo se sei il proprietario del sito Web in questione e li contatti a riguardo. Molto probabilmente non sarai in grado di rimuovere gli archivi da dire "Post su Reddit" o qualcosa di simile. Ma potresti ancora chiedere e vedere cosa rispondono.

Secondo la loro pagina di aiuto https://help.archive.org/hc/en-us/articles/360004651732-Using-The-Wayback-Machine

“Come posso escludere o rimuovere le pagine del mio sito dalla Wayback Machine?

Puoi inviare una e-mail di richiesta per la revisione a info@archive.org con l'URL (indirizzo web) nel testo del tuo messaggio”.

Altri:

Dai un'occhiata a quei siti web:

Alcuni trucchi della vecchia scuola a bassa tecnologia:

Comunicazioni nascoste in bella vista:

Devi tenere a mente che l'utilizzo di tutte quelle misure di sicurezza (crittografia, negabilità plausibile, VPN, tor, sistemi operativi sicuri...) può insospettirti solo usandole. Usare potrebbe essere l'equivalente di affermare apertamente "Ho qualcosa da nascondere" a un osservatore che potrebbe quindi motivare alcuni avversari a indagare / sondare ulteriormente su di te.

Quindi, ci sono altri modi in cui potresti scambiare o inviare messaggi online ad altri in caso di necessità senza rivelare la tua identità o stabilire una comunicazione diretta con loro. Questi sono stati utilizzati da varie organizzazioni per decenni e possono essere di aiuto se non si desidera attirare l'attenzione utilizzando una tecnologia sicura pur comunicando alcune informazioni sensibili senza attirare l'attenzione.

Una tecnica comunemente usata che combina l'idea di Dead Drop ⁴⁵¹ e Secure Communication Offuscation ⁴⁵² tramite Steganography ⁴⁵³ e/o Kleptography ⁴⁵⁴ e ha molti nomi come Koalang ⁴⁵⁵ o "Talking Around" o anche "Social Steganography". Questa tecnica è molto antica e ancora oggi ampiamente utilizzata dagli adolescenti per aggirare il controllo parentale. Si nasconde in bella vista.

Ecco un esempio se vuoi far sapere a qualcuno che qualcosa non va e che dovrebbe oscurarsi? Che dovrebbero cancellare immediatamente tutti i loro dati, sbarazzarsi dei loro telefoni masterizzatori e delle informazioni sensibili?

E se volessi far sapere a qualcuno di cui ti fidi (amici, familiari, avvocati, giornalisti...) che sei nei guai e loro dovrebbero prendersi cura di te?

Tutto questo senza rivelare l'identità della persona a cui stai inviando il messaggio né rivelare il contenuto di tale messaggio a terzi e senza destare sospetti e senza utilizzare nessuno dei metodi sicuri sopra menzionati.

Bene, potresti semplicemente utilizzare qualsiasi piattaforma pubblica online per questo (Instagram, Twitter, Reddit, qualsiasi forum, YouTube ...) utilizzando messaggi codificati nel contesto (della piattaforma / media scelti) concordati (tra te e il tuo contatto) che solo il tuo contatto capirebbe.

Questo potrebbe essere un insieme di emoji specifici o un commento banale formulato in modo specifico. O anche solo un mi piace su un post specifico di un noto influencer che di solito guardi e metti mi piace. Anche se questo sembrerebbe del tutto normale per chiunque, questo potrebbe significare molto per un lettore esperto che potrebbe quindi intraprendere le azioni concordate appropriate. Puoi anche nascondere il messaggio usando Steganography usando ad esempio https://stegcloak.surge.sh/ .

Non devi nemmeno andare così lontano. Un semplice "ultimo visto" su un account specifico potrebbe essere sufficiente per attivare un messaggio concordato. Se il tuo interlocutore vede che questo account era online. Potrebbe significare che c'è un problema.

Come riconoscere se qualcuno ha cercato le tue cose:

Ci sono alcuni vecchi trucchi che puoi usare per individuare se le persone hanno incasinato le tue cose mentre eri via.

Un trucco, ad esempio, è abbastanza semplice e richiede solo un filo/cavo. Appoggia semplicemente gli oggetti sulla scrivania/comodino o nei cassetti seguendo una linea retta. Puoi usare un semplice cavo USB come strumento per allinearli.

Crea una linea con il cavo e posiziona gli oggetti lungo la linea. Quando torni, controlla quei posti e controlla se gli oggetti sono ancora posizionati lungo la linea. Ciò ti consente di non ricordare esattamente dove si trovavano le tue cose senza scattare foto.

Fortunatamente, la tecnologia moderna ha reso tutto questo ancora più semplice. Se sospetti che qualcuno stia guardando le tue cose mentre sei via, puoi semplicemente scattare una foto della zona con il tuo telefono prima di partire. Quando torni, confronta le aree con le tue foto e tutto dovrebbe essere esattamente dove lo hai lasciato. Se qualcosa si muoveva, allora c'era qualcuno.

Sarà estremamente difficile e dispendioso in termini di tempo per un avversario cercare tra le tue cose e quindi sostituirle esattamente come le hai lasciate con la massima precisione.

Cosa succede se si tratta di un documento stampato o di un libro e vuoi sapere se qualcuno lo ha letto? Ancora più semplice. Basta prendere attentamente una nota all'interno del documento con una matita. E poi cancellalo con una qualsiasi gomma da matita come se volessi correggerlo. Il trucco è lasciare con cura le tracce/residui della gomma sull'area che hai cancellato/scritto a matita e chiudere il documento. Potresti anche scattare una foto dei residui prima di chiudere il documento.

Molto probabilmente se qualcuno ha esaminato il tuo documento per leggerlo e riposizionarlo con cura, questo residuo cadrà o verrà spostato in modo significativo. È un semplice trucco della vecchia scuola che potrebbe dirti che qualcuno ha cercato un documento che avevi.

Alcuni ultimi pensieri dell'OPSEC:

Aspetta, cos'è l'OPSEC? Ebbene, OPSEC significa Sicurezza delle operazioni ⁴⁵⁶ . La definizione di base è: "OPSEC è il processo di protezione di singoli dati che potrebbero essere raggruppati per dare un quadro più ampio".

L'OPSEC spesso applica solo il buon senso ed è cauto riguardo alle tue attività, anche nel mondo fisico:

Ricordarsi di utilizzare passphrase al posto delle password e utilizzarne una diversa per ogni servizio ( Appendice A2: Linee guida per password e passphrase ).
Assicurati di non conservare una copia di questa guida in un luogo pericoloso dopo. La sola presenza di questa guida molto probabilmente sconfiggerà tutte le tue plausibili possibilità di negazione.
Considera l'uso di Haven https://guardianproject.github.io/haven/ ^{[Archive.org]} su un vecchio telefono Android per tenere d'occhio la tua casa/stanza mentre sei via.
Doxx "te stesso" e le tue identità di volta in volta cercandole tu stesso online utilizzando vari motori di ricerca per monitorare le tue identità online. Puoi persino automatizzare in qualche modo il processo utilizzando vari strumenti come Google Alert https://www.google.com/alerts ^{[Archive.org]} .
Ricorda Appendice N: Avvertenze su smartphone e dispositivi intelligenti . Non dimenticare che i tuoi dispositivi intelligenti possono compromettere il tuo anonimato.
Non utilizzare mai la biometria da sola per salvaguardare i tuoi segreti. La biometria può essere utilizzata senza il tuo consenso.
Non viaggiare mai con questi dispositivi se devi superare rigorosi controlli alle frontiere e dove potrebbero essere illegali o destare sospetti.
Non collegare alcuna attrezzatura a quel laptop a meno che non ti fidi. Utilizzare un blocco dati USB per la ricarica.
Controlla le firme e gli hash del software che scarichi prima di installarli.
Ricorda la prima regola del fight club e non parlare con nessuno delle tue attività sensibili usando la tua vera identità.
Mantieni una vita normale e non essere strano. Se trascorri tutto il tuo tempo online utilizzando Tor per accedere a Internet e non hai alcun account di social network ... Sei già sospettoso e attiri un'attenzione inutile.
Cripta tutto ma non darlo per scontato. Ricorda la chiave inglese da 5$.
Mantieni la negazione plausibile come opzione, ma ricorda che non aiuterà nemmeno contro la chiave inglese da 5 $.
Non lasciare mai il tuo laptop incustodito/acceso/sbloccato da nessuna parte durante lo svolgimento di attività sensibili. Ricorda la storia di Ross Ulbricht e del suo arresto https://en.wikipedia.org/wiki/Ross_Ulbricht#Silk_Road,_arrest_and_trial ^[Wikiless] ^{[Archive.org]} .
Verifica regolarmente la presenza di manomissioni (non solo i tuoi dispositivi ma anche la tua casa/stanza).
Se puoi, non parlare con la polizia/le autorità (almeno se sei negli Stati Uniti) https://www.youtube.com/watch?v=d-7o9xYp7eE ^[Invidious] senza un avvocato. Rimanere in silenzio.
Conosci e tieni sempre a tua disposizione i dettagli di un avvocato che potrebbe aiutarti come ultima risorsa in caso di problemi.
Leggi questi suggerimenti qui https://www.whonix.org/wiki/DoNot ^{[Archive.org]}
Infine, abbi buon senso, non essere stupido, guarda e impara dagli errori degli altri, guarda/leggi questi:
- Medium.com, i fornitori di Darkweb e gli errori di base di Opsec che continuano a fare https://medium.com/@c5/darkweb-vendors-and-the-basic-opsec-mistakes-they-keep-making-e54c285a488c ^{[Scribe.rip ]} ^{[Archivio.org]}
- 2020, Sinwindie, OSINT e Dark Web Markets, perché OPSEC è ancora importante https://www.youtube.com/watch?v=IqZZU9lFlF4 ^[Invidious]
- 2020, Conferenza RSA 2020, Quando i criminali informatici con un buon attacco OpSec https://www.youtube.com/watch?v=zXmZnU2GdVk ^[Invidious]
- 2015, DEFCON 22, Adrian Crenshaw- Dropping Docs on Darknets: How People Got Caught, https://www.youtube.com/watch?v=eQ2OZKitRwc ^[Invidious] ( Slides ^{[Archive.org]} )
- 2017, Ochko123 - Come i federali hanno catturato il mega-carder russo Roman Seleznev https://www.youtube.com/watch?v=6Chp12sEnWk ^[Invidious]
- 2015, DEF CON 22 - Zoz - Non rovinare tutto! https://www.youtube.com/watch?v=J1q4Ir2J8P8 ^[Invidioso]
- 2020, Bad Opsec - Come sono stati catturati gli utenti Tor, https://www.youtube.com/watch?v=GR_U0G-QGA0 ^[Invidious]

DISCLAIMER OPSEC FINALE: MANTENERE LE TUE IDENTITÀ ANONIME COMPLETAMENTE SANDBOX DAL TUO AMBIENTE NORMALE E DALLA TUA IDENTITÀ REALE. NON CONDIVIDERE NULLA TRA GLI AMBIENTI ANONIMI E L'AMBIENTE DI IDENTITÀ REALE. TENERE COMPLETAMENTE COMPARTMENTALIZZATI A OGNI LIVELLO. LA MAGGIOR PARTE DEI GUASTI OPSEC SONO DOVUTI A FUGHE ACCIDENTALE DI INFORMAZIONI DA PARTE DEGLI UTENTI PIUTTOSTO CHE A GUASTI TECNICI.

Se pensi di esserti bruciato:

Se hai un po' di tempo:

Non farti prendere dal panico.
Elimina tutto ciò che puoi da Internet relativo a quella specifica identità (account, commenti ...).
Elimina tutto ciò che hai correlato offline a quell'identità, inclusi i backup.
(Se si utilizza una SIM fisica) Distruggi la scheda SIM e gettala in un cestino casuale da qualche parte.
(Se si utilizza un telefono Burner fisico) Cancella, quindi distruggi il telefono Burner e gettalo in un cestino casuale da qualche parte.
Cancellare in modo sicuro il disco rigido del laptop e quindi procedere idealmente a distruggere fisicamente l'HDD/SSD/Laptop e gettarlo da qualche parte.
Fai lo stesso con i tuoi backup.
Tieni i dettagli del tuo avvocato a portata di mano o, se necessario, chiamalo in anticipo per preparare il tuo caso, se necessario.
Torna alle tue normali attività e spera per il meglio.

Se non hai tempo:

Non farti prendere dal panico.
Prova a spegnere/ibernare il laptop il prima possibile e sperare per il meglio. Se sei abbastanza veloce, la tua memoria dovrebbe decadere o essere pulita e i tuoi dati dovrebbero essere per lo più al sicuro per il momento.
Contatta un avvocato se possibile e spera per il meglio e se non riesci a contattarlo (ancora), cerca di rimanere in silenzio (se il tuo paese lo consente) finché non avrai un avvocato che ti aiuti e se la tua legge ti consente di rimanere in silenzio.

Tieni presente che molti paesi hanno leggi specifiche che ti obbligano a rivelare le tue password che potrebbero prevalere sul tuo "diritto a rimanere in silenzio". Vedi questo articolo di Wikipedia: https://en.wikipedia.org/wiki/Key_disclosure_law ^[Wikiless] ^{[Archive.org]} e quest'altra risorsa visiva con riferimenti legali https://www.gp-digital.org/world-map- di crittografia/ ^{[Archive.org]} .

Una piccola nota editoriale finale:

Dopo aver letto tutta questa guida, spero che tu abbia acquisito ulteriori informazioni utili sulla privacy e sull'anonimato. È chiaro ora, secondo la mia modesta opinione, che il mondo in cui viviamo ha solo pochi porti sicuri rimasti dove si potrebbe avere una ragionevole aspettativa di privacy e ancor meno anonimato. Molti diranno spesso che 1984 di George Orwell non doveva essere un libro di istruzioni. Eppure oggi questa guida e i suoi numerosi riferimenti dovrebbero, spero, rivelarvi quanto siamo in fondo alla tana del coniglio.

Dovresti anche sapere che la maggior parte delle informazioni digitali descritte in dettaglio in questa guida possono essere contraffatte o manomesse da un avversario motivato per qualsiasi scopo. Anche se riesci a mantenere i segreti da occhi indiscreti, chiunque può inventare qualsiasi cosa per adattarsi alla propria narrativa:

I registri IP, i registri DNS, i registri di geolocalizzazione e i registri di connessione possono essere falsificati o manomessi da chiunque utilizzi un semplice editor di testo senza lasciare tracce.
I file e le relative proprietà possono essere creati, modificati e contrassegnati con il timestamp da chiunque utilizzi semplici utilità senza lasciare tracce.
Le informazioni EXIF di immagini e video possono essere modificate da chiunque utilizzi semplici utilità senza lasciare tracce.
Le prove digitali (immagini, video, registrazioni vocali, e-mail, documenti...) possono essere create, posizionate, rimosse o distrutte con facilità senza lasciare tracce.

Non dovresti esitare a mettere in discussione questo tipo di informazioni da qualsiasi fonte in questa era di disinformazione.

“Una bugia può viaggiare dall'altra parte del mondo mentre la verità si mette le scarpe” ⁴⁵⁷

Per favore, continua a pensare da solo, usa il pensiero critico e mantieni una mente aperta. “Sapere Aude” (Osa sapere!).

"Alla fine il Partito annuncerebbe che due più due fa cinque, e dovresti crederci" - George Orwell, 1984, Libro Uno, Capitolo Sette.

Prendi in considerazione l'idea di aiutare gli altri (vedi Aiutare gli altri a rimanere anonimi )

Donazioni:

Questo progetto non ha finanziamenti o sponsorizzazioni e le donazioni sono più che benvenute.

Vedi: https://anonymousplanet-ng.org/donations.html

(Si prega di verificare il checksum e la firma GPG di questo file per l'autenticità, questo è spiegato nel README del repository se non si sa come farlo) .

Aiutare gli altri a rimanere anonimi:

Se vuoi dare una mano agli utenti che devono affrontare la censura e l'oppressione, considera di aiutarli aiutando Tor Network. Puoi farlo in diversi modi:

Il più facile:
- Utilizzando il componente aggiuntivo Snowflake sul tuo browser ( https://snowflake.torproject.org/ ^{[Archive.org]} )
Un po' più di lavoro:
- Esecuzione di un nodo di inoltro Tor ( https://community.torproject.org/relay/ ^{[Archive.org]} )
  - Consulta i provider di hosting VPS consigliati
  - Tutorial aggiuntivo: https://torrelay.ca/ ^{[Archive.org]}

Se vuoi un po' più di sfida, puoi anche eseguire un nodo Tor Exit in modo anonimo utilizzando i provider VPS consigliati sopra.

Per questo, vedere https://blog.torproject.org/tips-running-exit-node ^{[Archive.org]}

Questo progetto, ad esempio, gestisce diversi nodi Tor Exit utilizzando le donazioni per finanziare. Puoi vederli qui: https://metrics.torproject.org/rs.html#search/family:970814F267BF3DE9DFF2A0F8D4019F80C68AEE26

Ringraziamenti:

Un ringraziamento speciale a Edward Snowden e a chi mi ha ispirato a scrivere questa guida (acquista e leggi il suo libro per favore https://en.wikipedia.org/wiki/Permanent_Record_(autobiography) ^[Wikiless] ^{[Archive.org]} )
Un enorme ringraziamento alle persone che hanno donato a questo progetto in forma anonima
Un ringraziamento speciale a LiJu09 per aver aiutato con il tema Light del sito web ( https://github.com/LiJu09 )
Un ringraziamento speciale alle persone di Simplelogin.io per aver fornito un accesso premium gratuito a vita al loro servizio
Grazie a GitHub per aver ospitato questo progetto e le molte persone che lo hanno recitato
Grazie a Njal.la per aver fornito un nome di dominio e l'hosting VPS in modo anonimo
Grazie a 1984.is per aver fornito l'hosting VPS in modo anonimo
Grazie a tutte le persone che hanno contribuito e condiviso questa guida con gli altri
Grazie alle persone dei progetti Internet Archive e Archive.today
Grazie alle persone del progetto Monero
Grazie alle persone del progetto Zcash
Grazie alle persone del progetto Wikipedia
Grazie alle persone del progetto Tails
Grazie alle persone del progetto HiddenVM
Grazie alle persone del progetto Whonix
Grazie alle persone del progetto Qubes OS
Grazie alle persone del progetto Veracrypt
Grazie alle persone dei Progetti Tor e OONI
Grazie alle persone del progetto Briar
Grazie alle persone del progetto OnionShare
Grazie alle persone del progetto Element/Matrix
Grazie alle persone del progetto Jami
Grazie alle persone dei progetti KeePass e KeePassXC
Grazie alle persone del progetto Fawkes
Grazie alle persone del progetto VirtualBox
Grazie alle persone dei progetti ExifCleaner, Mat2 ed ExifTool
Grazie alle persone del progetto Go Incognito di Techlore
Grazie a Didier Stevens per i suoi strumenti pdf
Grazie alle persone dell'EFF
Grazie alle persone del SANS
Grazie alle persone del progetto OWASP
Grazie alle persone del progetto Privacyguides.org
Grazie alle persone di BlackHat, DEF CON e CCC
Grazie alle persone di Bellingcat e ad altri ricercatori OSINT/Forensics (e scusate per aver reso loro la vita più difficile con questa guida)
Grazie ai realizzatori del documentario Social Dilemma (vai a guardarlo se non l'hai ancora fatto)
Grazie a Michael Bazzell e ai suoi fantastici libri OSINT che vi consiglio di acquistare su https://inteltechniques.com
Grazie a Randall Munroe di XKCD per i suoi fantastici e perspicaci webcomics.
Grazie alle persone delle varie poche entità commerciali che prendono sul serio la privacy
Grazie a tutta la comunità open-source e in particolare alla comunità Linux
Grazie ai numerosi ricercatori, giornalisti, avvocati e persone a cui si fa riferimento in questa guida per le loro varie ricerche e progetti
Si ringraziano le seguenti persone per il loro contributo e aiuto:
- NobodySpecial, https://git.envs.net/NobodySpecial/whoami
- Madaidan, https://madaidans-insecurities.github.io
- Mahanihaka

Appendice A: Installazione di Windows

Questo è il processo di installazione di Windows 10 che dovrebbe essere valido per qualsiasi installazione di Windows 10 all'interno di questa guida.

Windows 11 non è ancora supportato da questa guida (ma lo sarà in futuro ad un certo punto).

Installazione:

NON COLLEGARE WINDOWS A NESSUNA RETE DURANTE IL PROCESSO DI INSTALLAZIONE (questo ci consentirà di creare un account locale e di non utilizzare un account Microsoft e impedirà inoltre l'invio di telemetria durante il processo di installazione).

Fai clic su "Installa ora"
Seleziona "Non ho un codice Product Key"
Seleziona il gusto che desideri:
- Sistema operativo host: utilizzare
  - Intendi utilizzare la negazione plausibile: Windows Home
  - Non intendi utilizzare Plausible Deniability: Windows Pro
- Sistema operativo VM: utilizzare Windows Pro o Windows Pro N
Seleziona Personalizzato
Conservazione:
- Se si tratta di una semplice installazione del sistema operativo (sistema operativo host con crittografia semplice) o VM senza crittografia, selezionare l'intero disco e procedere con l'installazione (salta il passaggio successivo).
- Se questo fa parte di una crittografia di negazione plausibile impostata sul sistema operativo host:
  - Se stai installando Windows per la prima volta (sistema operativo nascosto):
    - Elimina le partizioni correnti
    - Crea la prima partizione con almeno 50 GB di spazio su disco (circa un terzo dello spazio su disco totale).
    - Crea una seconda partizione con i restanti due terzi dello spazio totale su disco.
  - Se stai installando Windows per la seconda volta (sistema operativo Decoy):
    - Non eliminare le partizioni correnti
    - Installa Windows sulla prima partizione creata durante la prima installazione.
  - Procedi con l'installazione nella prima partizione
Avvia il processo di installazione
Seleziona la Regione “Regno Unito”
Salta il layout di tastiera aggiuntivo
Seleziona "Non ho Internet"
Seleziona "Continua con configurazione limitata"
Crea un nome utente a tua scelta.
Usa una password a tua scelta.
Seleziona tutte e tre le domande di sicurezza e rispondi a quello che vuoi (non dati reali).
Non utilizzare il riconoscimento vocale in linea
Non consentire all'app di utilizzare la tua posizione
Non abilitare "trova il mio dispositivo"
Invia solo "dati diagnostici richiesti"
Non migliorare l'input penna e la digitazione
Non ottenere alcuna esperienza su misura migliorata.
Non consentire alle app di utilizzare l'ID pubblicità
Seleziona "Ora" al prompt di Cortana

Impostazioni della privacy:

Al termine dell'installazione, accedi a Impostazioni > Privacy e procedi come segue:
- Generale: Tutto spento
- Discorso: disattivato
- Inchiostrazione e digitazione: disattivata
- Diagnostica: livello richiesto su off, opzioni su OFF, Elimina i tuoi dati , frequenza impostata su Mai
- Cronologia attività: tutto disattivato e Cancella cronologia
- Posizione, tutto Off (pulsante cambia) e cancellalo
- Fotocamera: disabilitalo (pulsante cambia)
- Microfono: disabilitalo (pulsante cambia)
- Attivazione vocale: tutto disattivato
- Notifica: disabilitalo (pulsante cambia)
- Informazioni sull'account: disabilitalo (pulsante cambia)
- Informazioni di contatto: disabilitalo (pulsante cambia)
- Accesso al calendario: disabilitalo (pulsante cambia)
- Telefonate: disabilitalo (pulsante cambia)
- Cronologia chiamate: disabilitalo (pulsante cambia)
- E-mail: Disabilitalo (pulsante cambia)
- Compiti: disabilitalo (pulsante cambia)
- Messaggistica: disabilitalo (pulsante cambia)
- Radio: disabilitalo (pulsante cambia)
- Altri dispositivi: impostare su Off
- App in background: disabilitalo (pulsante cambia)
- Diagnostica app: disabilitalo (pulsante cambia)
- Documenti: disabilitalo (pulsante cambia)
- Immagini: disabilitalo (pulsante cambia)
- Video: disabilitalo (pulsante cambia) e impostalo su off
- File system: disabilitalo (pulsante cambia)
Disabilita l'indicizzazione dei file andando nelle "Opzioni di indicizzazione" (vai nel Pannello di controllo di Windows 10, cambia la vista su "Icone grandi" e seleziona Opzioni di indicizzazione.
- Modifica l'elenco e rimuovi tutte le posizioni.
- Vai in Avanzate e fai clic su Ricostruisci.
(Solo sistema operativo host) Disabilita Bluetooth nelle impostazioni:
- Vai in Impostazioni
- Vai in Dispositivi
- Seleziona Bluetooth e spegnilo
(Solo sistema operativo host) Registra comunque la webcam e il microfono per ulteriore paranoia.
(Solo sistema operativo host) Vai in Impostazioni > Rete e Internet > Wi-Fi e Abilita indirizzo hardware casuale.

Appendice B: Impostazioni aggiuntive sulla privacy di Windows

Come scritto in precedenza in questa guida e come notato da PrivacyGuides.org ⁴⁵⁸ , Windows 10 è un incubo per la privacy. E disabilitare tutto durante e dopo l'installazione utilizzando le impostazioni a tua disposizione non è sufficiente. La quantità di dati di telemetria raccolti da Microsoft è sbalorditiva e potrebbe vanificare i tuoi tentativi di mantenere i segreti. Dovrai scaricare e utilizzare un paio di utilità per (si spera) forzare Windows 10 a non inviare i dati a Microsoft.

Ecco i passaggi in dettaglio:

NON UTILIZZARE MAI UN ACCOUNT MICROSOFT PER ACCEDERE: Se lo sei, dovresti reinstallare questa macchina Windows senza connetterti a una rete e utilizzare invece un account locale.

Esegui questi passaggi da un computer diverso per non connettere Windows 10 a Internet prima che tali impostazioni vengano applicate. Puoi scaricarli e copiarli sulla chiavetta USB (per trasferirli su una nuova installazione di Windows 10) o, se si tratta di una VM, puoi trasferirli sulla VM all'interno di Virtualbox (Impostazioni VM > Generali > Avanzate > Trascina e rilascia > Abilita host all'Ospite).

Scarica e installa W10Privacy da https://www.w10privacy.de/english-home/ ^{[Archive.org]}
- Apri l'app come amministratore (fai clic con il tasto destro> altro> esegui come amministratore)
- Controlla tutte le impostazioni consigliate (Verde) e salva.
- Facoltativo ma consigliato (ma potrebbe rompere le cose, usarlo a proprio rischio), controlla anche le impostazioni arancione/rosso e salva.
- Riavviare
Scarica ed esegui WindowsSpyBlocker da https://crazymax.dev/WindowsSpyBlocker/download/ ^{[Archive.org]}
- Digita 1 e vai in Telemetria
- Digita 1 e vai in Firewall
- Digita 2 e aggiungi Regole spia
- Riavviare
Inoltre, considera l'utilizzo di ShutUp10 da https://www.oo-software.com/en/shutup10 ^{[Archive.org]}
- Abilita almeno tutte le impostazioni consigliate
Torna indietro un'ultima volta Impostazioni > Privacy > Diagnostica ed Elimina tutti i dati.

Si spera che queste misure aggiunte alle impostazioni durante l'installazione siano sufficienti per impedire a Microsoft di spiare il tuo sistema operativo.

Sarà necessario aggiornare e rieseguire W10Privacy e WindowsSpyBlocker frequentemente e dopo qualsiasi aggiornamento di Windows poiché tendono a riattivare silenziosamente la telemetria utilizzando tali aggiornamenti.

Come bonus, potrebbe essere interessante considerare anche l'indurimento del tuo sistema operativo host Windows. Vedi https://github.com/beerisgood/windows10_hardening ^{[Archive.org]} (Questa è una guida alla sicurezza, non una guida alla privacy. Se usi questa guida, non abilitare Hyper-V perché non funziona bene con Virtualbox, e non abilitare funzionalità che sono state disabilitate in precedenza per motivi di privacy (come SmartScreen, protezione cloud...)

Appendice C: Creazione del supporto di installazione di Windows

Questi sono i passaggi per creare un supporto di installazione di Windows 10 (21H1) utilizzando questo strumento e le istruzioni:

https://www.microsoft.com/en-us/software-download/windows10 ^{[Archive.org]}

Scarica lo strumento ed eseguilo dalla cartella Download.
Accetta i termini
Selezionare il processo per creare un supporto di installazione.
Seleziona l'edizione di Windows 10 a 64 bit con la lingua che preferisci.
Scegli quale processo desideri:
- Se si esegue l'installazione su un computer fisico: selezionare USB Flash Drive
- Se si installa su una macchina virtuale: selezionare il file ISO e salvarlo.
Procedere

Appendice D: Utilizzo di System Rescue per cancellare in modo sicuro un'unità SSD.

Queste istruzioni sono valide per tutti i Sistemi Operativi:

Salvataggio del sistema:
- Crea un disco USB di System Rescue seguendo queste istruzioni https://www.system-rescue.org/Installing-SystemRescue-on-a-USB-memory-stick/ ^{[Archive.org]} (scarica l'ISO e scrivi su una chiavetta USB con Rufo).
- Disabilita l'avvio protetto nelle impostazioni del BIOS/UEFI e modifica l'ordine di avvio sul disco USB (il bootloader di System Rescue non è firmato e non si avvia con l'avvio protetto abilitato).
- Segui le istruzioni per modificare il layout della tastiera digitando "stkmap".
- (opzionale) Eseguire startx in seguito per avviare un ambiente grafico.
SSD SATA:
- (Se hai eseguito startx) Apri un terminale
- Cancellazione sicura ATA:
  - Segui uno di questi tutorial
- Sanificazione ATA:
  - Segui questo tutorial https://tinyapps.org/docs/ata_sanitize_hdparm.html ^{[Archive.org]}
SSD NVMe:
- (Se hai eseguito startx) Apri un terminale
- Segui uno di questi tutorial:

Appendice E: Clonezilla

Ottieni Clonezilla semplicemente seguendo queste istruzioni: https://clonezilla.org/liveusb.php ^{[Archive.org]} (consiglio la versione alternativa AMD64 che dovrebbe funzionare con i laptop più recenti)
Avvio da Clonezilla
Segui questi passaggi per eseguire un backup: https://clonezilla.org/show-live-doc-content.php?topic=clonezilla-live/doc/01_Save_disk_image ^{[Archive.org]}
- Se si esegue il backup di un disco con crittografia semplice, la crittografia del backup non è richiesta poiché si esegue il backup di un disco già crittografato, ma è comunque possibile crittografare il backup se si desidera una sicurezza aggiuntiva (e un backup più lento).
- Se intendi eseguire il backup di un dispositivo con una crittografia di negazione plausibile, ti consiglio vivamente di non farlo poiché questa immagine di backup potrebbe essere utilizzata per dimostrare l'esistenza del volume nascosto utilizzando tecniche forensi come spiegato in precedenza. Non eseguire un backup dell'immagine della partizione contenente il sistema operativo nascosto.
Hai finito, se devi ripristinare, segui queste istruzioni: https://clonezilla.org/show-live-doc-content.php?topic=clonezilla-live/doc/02_Restore_disk_image ^{[Archive.org]}

Ogni backup potrebbe richiedere del tempo a seconda della velocità del tuo laptop e della velocità del tuo disco esterno. In base alla mia esperienza, aspettati circa 1 ora per backup a seconda delle dimensioni dell'unità e della velocità di scrittura del supporto di backup (i miei test sono stati eseguiti eseguendo il backup di SSD da 256 GB su un HDD USB 3.0 a 7200 giri / min).

Appendice F: Diskpart

Diskpart è un'utilità di Windows che può essere utilizzata per eseguire varie operazioni sul disco rigido. In questo caso, useremo Diskpart per mostrare l'ID del disco ma anche cambiarlo se necessario.

Ciò potrebbe essere necessario se si ripristina un backup su un nuovo HDD/SSD con un ID diverso da quello di cui è stato eseguito il backup e Windows potrebbe rifiutarsi di avviarsi.

Diskpart può essere eseguito da qualsiasi ambiente Windows utilizzando un prompt dei comandi. Ciò include i dischi di ripristino creati da utilità come Macrium Reflect, qualsiasi supporto di installazione di Windows, i dischi di ripristino di EaseUS Todo Free.

Visualizzazione dell'ID del disco
- Esegui Diskpart per accedere all'utilità Diskpart
- Emettere il list diskcomando per elencare i dischi
- Emetti sel disk x(sostituisci x con il tuo disco di sistema) per selezionare il tuo disco di sistema
- Emettere il detail diskper mostrare i dettagli di questo disco
- Prendere nota dell'ID del disco (questo dovrebbe essere fatto PRIMA di eseguire il backup dei dischi).
Modifica dell'ID del disco
- Questo passaggio dovrebbe essere eseguito solo se, dopo aver ripristinato un backup completo del disco su un nuovo disco rigido, Windows si rifiuta di avviarsi
- Emettere gli stessi comandi di cui sopra sul nuovo disco di destinazione
- Emetti, inoltre, il comando uniqueid disk id=02345678(dove sostituisci l'id con quello che hai annotato prima)

Appendice G: Browser sicuro sul sistema operativo host

Se puoi usare Tor:

Questa guida [raccomanderà solo]{.underline} l'utilizzo di Tor Browser all'interno del sistema operativo host perché ha la migliore protezione per impostazione predefinita. L'unica altra opzione accettabile secondo me sarebbe usare Brave Browser con una scheda Tor , ma tieni presente che i Brave stessi consigliano l'uso di Tor Browser se ritieni che la tua sicurezza dipenda dall'essere anonimi ⁴⁵⁹ : "Se la tua sicurezza personale dipende dal rimanere anonimo, consigliamo vivamente di utilizzare Tor Browser invece di Brave Tor Windows. “.

Questo browser sul sistema operativo host verrà utilizzato solo per scaricare varie utilità e non verrà mai utilizzato per attività sensibili effettive.

Fare riferimento all'Appendice Y: Installazione e utilizzo di Tor Browser desktop .

Se riscontri problemi di connessione a Tor a causa della censura o del blocco, potresti considerare di utilizzare i bridge Tor come spiegato qui: https://bridges.torproject.org/ ^{[Archive.org]}

Utilizzare questo browser per tutti i passaggi successivi all'interno del sistema operativo host, se non diversamente indicato.

Se non puoi usare Tor:

Perché è troppo pericoloso/rischioso/sospetto. Consiglierei come ultima risorsa l'utilizzo di Firefox o Brave solo utilizzando Windows privato per ora.

Vedi Appendice P: Accedere a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione prima di continuare.

Fallo solo da un Wi-Fi pubblico sicuro diverso ogni volta (Vedi Trovare alcuni luoghi sicuri con Wi-Fi pubblico decente ) e usando una connessione a lungo raggio (Vedi Appendice Q: Utilizzo dell'antenna a lungo raggio per connettersi a Wi-Fi pubblici da una distanza di sicurezza: ).

Pulisci tutti i dati dal browser dopo ogni utilizzo.

Utilizzare questo metodo per tutti i passaggi successivi all'interno del sistema operativo host, se non diversamente indicato.

Appendice H: Strumenti di pulizia di Windows

In questa guida consiglierò due terzi strumenti nativi e due strumenti di terze parti:

Strumenti nativi:
- Utilità di pulizia del disco di Windows 10: https://support.microsoft.com/en-us/windows/disk-cleanup-in-windows-10-8a96ff42-5751-39ad-23d6-434b4d5b9a68 ^{[Archive.org]}

Questo strumento ripulirà un sacco di cose in modo nativo. Non è sufficiente e consiglio invece di utilizzare gli strumenti di terze parti di seguito per pulire più cose. PrivaZer, ad esempio, utilizzerà direttamente l'utilità di pulizia del disco e BleachBit utilizzerà i propri meccanismi.

Utilità di ottimizzazione di Windows 10 (deframmenta sulle unità HDD): https://support.microsoft.com/en-us/windows/defragment-your-windows-10-pc-048aefac-7f1f-4632-d48a-9700c4ec702a ^{[Archive.org ]}

Per sicurezza, questo strumento è particolarmente utile sulle unità SSD in questa funzione "Ottimizza" forzerà infatti l'esecuzione di un'operazione di ritaglio a livello di disco. Questo molto probabilmente sarà più che sufficiente per assicurarsi che tutti i dati eliminati che non sono stati tagliati prima per qualsiasi motivo saranno questa volta. È molto improbabile che i dati eliminati con Trim vengano recuperati come spiegato in precedenza in questa guida.

Strumenti di terze parti:
- L'utilità open source BleachBit https://www.bleachbit.org/ ^{[Archive.org]}
- L'utilità closed-source PrivaZer https://privazer.com/ ^{[Archive.org]}

Preferisco PrivaZer perché ha più personalizzazione e funzionalità più intelligenti, ma capirei se non ti fidi di loro e preferisci il software open source, nel qual caso consiglierei BleachBit che offre un po' meno personalizzazione ma funzionalità simili.

Entrambi questi strumenti possono essere utilizzati per pulire molte cose come:

Il diario USN di Windows che memorizza molte informazioni ⁴⁶⁰ .
Il monitoraggio dell'utilizzo delle risorse di sistema di Windows (SRUM) ⁴⁶¹ .
Varie cronologie di vari programmi (come gli elenchi recenti).
Registri vari
Lo spazio libero (non allocato) del disco rigido ⁴⁶² .
Cancellazione sicura dei file
Pulizia sicura delle unità USB

Entrambe queste utilità possono eliminare file e sovrascrivere lo spazio libero dopo l'eliminazione per migliorare l'eliminazione sicura anche su unità SSD. Ricorda che questo può ridurre un po' la durata delle tue unità SSD.

Appendice I: Utilizzo di ShredOS per cancellare in modo sicuro un'unità HDD:

Sono consigliate diverse utilità (come il vecchio DBAN ⁴⁶³ non mantenuto o System Rescue CD ( https://www.system-rescue.org/ ^{[Archive.org]} )) per questo, ma raccomanderò l'uso di ShredOS.

Sentiti libero di usare DBAN se vuoi (usando questo tutorial: https://www.lifewire.com/how-to-erase-a-hard-drive-using-dban-2619148 ^{[Archive.org]} ), il il processo è sostanzialmente lo stesso ma non funzionerà immediatamente con i laptop UEFI.

Se vuoi andare con System-Rescue, vai sul loro sito Web e segui le istruzioni.

Windows:

Scarica ShredOS da https://github.com/PartialVolume/shredos.2020.02 ^{[Archive.org]}
Decomprimi il file ISO
Scarica Rufus da https://rufus.ie/ ^{[Archive.org]}
Lancia Rufus
Seleziona il file IMG di ShredOS
Scrivilo su una chiavetta USB
Al termine, riavvia e avvia la chiave USB (potrebbe essere necessario accedere alle impostazioni del BIOS per modificare l'ordine di avvio).
Seguire le istruzioni sullo schermo

Linux:

Segui le istruzioni su https://github.com/PartialVolume/shredos.2020.02 ^{[Archive.org]}
Riavvia e avvia la chiavetta USB
Seguire le istruzioni sullo schermo

Appendice J: Strumenti del produttore per pulire le unità HDD e SSD:

Controlla sempre prima il BIOS/UEFI del tuo laptop per le utilità native.

Assicurati di utilizzare la modalità di cancellazione corretta per il disco giusto. Wipe e Pass sono per le unità HDD. Esistono opzioni specifiche per le unità SSD (come ATA Secure Erase o Sanitize).

Sfortunatamente, la maggior parte di questi strumenti sono solo Windows.

Strumenti che forniscono un disco di avvio per la cancellazione dall'avvio:

SanDisk DashBoard: https://kb.sandisk.com/app/answers/detail/a_id/15108/~/dashboard-support-information ^{[Archive.org]}
Seagate SeaTools: https://www.seagate.com/support/downloads/seatools/ ^{[Archive.org]}
Samsung Magican: https://www.samsung.com/semiconductor/minisite/ssd/download/tools/ ^{[Archive.org]}
Kingston SSD Manager: https://www.kingston.com/unitedstates/en/support/technical/ssdmanager ^{[Archive.org]}
Lenovo:
- Molto probabilmente utilità nativa disponibile all'interno del BIOS/UEFI, verificare
- Utility Cancellazione unità: https://support.lenovo.com/us/en/downloads/ds019026-thinkpad-drive-erase-utility-for-reset-the-cryptographic-key-and-erasing-the-solid-state- drive-thinkpad ^{[Archive.org]}
Crucial Storage Executive: https://www.crucial.com/support/storage-executive ^{[Archive.org]}
Dashboard Western Digital: https://support.wdc.com/downloads.aspx?p=279 ^{[Archive.org]}
HP: seguire le istruzioni su https://store.hp.com/us/en/tech-takes/how-to-secure-erase-ssd ^{[Archive.org]}
Ambito di Transcend SSD: https://www.transcend-info.com/Support/Software-10/ ^{[Archive.org]}
Dell:
- Molto probabilmente utilità nativa disponibile all'interno del BIOS/UEFI, consultare https://www.dell.com/support/kbdoc/en-us/000134997/using-the-dell-bios-data-wipe-function-for-optiplex -precision-and-latitude-systems-built-after-november-2015?lwp=rt ^{[Archive.org]}

Strumenti che forniscono supporto solo dal sistema operativo in esecuzione (per unità esterne).

Strumenti di archiviazione Toshiba: https://www.toshiba-storage.com/downloads/ ^{[Archive.org]}

Appendice K: Considerazioni sull'utilizzo di unità SSD esterne

Non consiglio di utilizzare SSD esterni a causa dell'incertezza sul loro supporto per le opzioni Trim, ATA Secure Erase e Sanitize tramite controller USB. Invece, consiglio di utilizzare dischi HDD esterni che possono essere puliti/cancellati in modo sicuro e sicuro senza problemi (anche se molto più lenti delle unità SSD).

Si prega di non acquistare o utilizzare dispositivi ingannevoli con crittografia automatica come questi: https://syscall.eu/blog/2018/03/12/aigo_part1/ ^{[Archive.org]}

Alcuni potrebbero essere molto efficienti ⁴⁶⁴ , ma molti sono gadget ingannevoli.

Se desideri utilizzare un'unità SSD esterna per l'archiviazione sensibile:

Si prega di considerare il supporto per:
- Operazioni di ritaglio e operazioni di cancellazione sicura ATA/NVMe dal controller USB del laptop.
- Operazioni di taglio e operazioni di cancellazione sicura ATA/NVMe dal disco SSD USB stesso.
Utilizzare sempre la crittografia completa del disco su quei dischi
Utilizzare gli strumenti forniti dal produttore per cancellarli in modo sicuro, se possibile (consultare l' Appendice K: Considerazioni sull'utilizzo di unità SSD esterne ).
Prendi in considerazione la possibilità di cancellare manualmente i dati su di essi dopo l'uso eseguendo una decrittografia/crittografia completa o riempiendoli completamente con dati casuali.

Quindi, come verificare se il tuo SSD USB esterno supporta Trim e altre operazioni ATA/NVMe dal tuo sistema operativo host?

Windows:

Supporto per il taglio:

È possibile che Windows rilevi correttamente il tuo SSD esterno e abiliti Trim per impostazione predefinita. Verifica se Optimize funziona utilizzando l'utilità del disco nativo di Windows come spiegato nella sezione SSD interna di Windows.

Operazioni ATA/NVMe (cancellazione/disinfezione sicura):

Usa gli strumenti forniti dal produttore per controllare ed eseguire queste operazioni ... È praticamente l'unico modo per essere sicuri che non solo sia supportato ma funzioni davvero. Alcune utilità possono dirti se è supportato o meno come CrystalDiskInfo ⁴⁶⁵ ma in realtà non verificheranno se funziona. Vedere l'Appendice J: Strumenti del produttore per pulire le unità HDD e SSD .

Se non funziona. Basta decrittografare e crittografare nuovamente l'intera unità o riempire lo spazio libero come indicato nella guida. Non c'è altro modo AFAIK. Oltre ad avviare un CD di System Rescue Linux e vedere la sezione successiva.

Linux:

Supporto per il taglio:

Segui questo buon tutorial: https://www.glump.net/howto/desktop/enable-trim-on-an-external-ssd-on-linux ^{[Archive.org]}

Operazioni ATA/NVMe (cancellazione/disinfezione sicura):

Non è “consigliato”. Si prega di leggere le dichiarazioni di non responsabilità qui https://ata.wiki.kernel.org/index.php/ATA_Secure_Erase ^{[Archive.org]} e qui https://wiki.archlinux.org/index.php/Solid_state_drive/Memory_cell_clearing ^{[Archive.org ]}

Ma questo sembra essere basato su esperienze aneddotiche. Quindi, se sei sicuro che il tuo SSD esterno supporti Trim (consulta la documentazione del fornitore). Potresti semplicemente provare a tuo rischio e pericolo a usare nvme-cli o hdparm per emettere cancellazioni sicure.

Vedi anche questo tutorial https://code.mendhak.com/securely-wipe-ssd/ ^{[Archive.org]}

Il tuo chilometraggio può variare. Utilizzare a proprio rischio.

Mac OS:

Supporto per il taglio:

Secondo la documentazione Apple ⁴⁵⁵ , Trim è supportato su APFS (in modo asincrono) e HFS+ (attraverso il trim del periodo o il pronto soccorso).

Quindi, se è supportato (e abilitato sul tuo SSD esterno), dovresti essere in grado di emettere un Trim su un'unità non APFS usando Utility Disco e First Aid che dovrebbe emettere un Trim.

Se il tuo disco lo supporta ma non è abilitato in macOS. Potresti provare a emettere un comando "sudo trimforce enable" dal Terminale e vedere se abilita Trim sul tuo SSD esterno. E poi controlla di nuovo il comando di pronto soccorso se non è APFS (vedi questo Tutorial per informazioni https://www.lifewire.com/enable-trim-for-ssd-in-os-x-yosemite-2260789 ^{[Archive.org ]} )

Se non funziona, non sono a conoscenza di alcun metodo affidabile per abilitare TRIM oltre all'utilità commerciale Trim Enabler qui https://cindori.org/trimenabler/ ^{[Archive.org]} che rivendica il supporto per unità esterne.

Operazioni ATA/NVMe (cancellazione/disinfezione sicura):

Non sono a conoscenza di alcun metodo per farlo in modo affidabile e sicuro su macOS. Quindi, dovrai provare una di queste opzioni:

Usa un sistema avviabile Rescue USB Linux per farlo
Basta decrittografare e crittografare nuovamente l'unità utilizzando Utility Disco o Veracrypt
Riempi lo spazio libero del disco usando il metodo Linux (dd)

Appendice L: Creazione di una macchina virtuale guest mat2-web per la rimozione dei metadati dai file

Scarica l'ultimo test Debian amd64 netinst ISO da https://www.debian.org/CD/netinst/ ^{[Archive.org]}

(Fai il test per ottenere l'ultima versione di mat2, stable è indietro di alcune versioni)

Questo è molto leggero e ti consiglio di farlo da una VM (VM all'interno di una VM) per beneficiare di Whonix Tor Gateway. Sebbene sia possibile inserire questa VM direttamente dietro un gateway Whonix. Whonix non consentirà facilmente (AFAIK) le comunicazioni tra le macchine virtuali sulla sua rete per impostazione predefinita.

Puoi anche lasciarlo su Clearnet durante il processo di installazione e poi lasciarlo sulla rete solo host in un secondo momento.

Oppure installalo da una macchina virtuale all'interno di una macchina virtuale, quindi spostalo sul sistema operativo host per l'utilizzo solo host:

Crea una nuova macchina con qualsiasi nome come mat2
Seleziona Linux come tipo
Seleziona Debian (64-bit) come versione
Lascia le opzioni predefinite e fai clic su Crea
Seleziona la VM e fai clic su Impostazioni
Seleziona Sistema e disabilita il floppy disk nella scheda Scheda madre
Seleziona la scheda Processore e abilita PAE/NX
Seleziona Audio e disabilita Audio
Seleziona USB e disabilita il controller USB
Selezionare Archiviazione e selezionare l'unità CD per montare la ISO Debian Netinst
Seleziona Rete e Collega a NAT
Avvia la VM
Seleziona Installa (non installazione grafica)
Seleziona Lingua, Posizione e Layout tastiera come desideri
Attendere la configurazione della rete (DHCP automatico)
Scegli un nome come "Mat2"
Lascia vuoto il dominio
Imposta una password di root come desideri (preferibilmente ancora una buona)
Crea un nuovo utente e una password come desideri (preferibilmente ancora una buona)
Seleziona il fuso orario che preferisci
Seleziona Guidato - Usa l'intero disco
Seleziona l'unica richiesta disponibile
Seleziona Tutti i file in una partizione
Conferma e scrivi le modifiche sul disco
Selezionare NO per eseguire la scansione di qualsiasi altro CD o DVD
Seleziona qualsiasi regione e qualsiasi mirror di tua scelta e lascia vuoto il proxy
Seleziona no per partecipare a qualsiasi sondaggio
Seleziona solo Utilità standard di sistema (deseleziona tutto il resto)
Seleziona Sì per installare il bootloader GRUB
Seleziona /dev/sda e continua
Completa l'installazione e riavvia
Accedi con il tuo utente o root (non dovresti mai usare root direttamente come best practice di sicurezza, ma in questo caso va bene)
Aggiorna la tua installazione eseguendo su apt upgrade(ma dovrebbe essere aggiornato poiché è un'installazione di rete)
Installa i pacchetti necessari per mat2 eseguendosu apt install ffmpeg uwsgi python3-pip uwsgi-plugin-python3 librsvg2-dev git mat2 apache2 libapache2-mod-proxy-uwsgi
Vai alla directory /var/www eseguendocd /var/www/
Clona mat2-web dal repository mat2-web emettendogit clone https://0xacab.org/jvoisin/mat2-web.git
Crea una directory per i caricamenti eseguendomkdir ./mat2-web/uploads/
Concedi i permessi ad Apache2 per leggere i file eseguendochown -R www-data:www-data ./mat2-web
Abilita apache2 uwsgi proxy eseguendo/usr/sbin/a2enmod proxy_uwsgi
Aggiorna pip eseguendopython3 -m pip install pip --upgrade
Installa alcuni moduli Python eseguendopython3 -m pip install flasgger pyyaml flask-restful flask cerberus flask-cors jinja2
Passa alla directory config di mat2 eseguendocd /var/www/mat2-web/config/
Copia il file di configurazione di apache2 su etc eseguendocp apache2.config /etc/apache2/sites-enabled/apache2.conf
Rimuovere il file di configurazione predefinito eseguendorm /etc/apache2/sites-enabled/000-default.conf
Modifica il file di configurazione di apache2 fornito da mat2-web eseguendonano /etc/apache2/sites-enabled/apache2.conf
Rimuovi la prima rigaListen 80
Cambia il percorso di uwsgi da /var/www/mat2-web/mat2-web.socka /run/uwsgi/uwsgi.socke salva/esci
Copia il file di configurazione uwsgi in etc eseguendocp uwsgi.config /etc/uwsgi/apps-enabled/uwsgi.ini
Modifica il file di configurazione uwsgi e cambia uid e guid in nobodyenogroup
Correrechown -R 777 /var/www/mat2-web
Riavvia uwsgi eseguendo systemctl restart uwsgi(non dovrebbero esserci errori)
Riavvia apache2 eseguendo systemctl restart apache2(non dovrebbero esserci errori)
Ora cambia le impostazioni di rete della VM in "Host Only Network"
Riavvia la macchina virtuale
Accedi alla VM e digita ip aper annotare l'indirizzo IP che è stato assegnato.
Dal VM Host OS apri un browser e vai all'IP della tua VM Debian (ad esempio https://192.168.1.55)
Ora dovresti vedere un sito Web Mat2 che funziona senza problemi
Arrestare la macchina virtuale Mat2 eseguendoshutdown -h now
Scatta uno snapshot della VM all'interno di Virtualbox
Riavvia la VM Mat2 e sei pronto per utilizzare Mat2-web per rimuovere i metadati dalla maggior parte dei file
Dopo l'uso, spegnere la macchina virtuale e ripristinare lo snapshot per rimuovere le tracce dei file caricati
Questa macchina virtuale non richiede alcun accesso a Internet a meno che non si desideri aggiornarla, nel qual caso è necessario reinserirla nella rete NAT ed eseguire i passaggi successivi.
Per gli aggiornamenti di Debian, avviare la VM ed eseguire apt updateseguito daapt upgrade
Per gli aggiornamenti di mat2-web, vai su /var/www/mat2-web ed eseguigit pull
Dopo gli aggiornamenti, spegnilo, rimettilo sulla rete host, fai un nuovo snapshot, rimuovi quello precedente.

Hai fatto.

Ora puoi semplicemente avviare questa piccola macchina virtuale mat2 quando necessario, accedervi dalla macchina virtuale ospite e utilizzare l'interfaccia per rimuovere tutti i metadati dalla maggior parte dei file.

Dopo ogni utilizzo di questa macchina virtuale, è necessario ripristinare l'istantanea per cancellare tutte le tracce.

Non esporre mai questa macchina virtuale a nessuna rete se non temporaneamente per aggiornamenti. Questa interfaccia web non è adatta per alcun accesso esterno diretto.

Appendice M: Opzioni BIOS/UEFI per cancellare i dischi di varie marche

Di seguito sono riportati alcuni collegamenti su come cancellare in modo sicuro l'unità (HDD/SSD) dal BIOS per varie marche:

ThinkPad Lenovo: https://support.lenovo.com/be/en/solutions/migr-68369 ^{[Archive.org]}
HP (tutti): https://support.hp.com/gb-en/document/c06204100 ^{[Archive.org]}
Dell (tutti): https://www.dell.com/support/kbdoc/en-us/000146892/dell-data-wipe ^{[Archive.org]}
Acer (solo Travelmate): https://us.answers.acer.com/app/answers/detail/a_id/41567/~/how-to-use-disk-sanitizer-on-acer-travelmate-notebooks ^{[Archivio. org]}
Asus: nessuna opzione AFAIK tranne forse per alcuni modelli ROG.
Gigabyte: nessuna opzione AFAIK
Onore: nessuna opzione AFAIK
Huawei: nessuna opzione AFAIK

Appendice N: Avvertenze su smartphone e dispositivi intelligenti

Quando si svolgono attività sensibili, ricordare che:

Non dovresti portare con te il tuo vero smartphone o dispositivi intelligenti (nemmeno spenti). Sono possibili attacchi di correlazione sulle reti cellulari per trovare quale telefono si è "spento" prima che il telefono del masterizzatore "si accendesse". Anche se questo potrebbe non funzionare la prima volta, dopo alcune volte, la rete si restringerà e verrai compromesso. È meglio lasciare a casa lo smartphone principale online (vedi questo articolo (russo, usa il link di Google Translate): https://biboroda.livejournal.com/4894724.html ^{[Google
Translate]} ^{[Archive.org]} )
Ancora una volta, non portarli con te a meno che non sia assolutamente necessario. Se proprio devi, potresti considerare di spegnerlo e rimuovere la batteria o, se non è possibile, l'uso di una borsa Faraday Cage ⁴⁶⁶ per riporre i tuoi dispositivi. Ci sono molti di questi sacchetti di "blocco del segnale" disponibili per la vendita e alcuni di questi sono stati studiati ⁴⁶⁷ per la loro efficacia. Se non puoi permetterti borse del genere, probabilmente puoi ottenere un "risultato decente" con uno o più fogli di foglio di alluminio (come mostrato nello studio precedentemente collegato).
- Attenzione: considera che i dati del sensore stesso possono anche essere utilizzati in modo affidabile per rintracciarti ⁴⁶⁸ ' ⁴⁶⁹ .
Considera la possibilità di lasciare i tuoi dispositivi smart a casa online e fare qualcosa (guardare YouTube/Netflix o qualcosa di simile) invece di portarli con te spenti. Ciò mitigherà gli sforzi di tracciamento ma creerà anche tracce digitali che potrebbero indicare che eri a casa.

Inoltre, se utilizzi uno smartphone come masterizzatore, sappi che inviano molte diagnostiche per impostazione predefinita. Abbastanza per identificarti potenzialmente in base ai modelli di utilizzo del tuo dispositivo (una tecnica nota come profilazione biometrica). Dovresti evitare di usare il tuo masterizzatore a meno che non sia assolutamente necessario, per ridurre al minimo le informazioni che possono essere raccolte e utilizzate per identificarti.

Infine, dovresti considerare anche questo utile foglio della NSA sulla sicurezza degli smartphone: https://web.archive.org/web/20210728204533/https://s3.documentcloud.org/documents/21018353/nsa-mobile-device- best-practice.pdf .

Nota: si prega di non considerare i dispositivi all-in ingannevoli commerciali per l'anonimato. L'unico modo per ottenere un OPSEC adeguato è farlo da soli. Guarda questi esempi per capire perché non è un'idea intelligente:

AN0M: https://www.theguardian.com/australia-news/2021/sep/11/inside-story-most-daring-surveillance-sting-in-history ^{[Archive.org]}
Encrochat: https://en.wikipedia.org/wiki/EncroChat ^[Wikiless] ^{[Archive.org]}
Sky ECC: https://en.wikipedia.org/wiki/Sky_ECC ^[Wikiless] ^{[Archive.org]}

Non dovresti mai fare affidamento su qualche servizio commerciale esterno per proteggere il tuo anonimato.

Appendice O: Ottenere una VPN/proxy anonimo

Se segui il mio consiglio, avrai bisogno anche di un abbonamento VPN ma questa volta ti servirà uno anonimo che non possa essere legato a te dal sistema finanziario. Ciò significa che dovrai acquistare un abbonamento VPN con contanti o una criptovaluta ragionevolmente privata (Monero). In seguito utilizzerai questa VPN per connetterti ai vari servizi in modo anonimo ma mai direttamente dal tuo IP.

Ci sono, IMHO, due opzioni praticabili:

VPN pagata in contanti/moneto:

Esistono tre società VPN consigliate da PrivacyGuides.org ( https://privacyguides.org/providers/vpn/ ^{[Archive.org]} ) che accettano pagamenti in contanti: Mullvad, iVPN e ProtonVPN.

Inoltre, menzionerò anche un nuovo arrivato da tenere d'occhio: Safing SPN https://safing.io/ ^{[Archive.org]} ) che (mentre è ancora in fase alpha al momento in cui scrivo) che accetta anche contanti e ha un nuovo concetto molto distinto per una VPN che offre vantaggi simili all'isolamento di Tor Stream con il loro "SPN"). Tieni presente che Safing SPN non è al momento disponibile su macOS. Questa possibilità è "provvisoria" ea proprio rischio, ma penso che valesse la pena menzionarla.

Personalmente, per ora, consiglierei Mullvad per esperienza personale.

Non consiglierei ProtonVPN tanto perché richiedono un'e-mail per la registrazione a differenza di Mullvad, iVPN e Safing. Proton ha anche la tendenza a richiedere la verifica del numero di telefono per gli utenti che si registrano su Tor.

Come funziona?

Accedi al sito Web VPN con un browser sicuro (vedi Appendice G: Browser sicuro )
Vai al sito Web iVPN, Mullvad o Safing e crea un nuovo ID account (nella pagina di accesso).
Questa pagina ti fornirà un ID account, un ID token (per riferimento al pagamento) e i dettagli su dove inviare il denaro per posta.
Invia l'importo in contanti richiesto per l'abbonamento che desideri in una busta postale sigillata ai loro uffici, incluso un foglio con il token ID senza indirizzo di restituzione, oppure paga con Monero se disponibile. Se non accettano Monero ma accettano BTC, considera l' Appendice Z: Pagare in modo anonimo online con BTC
Attendi che ricevano il pagamento e abiliti il tuo account (questo può richiedere del tempo).
Apri Tor Browser.
Controlla lo stato del tuo account e procedi quando il tuo account è attivo.

Per una maggiore sicurezza, considera:

Indossare guanti mentre si manipola qualsiasi cosa per evitare di lasciare impronte digitali ⁴⁷⁰ e toccare il DNA ⁴⁷¹ .
Un'alternativa meno ovvia potrebbe essere quella di mettere la super colla sulla punta delle dita, per evitare di far capire che indossi i guanti. Tuttavia, questo può impedire un uso efficace dei touchscreen, oltre a non impedirti in modo altrettanto efficace di toccare il DNA. Inoltre, se individuato, può essere piuttosto sospetto essere catturati con la super colla sulle dita.
Non utilizzare alcun materiale/valuta che è stato manipolato da qualcuno che può essere correlato a te in alcun modo.
Non utilizzare la valuta che hai appena ricevuto da un bancomat che potrebbe registrare i numeri di serie delle bollette erogate.
Fai attenzione se stampi qualcosa che non è filigranato dalla tua stampante (vedi Stampa filigrana ).
Non leccare la busta oi francobolli ⁴⁷² se li usi per evitare di lasciare tracce di DNA.
Assicurati che non ci siano tracce evidenti di DNA all'interno o sui materiali (come i capelli).
Considera di eseguire l'intera operazione all'aperto per ridurre i rischi di tracce residue di DNA nel tuo ambiente o di contaminare i materiali.
Più persone frequentano uno spazio, minore è il rischio, poiché il tuo DNA sarà oscurato dal DNA di altre persone mentre attraversano
Le telecamere di sicurezza possono essere un rischio. Cerca di coprirti il viso. Inoltre, il riconoscimento dell'andatura può essere un problema. Vedere [Riconoscimento dell'andatura e altri dati biometrici a lungo raggio]

Non utilizzare in nessun caso questo nuovo account VPN a meno che non venga richiesto o connettersi a quel nuovo account VPN utilizzando le tue connessioni note. Questa VPN verrà utilizzata solo in seguito in modo sicuro poiché non ci fidiamo delle "politiche di non registrazione" dei provider VPN. Questo provider VPN idealmente non dovrebbe mai conoscere il tuo vero IP di origine (ad esempio quello di casa/lavoro).

VPN/proxy self-hosted su un VPS Monero/pagato in contanti (per utenti più familiari con Linux):

L'altra alternativa è configurare la propria VPN/Proxy utilizzando un VPS (Virtual Private Server) su una piattaforma di hosting che accetta Monero (consigliato).

Ciò offrirà alcuni vantaggi poiché le possibilità che il tuo IP venga bloccato da qualche parte sono inferiori rispetto ai provider VPN noti.

Questo offre anche alcuni svantaggi in quanto Monero non è perfetto come spiegato in precedenza in questa guida e alcuni avversari globali potrebbero ancora rintracciarti. Dovrai ottenere Monero da uno scambio utilizzando il normale sistema finanziario e quindi scegliere un hosting (elenca qui https://www.getmonero.org/community/merchants/#exchanges ^{[Archive.org]} ) o da un rivenditore locale utilizzando contanti da https://localmonero.co .

Non utilizzare in nessun caso questo nuovo VPS/VPN/Proxy utilizzando le tue connessioni conosciute. Accedi solo tramite Tor usando Whonix Workstation, ad esempio (questo è spiegato più avanti). Questa VPN verrà utilizzata solo in seguito all'interno di una macchina virtuale sulla rete Tor in modo sicuro poiché non ci fidiamo delle "politiche di non registrazione" dei provider VPN. Questo provider VPN non dovrebbe mai conoscere il tuo vero IP di origine.

Consulta l' Appendice A1: Provider di hosting VPS consigliati

VPN VPS:

Ci sono molti tutorial su come farlo come questo https://proprivacy.com/vpn/guides/create-your-own-vpn-server ^{[Archive.org]}

Socks Proxy VPS:

Questa è anche un'opzione ovviamente se preferisci saltare la parte VPN.

Probabilmente è la cosa più semplice da configurare poiché utilizzerai semplicemente la connessione SSH che hai al tuo VPS e non dovrebbero essere necessarie ulteriori configurazioni oltre a impostare il browser della tua VM guest per utilizzare il proxy in questione.

Ecco alcuni tutorial su come farlo molto rapidamente:

(Windows/Linux/macOS) https://linuxize.com/post/how-to-setup-ssh-socks-tunnel-for-private-browsing/ ^{[Archive.org]}
(Windows/Linux/macOS) https://www.digitalocean.com/community/tutorials/how-to-route-web-traffic-securely-without-a-vpn-using-a-socks-tunnel ^{[Archive.org ]}
(Windows) https://www.forwardproxy.com/2018/12/using-putty-to-setup-a-quick-socks-proxy/ ^{[Archive.org]}
(Linux/macOS) https://ma.ttias.be/socks-proxy-linux-ssh-bypass-content-filters/ ^{[Archive.org]}

Ecco il mio tutorial di base:

Linux/macOS:

Ecco i passaggi:

Ottieni la tua configurazione VPS anonima
Da un terminale, SSH al tuo server eseguendo:ssh -i ~/.ssh/id_rsa -D 8080 -f -C -q -N username@ip_of_your_server
Configura il tuo browser per utilizzare localhost:8080 come proxy Socks per la navigazione
Fatto!

Spiegazione degli argomenti:

-i: il percorso della chiave SSH da utilizzare per connettersi all'host
-D: Dice a SSH che vogliamo un tunnel SOCKS sul numero di porta specificato (puoi scegliere un numero compreso tra 1025 e 65536)
-f: Porta il processo in background
-C: comprime i dati prima di inviarli
-q: usa la modalità silenziosa
-N: dice a SSH che nessun comando verrà inviato una volta che il tunnel è attivo

Windows:

Ecco i passaggi:

Ottieni la tua configurazione VPS anonima
Scarica e installa Putty da https://www.putty.org/ ^{[Archive.org]}
Imposta le seguenti opzioni in Putty e connettiti al tuo server

Collegati al tuo VPS usando queste impostazioni
Configura il tuo browser per utilizzare localhost:8080 come proxy Socks
Fatto!

Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

UTILIZZA ESTREMA ATTENZIONE: QUESTO È ALTAMENTE RISCHIO.

Potrebbero esserci situazioni peggiori in cui l'utilizzo di Tor e VPN non è possibile a causa dell'estesa censura attiva o del blocco. Anche quando si utilizzano Tor Bridges (vedi Appendice X: Utilizzo di Tor bridge in ambienti ostili )

Ora, potrebbero esserci anche situazioni in cui il semplice utilizzo di Tor o di una VPN da solo potrebbe essere sospetto e pericoloso per la tua sicurezza. Se questo è il caso, potresti trovarti in un ambiente molto ostile in cui la sorveglianza e il controllo sono elevati.

Ma vuoi comunque fare qualcosa in modo anonimo senza divulgare/tralasciare alcuna informazione.

In tal caso, la mia ultima raccomandazione è di connettermi in sicurezza a distanza a un Wi-Fi pubblico (vedi Trova alcuni luoghi sicuri con un Wi-Fi pubblico decente ) utilizzando il tuo laptop e il "browser non sicuro" di Tails. Vedi https://tails.boum.org/contribute/design/Unsafe_Browser/ ^{[Archive.org]} .

Se l'utilizzo di Tor da solo è sospetto o rischioso, NON dovresti consentire a Tails di provare a stabilire una connessione Tor all'avvio procedendo come segue:

All'avvio, apri le Impostazioni aggiuntive.
Abilita browser non sicuro.
Cambia la connessione da Direct a "Configura un Tor Bridge o un proxy locale"
Dopo l'avvio, connettersi a una rete sicura
Quando richiesto, esci dalla procedura guidata di connessione Tor (per non stabilire una connessione Tor)
Avvia e usa il browser non sicuro

Consiglio vivamente l'uso di un'antenna direzionale di tipo "Yagi" a lungo raggio con un adattatore Wi-Fi USB adatto. Almeno questo ti permetterà di connetterti ai Wi-Fi pubblici da una “distanza di sicurezza” ma tieni presente che la triangolazione da parte di un avversario motivato è ancora possibile con la giusta attrezzatura. Quindi, questa opzione non dovrebbe essere utilizzata per un periodo prolungato (minuti nella migliore delle ipotesi). Vedere l'Appendice Q: Utilizzo dell'antenna a lungo raggio per connettersi a Wi-Fi pubblici da una distanza di sicurezza .

L'uso di Tails dovrebbe prevenire perdite di dati locali (come indirizzi MAC o dati di telemetria) e consentire di utilizzare un browser per ottenere ciò che desideri (utilità, account VPN) prima di lasciare quel posto il più velocemente possibile.

Potresti anche utilizzare gli altri percorsi (Whonix e Qubes OS senza usare Tor/VPN) invece di Tails in ambienti così ostili se desideri la persistenza dei dati, ma questo potrebbe essere più rischioso. Non lo rischierei personalmente a meno che non ci fosse assolutamente altra opzione. Se scegli questa opzione, eseguirai solo attività sensibili da una VM reversibile/usa e getta in tutti i casi. Mai dal sistema operativo host.

Se si ricorre a questo, si prega di mantenere il tempo online il più breve possibile (minuti e non ore).

Sii sicuro ed estremamente cauto. Questo è interamente a tuo rischio.

Prendi in considerazione la lettura di questa guida più vecchia ma ancora pertinente https://archive.flossmanuals.net/bypassing-censorship/index.html ^{[Archive.org]}

Appendice Q: Utilizzo dell'antenna a lungo raggio per connettersi a Wi-Fi pubblici da una distanza di sicurezza:

È possibile accedere/connettersi a Wi-Fi pubblici remoti a distanza utilizzando un'antenna direzionale economica che assomiglia a questa:

Queste antenne sono ampiamente disponibili su vari negozi online a un prezzo economico (Amazon, AliExpress, Banggood …). L'unico problema è che non sono discreti e potresti dover trovare un modo per nasconderlo (ad esempio in un contenitore di cartone Poster in uno zaino). O in una borsa abbastanza grande. Facoltativamente (ma più rischioso) potresti anche considerare di usarlo da casa tua se hai una bella vista della finestra su vari luoghi in cui è disponibile un Wi-Fi pubblico.

Tali antenne devono essere combinate con adattatori USB specifici che dispongono di una presa per antenna esterna e di una potenza sufficientemente elevata per utilizzarle.

Consiglierei la serie AWUS036 nel marchio di adattatori Alfa (vedi https://www.alfa.com.tw/ ^{[Archive.org]} ). Ma potresti anche scegliere altri marchi se lo desideri, come TP-Link TL-WN722 (vedi https://www.tp-link.com/us/home-networking/usb-adapter/tl-wn722n/ ^{[ Archive.org]} ).

Vedi questo post per un confronto di vari adattatori: https://www.wirelesshack.org/best-kali-linux-compatible-usb-adapter-dongles.html ^{[Archive.org]} (di solito queste antenne sono usate dai Penetration Tester per sondare Wi-Fi a distanza e sono spesso discussi nell'ambito della distribuzione Kali Linux).

Il processo è semplice:

Collega e installa l'adattatore USB sul tuo sistema operativo host.
Non dimenticare di randomizzare il tuo indirizzo MAC nel caso in cui hai acquistato questo adattatore online per impedire la tracciabilità (questo è abilitato per impostazione predefinita in Tails).
Collegare l'antenna a lungo raggio all'adattatore USB (al posto di quello in dotazione).
Raggiungi un punto comodo da cui hai una vista distante di un luogo con Wi-Fi pubblico disponibile (questo può essere un tetto, ad esempio), ma potresti anche immaginare di nascondere l'antenna in una borsa e sederti su una panchina da qualche parte.
Puntare l'Antenna Direzionale in direzione del Wi-Fi Pubblico.
Collegati al Wi-Fi che preferisci.

Non dimenticare che questo ritarderà solo un avversario motivato. Il tuo segnale può essere facilmente triangolato da un avversario motivato in pochi minuti una volta che ha raggiunto la posizione fisica del Wi-Fi a cui ti stai connettendo (ad esempio utilizzando un dispositivo come AirCheck https://www.youtube.com/ watch?v=8FV2QZ1BPnw ^[Invidious] , guarda anche gli altri loro prodotti qui https://www.netally.com/products/ ^{[Archive.org]} ). Questi prodotti possono essere facilmente implementati su unità mobili (ad esempio in un'auto) e individuare la tua posizione in pochi minuti.

Idealmente, questo "non dovrebbe essere un problema" poiché questa guida fornisce diversi modi per nascondere il tuo IP di origine utilizzando VPN e Tor. Ma se ti trovi in una situazione in cui VPN e Tor non sono un'opzione, questa potrebbe essere la tua unica sicurezza.

Appendice R: Installazione di una VPN sulla macchina virtuale o sul sistema operativo host.

Scarica il programma di installazione del client VPN del tuo servizio VPN pagato in contanti e installalo sul sistema operativo host (Tor su VPN, VPN su Tor su VPN) o sulla VM di tua scelta (VPN su Tor):

Whonix Tutorial (dovrebbe funzionare con qualsiasi provider VPN): https://www.whonix.org/wiki/Tunnels/Connecting_to_a_VPN_before_Tor ^{[Archive.org]} (utilizza le configurazioni Linux seguenti per ottenere i file di configurazione necessari)
Esercitazioni di Windows:
- Mullvad: https://mullvad.net/en/help/install-mullvad-app-windows/ ^{[Archive.org]}
- iVPN: https://www.ivpn.net/apps-windows ^{[Archive.org]}
- Safing: https://docs.safing.io/portmaster/install/windows ^{[Archive.org]}
- ProtonVPN: https://protonvpn.com/support/protonvpn-windows-vpn-application/ ^{[Archive.org]}
Mac OS:
- Mullvad: https://mullvad.net/en/help/install-and-use-mullvad-app-macos/ ^{[Archive.org]}
- IVPN: https://www.ivpn.net/apps-macos/ ^{[Archive.org]}
- Safing: non disponibile su macOS
- ProtonVPN: https://protonvpn.com/support/protonvpn-mac-vpn-application/ ^{[Archive.org]}
Linux:
- Mullvad: https://mullvad.net/en/help/install-mullvad-app-linux/ ^{[Archive.org]}
- iVPN: https://www.ivpn.net/apps-linux/ ^{[Archive.org]}
- Safing: https://docs.safing.io/portmaster/install/linux ^{[Archive.org]}
- ProtonVPN: https://protonvpn.com/support/linux-vpn-setup/ ^{[Archive.org]}

Nota importante: Tor non supporta UDP e dovresti usare TCP invece con il client VPN nei casi Tor over VPN (sulle VM).

In tutti i casi, dovresti impostare la VPN in modo che si avvii dall'avvio e abilitare il "kill switch" se possibile. Questo è un passaggio in più poiché questa guida propone soluzioni che ripiegano tutte sulla rete Tor in caso di guasto della VPN. Comunque consigliato IMHO.

Ecco alcune guide fornite dai provider VPN consigliati in questa guida:

Windows:
- iVPN: https://www.ivpn.net/knowledgebase/general/do-you-offer-a-kill-switch-or-vpn-firewall/ ^{[Archive.org]}
- ProtonVPN: https://protonvpn.com/support/what-is-kill-switch/ ^{[Archive.org]}
- Mullvad: https://mullvad.net/en/help/using-mullvad-vpn-app/#killswitch ^{[Archive.org]}
Whonix Workstation: Coming Soon, è certamente possibile, ma non ho ancora trovato un tutorial adatto e facile. Vale anche la pena ricordare che se la tua VPN si ferma su Whonix, sarai ancora dietro la rete Tor.
Mac OS:
- Mullvad come Windows, l'opzione dovrebbe essere nel client VPN fornito
- iVPN come Windows, l'opzione dovrebbe essere nel client VPN fornito
- ProtonVPN come Windows con il client, l'opzione dovrebbe essere nel client VPN fornito https://protonvpn.com/blog/macos-vpn-kill-switch/ ^{[Archive.org]}
Linux:

Appendice S: controlla la tua rete per la sorveglianza/censura usando OONI

Allora, cos'è OONI? OONI sta per Open Observatory of Network Interference ed è un sottoprogetto del Tor Project ³⁰¹ .

Innanzitutto OONI ti consentirà di verificare online la sorveglianza/censura nel tuo paese semplicemente guardando il loro Explorer che presenta i risultati dei test di altre persone. Questo può essere fatto qui: https://explorer.ooni.org/

Ma questi test sono limitati e non possono essere applicati alla tua situazione personale. In tal caso, potresti considerare di eseguire tu stesso la sonda OONI e di eseguire tu stesso i test.

Il problema è che i tuoi provider di rete saranno in grado di vedere quei test e i tuoi tentativi di connessione a vari servizi se la rete è monitorata. L'altro problema è che esistono soluzioni per impedire a OONI di funzionare correttamente ⁴⁷³ .

Anche se questo potrebbe non essere importante in un ambiente normale, ciò potrebbe metterti a rischio in un ambiente ostile. Quindi, eseguire questi test può essere rischioso.

Se ti trovi in un ambiente così ostile in cui sospetti che l'attività di rete sia attivamente monitorata e il semplice fatto di provare ad accedere ad alcune risorse può metterti a rischio, dovresti prendere alcune precauzioni prima ancora di tentare questo:

Non eseguire i test dalla rete domestica/di lavoro.
Non eseguire questi test da un dispositivo noto o da uno smartphone, ma solo per un sistema operativo protetto su un laptop idealmente dedicato.
- Non sarai in grado di farlo da Tails poiché Tails proverà a connettersi a Tor per impostazione predefinita
- Dovresti farlo solo con il percorso del sistema operativo Qubes o il percorso Whonix di questa guida dopo aver completato uno dei percorsi.
Considera solo l'esecuzione rapida di questi test da un Wi-Fi pubblico da una distanza di sicurezza (vedi Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione ).

La sonda può essere trovata qui: https://ooni.org/install/ ^{[Archive.org]} per varie piattaforme (iOS, Android, Windows, macOS e Linux).

Appendice T: Controllo dei file alla ricerca di malware

Integrità (se disponibile):

Di solito, i controlli di integrità ⁴⁷⁴ vengono eseguiti utilizzando hash di file (di solito archiviati all'interno di file di checksum). I file più vecchi potrebbero utilizzare CRC ⁴⁷⁵ , più recentemente MD5 ⁴⁷⁶ ma quelli presentano diversi punti deboli (CRC, MD5 ⁴⁷⁷ ) che li rendono inaffidabili per i controlli di integrità dei file (il che non significa che non siano ancora ampiamente utilizzati in altri contesti).

Questo perché non prevengono abbastanza bene Collision ⁴⁷⁸ e potrebbero consentire a un avversario di creare un file simile ma dannoso che produrrebbe comunque nello stesso hash CRC o MD5 nonostante abbia contenuti diversi.

Per questo motivo, di solito si consiglia di utilizzare hash ⁴⁷⁹ basati su SHA e il più utilizzato è probabilmente SHA-2 ⁴⁸⁰ basato su SHA256 per la verifica dell'integrità dei file. SHA è molto più resistente alle collisioni ⁴⁸¹ rispetto a CRC e MD5. E le collisioni con SHA256 o SHA512 sono rare e difficili da calcolare per un avversario.

Se è disponibile un checksum SHA256 dall'origine del file, non esitare a utilizzarlo per confermare l'integrità del file.

Questo checksum dovrebbe essere esso stesso autenticato/attendibile e dovrebbe essere disponibile da una fonte autenticata/attendibile (ovviamente non dovresti fidarti di un file solo perché ha un checksum allegato solo ad esso).

Nel caso di questa guida, i checksum SHA256 sono disponibili per ogni file inclusi i PDF ma sono anche autenticati utilizzando una firma GPG che consente di verificare l'autenticità del checksum. Questo ci porterà alla prossima sezione sull'autenticità.

Quindi come controllare i checksum? (In questo caso SHA256 ma potresti passare a SHA512

Windows ⁴⁸² :
- Apri un prompt dei comandi
- Esegui certutil -hashfile filename.txt sha256(sostituisci sha256 con sha1 o sha512 o md5)
- Confronta il tuo risultato con quello di una fonte di cui ti fidi per quel file
macOS ⁴⁸³ :
- Apri un terminale
- SHA: Esegui shasum -a 256 /full/path/to/your/file(sostituisci 256 con 512 o 1 per SHA-1)
- MD5: Corrimd5 /full/path/to/your/file
- Confronta il tuo risultato con quello di una fonte di cui ti fidi per quel file
Linux:
- Apri un terminale
- Esegui shasum /full/path/to/your/file(sostituisci shasum con sha256sum, sha512sum o md5sum)
- Confronta il tuo risultato con quello di una fonte di cui ti fidi per quel file

Ricorda che i checksum sono solo checksum. Avere un checksum corrispondente non significa che il file sia sicuro.

Autenticità (se disponibile):

L'integrità è una cosa. L'autenticità è un'altra cosa. Questo è un processo in cui è possibile verificare che alcune informazioni siano autentiche e provenienti dalla fonte prevista. Questo di solito viene fatto firmando le informazioni (utilizzando ad esempio GPG ⁴⁸⁴ ) utilizzando la crittografia a chiave pubblica ⁴⁸⁵ .

La firma può servire a entrambi gli scopi e consente di verificarne l'integrità e l'autenticità.

Se disponibile, dovresti sempre verificare le firme dei file per confermarne l'autenticità.

In sostanza:

Installa GPG per il tuo sistema operativo:
- Windows: gpg4win ( https://www.gpg4win.org/ ^{[Archive.org]} )
- macOS: GPGTools ( https://gpgtools.org/ ^{[Archive.org]} )
- Linux: dovrebbe essere preinstallato nella maggior parte delle distribuzioni
Scarica la chiave di firma da una fonte attendibile. Se qualcuno non ti fornisce direttamente una chiave, dovresti verificare la presenza di più versioni su altri siti Web per confermare che stai utilizzando la chiave giusta (GitHub, GitLab, Twitter, Keybase, Server di chiavi pubbliche...).
Importa la chiave attendibile (sostituisci keyfile.asc con il nome file della chiave attendibile):
- Finestre:
  - Da un prompt dei comandi, eseguigpg --import keyfile.asc
- Mac OS:
  - Da un terminale, Eseguigpg --import keyfile.asc
- Linux:
  - Da un terminale, Eseguigpg --import keyfile.asc
Verifica la firma del file rispetto alla firma importata (fidabile) (sostituisci filetoverify.asc con il file della firma associato al file, sostituisci filetoverify.txt con il file effettivo da verificare):
- Finestre:
  - Correregpg --verify-options show-notations --verify filetoverify.asc filetoverify.txt
  - Il risultato dovrebbe mostrare che la firma è buona e corrisponde alla firma attendibile che hai importato in precedenza.
- Mac OS:
  - Correregpg --verify-options show-notations --verify filetoverify.asc filetoverify.txt
  - Il risultato dovrebbe mostrare che la firma è buona e corrisponde alla firma attendibile che hai importato in precedenza.
- Linux:
  - Correregpg --verify-options show-notations --verify filetoverify.asc filetoverify.txt
  - Il risultato dovrebbe mostrare che la firma è buona e corrisponde alla firma attendibile che hai importato in precedenza.

Per altri tutorial, vedere:

https://support.torproject.org/tbb/how-to-verify-signature/ ^{[Archive.org]}
https://tails.boum.org/install/vm-download/index.en.html ^{[Archive.org]} (vedi Verifica OpenPGP di base).
https://www.whonix.org/wiki/Verify_the_Whonix_images ^{[Archive.org]}

Tutte queste guide dovrebbero applicarsi anche a qualsiasi altro file con qualsiasi altra chiave.

Sicurezza (verifica della presenza di malware effettivo):

Ogni controllo dovrebbe idealmente avvenire in macchine virtuali sandbox/rafforzate. Questo per mitigare le possibilità che il malware acceda al tuo computer Host.

Programma antivirus:

Ti starai chiedendo, che dire delle soluzioni antivirus? Ebbene, no... queste non sono soluzioni perfette contro molti malware e virus moderni che utilizzano codice polimorfico ⁴⁸⁶ . Ma ciò non significa che non possano essere d'aiuto contro attacchi meno sofisticati e conosciuti. Dipende da come usarli poiché il software AV può diventare esso stesso un vettore di attacco.

Ancora una volta, questa è tutta una questione di modellazione delle minacce. Il software AV può aiutarti contro l'NSA? Probabilmente no. Può aiutarti contro avversari meno intraprendenti che utilizzano malware noto? Probabilmente.

Alcuni si limiteranno a discutere ampiamente contro di loro come Whonix ⁴⁸⁷ , ma questo argomento viene discusso e contestato anche a Whonix ⁴⁸⁸ da altri membri della loro comunità.

Contrariamente ai miti popolari che perpetuano l'idea che solo Windows sia soggetto a malware e che gli strumenti di rilevamento siano inutili su Linux e macOS:

Sì, ci sono virus e malware per Linux ⁴⁸⁹ ' ⁴⁹⁰ ' ⁴⁹¹ ' ⁴⁹² ' ⁴⁹³
Sì, ci sono virus e malware per macOS ⁴⁹⁴ ' ⁴⁹⁵⁴⁹⁶ ' ⁴⁹⁷⁴⁹⁸

La mia opinione sulla questione è pragmatica. C'è ancora spazio per alcuni software AV per un uso selettivo e limitato. Ma dipende da quale e come li usi:

Non utilizzare software AV con protezione in tempo reale poiché spesso vengono eseguiti con privilegi di amministratore e possono diventare un vettore di attacco.
Non utilizzare software AV commerciale che utilizza qualsiasi "protezione cloud" o invia dati di telemetria e campioni estesi alla propria azienda.
Utilizzare gli strumenti antivirus/antimalware offline non in tempo reale Open Source come misura aggiuntiva per eseguire la scansione di alcuni file come:
- Sistema operativo Windows/Linux/macOS/Qubes: ClamAV ( https://www.clamav.net/ ^{[Archive.org]} )
- Sistema operativo Linux/Qubes: RFXN Linux Malware Detect ( https://github.com/rfxn/linux-malware-detect ^{[Archive.org]} )
- Sistema operativo Linux/Qubes: Chkrootkit ( https://www.chkrootkit.org/ ^{[Archive.org]} )
Puoi anche utilizzare servizi online per file non sensibili * come VirusTotal ( https://www.virustotal.com/gui/ ) o Hybrid-analysis ( https://hybrid-analysis.com/ ).
- Puoi anche controllare il database di VirusTotal per l'hash del tuo file se non vuoi inviarlo (vedi https://developers.virustotal.com/v3.0/docs/search-by-hash ^{[Archive.
  org]} (consultare la sezione Integrità (se disponibile): di nuovo per indicazioni su come generare hash).
- Sono disponibili anche altri strumenti per file non sensibili e un comodo elenco è proprio qui: https://github.com/rshipp/awesome-malware-analysis#online-scanners-and-sandboxes ^{[Archive.org]}
Tieni presente che mentre VirusTotal può sembrare molto pratico per la scansione di vari file, la loro "politica sulla privacy" è problematica (vedi https://support.virustotal.com/hc/en-us/articles/115002168385-Privacy-Policy ^{[Archive. org]} ) e afferma:

"Quando invii Campioni ai Servizi, se invii Campioni ai Servizi, raccoglieremo tutte le informazioni nel Campione stesso e le informazioni sull'atto di inviarlo".

Quindi, ricorda che qualsiasi documento che invii loro verrà conservato, condiviso e utilizzato commercialmente, incluso il contenuto. Quindi, non dovresti farlo con informazioni sensibili e fare affidamento su vari scanner AV locali (che non inviano campioni online).

Quindi, se hai dei dubbi:

Per i file non sensibili, ti consiglio di controllare tutti i documenti/immagini/video/archivi/programmi che intendi aprire con VirusTotal (o altri strumenti simili) perché... Perché no? (Caricando o controllando gli hash).
Per i file sensibili, consiglierei almeno una scansione ClamAV offline senza privilegi dei file.

Ad esempio, i file PDF di questa guida sono stati inviati a VirusTotal perché è destinato a essere di dominio pubblico e non vedo alcun argomento valido contro di esso. Non garantisce l'assenza di malware, ma non fa male aggiungere questo controllo.

Recensioni manuali:

Puoi anche provare a verificare la presenza di malware in vari file utilizzando vari strumenti. Questo può essere fatto come misura aggiuntiva ed è particolarmente utile con i documenti piuttosto che con le app e vari eseguibili.

Questi metodi richiedono più armeggi ma possono essere utili se vuoi andare oltre.

File PDF:

Anche in questo caso, per quanto riguarda i PDF di questa guida e come spiegato nel README del mio repository, puoi verificare la presenza di anomalie utilizzando PDFID che puoi scaricare su https://blog.didierstevens.com/programs/pdf-tools/ ^{[Archive.org ]} :

Installa Python 3 (su sistemi operativi Windows/Linux/macOS/Qubes)
Scarica PDFID ed estrai i file
Esegui "python pdfid.py file-to-check.pdf" e dovresti vederli a 0 nel caso dei file PDF in questo repository:

            
/JS 0 #This indicates the presence of Javascript

/JavaScript 0 #This indicates the presence of Javascript

/AA 0 #This indicates the presence of automatic action on opening

/OpenAction 0 #This indicates the presence of automatic action on opening

/AcroForm 0 #This indicates the presence of AcroForm which could contain JavaScript

/JBIG2Decode 0 #This indicates the use of JBIG2 compression which could be used for obfuscating content

/RichMedia 0 #This indicates the presence of rich media within the PDF such as Flash

/Launch 0 #This counts the launch actions

/EmbeddedFile 0 #This indicates there are embedded files within the PDF

/XFA 0 #This indicates the presence of XML Forms within the PDF

Ora, cosa succede se pensi che il PDF sia ancora sospetto? Non temere... ci sono più cose che puoi fare per assicurarti che non sia dannoso:

Sistema operativo Qubes: prendi in considerazione l'utilizzo di https://github.com/QubesOS/qubes-app-linux-pdf-converter ^{[Archive.org]} che convertirà il tuo PDF in un file immagine appiattito. Questo dovrebbe teoricamente rimuovere qualsiasi codice dannoso in esso contenuto. Tieni presente che ciò renderà inutile anche la formattazione del PDF (come collegamenti, intestazioni, segnalibri e riferimenti).
Sistema operativo Linux/Qubes (obsoleto) (o possibilmente macOS tramite Homebrew o Windows tramite Cygwin): considera di non utilizzare https://github.com/firstlookmedia/pdf-redact-tools ^{[Archive.org]} che trasformerà anche il tuo PDF in un file di immagine appiattito. Ancora una volta, questo dovrebbe teoricamente rimuovere qualsiasi codice dannoso in esso contenuto. Anche in questo caso, ciò renderà inutile anche la formattazione del PDF (come collegamenti, intestazioni, segnalibri e riferimenti). Si noti che questo strumento è deprecato e si basa su una libreria chiamata "ImageMagick", nota per diversi problemi di sicurezza ⁴⁹⁹ . Non dovresti usare questo strumento anche se è consigliato in alcune altre guide.
Windows/Linux/Qubes/OS/macOS: prendi in considerazione l'utilizzo di https://github.com/firstlookmedia/dangerzone ^{[Archive.org]} che è stato ispirato da Qubes PDF Converted sopra e fa lo stesso ma è ben mantenuto e funziona su tutti i sistemi operativi. Questo strumento funziona anche con immagini, file ODF e file di Office (attenzione: su Windows, questo strumento richiede l'installazione di Docker-Desktop e questo potrebbe (interferirà) con Virtualbox e altri software di virtualizzazione perché richiede l'abilitazione di Hyper-V. VirtualBox e Hyper -V non funzionano bene insieme ^500. Considerare di installarlo all'interno di una macchina virtuale Linux per comodità invece di un sistema operativo Windows).

Altri tipi di file:

Ecco alcune varie risorse per questo scopo in cui troverai quale strumento utilizzare per quale tipo:

Per documenti/immagini: prendi in considerazione l'utilizzo di https://github.com/firstlookmedia/dangerzone ^{[Archive.org]} che è stato ispirato da Qubes PDF Converted sopra e fa lo stesso ma è ben mantenuto e funziona su tutti i sistemi operativi. Questo strumento funziona anche con immagini, file ODF e file di Office (attenzione: su Windows, questo strumento richiede l'installazione di Docker-Desktop e questo potrebbe (interferirà) con Virtualbox e altri software di virtualizzazione perché richiede l'abilitazione di Hyper-V. VirtualBox e Hyper -V non funzionano bene insieme ^501. Prendi in considerazione l'installazione all'interno di una macchina virtuale Linux per comodità invece di un sistema operativo Windows).
Per i video: fai molta attenzione, usa un lettore aggiornato in un ambiente sandbox. Ricorda https://www.vice.com/en/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez ^{[Archive.org]}
Questo pratico cheat sheet di SANS: https://digital-forensics.sans.org/media/analyzing-malicious-document-files.pdf ^{[Archive.org]} (attenzione, molti di questi strumenti potrebbero essere più difficili da usare su Windows e potresti considerare di usarli da un sistema operativo Linux come Tails, Whonix Workstation o una distribuzione Linux a tua scelta come spiegato più avanti in questa guida.Ci sono anche altre guide là fuori ⁴⁹⁴ che potrebbero essere utili).
Questo repository GitHub con varie risorse sull'analisi del malware: https://github.com/rshipp/awesome-malware-analysis ^{[Archive.org]}
Questo interessante PDF descrive in dettaglio quale strumento utilizzare per quale tipo di file https://www.winitor.com/pdf/Malware-Analysis-Fundamentals-Files-Tools.pdf ^{[Archive.org]}

Anche con tutte queste risorse, tieni presente che potresti comunque ricevere malware avanzato se questi non vengono rilevati da questi vari strumenti. Fai attenzione e ricorda di gestire questi file all'interno di Macchine Virtuali isolate, se possibile, per limitare la superficie di attacco e i vettori.

Appendice U: Come aggirare (alcune) restrizioni locali sui computer supervisionati

Potrebbero esserci situazioni in cui l'unico dispositivo che hai a tua disposizione non è davvero tuo come:

Utilizzo di un computer di lavoro con restrizioni in atto su ciò che puoi fare/eseguire.
Uso improprio delle funzioni di controllo genitori per monitorare l'utilizzo del computer (nonostante tu sia un adulto non consenziente).
Uso improprio di varie app di monitoraggio per monitorare l'utilizzo del computer contro la tua volontà.

La situazione potrebbe sembrare disperata, ma non è necessariamente così in quanto ci sono alcuni modi sicuri per aggirarli a seconda di quanto bene i tuoi avversari hanno fatto il loro lavoro per proteggere il tuo computer.

App portatili:

Ci sono molti metodi che potresti usare per aggirare queste restrizioni a livello locale. Uno di questi sarebbe l'utilizzo di app portatili ⁵⁰² . Queste app non richiedono installazione sul tuo sistema e possono essere eseguite da una chiave USB o da qualsiasi altra parte.

Ma questo non è un metodo che consiglierei.

Questo perché quelle app portatili non si nasconderanno necessariamente (o saranno in grado di nascondersi) dai rapporti sull'utilizzo e dall'esame forense. Questo metodo è troppo rischioso e probabilmente causerà problemi se notato se ti trovi in un ambiente così ostile.

Anche i controlli più elementari (supervisione o parentale) invieranno l'utilizzo dettagliato dell'app al tuo avversario.

Sistemi live avviabili:

Questo metodo è quello che consiglierei in questi casi.

È relativamente facile per il tuo avversario impedirlo impostando i controlli BIOS/UEFI del firmware (vedi BIOS/UEFI/Impostazioni firmware del tuo laptop ), ma di solito la maggior parte degli avversari trascurerà questa possibilità che richiede più conoscenze tecniche rispetto al semplice affidamento sul software.

Questo metodo potrebbe persino diminuire i sospetti e aumentare la tua plausibile negazione poiché i tuoi avversari pensano di avere le cose sotto controllo e che tutto appare normale nei loro rapporti.

Questo metodo dipende solo da una funzionalità di sicurezza (che probabilmente non è stata attivata nella maggior parte dei casi): Boot Security.

Boot Security è suddiviso in diversi tipi:

Semplice password BIOS/UEFI che impedisce la modifica dell'ordine di avvio. Ciò significa che non è possibile avviare un tale sistema attivo al posto del sistema operativo supervisionato senza fornire la password BIOS/UEFI.
Avvio sicuro. Questa è una funzione "standard" che ti impedisce di avviare sistemi non firmati dal tuo computer. Sebbene questa funzionalità possa essere configurata per consentire solo il tuo sistema supervisionato, in genere per impostazione predefinita consentirà l'esecuzione di un'intera gamma di sistemi firmati (firmati da Microsoft o dal produttore, ad esempio).

Secure Boot è relativamente facile da aggirare poiché ci sono molti sistemi live che ora sono compatibili con Secure Boot (il che significa che sono firmati) e saranno consentiti dal tuo laptop.

La password BIOS/UEFI d'altra parte è molto più difficile da aggirare senza rischi. In tal caso, ti restano due opzioni:

Indovina/Conosci la password in modo da poter modificare l'ordine di avvio del tuo laptop senza destare sospetti
Reimpostare la password utilizzando vari metodi per rimuovere la password. Non consiglierei di farlo perché se i tuoi avversari hanno fatto il possibile per abilitare questa funzione di sicurezza, probabilmente sarebbero sospettosi se fosse disabilitata e questo potrebbe aumentare il sospetto e ridurre considerevolmente la tua plausibile negabilità.

Ancora una volta, questa funzione è solitamente trascurata dalla maggior parte degli avversari inesperti/pigri e nella mia esperienza lasciata disabilitata.

Questa è la tua migliore possibilità per aggirare i controlli locali senza lasciare tracce.

Il motivo è che la maggior parte dei controlli si trovano all'interno del software del sistema operativo principale e monitorano solo ciò che accade all'interno del sistema operativo. Tali misure non saranno in grado di monitorare ciò che è accaduto a livello di hardware/firmware prima del caricamento del sistema operativo.

Precauzioni:

Anche se potresti essere in grado di aggirare facilmente le restrizioni locali utilizzando un sistema live come Tails, ricorda che la tua rete potrebbe anche essere monitorata per attività insolite.

Attività di rete insolite visualizzate da un computer nello stesso momento in cui il computer è apparentemente spento potrebbero sollevare sospetti.

Se devi ricorrere a questo, non dovresti mai farlo da una rete monitorata/nota ma solo da una rete diversa e sicura. Idealmente un Wi-Fi pubblico sicuro (vedi Trova alcuni luoghi sicuri con Wi-Fi pubblico decente ).

Non utilizzare un sistema attivo su un dispositivo con supervisione/monitoraggio software su una rete nota.

Fare riferimento al percorso Tails per raggiungere questo obiettivo. Vedi il percorso di Tails e l'Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione .

Appendice V: quale browser utilizzare nella macchina virtuale guest/macchina virtuale monouso

Esistono IMHO 6 possibilità di browser da utilizzare sulla tua macchina virtuale ospite/usa e getta:

Brave (basato su Chromium)
Edge (basato su Chromium, solo Windows)
Firefox
Safari (solo macOS VM)
Tor Browser

Ecco una tabella di confronto di un test di fingerprinting di vari browser con le loro impostazioni native ( ma Javascript abilitato per l'usabilità, ad eccezione della modalità Tor Safest ).

Disclaimer: questi test, sebbene piacevoli, non concludono la reale resistenza alle impronte digitali. Ma possono aiutare a confrontare i browser tra loro.

Browser	https://coveryourtracks.eff.org/ Test di impronte digitali con annuncio reale
Safari (normale)*	Fallito (Unico)
Safari (Finestra Privata) *	Fallito (Unico)
Edge (normale)**	Fallito (Unico)
Edge (finestra privata) **	Fallito (Unico)
Firefox (normale)	Fallito (Unico)
Firefox (finestra privata)	Fallito (Unico)
Chrome (normale)	Fallito (Unico)
Chrome (finestra privata)	Fallito (Unico)
Brave (normale)	Superato (randomizzato)
Brave (finestra privata)	Superato (randomizzato)
Brave (Finestra Tor)	Superato (randomizzato)
Tor Browser (Modalità normale)	Parziale
Tor Browser (Modalità safer)	Parziale
Tor Browser (Modalità safest)	Sconosciuto (risultato non caricato)

*: solo macOS. **: solo Windows.

Un'altra risorsa utile da considerare per confrontare i browser è: https://privacytests.org/ ^{[Archive.org]}

Brave:

Questa è la mia scelta consigliata/preferita per un browser all'interno delle VM guest. Questa non è la mia scelta consigliata per un browser all'interno del tuo sistema operativo host in cui consiglio rigorosamente Tor Browser poiché lo consigliano loro stessi ⁵⁰³ .

Perché Brave nonostante le polemiche ⁵⁰⁴ ?

In seguito incontrerai meno problemi con la creazione dell'account (captcha...). Questo si basa sulle mie esperienze nel tentativo di creare molte identità online utilizzando vari browser. Dovrai fidarti di me su questo.
Ti godrai il blocco degli annunci nativo dove nessuno è disponibile in altri per impostazione predefinita senza aggiungere estensioni ⁵⁰⁵ .
Le prestazioni sono probabilmente migliori di Firefox ⁵⁰⁶ .
Coraggioso è probabilmente migliore nella resistenza alle impronte digitali rispetto ad altri ⁵⁰⁷ .
La sicurezza del browser basato su Chromium è probabilmente migliore e più sicura di Firefox ⁵⁰⁸ ' ⁵⁰⁹ . Nel contesto di questa guida, la sicurezza dovrebbe essere privilegiata per impedire a qualsiasi vulnerabilità o exploit di ottenere l'accesso alla macchina virtuale.
Confronto di entrambi di Mozilla: https://www.mozilla.org/en-US/firefox/browsers/compare/brave/ ^{[Archive.org]}
Confronto di entrambi di Techlore: https://www.youtube.com/watch?v=qkJGF3syQy4 ^[Invidious]
L'intero traffico verrà comunque instradato su una VPN su Tor. Quindi, anche se erroneamente accetti alcuni dati di telemetria, non è così importante. Ricorda che in questo modello di minaccia dell'anonimato, cerchiamo principalmente l'anonimato e la sicurezza. La privacy delle nostre identità online non ha molta importanza a meno che il problema della privacy non sia anche un problema di sicurezza che potrebbe aiutarti a deanonimizzare l'utente.
È stato riscontrato che Brave non inviava dati di telemetria identificabili rispetto ad altri browser ⁵¹⁰ .

Ungoogled-Chromium:

Questo browser è considerato una responsabilità per la sicurezza a causa del suo ritardo sistemico sulle patch di sicurezza ⁵¹¹ .

Si consiglia vivamente di non utilizzare Ungoogled-Chromium.

Edge:

Questo è solo per utenti Windows. Anche Edge è una scelta solida.

In seguito incontrerai meno problemi con la creazione dell'account (captcha...). Questo si basa sulle mie esperienze nel tentativo di creare molte identità online utilizzando vari browser. Dovrai fidarti di me su questo.
Sicurezza migliore di Firefox in quanto è basato su Chromium ⁵¹² ' ⁵¹³ .
Prestazioni migliori rispetto a Firefox.
L'intero traffico sarà comunque router tramite Tor.
Può trarre vantaggio da una sicurezza aggiuntiva usando Microsoft Defender Application Guard (MDAG) ⁵¹⁴ . Tieni presente che sfortunatamente questa funzione non può essere abilitata in una VM Virtualbox.
Blocco del tracker nativo (simile a Brave Shields).

Contro:

Dovrai disabilitare alcuni dati di telemetria all'interno del browser

Safari:

Il browser predefinito di macOS.

Professionisti:

È un browser con capacità di sicurezza e sandboxing decenti.

Contro:

È solo macOS (ovviamente)
Richiede l'accesso all'App Store per installare le estensioni (impossibile nell'ambito di questa guida poiché si tratta di una VM)
Anche se potessi, mancano le migliori estensioni disponibili per Firefox e Chrome.

Nel complesso, non consiglierei di utilizzare Safari su una VM macOS ma, invece, optare per un altro browser come Brave o Firefox.

Firefox:

E, naturalmente, infine, potresti andare con Firefox,

Professionisti:

Bene, è fuori dal mondo "Chromium" e non partecipa all'espansione della quota di mercato di Chromium
Oltre ad essere fuori dal mondo Chromium, è anche completamente fuori dal mondo Google (nonostante la Mozilla Foundation sia quasi interamente finanziata da Google ⁵¹⁵ ).
Una quantità impressionante di personalizzazione tramite estensioni per ogni possibile esigenza.
Firefox può essere notevolmente rafforzato per eguagliare quasi la sicurezza dei browser basati su Chromium.

Contro:

Prestazioni inferiori rispetto a Chromium.

La sicurezza (in particolare il sandboxing) di Firefox è probabilmente più debole dei browser basati su Chromium ⁵¹⁶ .

Sperimenterai più captcha (questo si basa sui miei test).

Browser Tor:

Se sei più paranoico e desideri utilizzare Tor Browser e avere "Tor over VPN over Tor", puoi utilizzare Tor Browser anche all'interno della VM. Questo è IMHO completamente inutile/inutile.

Non consiglierei questa opzione. È solo sciocco.

Appendice V1: Rafforzamento dei browser:

Brave:

Scarica e installa il browser Brave da https://brave.com/download/ ^{[Archive.org]}
Apri il browser coraggioso
Vai in Impostazioni
Vai su Aspetti
- Disattiva Mostra i migliori siti
- Disattiva Mostra siti suggeriti coraggiosi
- Abilita Nascondi ricompense coraggiose
- Abilita Mostra sempre l'URL completo
Vai in Scudi
- Imposta Scudi su Avanzato
- Imposta il blocco dei tracker e degli annunci su Aggressivo
- Imposta l'aggiornamento a HTTPS su abilitato
- Imposta il blocco dei cookie su "Solo cross-site"
- Imposta il blocco delle impronte digitali su Standard (o Rigoroso)
Vai in Blocco dei social media
- Deseleziona tutto se non necessario
Vai su Motore di ricerca
- Vedi Appendice A3: Motori di ricerca
Vai in Estensioni
- Disabilita tutto tranne Windows privato con Tor ed entrambi i metodi di risoluzione impostati su "Chiedi"
Entra in Portafoglio
- Disabilita il portafoglio
Vai in Impostazioni aggiuntive, Privacy e Sicurezza
- Lascia WebRTC a Predefinito
- Disattiva tutto il resto
- Vai in Cancella dati di navigazione
- Seleziona All'uscita
- Controlla tutte le opzioni
Apri una nuova scheda
Fai clic su Personalizza nell'angolo in basso a destra
- Disabilita tutto tranne forse l'orologio
Vai a brave://adblock
- Seleziona qualsiasi filtro di blocco degli annunci aggiuntivo che desideri
Non abilitare mai Brave Rewards (il pulsante dovrebbe essere nascosto)

Componenti aggiuntivi da considerare su Brave se desideri protezioni aggiuntive:

LocalCDN ( https://chrome.google.com/webstore/detail/localcdn/ )
- In alternativa, DecentralEyes ( https://chrome.google.com/webstore/detail/decentraleyes/ )
PrivacyBadger ( https://chrome.google.com/webstore/detail/privacy-bagger/ )
NoScript ( https://chrome.google.com/webstore/detail/noscript/ )
- In alternativa, uMatrix ( https://chrome.google.com/webstore/detail/umatrix/ )
ClearURLs ( https://chrome.google.com/webstore/detail/clearurls/ )
Privacy Redirect ( https://github.com/SimonBrazell/privacy-redirect )
- Sebbene le impostazioni per le istanze Invidious e Nitter siano casuali, consiglierei di impostarle su "nitter.net" per Nitter e "yewtu.be" per Invidious.

Questo è tutto e dovresti essere praticamente coperto. Per una completa paranoia, puoi anche semplicemente "Bloccare script" per disabilitare Javascript. Nota che anche disabilitare Javascript potrebbe non proteggerti completamente ⁵¹⁷ .

Ungoogled-Chromium:

Questo browser è considerato una responsabilità per la sicurezza a causa del loro ritardo sistemico sulle patch di sicurezza ⁵¹⁸ .

Si consiglia vivamente di non utilizzare Ungoogled-Chromium.

Edge:

Solo Windows:

Bordo aperto
Vai in Impostazioni
Vai su Profili e assicurati che tutto sia deselezionato in ogni sezione (Informazioni personali, Password, Informazioni di pagamento, Preferenze profilo)
Vai a Privacy, ricerca e servizi:
- Vai a Prevenzione del monitoraggio:
  - Impostare su Rigoroso o almeno Bilanciato
  - Impostare per utilizzare sempre Strict con InPrivate Windows
- Vai alla Privacy:
  - Abilita invio Do Not Track
  - Disattiva le opzioni per il sito Web per verificare i tuoi metodi di pagamento
- Vai a Dati diagnostici opzionali:
  - Disabilitalo
- Vai a Personalizza la tua esperienza web:
  - Disabilitalo
- Vai a Sicurezza
  - Disabilita tutto
- Vai a Servizi
  - Disabilita tutto
  - Nella barra degli indirizzi e nella ricerca:
    - Disabilita tutto e cambia il motore di ricerca (vedi Appendice A3: Motori di ricerca )
- Vai a Cookie e Autorizzazioni Siti:
  - All'interno di tutte le autorizzazioni:
    - All'interno dei cookie, assicurati che l'opzione "Blocca cookie di terze parti" sia selezionata
    - Blocca tutto tranne:
      - Javascript
      - immagini

Abilita Application Guard per Edge (solo su sistema operativo host, non possibile all'interno di una VM VirtualBox):

Salta se si tratta di una VM

Apri il Pannello di controllo.
Clicca su Programmi
Fare clic sul collegamento Attiva o disattiva le funzionalità di Windows
Controlla l'opzione Windows Defender Application Guard
Fare clic su OK.
Fare clic su Riavvia.
Ora puoi aprire Edge e aprire una nuova finestra "Application Guard".

Questo è tutto per Edge, ma sei anche libero di aggiungere estensioni dal Chrome Store come:

uBlock Origin ( https://chrome.google.com/webstore/detail/ublock-origin/ )
LocalCDN ( https://chrome.google.com/webstore/detail/localcdn/ )
- In alternativa, DecentralEyes ( https://chrome.google.com/webstore/detail/decentraleyes/ )
PrivacyBadger ( https://chrome.google.com/webstore/detail/privacy-bagger/ )
HTTPSEverywhere ( https://chrome.google.com/webstore/detail/https-everywhere/ )
NoScript ( https://chrome.google.com/webstore/detail/noscript/ )
- In alternativa, uMatrix ( https://chrome.google.com/webstore/detail/umatrix/ )
ClearURLs ( https://chrome.google.com/webstore/detail/clearurls/ )
Privacy Redirect ( https://chrome.google.com/webstore/detail/privacy-redirect/pmcmeaglkinmogikoikkdjiligflglb )
- Sebbene le impostazioni per le istanze Invidious e Nitter siano casuali, consiglierei di impostarle su "nitter.net" per Nitter e "yewtu.be" per Invidious.

Safari:

Solo macOS:

Apri Safari
Fai clic sul menu Safari in alto a sinistra
Fare clic su Preferenze
- Nella scheda Generale:
  - Cambia nuove finestre in "Pagina vuota"
  - Cambia Nuove schede in "Pagina vuota"
  - Modifica la cronologia di rimozione dopo "1 giorno"
  - Modifica gli elementi dell'elenco Rimuovi download in "Quando Safari si chiude" o "Quando il download è riuscito"
  - Deseleziona "Apri file sicuri dopo il download"
- Nella scheda Sicurezza:
  - Disattiva "Avvisa quando visiti un sito Web fraudolento" (questo invia gli URL della tua visita a Google per lo screening)
- Nella scheda Privacy:
  - Deseleziona "Pubblicità Web"
- Nella scheda Avanzate:
  - Controlla "Mostra l'indirizzo completo del sito web"

Considerare l'Appendice A5: Ulteriori precauzioni per il browser con JavaScript abilitato

Questo è tutto. Sfortunatamente, non sarai in grado di aggiungere estensioni poiché ti richiederanno di accedere all'App Store, cosa che non puoi fare da una VM macOS. Ancora una volta, non consiglierei di attenersi a Safari in una VM macOS ma invece di passare a Brave o Firefox.

Firefox:

Impostazioni normali:

Apri Firefox
Nella home page di Firefox:
- Fare clic su Personalizza
- Deseleziona/Disabilita tutto
Apri Impostazioni:
- Vai in Cerca
  - Modificare il motore di ricerca (Vedi Appendice A3: Motori di ricerca )
- Vai in Privacy e sicurezza
  - Imposta su Personalizzato
    - Cookie: seleziona Tutti i cookie di terze parti
    - Contenuto di monitoraggio: in tutte le finestre
    - Dai un'occhiata a Cryptominer
    - Controlla le impronte digitali
  - Imposta invia sempre "Do Not Track"
- Vai a Login e password
  - Deseleziona "Chiedi di salvare accessi e password per i siti Web"
- Vai su Autorizzazioni
  - Posizione: spunta blocco nuove richieste
  - Fotocamera: spunta blocco nuove richieste
  - Microfono: spunta blocca nuove richieste
  - Notifiche: spunta blocco nuove richieste
  - Riproduzione automatica: seleziona Disattiva audio e video
  - Realtà Virtuale: spunta blocco nuove richieste
  - Seleziona Blocca popup
  - Seleziona Avvisa quando i siti Web tentano di installare componenti aggiuntivi
- Vai a Raccolta e utilizzo dei dati di Firefox
  - Disabilita tutto
- Vai alla modalità solo HTTPS
  - Abilitalo su tutte le finestre

Impostazioni avanzate:

Tali impostazioni sono spiegate nelle seguenti risorse in ordine di raccomandazione se desideri maggiori dettagli su ciò che fa ciascuna impostazione:

https://wiki.archlinux.org/title/Firefox/Privacy ^{[Archive.org]} (più consigliato)
https://proprivacy.com/privacy-service/guides/firefox-privacy-security-guide ^{[Archive.org]}

Ecco la maggior parte dei passaggi combinati dalle fonti sopra (alcuni sono stati omessi a causa delle estensioni consigliate più avanti di seguito):

Passare a "about:config" nella barra degli URL
Fare clic su Accetta il rischio e continua
- Impostazioni sicure (non dovrebbe rompere nulla)
  - Disabilita Firefox Pocket
    - Imposta "extensions.pocket.enabled" su false
  - Disabilita tutta la telemetria
    - Imposta "browser.newtabpage.activity-stream.feeds.telemetry" su false
    - Imposta "browser.ping-centre.telemetry" su false
    - Imposta "browser.tabs.crashReporting.sendReport" su false
    - Imposta "devtools.onboarding.telemetry.logged" su false
    - Imposta "toolkit.telemetry.enabled" su false
    - Cerca "toolkit.telemetry.server" e cancellalo
    - Imposta "toolkit.telemetry.unified" su false
    - Imposta "beacon.enabled" su false
  - Disabilita il pre-recupero
    - Imposta "network.dns.disablePrefetch" su true
    - Imposta "network.dns.disablePrefetchFromHTTPS" su true
    - Imposta "network.predictor.enabled" su false
    - Imposta "network.predictor.enable-prefetch" su false
    - Imposta "network.prefetch-next" su false
    - Imposta "browser.urlbar.speculativeConnect.enabled" su false
  - Disabilita Javascript nei PDF
    - Imposta "pdfjs.enableScripting" su false
  - Disabilita la crittografia SSL obsoleta
    - Imposta "security.ssl3.rsa_des_ede3_sha" su false
    - Imposta "security.ssl.require_safe_negotiation" su true
  - Disabilita gli account Firefox
    - Imposta "identity.fxaccounts.enabled" su false
  - Disabilita la geolocalizzazione
    - Imposta "geo.enabled" su false
  - Disabilita le notifiche web
    - Imposta "dom.webnotifications.enabled" su false
  - Disabilita le notifiche di copia/incolla
    - Imposta "dom.event.clipboardevents.enabled" su false
  - Disabilita il recupero dello stato del microfono/fotocamera
    - Imposta "media.navigator.enabled" su false
  - Abilita "Non tracciare"
    - Imposta "privacy.donottrackheader.enabled" su true
  - Disabilita Navigazione sicura
    - Imposta "browser.safebrowsing.malware.enabled" su false
    - Imposta "browser.safebrowsing.phishing.enabled" su false
    - Imposta "browser.safebrowsing.downloads.remote.enabled" su false
- Impostazioni moderate (potrebbe danneggiare alcuni siti Web)
  - Disabilita WebRTC (questo interromperà tutti i siti Web con comunicazioni video/audio)
    - Imposta "media.peerconnection.enabled" su false
    - Imposta "media.navigator.enabled" su false
  - Disabilita WebGL (questo interromperà alcuni siti Web ad alta intensità di contenuti multimediali)
    - Imposta "webgl.disabled" su true
  - Disabilita DRM
    - Imposta "media.eme.enabled" su false
    - Imposta "media.gmp-widevinecdm.enabled" su false
  - Imposta il comportamento dei cookie
    - Impostare "network.cookie.cookieBehavior" su 1
    - Impostare "network.http.referer.XOriginPolicy" su 2
  - Modifica la politica di riferimento
    - Impostare "network.http.referer.XOriginTrimmingPolicy" su 2
  - Modifica il comportamento di archiviazione della sessione
    - Impostare "browser.sessionstore.privacy_level" su 2
  - Disabilita i test di connessione per Captive Portal
    - Imposta "network.captive-portal-service.enabled" su false
  - Disabilita "Risolutore ricorsivo affidabile"
    - Imposta/Crea “network.trr.mode” e impostalo su 5
- Avanzato (questo interromperà alcuni siti Web)
  - Imposta "privacy.resistFingerprinting" su true
  - Imposta "privacy.trackingprotection.fingerprinting.enabled" su true
  - Imposta "privacy.trackingprotection.cryptomining.enabled" su true
  - Imposta "privacy.trackingprotection.enabled" su true
  - Imposta "browser.send_pings" su false
  - Imposta "network.http.sendRefererHeader" su 0 (questo potrebbe interrompere molti siti Web)
  - Imposta "modifica privacy.firstparty.isolate" su true
  - Imposta "change network.cookie.lifetimePolicy" su 2 (questo elimina tutti i cookie dopo ogni sessione)
  - Imposta "network.http.referer.XOriginPolicy" su 2 (Invia referente solo quando i nomi host completi corrispondono)

Componenti aggiuntivi da installare/considerare:

uBlock Origin ( https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/ )
LocalCDN ( https://addons.mozilla.org/en-US/firefox/addon/localcdn-fork-of-decentraleyes/ )
- In alternativa, Decentraleyes ( https://addons.mozilla.org/en-US/firefox/addon/decentraleyes/ )
HTTPS ovunque ( https://addons.mozilla.org/en-US/firefox/addon/https-everywhere/ )
NoScript ( https://addons.mozilla.org/en-US/firefox/addon/noscript/ )
- All'interno delle opzioni, Modifica le opzioni predefinite per controllare tutto tranne "Ping" e "CSS illimitato"
Alternativa a NoScript, uMatrix ( https://addons.mozilla.org/en-US/firefox/addon/umatrix/ )
ClearURLs ( https://addons.mozilla.org/en-US/firefox/addon/clearurls/ )
PrivacyBadger ( https://addons.mozilla.org/en-US/firefox/addon/privacy-badger17/ )
Temporary Containers ( https://addons.mozilla.org/en-US/firefox/addon/temporary-containers/ )
Privacy Setting ( https://addons.mozilla.org/en-US/firefox/addon/privacy-settings/ )
Privacy Redirect ( https://addons.mozilla.org/en-US/firefox/addon/privacy-redirect/ )
- Sebbene le impostazioni per le istanze Invidious e Nitter siano casuali, consiglierei di impostarle su "nitter.net" per Nitter e "yewtu.be" per Invidious.

Risorse bonus:

Ecco anche due guide recenti per rafforzare Firefox:

Appendice W: Virtualizzazione

Quindi, potresti chiederti, cos'è Virtualization ⁵¹⁹ ?

Fondamentalmente, è come il film Inception con i computer. Hai emulato computer software chiamati macchine virtuali in esecuzione su un computer fisico. E puoi anche avere macchine virtuali in esecuzione all'interno di macchine virtuali, se lo desideri (ma in alcuni casi ciò richiederà un laptop più potente).

Ecco una piccola illustrazione di base di cosa sia la virtualizzazione:

Ogni macchina virtuale è una sandbox. Ricorda che i motivi per usarli sono prevenire i seguenti rischi:

Mitiga le perdite di dati locali e semplifica la pulizia in caso di rischio (tutto è contenuto all'interno della VM e solo gli identificatori della VM potrebbero essere trapelati e non gli identificatori dell'hardware host)
Riduci le superfici di attacco di malware/exploit (se la tua VM è compromessa, l'avversario deve comunque capire che si trova in una VM e quindi ottenere l'accesso al sistema operativo host che non è così banale).
Mitiga le perdite di dati online essendo in grado di applicare regole di rete rigorose sulle macchine virtuali per l'accesso alla rete (come il passaggio attraverso la rete Tor).

Appendice X: Utilizzo dei bridge Tor in ambienti ostili

In alcuni ambienti, i tuoi ISP potrebbero tentare di impedirti di accedere a Tor. Oppure l'accesso a Tor apertamente potrebbe essere un rischio per la sicurezza.

In questi casi, potrebbe essere necessario utilizzare i bridge Tor per connettersi alla rete Tor (vedi Documentazione Tor https://2019.www.torproject.org/docs/bridges ^{[Archive.org]} e Documentazione Whonix https://www .whonix.org/wiki/Bridges ^{[Archive.org]} ).

I bridge sono nodi di ingresso Tor speciali che non sono elencati nella directory pubblica di Tor. Alcuni di questi sono in esecuzione su persone che eseguono l'estensione Snowflake Browser ⁵²⁰ mentre altri sono in esecuzione su vari server in tutto il mondo. La maggior parte di questi bridge esegue un metodo di offuscamento chiamato obfs4 ⁵²¹ .

Ecco la definizione dal Manuale del browser Tor ⁵²² : “obfs4 fa sembrare il traffico Tor casuale e impedisce ai censori di trovare bridge tramite la scansione di Internet. obfs4 bridges hanno meno probabilità di essere bloccati rispetto al suo predecessore, obfs3 bridges”.

Alcuni di questi sono chiamati bridge "Meek" e utilizzano una tecnica chiamata "Domain Fronting" in cui il tuo client Tor (Tails, Tor Browser, Whonix Gateway) si collegherà a un CDN comune utilizzato da altri servizi. A un censore, sembrerebbe che ti stia connettendo a un normale sito Web come Microsoft.com. Per ulteriori informazioni, vedere https://gitlab.torproject.org/legacy/trac/-/wikis/doc/meek .

Secondo la loro definizione dal loro manuale ⁵²³ : “i miti trasporti fanno sembrare che tu stia navigando in un sito web importante invece di usare Tor. mite-azzurro fa sembrare che tu stia utilizzando un sito Web Microsoft”. Questo è un tipo di "fronting di dominio" ⁵²⁴ .

Infine, ci sono anche bridge chiamati Snowflake bridge che si affidano agli utenti che eseguono l'estensione snowflake nel proprio browser per diventare essi stessi nodi di ingresso. Vedi https://snowflake.torproject.org/ ^{[Archive.org]} .

Innanzitutto, dovresti procedere con la seguente lista di controllo per assicurarti di non poter aggirare Tor Blocking (ricontrolla) e provare a utilizzare Tor Bridges ( https://bridges.torproject.org/ ^{[Archive.org]} ):

(Consigliato se bloccato ma sicuro ) Prova a ottenere un bridge obfs4 nelle opzioni di connessione Tor.
(Consigliato se bloccato ma sicuro ) Prova a ottenere un ponte di fiocchi di neve nelle opzioni di connessione Tor.
(Consigliato se ambiente ostile/rischioso) Cerca di ottenere un ponte mite nelle opzioni di connessione Tor (potrebbe essere la tua unica opzione se sei ad esempio in Cina).

(Illustrazione dalla configurazione di Tor Browser Bridge)

Se nessuno di questi metodi integrati funziona, puoi provare a ottenere un bridge manuale da:

https://bridges.torproject.org/bridges?transport=meek (per un ponte mite)
https://bridges.torproject.org/bridges?transport=obfs4 (per un ponte obfs4)

Ovviamente anche questo sito Web potrebbe essere bloccato/monitorato, quindi potresti invece (se ne hai la possibilità) chiedere a qualcuno di farlo per te se hai un contatto fidato e qualche app di messaggistica crittografata e2e.

Infine, potresti anche richiedere una richiesta di bridge via e-mail a bridges@torproject.org con l'oggetto vuoto e il corpo: "get transport obfs4" o "get transport meek". Vi sono alcune limitazioni con questo metodo, poiché è disponibile solo da un indirizzo e-mail Gmail o da un indirizzo e-mail Riseup.net ( https://riseup.net/ ^{[Tor Mirror]} ).

Si spera che questi ponti dovrebbero essere sufficienti per collegarti anche in un ambiente ostile.

In caso contrario, considera l'Appendice P: Accesso a Internet nel modo più sicuro possibile quando Tor e VPN non sono un'opzione

Appendice Y: Installazione e utilizzo di Tor Browser desktop

Installazione:

Questo è valido per Windows, Linux e macOS.

Scarica e installa Tor Browser secondo le istruzioni da https://www.torproject.org/download/ ^{[Archive.org]}
Apri Tor Browser

Uso e precauzioni:

Dopo aver aperto Tor Browser, vedrai un'opzione per la connessione, una casella di controllo per la connessione automatica e un pulsante per accedere alle Impostazioni di rete Tor. Le impostazioni di Tor Network sono a tua disposizione per configurare i Bridge per la connessione a Tor se riscontri problemi di connessione a Tor a causa di Censura o Blocco, come spiegato qui: Appendice X: Utilizzo dei bridge Tor in ambienti ostili .

Personalmente, in caso di censura o blocco, consiglierei di utilizzare i bridge Meek-Azure se necessario. E i ponti Snowflake come seconda opzione.

A questo punto, sempre prima di connetterti, dovresti cliccare sull'Icona Scudetto (in alto a destra, accanto alla Barra degli indirizzi) e selezionare il tuo Livello di Sicurezza (vedi https://tb-manual.torproject.org/security-settings/ ^{[Archivio .org]} per i dettagli). Fondamentalmente sono tre.

Standard (l'impostazione predefinita):
- Tutte le funzionalità sono abilitate (incluso JavaScript)
Più sicuro:
- JavaScript è disabilitato sui siti Web non HTTPS
- Alcuni caratteri e simboli sono disabilitati
- Qualsiasi riproduzione multimediale è "fai clic per riprodurre" (disabilitato per impostazione predefinita)
Più sicuro:
- Javascript è disabilitato ovunque
- Alcuni caratteri e simboli sono disabilitati
- Qualsiasi riproduzione multimediale è "fai clic per riprodurre" (disabilitato per impostazione predefinita)

(Facoltativo e non consigliato dal Tor Project, [questa è una scelta personale che ho fatto]{.underline}) Se non stai utilizzando il livello "Più sicuro", mi discosterò da alcuni ma concorderò con altri (ad esempio il progetto Tails e altri ⁵²⁵ ) e consiglierà effettivamente alcune modifiche al Tor Browser predefinito oltre a due estensioni:

uBlocca Origin (come nel caso di Tails) lasciando l'estensione sulle impostazioni predefinite:
- Vai su https://addons.mozilla.org/en-US/firefox/addon/ublock-origin/ all'interno di Tor Browser e installa l'estensione.
Reindirizzamento privacy: questo è molto pratico se si utilizza la modalità "più sicura" poiché le istanze Invidious non richiedono JavaScript.
- Vai su https://addons.mozilla.org/en-US/firefox/addon/privacy-redirect/ all'interno di Tor Browser e installa l'estensione.
- Sebbene le impostazioni per le istanze Invidious e Nitter siano casuali, consiglierei di impostarle su "nitter.net" per Nitter e "yewtu.be" per Invidious.

Tieni presente che anche le agenzie di 3 lettere consigliano di bloccare gli annunci per i propri utenti interni al fine di migliorare la sicurezza ⁵²⁶ .

Se non hai scelto le opzioni personali di cui sopra e non ufficialmente consigliate , il livello più sicuro dovrebbe comunque essere utilizzato con alcune precauzioni aggiuntive durante l'utilizzo di alcuni siti Web: vedere l' Appendice A5: Ulteriori precauzioni del browser con JavaScript abilitato .

Ora hai davvero finito e ora puoi navigare sul Web in modo anonimo dal tuo dispositivo desktop.

Appendice Z: Pagamenti anonimi online tramite criptovalute

Ci sono molti servizi che potresti voler utilizzare (hosting VPS, hosting di posta, nomi di dominio...) ma richiedono un pagamento di qualche tipo.

Come accennato più volte in questa guida in precedenza, consiglio vivamente l'utilizzo di servizi accettando contanti (che potresti inviare in modo anonimo tramite i servizi postali) o Monero che puoi acquistare e utilizzare direttamente e in sicurezza.

Ma cosa succede se il servizio che desideri non accetta Monero ma accetta una criptovaluta più tradizionale come Bitcoin (BTC) o Ethereum (ETH).

Bitcoin e altre "criptovalute tradizionali" non sono affatto anonime (Ricorda le tue transazioni di criptovalute ) e non dovresti mai acquistare, ad esempio, Bitcoin da uno scambio e quindi utilizzarli direttamente per l'acquisto di servizi in modo anonimo. Questo non funzionerà e la transazione può essere rintracciata facilmente.

Stai lontano da Crypto Mixer e Tumbler. Potresti pensare che questa sia una buona idea, ma non solo sono inutili IMHO con criptovalute come BTC/ETH/LTC, ma sono anche pericolose in quanto potresti finire per scambiare la tua valuta con valuta sporca da attività illecite. Usa Monero per rendere anonime le tue criptovalute. Utilizza un normale Exchange abilitato KYC per acquistare/vendere il tuo Monero (come Kraken) o (a tuo rischio), utilizzare un servizio come LocalMonero.
Stai lontano da quelli che secondo me sono portafogli privati/anonimizzanti rischiosi come https://we.incognito.org . Utilizzare un metodo più sicuro descritto di seguito.

Opzione ragionevolmente anonima:

Nonostante ciò, è possibile anonimizzare in sicurezza Bitcoin attraverso l'utilizzo di criptovalute con un focus sulla non tracciabilità come Monero (XMR) con pochi passaggi in più e ad un costo relativamente contenuto. Quindi, ti starai chiedendo come? Bene, in realtà è piuttosto semplice:

Acquista Monero su:

un. uno scambio KYC (come Kraken)

B. uno scambio non KYC (come https://bisq.network/ )

C. da qualcuno su LocalMonero utilizzando contanti (a proprio rischio)
Crea un portafoglio Monero su una delle tue macchine virtuali anonime (ad esempio, sulla workstation Whonix che include un portafoglio GUI Monero in modo nativo o utilizzando il portafoglio GUI Monero da https://www.getmonero.org/downloads/ su altri sistemi operativi)
Trasferisci il tuo Monero dall'Exchange da cui lo hai acquistato al portafoglio sulla tua VM.
Sulla stessa VM (per esempio sempre la Workstation Whonix), crea un Portafoglio Bitcoin (anche questo è fornito nativamente all'interno della Workstation Whonix)
Da un browser anonimo (come Tor Browser), utilizza un servizio di scambio di servizi non KYC (Know Your Customer) (vedi Appendice A8: Servizi di scambio di criptovalute senza registrazione e KYC ) e converti il tuo Monero in BTC e trasferiscili nel Portafoglio BTC che hai sulla tua VM anonima

Ora dovresti avere un portafoglio Bitcoin anonimo che può essere utilizzato per l'acquisto di servizi che non accettano Monero. Non dovresti mai accedere a questo portafoglio da un ambiente non anonimo e utilizzare sempre OPSEC ben ponderato con le tue transazioni BTC. Ricorda che possono essere ricondotti a te.

L'origine di quei BTC non può essere fatta risalire alla tua vera identità a causa dell'uso di Moner o (a meno che Monero non sia rotto). Si prega di leggere l'Appendice B2: Dichiarazione di non responsabilità di Monero .

Opzione anonima extra-paranoica:

Come spiegato nel disclaimer, se ti senti più paranoico, potresti prendere in considerazione l'utilizzo di un ulteriore passaggio di conversione utilizzando una diversa criptovaluta incentrata sulla privacy/anonimato come Zcash ( https://z.cash/ ^{[Archive.org]} ).

Ad esempio, ecco due possibilità:

Acquisto Monero prima opzione:

un. Acquista Monero (XMR) presso uno dei seguenti indirizzi:
```
i.  a KYC exchange (such as Kraken)

ii. a non-KYC exchange (such as <https://bisq.network/>)

iii. from someone on LocalMonero using cash (at your own risk)
```
B. Trasferisci il tuo Monero al tuo portafoglio Monero in un ambiente sicuro (come il portafoglio Monero GUI preinstallato sulla workstation Whonix o utilizzando il portafoglio Monero GUI da https://www.getmonero.org/downloads/ su altri sistemi operativi).

C. Usa un servizio di scambio (vedi Appendice A8: Servizi di scambio di criptovalute senza registrazione e KYC ) per scambiare il tuo Monero con un portafoglio Zcash che controlli nel tuo ambiente sicuro (vedi Appendice A9: Installazione di un portafoglio Zcash ).

D. Trasferisci il tuo Zcash da un portafoglio VM Zcash a un altro portafoglio VM Zcash che controlli assicurandoti di utilizzare indirizzi schermati (alcuni scambi lo consentono direttamente).
```
i.  **Do make sure the wallets are different and change your Tor identity before opening the recipient wallet.**
```
e. Utilizza di nuovo un servizio di scambio per scambiare i tuoi Zcash con Monero/BTC/altro (per BTC, usa ad esempio Electrum Wallet sulla Whonix Workstation).

F. Usa il tuo Monero/BTC/altro in modo anonimo.
Prima opzione di acquisto di Zcash:

un. Acquista Zcash (vedi https://z.cash/exchanges/ ^{[Archive.org]} )

B. Trasferisci il tuo Zcash da un portafoglio Zcash VM (vedi Appendice A9: Installazione di un portafoglio Zcash ).

C. Trasferisci il tuo Zcash dal tuo portafoglio VM Zcash a un altro portafoglio VM Zcash utilizzando indirizzi schermati.
```
i.  **Do make sure the wallets are different and change your Tor identity before opening the recipient wallet.**
```
D. Utilizzare un servizio di scambio (vedi Appendice A8: Servizi di scambio di crittografia senza registrazione e KYC ) per scambiare Zcash con Monero nel portafoglio VM Monero (come il portafoglio Monero GUI preinstallato sulla workstation Whonix o utilizzando il portafoglio Monero GUI da https ://www.getmonero.org/downloads/ su altri sistemi operativi).

e. Ora usa il tuo Monero direttamente per acquistare dai commercianti OPPURE usa un servizio di scambio per scambiare il tuo Monero con un'altra criptovaluta come BTC/ETH/Altro (per BTC, usa ad esempio il portafoglio Electrum sulla workstation Whonix).

F. Usa la tua criptovaluta in modo anonimo.

Questi passaggi dovrebbero passare da "ragionevolmente anonimo" a "anonimo extra-paranoico". Anche se Monero è rotto in futuro. Anche Zcash dovrà essere rotto. Abbastanza improbabile.

Quando si utilizza BTC: passaggio bonus per migliorare la privacy utilizzando l'offuscamento:

Potresti prendere in considerazione l'uso di Wasabi ( https://wasabiwallet.io/ ^{[Archive.org]} ) per le tue transazioni BTC utilizzando la loro "funzione CoinJoin" ⁵²⁷ per coprire ulteriormente le tue tracce. Ciò significherebbe scambiare il tuo Monero per BTC con un portafoglio Wasabi anziché un normale portafoglio. E poi usando quel portafoglio Wasabi per le tue transazioni BTC usando la loro funzione CoinJoin.

Quando si converte da BTC a Monero:

Ora, come parte di qualsiasi processo sopra, se vuoi riconvertire BTC in Monero , ti consiglio di non utilizzare un servizio di scambio ma invece di utilizzare il nuovo strumento Monero Atomic Swap: https://unstoppableswap.net/ . Ciò eviterà commissioni e intermediari non necessari quando si utilizza un servizio di scambio commerciale. Il sito Web è autoesplicativo con istruzioni dettagliate per tutti i sistemi operativi.

Appendice A1: Provider di hosting VPS consigliati

Consiglierò solo i fornitori che accettano Monero come pagamento ed ecco la mia lista personale:

Njalla https://njal.la/ (il mio preferito ma piuttosto costoso, consigliato da PrivacyGuides.org.
1984.is (il mio secondo preferito, molto meno costoso) https://www.1984.is .
Da considerare a proprio rischio (non testato):
- https://cryptoho.st/ (attenzione, questo potrebbe essere contrario ai loro Termini di servizio poiché richiedono l'identificazione personale al momento della registrazione)
- https://www.privex.io/
- https://cockbox.org/ (attenzione, questo provider è piuttosto "spigoloso" e potrebbe offendere alcune persone)

Considera anche questi elenchi:

Progetto Tor: https://community.torproject.org/relay/community-resources/good-bad-isps/ ^{[Archive.org]}
PrivacyGuides.org: https://privacyguides.org/providers/hosting/ ^{[Archive.org]}

Infine, potresti sceglierne uno (a tuo rischio) dall'elenco qui che accetta Monero: https://www.getmonero.org/community/merchants/#hosting ^{[Archive.org]}

Si prega di leggere l'Appendice B2: Dichiarazione di non responsabilità di Monero .

Se il servizio non accetta Monero ma accetta BTC, considerare la seguente appendice: Appendice Z: Pagare in modo anonimo online con BTC .

Appendice A2: Linee guida per password e passphrase

La mia opinione (e quella dei tanti ⁵²⁸ ' ⁵²⁹ ' ⁵³⁰ ' ⁵³¹ ' ⁵³² ' ⁵³³ ) è che le passphrase sono generalmente migliori delle password. Quindi, invece di pensare a password migliori, dimenticale del tutto e usa invece le passphrase (quando possibile). Oppure usa semplicemente un gestore di password con password molto lunghe (come KeePassXC, il gestore di password preferito in questa guida).

Il noto XKCD mostrato di seguito https://xkcd.com/936/ ^{[Archive.org]} è ancora valido nonostante alcune persone lo abbiano contestato (vedi https://www.explainxkcd.com/wiki/index.php/936 :_Password_Strength ^{[Archive.org]} ). Sì, ora è piuttosto vecchio ed è un po' datato e potrebbe essere interpretato erroneamente. Ma in generale, è ancora valido e un buon argomento per l'utilizzo di passphrase anziché password.

(Illustrazione di Randall Munroe, xkcd.com, licenza CC BY-NC 2.5)

Ecco alcuni consigli (basati su Wikipedia ⁵³⁴ ):

Abbastanza lungo da essere difficile da indovinare (in genere quattro parole sono un minimo, cinque o più è meglio).
Non una famosa citazione dalla letteratura, libri sacri, ecc.
Difficile da indovinare dall'intuizione, anche da qualcuno che conosce bene l'utente.
Facile da ricordare e digitare con precisione.
Per una maggiore sicurezza, è possibile applicare qualsiasi codifica facilmente memorabile a livello dell'utente.
Non riutilizzato tra siti, applicazioni e altre fonti diverse.
Non usare solo “parole comuni” (come “cavallo” o “corretto”)

Ecco un bel sito web che ti mostra alcuni esempi e linee guida: https://www.useapassphrase.com/

Guarda questo video perspicace di Computerphile: https://www.youtube.com/watch?v=3NjQ9b3pgIg ^[Invidious]

Usane uno diverso per ogni servizio/dispositivo, se possibile. Non rendere facile per un avversario accedere a tutte le tue informazioni perché hai utilizzato la stessa passphrase ovunque.

Potresti chiedere come? Semplice: usa un gestore di password come il KeePassXC consigliato. Ricorda solo la passphrase per sbloccare il database e quindi archiviare tutto il resto nel database KeePassXC. All'interno di KeePassXC puoi quindi creare password estremamente lunghe (oltre 30 caratteri casuali) per ogni diverso servizio.

Appendice A3: Motori di ricerca

Quale motore di ricerca scegliere nelle tue VM?

Non entrerò in troppi dettagli. Scegline uno da PrivacyGuides.org ( https://privacyguides.org/providers/search-engines ^{[Archive.org]} ).

Personalmente i miei preferiti sono:

https://duckduckgo.com/ (perché puoi facilmente usare operatori come “!g” per google o “!b” per Bing)
https://www.startpage.com/
Istanze SearX ( https://searx.me/ ) elencate qui: https://searx.space/

Nota che alcuni di questi hanno un comodo indirizzo ".onion":

DuckDuckGo: http://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad.onion/

Alla fine, spesso non sono soddisfatto dei risultati di entrambi i motori di ricerca e finisco comunque su Bing o Google.

Appendice A4: Contrastare la linguistica forense

Nota che queste informazioni sono state prese e adattate da un Dread Post disponibile qui: http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion/post/aad54fe83b33a8a45920/

Non è previsto alcun plagio, ma sono stati apportati alcuni importanti adattamenti e modifiche per migliorare il post di origine in vari modi.

Introduzione:

La stilometria è il nostro stile di scrittura personale e unico. Non importa chi tu sia, hai uno stile di scrittura unico, tracciabile e stampabile con le dita. Questo è stato capito da un po' di tempo e una branca della medicina legale si basa su questo principio: la linguistica forense. In questo campo, il nome particolare della linguistica forense applicata alla criminalità su Internet è chiamato “Writeprint”. Writeprint mira principalmente a determinare l'identificazione dell'autore su Internet confrontando il testo di un sospetto con una raccolta nota di testi invarianti (normalmente scritti) dello scrittore e, anche senza testi di confronto, questa tecnica forense può fornire informazioni personali su un autore come sesso, età, e personalità.

Cosa cerca un avversario quando esamina la tua scrittura?

Caratteristiche lessicali: analisi della scelta delle parole.
Caratteristiche sintattiche: analisi dello stile di scrittura, struttura della frase, punteggiatura e sillabazione.
Caratteristiche strutturali: analisi della struttura e organizzazione della scrittura.
Parole specifiche del contenuto: analisi di scritture contestualmente significative come gli acronimi.
Caratteristiche idiosincratiche: analisi degli errori grammaticali, questo è il fattore più importante da considerare perché fornisce una precisione relativamente alta nell'identificazione dell'autore

Esempi:

Potresti pensare che questo non sia qualcosa a cui un avversario presta attenzione? Pensa di nuovo! Ci sono stati diversi casi in cui avversari come le forze dell'ordine hanno utilizzato tecniche di scrittura per aiutare a catturare e condannare le persone. Ecco alcuni esempi:

Il caso OxyMonster ( https://arstechnica.com/tech-policy/2018/06/dark-web-vendor-oxymonster-turns-out-to-be-a-frenchman-with-luscious-beard/ ^{[Archive.org ]} ):
- I dati pubblici hanno rivelato che Vallerius (alias OxyMonster) ha account Instagram e Twitter. Gli agenti hanno confrontato lo stile di scrittura di "OxyMonster" sul forum di Dream Market mentre ricopriva il ruolo di moderatore senior con lo stile di scrittura di Vallerius sui suoi account pubblici Instagram e Twitter. Gli agenti hanno scoperto molte somiglianze nell'uso delle parole e nella punteggiatura con l'inclusione della parola "cheers";'' doppi punti esclamativi; uso frequente delle virgolette; e posta francese intermittente.

Non usare lo stesso stile di scrittura per le tue attività sensibili come per le tue normali attività. In particolare, presta molta attenzione all'uso di frasi e segni di punteggiatura comuni. Inoltre, come nota a margine: limita la quantità di materiale di riferimento che un avversario può utilizzare come testo di confronto, non vuoi trovarti nei guai a causa del tuo post politico su Twitter o di quel post su Reddit che hai fatto anni fa, vero?

Ecco un altro esempio tratto dal libro American Kingpin, su come un agente della DEA ha studiato lo stile di scrittura di DPR (Dread Pirate Roberts alias Ross Ulbricht, fondatore del Silk Road Dark Market) da una prospettiva unica: Per uno, Ross Ulbricht ha usato la parola "epico" molto, il che ha dimostrato che era probabilmente giovane. Ha anche usato faccine sorridenti emoji nella sua scrittura, anche se non ha mai usato un trattino come naso, scrivendole come ":)" piuttosto che come il vecchio ":-)". Eppure l'unico attributo di Ulbricht che spiccava era che, invece di scrivere "sì" o "sì" sui forum del sito, Ulbricht invece scriveva sempre "sì".

Presta attenzione alle piccole cose che potrebbero sommarsi. Se di solito rispondi con "ok" alle persone, magari prova a rispondere con "ok" per le tue attività sensibili. Non dovresti MAI usare parole o frasi delle tue attività sensibili (anche se non sono in un post pubblico) per scopi normali e viceversa. Ross Ulbricht ha usato "gelido" come nome per i suoi server Silk Road e per il suo account YouTube, il che ha contribuito a convincere le forze dell'ordine che Dread Pirate Roberts era in realtà Ross Ulbricht.

Come contrastare gli sforzi del tuo avversario:

Riduci la quantità di testo di confronto con cui gli avversari possono confrontarti. Questo va con avere una piccola impronta online per le tue normali attività.
Usa un word processor (come LibreWriter) per correggere eventuali errori grammaticali/ortografici che incontri regolarmente.
Riduci o cambia i modi di dire che usi durante lo svolgimento di attività sensibili.
Comprendi in che modo la tua identità influenza il tuo stile di scrittura: il tuo pseudonimo è più giovane? Più vecchio? Più istruito? O meno istruiti? Se la tua identità è più vecchia, forse parla in uno stile di scrittura più JRR Tolkien.
Presta attenzione a come il tuo gergo e l'ortografia potrebbero identificarti. Se vieni dal Regno Unito, dovresti dire "matematica", ma se vieni dagli Stati Uniti dici "matematica". Non importa come dici "matematica", tutto ciò che conta è che possa essere usato per profilarti. Questo vale anche per lo slang poiché molte regioni hanno ciascuno uno slang diverso ed estremamente particolare. Non chiedi a qualcuno dagli Stati Uniti una "gomma" e ti aspetti che ti diano una "gomma" come esempio.
Presta attenzione al tuo uso di emoticon ed emoji. Nell'esempio precedente, l'agente della DEA è stato in grado di ipotizzare correttamente che Ulbricht fosse probabilmente giovane perché non usava un trattino quando creava un'emoticon sorridente.
Presta attenzione a come strutturi la tua scrittura. Usi due spazi dopo un periodo? Usi costantemente le parentesi nella tua scrittura? Usi la virgola di Oxford?
Considera quali simboli usi nella tua scrittura. Usi €, £ o $? Usi "gg-mm-aaaa" o "mm-gg-aaaa" per le date? Usi "08:00 pm" o "20:00" per l'ora?

Cosa potrebbero dire di te diverse scelte linguistiche:

Emoticon:

I russi, ad esempio, usano ")" invece di ":-)" o ":)" per esprimere una faccina sorridente.
Gli scandinavi usano "=)" invece di ":-)" o ":)" per una faccina sorridente.
I giovani generalmente non usano un trattino nelle loro faccine e usano solo ":)".

Caratteristiche strutturali:

Due spazi dopo un punto danno l'impressione che tu sia piuttosto più vecchio perché questo è il modo in cui è stata insegnata la digitazione alle persone che imparano a digitare con le macchine da scrivere.
Negli Stati Uniti le persone scrivono i numeri con le virgole tra i numeri a sinistra del numero iniziale e con i punti tra i numeri a destra del numero iniziale. Questo è in contrasto con il modo in cui le persone scrivono numeri sul resto del pianeta.

USA: 1.000,00$

Europa: 1.000,00€

Slang e simboli di ortografia:

Ovviamente, persone in nazioni diverse usano uno slang diverso. Questo è ancora più pronunciato quando usi uno slang che non è così noto in altri luoghi come qualcuno dal Regno Unito che menziona un "preside" quando in altre nazioni viene chiamato "principale".
L'ortografia è un altro fattore importante che è simile allo slang, tranne per il fatto che è più difficile da controllare. Se vuoi fingere di essere degli Stati Uniti, ma in realtà vivi in Australia, basta una sola volta per scrivere "colore" come colore per far capire alle persone che qualcosa sta succedendo.
Alcune persone scrivono anche le parole in un modo particolare che non è regionale, ad esempio potresti scrivere "ascia" come "ascia" o viceversa.
Naturalmente, i simboli che usi sulla tastiera possono fornire molte informazioni, come £ o $.

Tecniche per prevenire la scrittura in scrittura:

Ecco alcune tecniche in ordine di utilizzo:

Controllo ortografico e grammaticale:

Questo aiuta a prevenire alcune impronte digitali fatte usando i tuoi errori di ortografia e grammatica

Offline utilizzando un word processor:

Usa un word processor come LibreWriter e usa le funzioni di controllo ortografico e grammaticale per correggere gli errori che potresti aver digitato.

Online utilizzando un servizio online:

Se non disponi di un elaboratore di testi o non vuoi utilizzarne uno, puoi anche utilizzare un correttore ortografico e grammaticale online come Grammarly (questo richiede un'e-mail e la creazione di un account).

Tecnica di traduzione:

Disclaimer: uno studio archiviato qui: https://web.archive.org/web/20181125133942/https://www.cs.drexel.edu/~sa499/papers/adversarial_stylometry.pdf sembra indicare che la tecnica di traduzione è inefficiente per prevenire la stilometria. Questo passaggio potrebbe essere inutile.

Dopo aver completato le correzioni ortografiche e grammaticali. Utilizza un sito Web o un software come Google Translate (o per una versione più rispettosa della privacy, https://simplytranslate.org/ ) per tradurre tra diverse lingue prima di tradurre di nuovo nella lingua originale. Queste traduzioni avanti e indietro altereranno i tuoi messaggi e renderanno più difficile il rilevamento delle impronte digitali.

Cerca e sostituisci:

Infine, e facoltativamente, aggiungi un po' di sale aggiungendo di proposito alcuni errori ai tuoi messaggi.

Per prima cosa scegli un elenco di parole che spesso non sbagli, magari le parole "grammaticale", "simbolo" e "pronunciato" (questo elenco dovrebbe includere più parole). Non utilizzare un'opzione di sostituzione automatica di correzione automatica per questo in quanto potrebbe correggere quando non ha senso. Invece, usa Cerca e sostituisci e fallo manualmente per ogni parola. Non utilizzare nemmeno "Sostituisci tutto" e rivedere ogni modifica. Questo è solo il primo passo per fornire disinformazione contro il fingerprinting linguistico.

Quindi, trova un elenco di parole che usi comunemente nella tua scrittura. Diciamo che amo usare le contrazioni quando scrivo, magari uso sempre parole come: “non posso”, “non”, “non dovrei”, “non voglio” o “facciamo”. Bene, forse vai in LibreWriter e usa "Cerca e sostituisci" per sostituire tutte le contrazioni con le versioni complete delle parole ("non posso" > "non posso", "non" > "non", "non dovrebbe ” > “non dovrebbe”, “non voglio” > “non voglio”, “lasciamo” > “lasciamoci”). Questo può fare una grande differenza nella tua scrittura e fare la differenza nel modo in cui le persone e, soprattutto, i tuoi avversari ti percepiscono. Puoi cambiare la maggior parte delle parole in modo che siano diverse, ad esempio puoi cambiare "enorme" in "grande". Assicurati solo che queste parole si adattino alla tua identità.

Ora, considera di cambiare le tue parole scelte per adattarle a una posizione geografica. Forse vivi negli Stati Uniti e vuoi dare l'impressione che la tua identità provenga dal Regno Unito. Ad esempio, puoi utilizzare l'ortografia e il lessico basati sulla posizione. Questo è rischioso e un errore può rivelarlo.

Prima di tutto, devi decidere dove vuoi dare l'impressione della tua posizione. Ecco un esempio per dare l'impressione che tu sia degli Stati Uniti o del Regno Unito. In primo luogo, dovrai capire una o due cose sulla "origine" della tua identità, non fingere di essere del Regno Unito, ma non averne idea a parte il fatto che esiste.

Dopo aver deciso una buona posizione da cui proviene la tua identità, ricerca le differenze di lingua tra le due lingue (in questo caso tra l'inglese britannico e l'inglese americano). Grazie a Internet, questo è abbastanza facile e puoi trovare pagine di Wikipedia che evidenziano comodamente le differenze regionali di una lingua tra due nazioni. Presta attenzione a come vengono scritte determinate parole ("metro" > "metro") e quali parole vengono scambiate tra loro ("boot" > "baule"). Ora che hai un elenco di parole che possono essere scambiate tra loro e un elenco di ortografie diverse, usa "Cerca e sostituisci" nel tuo editor e cambia parole come "colore" in "colore" e "camion" in "camion".Anche in questo caso, non utilizzare una funzione di correzione automatica o "Sostituisci tutto" poiché alcune modifiche potrebbero non avere senso. Esamina ogni modifica proposta. Ad esempio, se dovessi usare la correzione automatica o "Sostituisci tutto" sulla parola "boot" per cambiare in "baule", questo avrebbe perfettamente senso nel contesto delle auto. Ma non avrebbe alcun senso nel contesto delle scarpe.

Consiglio finale:

Comprendi che devi pensare costantemente a cosa scrivi e a come scrivi mentre svolgi attività sensibili.

Comprendi che alterare il tuo stile di scrittura per tali scopi può in definitiva cambiare il tuo stile di scrittura di base, rendendo ironicamente la tua scrittura tracciabile per periodi più lunghi.

Correggi te stesso almeno una volta dopo aver finito di scrivere qualsiasi cosa per verificare di non aver commesso errori nel processo. Fidati (di te stesso) ma verifica comunque.

Link bonus:

https://www.whonix.org/wiki/Surfing_Posting_Blogging#Stylometry ^{[Archive.org]} : documentazione Whonix sulla stilometria.
https://wikipedia.org/wiki/Forensic_linguistics ^[Wikiless] ^{[Archive.org]} : Fornisce un breve riassunto delle basi della linguistica forense, non troppo informativo.
https://wikipedia.org/wiki/Writeprint ^[Wikiless] ^{[Archive.org]} : fornisce una breve e informativa riassunto della linguistica forense applicata alle indagini su Internet.
https://wikipedia.org/wiki/Stylometry ^[Wikiless] ^{[Archive.org]} : fornisce una breve panoramica della stilometria.
https://wikipedia.org/wiki/Content_similarity_detection ^[Wikiless] ^{[Archive.org]} : consiglierei di leggere questo, abbastanza informativo.
https://wikipedia.org/wiki/Author_profiling ^[Wikiless] ^{[Archive.org]} : leggi anche questo se sei interessato a questo argomento.
https://wikipedia.org/wiki/Native-language_identification ^[Wikiless] ^{[Archive.org]} : Questo è meno importante se usi un traduttore, ma se non usi un traduttore per comunicare su forum che non sono nella tua lingua madre lingua, considera di dare una rapida lettura.
https://wikipedia.org/wiki/Computational_linguistics ^[Wikiless] ^{[Archive.org]} : leggi questo argomento solo se questo argomento ti interessa.
https://regmedia.co.uk/2017/09/27/gal_vallerius.pdf ^{[Archive.org]} : Spiega come le autorità hanno utilizzato la linguistica forense per aiutare ad arrestare OxyMonster (pagine 13 – 14).
https://wikipedia.org/wiki/Ted_Kaczynski#After_publication ^[Wikiless] ^{[Archive.org]} : Potrebbe avere un QI di 167, ma è stato catturato principalmente sulla base della linguistica forense.
https://i.blackhat.com/USA-19/Wednesday/us-19-Wixey-Im-Unique-Just-Like-You-Human-Side-Channels-And-Their-Implications-For-Security-And- Privacy.pdf ^{[Archive.org]} : Spiega come utilizzare il tuo stile di scrittura per tracciarti, consiglio vivamente di leggere queste diapositive o di guardare la presentazione di accompagnamento su YouTube.
https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/DEFCON-26-Matt-Wixey-Betrayed-by-the-Keyboard-Updated.pdf ^{[Archive.org]} : Spiega come il tuo stile di scrittura può essere utilizzato per seguirti, consiglio vivamente di leggere queste diapositive o di guardare la presentazione di accompagnamento su YouTube, è abbastanza simile all'ultima presentazione.
https://i.blackhat.com/us-18/Wed-August-8/us-18-Wixey-Every-ROSE-Has-Its-Thorn-The-Dark-Art-Of-Remote-Online-Social- Engineering.pdf ^{[Archive.org]} : Questo spiega come individuare potenzialmente l'inganno attraverso Internet e presenta una lista di controllo per vedere quanto è affidabile qualcuno. Consiglierei di leggere le diapositive o di guardare la presentazione su YouTube.

Appendice A5: Ulteriori precauzioni per il browser con JavaScript abilitato

Per evitare l'impronta digitale del browser e dell'utente tramite JavaScript ma mantenendo JavaScript abilitato, è necessario osservare alcune misure di sicurezza aggiuntive almeno su alcuni siti Web:

Questi consigli sono simili a quelli all'inizio della guida e particolarmente validi per alcuni siti web. Per lo più, la raccomandazione è di utilizzare istanze front-end rispettose della privacy e servizi alternativi per una varietà di servizi:

Per i collegamenti YouTube, utilizza un'istanza Invidious ( https://github.com/iv-org/invidious ^{[Archive.org]} )
- Consiglio https://yewtu.be
Per i collegamenti Twitter, utilizza un'istanza Nitter ( https://github.com/zedeus/nitter ^{[Archive.org]} )
- Consiglio https://nitter.net
Per i collegamenti a Wikipedia, usa un'istanza Wikiless ( https://codeberg.org/orenom/wikiless ^{[Archive.org]} )
Per Reddit, usa un'istanza LibReddit ( https://github.com/spikecodes/libreddit ^{[Archive.org]} )
Per Mappe, considera l'utilizzo di https://www.openstreetmap.org
Per la traduzione, considera l'utilizzo di SimplyTranslate ( https://git.sr.ht/~metalune/simplytranslate_web ^{[Archive.org]} ) su https://translate.metalune.xyz/
Per i motori di ricerca utilizzare motori di ricerca incentrati sulla privacy come:
- Pagina iniziale: https://www.startpage.com/
- DuckDuckGo: https://duckduckgo.com/
- Istanze SearX ( https://searx.me/ ): elenco disponibile qui: https://searx.space/

(Facoltativo) Considera l'uso dell'estensione https://github.com/SimonBrazell/privacy-redirect ^{[Archive.org]} per automatizzare l'uso dei servizi di cui sopra.

Appendice A6: Specchi

Lo trovi online su:

Originale: https://anonymousplanet-ng.org
Specchio: https://mirror.anonymousplanet-ng.org
Specchio IPFS: https://ipfs.anonymousplanet-ng.org
Specchio Tor: http://thgtoa7imksbg7rit4grgijl2ef6kc7b56bp56pmtta4g354lydlzkqd.onion
Archive.org: https://web.archive.org/web/https://anonymousplanet-ng.org
Archive.today: https://archive.fo/anonymousplanet-ng.org
Archive.today su Tor: http://archiveiya74codqgiixo33q62qlrqtkgmcitqx5u2oeqnmn5bpcbiyd.onion/anonymousplanet-ng.org

Versioni offline (il miglior formato per la migliore leggibilità) di questa guida su:

PDF tema luce: https://anonymousplanet-ng.org/guide.pdf ^[Mirror] ^{[Archive.org]} ^{[Tor Mirror]}
PDF tema scuro: https://anonymousplanet-ng.org/guide-dark.pdf ^[Mirror] ^{[Archive.org]} ^{[Tor Mirror]}
Versione OpenDocument Text (ODT) su: https://anonymousplanet-ng.org/guide.odt ^[Mirror] ^{[Archive.org]} ^{[Tor Mirror]}
Tutto su CryptPad.fr https://cryptpad.fr/drive/#/2/drive/view/Ughm9CjQJCwB8BIppdtvj5zy4PyE-8Gxn11x9zaqJLI/

Appendice A7: Confronto tra versioni

Se vuoi confrontare una versione precedente del PDF con una versione più recente, considera questi strumenti online (nota che non approvo questi strumenti in relazione alle loro politiche sulla privacy, ma non dovrebbe importare poiché questi PDF sono pubblici):

Se desideri confrontare la versione precedente del formato ODT con una versione più recente, utilizza le funzionalità di confronto di LibreWriter come spiegato qui: https://help.libreoffice.org/7.1/en-US/text/shared/guide/redlining_doccompare. html ^{[Archivio.org]}

Appendice A8: Servizi di scambio di criptovalute senza registrazione e KYC

Scambio crittografico generale:

Salta alla sezione successiva per BTC a Monero. Non utilizzare i servizi di scambio per BTC su Monero.

Ecco un piccolo elenco di servizi di scambio di criptovalute non KYC, ricorda che hanno tutti un costo e commissioni:

https://sideshift.ai
https://bisq.network/
https://xchange.me/
https://swap.lightning-network.ro/
Kilo Swap (servizio nascosto delle cipolle): http://mlyusr6htlxsyc7t2f4z53wdxh3win7q3qpxcrbam6jf3dmua7tnzuyd.onion/coinswap

Considera di dare un'occhiata a https://kycnot.me/ che è un progetto open source che elenca scambi/servizi di scambio non KYC (repository su https://codeberg.org/pluja/kycnot.me ).

Solo da BTC a Monero:

Non utilizzare alcun servizio di scambio, usa la loro funzione Atomic Swap. Vedi questo strumento Monero Atomic Swap: https://unstoppableswap.net/ .

Ciò eviterà commissioni e intermediari non necessari quando si utilizza un servizio di scambio commerciale. Il sito Web è autoesplicativo con istruzioni dettagliate per tutti i sistemi operativi.

Appendice A9: Installazione di un portafoglio Zcash:

Ricorda che questo dovrebbe essere fatto solo in un ambiente sicuro come una macchina virtuale dietro il gateway Whonix.

Debian 11 VM:

Carica la macchina virtuale Debian
Apri un browser
Vai su https://packages.debian.org/buster/amd64/libindicator3-7/download e scarica da un mirror elencato.
Vai su https://packages.debian.org/buster/amd64/libappindicator3-1/download e scarica da un mirror elencato.
Vai al sito Web ZecWallet Lite per scaricare l'ultimo pacchetto DEB https://www.zecwallet.co/#download (cambia la directory di download in /home/user per comodità)
Aprire una finestra di Terminale ed eseguire i seguenti comandi (con la versione scaricata aggiornata, se necessario):
- **sudo dpkg -i ./libindicator3-7_0.5.0-4_amd64.deb**
- **sudo dpkg -i ./libappindicator3-1_0.4.92-7_amd64.deb**
- **sudo dpkg -i ./Zecwallet_Lite_1.7.5_amd64.deb**
Fai clic sul menu in alto a sinistra, trova e avvia ZecWallet Lite

Ubuntu 20.04/21.04/21.10 VM:

Carica la macchina virtuale Ubuntu
Apri un browser
Vai al sito Web ZecWallet Lite per scaricare l'ultimo pacchetto DEB https://www.zecwallet.co/#download
Apri una finestra di Terminale
Vai alla directory di download ed esegui il comando seguente (con la versione scaricata aggiornata, se necessario), ad esempio:sudo apt install ./Zecwallet_Lite_1.7.5_amd64.deb
Fai clic sul menu in alto a sinistra, trova e avvia ZecWallet Lite

Macchina virtuale Windows 10:

Carica la macchina virtuale Windows
Apri un browser
Vai a https://www.zecwallet.co/#download
Scarica e installa l'ultimo programma di installazione di Windows
Avvia ZecWallet Lite

Whonix Workstation 16 VM:

Carica la macchina virtuale Whonix Workstation
Apri Tor Browser
Vai su https://packages.debian.org/buster/amd64/libindicator3-7/download e scarica da un mirror elencato.
Vai su https://packages.debian.org/buster/amd64/libappindicator3-1/download e scarica da un mirror elencato.
Vai al sito Web ZecWallet Lite per scaricare l'ultimo pacchetto DEB https://www.zecwallet.co/#download (cambia la directory di download in /home/user per comodità)
Aprire una finestra di Terminale ed eseguire i seguenti comandi (con la versione scaricata aggiornata, se necessario):
- **sudo dpkg -i ./libindicator3-7_0.5.0-4_amd64.deb**
- **sudo dpkg -i ./libappindicator3-1_0.4.92-7_amd64.deb**
- **sudo dpkg -i ./Zecwallet_Lite_1.7.5_amd64.deb**
Fai clic sul menu in alto a sinistra e vai su Sviluppo, quindi avvia ZecWallet Lite

Ecco un elenco di cose da verificare prima di condividere informazioni con chiunque:

Controllare i file per eventuali metadati: vedere Rimozione di metadati da file/documenti/immagini
Controllare i file per qualsiasi cosa dannosa: vedere l' Appendice T: Controllo dei file per il malware
Controllare i file per eventuali filigrane: vedere Filigrana
Controllare eventuali scritti per possibili analisi forensi: vedere Appendice A4: Contrastare la linguistica forense
Dai un'occhiata a questa parte della documentazione Whonix: https://www.whonix.org/wiki/Surfing_Posting_Blogging#Anonymous_File_Sharing ^{[Archive.org]}
Valuta attentamente le potenziali conseguenze e i rischi della comunicazione di informazioni sensibili per te e per altri (legalmente, eticamente e moralmente). Ricorda... Non essere malvagio. Legale non è necessariamente buono.

Dopo aver curato i file per tutto ciò che vuoi tralasciare. Ricontrollali e persino triplicali. Quindi potresti considerare di inviarli a un'organizzazione come un'organizzazione di stampa o altri.

Appendice B2: Dichiarazione di non responsabilità di Monero

Per prima cosa, leggi questo piccolo video introduttivo a Monero: https://www.youtube.com/watch?v=H33ggs7bh8M ^[Invidious]

L'anonimato di Monero dipende dai suoi algoritmi crittografici. Se usi Monero da uno scambio KYC. Puoi essere quasi certo di essere al sicuro oggi. Ma potresti non essere nel futuro a lungo termine se gli algoritmi Monero dovessero mai rompere ⁵³⁵ (pensa al Quantum Computing). Tieni presente che le normative KYC potrebbero costringere gli operatori (come Crypto Exchanges) a conservare i tuoi record finanziari per un massimo di 10 anni e che, quindi, hai bisogno che gli algoritmi Monero non vengano violati anche per i prossimi 10 anni.

Potresti voler guardare questo video perspicace per maggiori dettagli: https://www.youtube.com/watch?v=j02QoI4ZlnU ^[Invidious]

Considera anche la lettura: https://github.com/monero-project/monero/blob/master/docs/ANONYMITY_NETWORKS.md#privacy-limitations ^{[Archive.org]}

Se ti senti più paranoico e desideri il massimo livello di sicurezza possibile, consulta l' opzione anonima Extra-Paranoid .

Usali a tuo rischio, inviare pagamenti in contanti a fornitori che accettano contanti (tramite il servizio postale) è sempre una soluzione migliore, se/quando possibile, IMHO.

Appendice B3: Risorse di modellazione delle minacce

Di seguito sono riportate varie risorse di modellazione delle minacce se si desidera approfondire la modellazione delle minacce.

(Il mio preferito) LINDDUN https://www.linddun.org/ ^{[Archive.org]}
STRIDE https://en.wikipedia.org/wiki/STRIDE_%28security%29 ^[Wikiless] ^{[Archive.org]}
PASTA https://versprite.com/tag/pasta-threat-modeling/ ^{[Archive.org]}

E ce ne sono anche molti altri, vedi:

Puoi trovare qualche introduzione su questi su questi progetti:

Manifesto sulla modellazione delle minacce: https://www.threatmodelingmanifesto.org/ ^{[Archive.org]}
OWASP: https://cheatsheetseries.owasp.org/cheatsheets/Threat_Modeling_Cheat_Sheet.html ^{[Archive.org]}
Sicurezza delle operazioni online: https://web.archive.org/web/202107111215728/https://github.com/devbret/online-OPSEC

Riferimenti:

Traduzione inglese del tedesco Telemedia Act https://www.huntonprivacyblog.com/wp-content/uploads/sites/28/2016/02/Telemedia_Act__TMA_.pdf ^{[Archive.org]} . Sezione 13, Articolo 6, “Il prestatore di servizi deve consentire l'uso di Telemedia e il pagamento per essi che avvenga in forma anonima o tramite uno pseudonimo ove ciò sia tecnicamente possibile e ragionevole. Il destinatario del servizio deve essere informato di questa possibilità. “. ↩ ↩ ²
Wikipedia, Real-Name System Germania https://en.wikipedia.org/wiki/Real-name_system#Germany ^[Wikiless] ^{[Archive.org]} ↩ ↩ ²
Wikipedia, Non essere malvagio https://en.wikipedia.org/wiki/Don%27t_be_evil ^[Wikiless] ^{[Archive.org]} ↩
YouTube, https://www.youtube.com/watch?v=6DGNZnfKYnU ^[Invidioso] ↩
Wikipedia, OSINT https://en.wikipedia.org/wiki/Open-source_intelligence ^[Wikiless] ^{[Archive.org]} ↩
Playlist di YouTube Internet Historian, HWNDU https://www.youtube.com/playlist?list=PLna1KTNJu3y09Tu70U6yPn28sekaNhOMY ^[Invidious] ↩
Wikipedia, 4chan https://en.wikipedia.org/wiki/4chan ^[Wikiless] ^{[Archive.org]} ↩
PIA, Vedi questo buon articolo sull'argomento https://www.privateinternetaccess.com/blog/how-does-privacy-differ-from-anonymity-and-why-are-both-important/ ^{[Archive.org]} (disclaimer : questa non è un'approvazione o una raccomandazione per questo servizio commerciale). ↩
Medium.com, Privacy, Blockchain e Onion Routing https://medium.com/unitychain/privacy-blockchain-and-onion-routing-d5609c611841 ^[Scribe.rip] ^{[Archive.org]} ↩
Questo nostro mondo, James Mickens https://scholar.harvard.edu/files/micens/files/thisworldofours.pdf ^{[Archive.org]} ↩ ↩ ²
XKCD, Sicurezza https://xkcd.com/538/ ^{[Archive.org]} ↩ ↩ ² ↩ ³
Wikipedia, Modello di minaccia https://en.wikipedia.org/wiki/Threat_model ^[Wikiless] ^{[Archive.org]} ↩
Bellingcat https://www.bellingcat.com/ ^{[Archive.org]} ↩
Wikipedia, Doxing https://en.wikipedia.org/wiki/Doxing ^[Wikiless] ^{[Archive.org]} ↩
YouTube, storico di Internet, The Bikelock Fugitive of Berkeley https://www.youtube.com/watch?v=muoR8Td44UE ^[Invidious] ↩
BBC News, Tor Mirror https://www.bbc.com/news/technology-50150981 ^{[Archive.org]} ↩
GitHub, siti Web Real World Onion https://github.com/alecmuffett/real-world-onion-sites ^{[Archive.org]} ↩
Tor Project, chi usa Tor https://2019.www.torproject.org/about/torusers.html.en ^{[Archive.org]} ↩
Documentazione Whonix, L'importanza dell'anonimato https://www.whonix.org/wiki/Anonymity ^{[Archive.org]} ↩
Femminismo geek, https://geekfeminism.wikia.org/wiki/Who_is_harmed_by_a_%22Real_Names%22_policy%3F ^{[Archive.org]} ↩
Progetto Tor, Utenti Tor https://2019.www.torproject.org/about/torusers.html.en ^{[Archive.org]} ↩
PrivacyHub, Internet Privacy nell'era della sorveglianza https://www.cyberghostvpn.com/privacyhub/internet-privacy-surveillance/ ^{[Archive.org]} ↩
Blog PIA, 50 statistiche chiave sulla libertà di Internet nel mondo https://www.privateinternetaccess.com/blog/internet-freedom-around-the-world-in-50-stats/ ^{[Archive.org]} ↩
Wikipedia, IANAL https://en.wikipedia.org/wiki/IANAL ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, fidati ma verifica https://en.wikipedia.org/wiki/Trust,_but_verify ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Modello di sicurezza Zero-trust https://en.wikipedia.org/wiki/Zero_trust_security_model ^[Wikiless] ^{[Archive.org]} ↩ ↩ ² ↩ ³
Wikipedia, indirizzo IP, https://en.wikipedia.org/wiki/indirizzo_IP ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia; Conservazione dei dati https://en.wikipedia.org/wiki/Data_retention ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Tor Anonymity Network https://en.wikipedia.org/wiki/Tor_(anonymity_network) ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, VPN https://en.wikipedia.org/wiki/Virtual_private_network ^[Wikiless] ^{[Archive.org]} ↩
Ieee.org, Anonymity Trilemma: Strong Anonymity, Low Bandwidth Overhead, Low Latency - Scegli due https://ieeexplore.ieee.org/document/8418599 ^{[Archive.org]} ↩
Wikipedia, DNS https://en.wikipedia.org/wiki/Domain_Name_System ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Blocco DNS https://en.wikipedia.org/wiki/DNS_blocking ^[Wikiless] ^{[Archive.org]} ↩
CensoredPlanet https://censoredplanet.org/ ^{[Archive.org]} ↩
Wikipedia, MITM https://en.wikipedia.org/wiki/Man-in-the-middle_attack ^[Wikiless] ^{[Archive.org]} ↩ ↩ ² ↩ ³
ArXiv, Caratterizzazione del traffico IoT Smart Home in natura https://arxiv.org/pdf/2001.08288.pdf ^{[Archive.org]} ↩
Labzilla.io, la tua Smart TV probabilmente sta ignorando il tuo Pi-Hole https://labzilla.io/blog/force-dns-pihole ^{[Archive.org]} ↩
Wikipedia, DNS su HTTPS: https://en.wikipedia.org/wiki/DNS_over_HTTPS ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, DNS su TLS, https://en.wikipedia.org/wiki/DNS_over_TLS ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Pi-Hole https://en.wikipedia.org/wiki/Pi-hole ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, SNI https://en.wikipedia.org/wiki/Server_Name_Indication ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, ECH, https://en.wikipedia.org/wiki/Server_Name_Indication#Encrypted_Client_Hello ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, eSNI https://en.wikipedia.org/wiki/Server_Name_Indication#Encrypted_Client_Hello ^[Wikiless] ^{[Archive.org]} ↩
Usenix.org, Sull'importanza di Encrypted-SNI (ESNI) per l'elusione della censura https://www.usenix.org/system/files/foci19-paper_chai_0.pdf ^{[Archive.org]} ↩
Wikipedia, CDN https://en.wikipedia.org/wiki/Content_delivery_network ^[Wikiless] ^{[Archive.org]} ↩
Cloudflare, arrivederci ESNI, ciao ECH! https://blog.cloudflare.com/encrypted-client-hello/ ^{[Archive.org]} ↩
ZDNET, la Russia vuole vietare l'uso di protocolli sicuri come TLS 1.3, DoH, DoT, ESNI https://www.zdnet.com/article/russia-want-to-ban-the-use-of-secure-protocols -such-as-tls-1-3-doh-dot-esni/ ^{[Archive.org]} ↩
ZDNET, in Cina, sta ora bloccando tutto il traffico HTTPS crittografato che utilizza TLS 1.3 ed ESNI https://www.zdnet.com/article/china-is-now-blocking-all-encrypted-https-traffic-using-tls-1- 3-and-esni/ ^{[Archive.org]} ↩
Wikipedia, OCSP https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol ^[Wikiless] ^{[Archive.org]} ↩
Madaidans Insecurities, perché il DNS crittografato è inefficace https://madaidans-insecurities.github.io/encrypted-dns.html ^{[Archive.org]} ↩
Wikipedia, Pinzatura OCSP https://en.wikipedia.org/wiki/OCSP_stapling ^[Wikiless] ^{[Archive.org]} ↩
Documentazione Chromium, CRLSet https://dev.chromium.org/Home/chromium-security/crlsets ^{[Archive.org]} ↩
ZDNet, Chrome migliora la revoca dei certificati https://www.zdnet.com/article/chrome-does-certificate-revocation-better/ ^{[Archive.org]} ↩
KUL, DNS crittografato=⇒Privacy? Una prospettiva di analisi del traffico https://www.esat.kuleuven.be/cosic/publications/article-3153.pdf ^{[Archive.org]} ↩
ResearhGate, DNS oblio: privacy pratica per le query DNS https://www.researchgate.net/publication/332893422_Oblivious_DNS_Practical_Privacy_for_DNS_Queries ^{[Archive.org]} ↩
Nymity.ch, L'effetto del DNS sull'anonimato di Tor https://nymity.ch/tor-dns/ ^{[Archive.org]} ↩
Wikipedia, RFID https://en.wikipedia.org/wiki/Radio-frequency_identification ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, NFC https://en.wikipedia.org/wiki/Near-field_communication ^[Wikiless] ^{[Archive.org]} ↩
Negozio online Samsonite, accessori RFID, https://shop.samsonite.com/accessories/rfid-accessories/ ^{[Archive.org]} ↩
Guida di Google Android, Servizi di localizzazione Android https://support.google.com/accounts/answer/3467281?hl=it ^{[Archive.org]} ↩
Supporto Apple, servizi di localizzazione e privacy https://support.apple.com/en-us/HT207056 ^{[Archive.org]} ↩
2016 Conferenza Internazionale su Indoor Positioning e Indoor Navigation, le sonde Wi-Fi come briciole digitali per la localizzazione della folla https://fly.isti.cnr.it/pub/papers/pdf/Wifi-probes-IPIN16.pdf ^{[Archive.org]} ↩
Università del sud-est di Nanchino, Identificazione del dispositivo basata su richiesta sonda Attacco e difesa https://www.ncbi.nlm.nih.gov/pmc/articles/PMC7472341/ ^{[Archive.org]} ↩
Medium.com, I pericoli delle richieste di sonda https://medium.com/@brannondorsey/wi-fi-is-broken-3f6054210fa5 ^[Scribe.rip] ^{[Archive.org]} ↩
State University di New York, verso la costruzione 3D della posa umana tramite Wi-Fi https://cse.buffalo.edu/~lusu/papers/MobiCom2020.pdf ^{[Archive.org]} ↩
Digi.Ninja, Jasager https://digi.ninja/jasager/ ^{[Archive.org]} ↩
Negozio Hak5, Wi-Fi Ananas https://shop.hak5.org/products/wifi-pineapple ^{[Archive.org]} ↩
Wikipedia, Deautenticazione Attack https://en.wikipedia.org/wiki/Wi-Fi_deauthentication_attack ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Capture Portal https://en.wikipedia.org/wiki/Captive_portal ^[Wikiless] ^{[Archive.org]} ↩
Blog HackerFactor, Deanonymizing-Tor Circuits https://www.hackerfactor.com/blog/index.php?/archives/868-Deanonymizing-Tor-Circuits.html ^{[Archive.org]} ↩
KU Leuven, Fingerprinting del sito Web tramite Deep Learning https://distrinet.cs.kuleuven.be/software/tor-wf-dl/ ^{[Archive.org]} ↩
KU Leuven, Deep Fingerprinting: indebolire le difese dell'impronta digitale del sito Web con il deep learning https://homes.esat.kuleuven.be/~mjuarezm/index_files/pdf/ccs18.pdf ^{[Archive.org]} ↩
Internet Society, Fingerprinting di siti Web su Internet Scale https://www.internetsociety.org/sites/default/files/blogs-media/website-fingerprinting-internet-scale.pdf ^{[Archive.org]} ↩
KU Leuven, A Critical Evaluation of Website Fingerprinting Attacks https://www.esat.kuleuven.be/cosic/publications/article-2456.pdf ^{[Archive.org]} ↩
DailyDot, come Tor ha aiutato a catturare il sospetto della minaccia di una bomba di Harvard https://www.dailydot.com/unclick/tor-harvard-bomb-suspect/ ^{[Archive.org]} ↩
ArsTechnica, Come la NSA può rompere trilioni di connessioni Web e VPN crittografate https://arstechnica.com/information-technology/2015/10/how-the-nsa-can-break-tillions-of-encrypted-web-and- connessioni-vpn/ ^{[Archive.org]} ↩
Wikipedia, Sybil Attack https://en.wikipedia.org/wiki/Sybil_attack ^[Wikiless] ^{[Archive.org]} ↩
ArsTechnica, Tor fornisce più benefici o danni? Il nuovo documento dice che dipende https://arstechnica.com/gadgets/2020/11/does-tor-provide-more-benefit-or-harm-new-paper-says-it-depends/ ^{[Archive.org]} ↩
ResearchGate, I potenziali danni del cluster della rete di anonimato Tor in modo sproporzionato nei paesi liberi https://www.pnas.org/content/early/2020/11/24/2011893117 ^{[Archive.org]} ↩
CryptoEngineering, come fa Apple (in privato) a trovare i tuoi dispositivi offline? https://blog.cryptographyengineering.com/2019/06/05/how-does-apple-privately-find-your-offline-devices/ ^{[Archive.org]} ↩
Supporto Apple https://support.apple.com/en-us/HT210515 ^{[Archive.org]} ↩
XDA, l'app Find My Mobile di Samsung è in grado di localizzare i dispositivi Galaxy anche quando sono offline https://www.xda-developers.com/samsung-find-my-mobile-app-locate-galaxy-devices-offline/ ^{[Archive. org]} ↩
Supporto Apple, in caso di smarrimento o furto del tuo Mac https://support.apple.com/en-us/HT204756 ^{[Archive.org]} ↩
Wikipedia, BLE https://en.wikipedia.org/wiki/Bluetooth_Low_Energy ^[Wikiless] ^{[Archive.org]} ↩
Blog sull'ingegneria della crittografia, come fa Apple (privatamente) a trovare i tuoi dispositivi offline? https://blog.cryptographyengineering.com/2019/06/05/how-does-apple-privately-find-your-offline-devices/ ^{[Archive.org]} ↩
Wikipedia, IMEI https://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, IMSI https://en.wikipedia.org/wiki/International_mobile_subscriber_identity ^[Wikiless] ^{[Archive.org]} ↩
Documentazione Android, identificatori di dispositivo https://source.android.com/devices/tech/config/device-identifiers ^{[Archive.org]} ↩
Informativa sulla privacy di Google, cerca l'IMEI https://policies.google.com/privacy/embedded?hl=en-US ^{[Archive.org]} ↩
Wikipedia, IMEI e la legge https://en.wikipedia.org/wiki/International_Mobile_Equipment_Identity#IMEI_and_the_law ^[Wikiless] ^{[Archive.org]} ↩
Bellingcat, The GRU Globetrotters: Mission London https://www.bellingcat.com/news/uk-and-europe/2019/06/28/the-gru-globetrotters-mission-london/ ^{[Archive.org]} ↩
Bellingcat,”V” per “Vympel”: Il dipartimento segreto dell'FSB “V” dietro l'assassinio di un richiedente asilo georgiano in Germania https://www.bellingcat.com/news/uk-and-europe/2020/02/17/v- like-vympel-fsbs-secretive-department-v-behind-assassination-of-zelimkhan-khangoshvili/ ^{[Archive.org]} ↩
Wikipedia, CCTV https://en.wikipedia.org/wiki/Closed-circuit_television ^[Wikiless] ^{[Archive.org]} ↩
Apple, Rapporto sulla trasparenza, Richieste di dispositivi https://www.apple.com/legal/transparency/device-requests.html ^{[Archive.org]} ↩
The Intercept, come i poliziotti possono rintracciare segretamente il tuo telefono https://theintercept.com/2020/07/31/protests-surveillance-stingrays-dirtboxes-phone-tracking/ ^{[Tor Mirror]} ^{[Archive.org]} ↩
Wikipedia, IMSI Catcher https://en.wikipedia.org/wiki/IMSI-catcher ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Stingray https://en.wikipedia.org/wiki/Stingray_phone_tracker ^[Wikiless] ^{[Archive.org]} ↩
Gizmodo, i poliziotti si rivolgono a una società canadese di localizzazione telefonica dopo che le famigerate "Stingrays" sono diventate "obsolete" https://gizmodo.com/american-cops-turns-to-canadian-phone-tracking-firm-aft-1845442778 ^{[Archive.org ]} ↩
Purismo, Librem 5 https://shop.puri.sm/shop/librem-5/ ^{[Archive.org]} ↩
Wikipedia, indirizzo MAC https://en.wikipedia.org/wiki/MAC_address ^[Wikiless] ^{[Archive.org]} ↩
Scheda prodotto Acyclica Road Trend, https://amsignalinc.com/data-sheets/Acyclica/Acyclica-RoadTrend-Product-Sheet.pdf ^{[Archive.org]} ↩
ResearchGate, monitoraggio di dispositivi Bluetooth anonimizzati https://www.researchgate.net/publication/334590931_Tracking_Anonymized_Bluetooth_Devices/fulltext/5d3308db92851cd04675a469/Tracking-Anonymized-Bluetooth-Devices.pdf ^{[Archive.org]} ↩
Wikipedia, CPU https://en.wikipedia.org/wiki/Central_processing_unit ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Intel Management Engine https://en.wikipedia.org/wiki/Intel_Management_Engine ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Processore di sicurezza della piattaforma AMD https://en.wikipedia.org/wiki/AMD_Platform_Security_Processor ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, IME, vulnerabilità di sicurezza https://en.wikipedia.org/wiki/Intel_Management_Engine#Security_vulnerabilities ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, IME, Assertions that ME is a backdoor https://en.wikipedia.org/wiki/Intel_Management_Engine#Assertions_that_ME_is_a_backdoor ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, IME, Disabilitazione della ME https://en.wikipedia.org/wiki/Intel_Management_Engine#Disabling_the_ME ^[Wikiless] ^{[Archive.org]} ↩
Libreboot, https://libreboot.org/ ^{[Archive.org]} / Coreboot, https://www.coreboot.org/ ^{[Archive.org]} ↩
Trinity College Dublin, Privacy dei cellulari: misurare i dati iOS e Android Invia ad Apple e Google https://www.scss.tcd.ie/doug.leith/apple_google.pdf ^{[Archive.org]} ↩ ↩ ²
Apple, White paper sulla privacy differenziale https://www.apple.com/privacy/docs/Differential_Privacy_Overview.pdf ^{[Archive.org]} ↩
Wikipedia, Privacy differenziale https://en.wikipedia.org/wiki/Differential_privacy ^[Wikiless] ^{[Archive.org]} ↩
Continuando Ed, The All-Seeing "i": Apple ha appena dichiarato guerra alla tua privacy https://edwardsnowden.substack.com/p/all-seeing-i ^{[Archive.org]} ↩
Reuters, Exclusive: Apple ha abbandonato il piano per crittografare i backup dopo che l'FBI si è lamentato – fonti https://www.migration.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT ^{[Archive.org]} ↩
ZDnet, ho chiesto ad Apple tutti i miei dati. Ecco cosa è stato rispedito https://www.zdnet.com/article/apple-data-collection-stored-request/ ^{[Archive.org]} ↩
De Correspondent, Ecco come abbiamo trovato i nomi e gli indirizzi di soldati e agenti segreti utilizzando una semplice app di fitness https://decorrespondent.nl/8481/heres-how-we-found-the-names-and-addresses-of-soldiers -and-secret-agents-using-a-simple-fitness-app/412999257-6756ba27 ^{[Archive.org]} ↩
Website Planet, Report: la violazione dei dati del fitness tracker ha rivelato 61 milioni di record e dati degli utenti online https://www.websiteplanet.com/blog/gethealth-leak-report/ ^{[Archive.org]} ↩
Wired, The Strava Heat Map e la fine dei segreti https://www.wired.com/story/strava-heat-map-military-bases-fitness-trackers-privacy/ ^{[Archive.org]} ↩
Bellingcat, Come utilizzare e interpretare i dati dalla mappa delle attività di Strava https://www.bellingcat.com/resources/how-tos/2018/01/29/strava-interpretation-guide/ ^{[Archive.org]} ↩
The Guardian, l'app di monitoraggio del fitness Strava rivela la posizione delle basi segrete dell'esercito americano https://www.theguardian.com/world/2018/jan/28/fitness-tracking-app-gives-away-location-of-secret-us -basi dell'esercito ^{[Archive.org]} ↩
Telegraph, l'app in esecuzione rivela le posizioni degli agenti dei servizi segreti nell'MI6 e nel GCHQ https://www.telegraph.co.uk/technology/2018/07/08/running-app-exposes-mi6-gchq-workers-whereabouts/ ^{[Archivio .org]} ↩
Washington Post, Alexa ti ha intercettato per tutto questo tempo https://www.washingtonpost.com/technology/2019/05/06/alexa-has-been-eavesdropping-you-this-whole-time/?itid=lk_interstitial_manual_59 ^{[Archivio.org]} ↩
Washington Post, cosa sa di te la tua macchina? Abbiamo hackerato una Chevy per scoprirlo https://www.washingtonpost.com/technology/2019/12/17/what-does-your-car-know-about-you-we-hacked-chevy-find-out/ ^{[ Archivio.org
]} ↩
Utilizzo dei metadati per trovare Paul Revere ( https://kieranhealy.org/blog/archives/2013/06/09/using-metadata-to-find-paul-revere/ ^{[Archive.org]} ) ↩
Wikipedia, Google SensorVault, https://en.wikipedia.org/wiki/Sensorvault ^[Wikiless] ^{[Archive.org]} ↩
NRKBeta, il mio telefono mi stava spiando, quindi ho rintracciato i sorveglianti https://nrkbeta.no/2020/12/03/my-phone-was-spying-on-me-so-i-tracked-down-the -sorveglianti/ ^{[Archive.org]} ↩
New York Times https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html ^{[Archive.org]} ↩
Sophos, i dati di Google mettono un innocente sulla scena di un crimine https://nakedsecurity.sophos.com/2020/03/10/google-data-puts-innocent-man-at-the-scene-of-a-crime / ^{[Archivio.org]} ↩
Wikipedia, Geofence Warrant https://en.wikipedia.org/wiki/Geo-fence_warrant ^[Wikiless] ^{[Archive.org]} ↩
Vice.com, l'unità militare che conduce attacchi con i droni ha acquistato i dati sulla posizione da app ordinarie https://www.vice.com/en/article/y3g97x/location-data-apps-drone-strikes-iowa-national-guard ^{[Archive. org]} ↩
TechCrunch, Google afferma che i mandati di geofence costituiscono un quarto di tutte le richieste degli Stati Uniti https://techcrunch.com/2021/08/19/google-geofence-warrants/ ^{[Archive.org]} ↩
TechDirt, il rapporto di Google mostra che i "Reverse Warrant" stanno rapidamente diventando lo strumento investigativo di riferimento delle forze dell'ordine https://www.techdirt.com/articles/20210821/10494847401/google-report-shows-reverse-warrants-are-swiftly-becoming -law-forcements-go-to-investigative-tool.shtml ^{[Archive.org]} ↩
Vice.com, ecco la guida interna dell'FBI per ottenere dati da AT&T, T-Mobile, Verizon https://www.vice.com/en/article/m7vqkv/how-fbi-gets-phone-data-att-tmobile- verizon ^{[Archive.org]} ↩
Wikipedia, Room 641A https://en.wikipedia.org/wiki/Room_641A ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Edward Snowden https://en.wikipedia.org/wiki/Edward_Snowden ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Documento permanente https://en.wikipedia.org/wiki/Permanent_Record_(autobiografia) ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, XKEYSCORE https://en.wikipedia.org/wiki/XKeyscore ^[Wikiless] ^{[Archive.org]} ↩
ElectroSpaces, l'intelligence militare danese utilizza XKEYSCORE per intercettare i cavi in collaborazione con la NSA https://www.electrospaces.net/2020/10/danish-military-intelligence-uses.html ^{[Archive.org]} ↩
Wikipedia, MUSCOLARE https://en.m.wikipedia.org/wiki/MUSCULAR_(surveillance_program) ^{[Archive.org]} ↩
Wikipedia, SORM https://en.wikipedia.org/wiki/SORM ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Tempora https://en.wikipedia.org/wiki/Tempora ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, PRISM https://en.wikipedia.org/wiki/PRISM_(surveillance_program) ^[Wikiless] ^{[Archive.org]} ↩
Justsecurity, Generale Hayden https://www.justsecurity.org/10318/video-clip-director-nsa-cia-we-kill-people-based-metadata/ ^{[Archive.org]} ↩
IDMB, Il dilemma sociale https://www.imdb.com/title/tt11464826/ ^{[Archive.org]} ↩
ArsTechnica, Come il modo in cui scrivi può distruggere l'anonimato, anche su Tor https://arstechnica.com/information-technology/2015/07/how-the-way-you-type-can-shatter-anonymity-even-on- tor/ ^{[Archive.org]} ↩
Wikipedia, Stilometria https://en.wikipedia.org/wiki/Stylometry ^[Wikiless] ^{[Archive.org]} ↩
Blog di Paul Moore, Profilo comportamentale: la password che non puoi cambiare. https://paul.reviews/behavioral-profiling-the-password-you-cant-change/ ^{[Archive.org]} ↩
Wikipedia, Analisi del sentimento, https://en.wikipedia.org/wiki/Sentiment_analysis ^[Wikiless] ^{[Archive.org]} ↩
EFF CoverYourTracks, https://coveryourtracks.eff.org/ ^{[Archive.org]} ↩
Berkeley.edu, Sulla fattibilità dell'identificazione dell'autore su scala Internet https://people.eecs.berkeley.edu/~dawnsong/papers/2012%20On%20the%20Feasibility%20of%20Internet-Scale%20Author%20Identification.pdf ^{[ Archivio.org
]} ↩
Esclusiva Forbes: il governo ordina segretamente a Google di identificare chiunque abbia cercato il nome, l'indirizzo e il numero di telefono di una vittima di aggressione sessuale https://www.forbes.com/sites/thomasbrewster/2021/10/04/google-keyword-warrants-give -us-government-data-on-search-users ^{[Archive.org]} ↩
FingerprintJS, Demo: disabilitare JavaScript non ti salverà dalle impronte digitali https://fingerprintjs.com/blog/disabling-javascript-wont-stop-fingerprinting/ ^{[Archive.org]} ↩
Blog SecuredTouch, biometria comportamentale 101: biometria comportamentale vs. analisi comportamentale https://blog.securedtouch.com/behavioral-biometrics-101-an-in-depth-look-at-behavioral-biometrics-vs-behavioral-analytics ^{[Archivio .org]} ↩
Wikipedia, Captcha https://en.wikipedia.org/wiki/CAPTCHA ^[Wikiless] ^{[Archive.org]} ↩ ↩ ²
ArsTechnica, Stakeout: come l'FBI ha rintracciato e arrestato un Chicago Anon https://arstechnica.com/tech-policy/2012/03/stakeout-how-the-fbi-tracked-and-busted-a-chicago-anon/ ^{[ Archivio.org
]} ↩
Bellingcat MH17 - Il comandante russo del GRU 'Orion' identificato come Oleg Ivannikov https://www.bellingcat.com/news/uk-and-europe/2018/05/25/mh17-russian-gru-commander-orion-identified-oleg -ivannikov/ ^{[Archive.org]} ↩
Facebook Research, Deepface https://research.fb.com/publications/deepface-closing-the-gap-to-human-level-performance-in-face-verification/ ^{[Archive.org]} ↩
Privacy News Online, Mettere la “faccia” a Facebook: come Mark Zuckerberg sta costruendo un mondo senza anonimato pubblico https://www.privateinternetaccess.com/blog/putting-face-facebook-mark-zuckerberg-building-world-without- anonimato pubblico/ ^{[Archive.org]} ↩
CNBC, "Facebook ha mappato le popolazioni in 23 paesi mentre esplora i satelliti per espandere Internet" https://www.cnbc.com/2017/09/01/facebook-has-mapped-human-population-building-internet-in- spazio.html ^{[Archivio.org]} ↩
MIT Technology Review, Ecco come abbiamo perso il controllo dei nostri volti, https://www.technologyreview.com/2021/02/05/1017388/ai-deep-learning-facial-recognition-data-history/ ^{[Archive.org ]} ↩
Bellingcat, Shadow of a Doubt: Crowdsourcing Time Verification of the MH17 Missile Launch Photo https://www.bellingcat.com/resources/case-studies/2015/08/07/shadow-of-a-doubt/ ^{[Archive.org ]} ↩
Brown Institute, Indagine Open-Source, https://brown.columbia.edu/open-source-investigation/ ^{[Archive.org]} ↩
NewScientist, Facebook può riconoscerti nelle foto anche se non stai guardando https://www.newscientist.com/article/dn27761-facebook-can-recognise-you-in-photos-anche-se-non-cerchi / ^{[Archivio.org]} ↩
Brevetto Google, Tecniche per il rilevamento delle emozioni e la distribuzione di contenuti https://patents.google.com/patent/US20150242679 ^{[Archive.org]} ↩
APNews, la tecnologia cinese di "riconoscimento dell'andatura" identifica le persone in base a come camminano https://apnews.com/article/bf75dd1c26c947b7826d270a16e2658a ^{[Archive.org]} ↩
The Sun, la nuova tecnologia CCTV ora potrebbe identificarti solo dal MODO in cui cammini e dalla forma del tuo corpo https://www.thesun.co.uk/news/7684204/cctv-technology-identify-body-shape-way-walk/ ^{[Archivio.org]} ↩
City Security Magazine, Riconoscimento dell'andatura: un utile strumento di identificazione https://citysecuritymagazine.com/security-management/gait-recognition-identification-tool/ ^{[Archive.org]} ↩
Vice.com, le aziende tecnologiche stanno formando l'IA per leggere le tue labbra https://www.vice.com/en/article/bvzvdw/tech-companies-are-training-ai-to-read-your-lips ^{[Archive.org ]} ↩
New Atlas, Eye tracking può rivelare un'incredibile quantità di informazioni su di te https://newatlas.com/science/science/eye-tracking-privacy/ ^{[Archive.org]} ↩
TechCrunch, il riconoscimento facciale rivela che il partito politico è in una nuova ricerca preoccupante https://techcrunch.com/2021/01/13/facial-recognition-reveals-political-party-in-troubling-new-research/ ^{[Archive.org]} ↩
Nature.com, la tecnologia di riconoscimento facciale può esporre l'orientamento politico dalle immagini facciali naturalistiche https://www.nature.com/articles/s41598-020-79310-1 ^{[Archive.org]} ↩
Slate https://slate.com/technology/2018/04/facebook-collects-data-on-non-facebook-users-if-they-want-to-delete-it-they-have-to-sign-up .html ^{[Archivio.org]} ↩
La conversazione https://theconversation.com/shadow-profiles-facebook-knows-about-you-even-if-youre-not-on-facebook-94804 ^{[Archive.org]} ↩
The Verge https://www.theverge.com/2018/4/11/17225482/facebook-shadow-profiles-zuckerberg-congress-data-privacy ^{[Archive.org]} ↩
ZDNET https://www.zdnet.com/article/anger-mounts-after-facebooks-shadow-profiles-leak-in-bug/ ^{[Archive.org]} ↩
CNET https://www.cnet.com/news/shadow-profiles-facebook-has-information-you-didnt-handover/ ^{[Archive.org]} ↩
Anyvision https://www.anyvision.co/ ^{[Archive.org]} ↩
BuzzFeed.news, Surveillance Nation https://www.buzzfeednews.com/article/ryanmac/clearview-ai-local-police-facial-recognition ^{[Archive.org]} ↩
Wired, Clearview AI ha nuovi strumenti per identificarti nelle foto https://www.wired.com/story/clearview-ai-new-tools-identify-you-photos/ ^{[Archive.org]} ↩
NEC, Neoface https://www.nec.com/en/global/solutions/biometrics/face/neofacewatch.html ^{[Archive.org]} ↩
The Guardian, la polizia del Met implementa una tecnologia di riconoscimento facciale in tempo reale https://www.theguardian.com/uk-news/2020/feb/11/met-police-deploy-live-facial-recognition-technology ^{[Archive.org]} ↩
YouTube, The Economist, Cina: riconoscimento facciale e controllo statale https://www.youtube.com/watch?v=lH2gMNrUuEY ^[Invidious] ↩
CNN, vuoi il tuo sussidio di disoccupazione? Potrebbe essere necessario inviare prima il riconoscimento facciale https://edition.cnn.com/2021/07/23/tech/idme-unemployment-facial-recognition/index.html ^{[Archive.org]} ↩
Washington Post, Huawei ha testato un software di intelligenza artificiale in grado di riconoscere le minoranze uiguri e allertare la polizia, afferma il rapporto https://www.washingtonpost.com/technology/2020/12/08/huawei-tested-ai-software-that-could-recognize- uighur-minorities-alert-police-report-says/ ^{[Archive.org]} ↩
L'intercettazione, come una mancata corrispondenza nel riconoscimento facciale può rovinarti la vita https://theintercept.com/2016/10/13/how-a-facial-recognition-mismatch-can-ruin-your-life/ ^{[Tor Mirror]} ^{[Archivio .org]} ↩
Vice, i fallimenti di riconoscimento facciale stanno bloccando le persone fuori dai sistemi di disoccupazione https://www.vice.com/en/article/5dbywn/facial-recognition-failures-are-locking-people-out-of-unemployment-systems ^{[Archivio. org]} ↩
BBC, spacciatore fotografico WhatsApp catturato da un lavoro "innovativo" https://www.bbc.com/news/uk-wales-43711477 ^{[Archive.org]} ↩
CNN, spacciatore incarcerato dopo aver condiviso una foto di formaggio che includeva le sue impronte digitali https://edition.cnn.com/2021/05/25/uk/drug-dealer-cheese-sentenced-scli-gbr-intl/index.html ^{[Archivio.org]} ↩
Vice.com, i poliziotti hanno ottenuto le impronte digitali di uno spacciatore dalle foto della sua mano su WhatsApp https://www.vice.com/en/article/evqk9e/photo-of-fingerprints-used-to-arrest-drug-dealers ^{[Archivio .org]} ↩
Blog Kraken, https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/ ^{[Archive.org]} ↩
Brevetto JUSTIA, Identificazione degli attributi del gusto da un segnale audio https://patents.justia.com/patent/10891948 ^{[Archive.org]} ↩
PYMNTS, Iris Scan funge da ID viaggiatore all'aeroporto di Dubai https://www.pymnts.com/news/biometrics/2021/iris-scan-traveler-identification-dubai-airport/ ^{[Archive.org]} ↩
IMDB, Gattaca 1997, https://www.imdb.com/title/tt0119177/ ^{[Archive.org]} ↩
IMDB, Persona di interesse 2011 https://www.imdb.com/title/tt1839578 ^{[Archive.org]} ↩
IMDB, Rapporto sulle minoranze 2002, https://www.imdb.com/title/tt0181689 ^{[Archive.org]} ↩
Wikipedia, Deepfake https://en.wikipedia.org/wiki/Deepfake ^[Wikiless] ^{[Archive.org]} ↩
Econotimes, tecnologia vocale Deepfake: il bene. Il cattivo. Il futuro https://www.econotimes.com/Deepfake-Voice-Technology-The-Good-The-Bad-The-Future-1601278 ^{[Archive.org]} ↩
Wikipedia, Eventi Deepfake https://en.wikipedia.org/wiki/Deepfake#Example_events ^[Wikiless] ^{[Archive.org]} ↩
Forbes, A Voice Deepfake è stato utilizzato per truffare un CEO per $ 243.000 https://www.forbes.com/sites/jessedamiani/2019/09/03/a-voice-deepfake-was-used-to-scam-a- ceo-out-of-243000/ ^{[Archive.org]} ↩
Joseph Steinberg, Come impedire alla tecnologia di riconoscimento facciale di identificarti https://josephsteinberg.com/how-to-prevent-facial-recognition-technology-from-identifying-you/ ^{[Archive.org]} ↩
NIST, Precisione del riconoscimento facciale con maschere utilizzando algoritmi pre-COVID-19 https://nvlpubs.nist.gov/nistpubs/ir/2020/NIST.IR.8311.pdf ^{[Archive.org]} ↩
BBC, il riconoscimento facciale identifica le persone che indossano maschere https://www.bbc.com/news/technology-55573802 ^{[Archive.org]} ↩
Università del Wisconsin, Exploring Reflectacles As Anti-Surveillance Glasses and for Adversarial Machine Learning in Computer Vision https://diglib.uwgb.edu/digital/api/collection/p17003coll4/id/71/download ^{[Archive.org]} ↩
Wikipedia, Phishing https://en.wikipedia.org/wiki/Phishing ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Ingegneria Sociale https://en.wikipedia.org/wiki/Social_engineering_(security) ^[Wikiless] ^{[Archive.org]} ↩
BBC, i pixel spia nelle e-mail sono diventati endemici https://www.bbc.com/news/technology-56071437 ^{[Archive.org]} ↩
Vice, Facebook ha aiutato l'FBI a hackerare un bambino predatore https://www.vice.com/en/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez ^{[Archive.org]} ↩
Wikipedia, Exploit https://en.wikipedia.org/wiki/Exploit_(computer_security) ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Freedom Hosting https://en.wikipedia.org/wiki/Freedom_Hosting ^[Wikiless] ^{[Archive.org]} ↩
Wired, 2013 FBI ammette di aver controllato i server Tor dietro un attacco di malware di massa https://www.wired.com/2013/09/freedom-hosting-fbi/ ^{[Archive.org]} ↩
Wikipedia, 2020 Violazione dei dati del governo federale degli Stati Uniti https://en.wikipedia.org/wiki/2020_United_States_federal_government_data_breach ^[Wikiless] ^{[Archive.org]} ↩
BBC, social media cinesi: WeChat e Surveillance State https://www.bbc.com/news/blogs-china-blog-48552907 ^{[Archive.org]} ↩
The Intercept, Revealed: Massive database della polizia cinese https://theintercept.com/2021/01/29/china-uyghur-muslim-surveillance-police/ ^{[Tor Mirror]} ^{[Archive.org]} ↩
Wikipedia, Sandbox https://en.wikipedia.org/wiki/Sandbox_(computer_security) ^[Wikiless] ^{[Archive.org]} ↩
Wired, perché la sicurezza dell'USB è fondamentalmente interrotta https://www.wired.com/2014/07/usb-security/ ^{[Archive.org]} ↩
Wikipedia, Stuxnet https://en.wikipedia.org/wiki/Stuxnet ^[Wikiless] ^{[Archive.org]} ↩
Superuser.com, Come posso indagare in sicurezza su una chiavetta USB trovata nel parcheggio al lavoro? https://superuser.com/questions/1206321/how-do-i-safely-investigate-a-usb-stick-found-in-the-parking-lot-at-work ^{[Archive.org]} ↩
The Guardian, Glenn Greenwald: come la NSA manomette i router Internet di fabbricazione statunitense https://www.theguardian.com/books/2014/may/12/glenn-greenwald-nsa-tampers-us-internet-routers-snowden ^{[ Archivio.org
]} ↩
Wikipedia, Rootkit https://en.wikipedia.org/wiki/Rootkit ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Userspace https://en.wikipedia.org/wiki/User_space ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Firmware https://en.wikipedia.org/wiki/Firmware ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, BIOS https://en.wikipedia.org/wiki/BIOS ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, UEFI https://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface ^[Wikiless] ^{[Archive.org]} ↩
Bellingcat, Joseph Mifsud: Rush for the EXIF https://www.bellingcat.com/news/americas/2018/10/26/joseph-mifsud-rush-exif/ ^{[Archive.org]} ↩
Supporto per lo zoom, aggiunta di una filigrana https://support.zoom.us/hc/en-us/articles/209605273-Adding-a-Watermark ^{[Archive.org]} ↩
Supporto zoom, filigrana audio https://support.zoom.us/hc/en-us/articles/360021839031-Audio-Watermark ^{[Archive.org]} ↩
Estensione CreativeCloud, IMATAG https://exchange.adobe.com/creativecloud.details.101789.imatag-invisible-watermark-and-image-monitoring.html ^{[Archive.org]} ↩
NexGuard, https://dtv.nagra.com/nexguard-forensic-watermarking ^{[Archive.org]} ↩
Soluzioni Vobili, https://www.vobilegroup.com/ ^{[Archive.org]} ↩
Cinavia, https://www.cinavia.com/languages/english/pages/technology.html ^{[Archive.org]} ↩
Imatag, https://www.imatag.com/ ^{[Archive.org]} ↩
Wikipedia, Steganografia https://en.wikipedia.org/wiki/Steganografia ^[Wikiless] ^{[Archive.org]} ↩
IEEExplore, uno schema di steganografia resistente alla compressione JPEG per immagini grafiche raster https://ieeexplore.ieee.org/document/4428921 ^{[Archive.org]} ↩
ScienceDirect, filigrana audio robusta utilizzando il mascheramento percettivo https://www.sciencedirect.com/science/article/abs/pii/S0165168498000140 ^{[Archive.org]} ↩
IEEExplore, filigrana a spettro diffuso di segnali audio https://ieeexplore.ieee.org/abstract/document/1188746 ^{[Archive.org]} ↩
Google Scholar, identificazione della fotocamera sorgente https://scholar.google.com/scholar?q=source+camera+identification ^{[Archive.org]} ↩
Wikipedia, Steganografia della stampa https://en.wikipedia.org/wiki/Machine_Identification_Code ^[Wikiless] ^{[Archive.org]} ↩
MIT, SeeingYellow, https://seeingyellow.com/ ^{[Archive.org]} ↩
arXiv, Un'analisi dell'anonimato nel sistema Bitcoin https://arxiv.org/abs/1107.4524 ^{[Archive.org]} ↩
Bellingcat, Come monitorare le campagne di finanziamento illegale tramite criptovaluta, https://www.bellingcat.com/resources/how-tos/2019/03/26/how-to-track-illegal-funding-campaigns-via-cryptocurrency/ ^{[ Archivio.org
]} ↩
CoinDesk, diapositive trapelate mostrano come Chainalysis segnala i sospetti crittografici per i poliziotti https://www.coindesk.com/business/2021/09/21/leaked-slides-show-how-chainalysis-flags-crypto-suspects-for-cops/ ^{[Archivio.org]} ↩
Wikipedia, KYC https://en.wikipedia.org/wiki/Know_your_customer ^[Wikiless] ^{[Archive.org]} ↩ ↩ ² ↩ ³
arXiv.org, Sondare il mistero del furto di criptovaluta: un'indagine sui metodi per l'analisi delle contaminazioni https://arxiv.org/pdf/1906.05754.pdf ^{[Archive.org]} ↩
YouTube, Breaking Monero https://www.youtube.com/watch?v=WOyC6OB6ezA&list=PLsSYUeVwrHBnAUre2G_LYDsdo-tD0ov-y ^[Invidious] ↩
Monero, Monero vs Princeton Researchers, https://monero.org/monero-vs-princeton-researchers/ ^{[Archive.org]} ↩
Wikipedia, bicchiere di criptovaluta https://en.wikipedia.org/wiki/Cryptocurrency_tumbler ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Sicurezza attraverso l'oscurità https://en.wikipedia.org/wiki/Security_through_obscurity ^[Wikiless] ^{[Archive.org]} ↩
ArXiv, Monitoraggio di bitcoin misti, https://arxiv.org/abs/2009.14007 ^{[Archive.org]} ↩
SSRN, The Cryptocurrency Tumblers: Risks, Legality and Oversight https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3080361 ^{[Archive.org]} ↩
Magnet Forensics, Magnet AXIOM https://www.magnetforensics.com/products/magnet-axiom/cloud/ ^{[Archive.org]} ↩
Cellebrite, sblocca prove basate su cloud per risolvere il caso prima https://www.cellebrite.com/en/ufed-cloud/ ^{[Archive.org]} ↩
Proprietà del popolo, https://propertyofthepeople.org/document-detail/?doc-id=21114562 ^{[Archive.org]} ↩
Wikipedia, Device Fingerprinting https://en.wikipedia.org/wiki/Device_fingerprint ^[Wikiless] ^{[Archive.org]} ↩ ↩ ²
Documentazione Chromium, Analisi tecnica dei meccanismi di identificazione del cliente https://sites.google.com/a/chromium.org/dev/Home/chromium-security/client-identification-mechanisms#TOC-Machine-specific-characteristics ^{[Archive.org ]} ↩
Mozilla Wiki, Impronte digitali https://wiki.mozilla.org/Fingerprinting ^{[Archive.org]} ↩
Greyshirt, https://www.grayshift.com/ ^{[Archive.org]} ↩
Securephones.io, Sicurezza dei dati sui dispositivi mobili: stato attuale dell'arte, problemi aperti e soluzioni proposte https://securephones.io/main.pdf ^{[Archive.org]} ↩
Loup-Vaillant.fr, Rolling Your Own Crypto https://loup-vaillant.fr/articles/rolling-your-own-crypto ^{[Archive.org]} ↩
Dhole Moments, Crackpot Cryptography e Security Theater https://soatok.blog/2021/02/09/crackpot-cryptography-and-security-theater/ ^{[Archive.org]} ↩
Vice.com, perché non rotoli le tue criptovalute https://www.vice.com/en/article/wnx8nq/why-you-dont-roll-your-own-crypto ^{[Archive.org]} ↩
arXiv, MIT, non dovresti davvero lanciare le tue criptovalute: uno studio empirico sulle vulnerabilità nelle biblioteche crittografiche https://arxiv.org/pdf/2107.04940.pdf ^{[Archive.org]} ↩
YouTube, grandi fallimenti delle criptovalute https://www.youtube.com/watch?v=loy84K3AJ5Q ^[Invidioso] ↩
Invii di crittografia, il bug più nascosto che abbia mai visto https://buttondown.email/cryptography-dispatches/archive/cryptography-dispatches-the-most-backdoor-looking/ ^{[Archive.org]} ↩
Citizenlab.ca, muoviti velocemente e lancia le tue criptovalute https://citizenlab.ca/2020/04/move-fast-roll-your-own-crypto-a-quick-look-at-the-confidentality-of-zoom -riunioni/ ^{[Archive.org]} ↩
Jack Poon, Il mito della crittografia di livello militare https://medium.com/@atcipher/the-myth-of-military-grade-encryption-292313ae6369 ^[Scribe.rip] ^{[Archive.org]} ↩
Congruent Labs, smettila di chiamarla "Crittografia di livello militare" https://blog.congruentlabs.co/military-grade-encryption/ ^{[Archive.org]} ↩
Blog IronCoreLabs, "Crittografia di livello militare" https://blog.ironcorelabs.com/military-grade-encryption-69aae0145588 ^{[Archive.org]} ↩
Wikipedia, BLAKE2, https://en.wikipedia.org/wiki/BLAKE_(funzione_hash)#BLAKE2 ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Set di istruzioni AES, https://en.wikipedia.org/wiki/AES_instruction_set ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Varianti ChaCha, https://en.wikipedia.org/wiki/Salsa20#ChaCha_variant ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Serpent, https://en.wikipedia.org/wiki/Serpent_(cipher) ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, TwoFish, https://en.wikipedia.org/wiki/Twofish ^[Wikiless] ^{[Archive.org]} ↩
Lacatora, Il problema del PGP https://latacora.singles/2019/07/16/the-pgp-problem.html ^{[Archive.org]} ↩
Wikipedia, Algoritmo di Shor, https://en.wikipedia.org/wiki/Shor%27s_algorithm ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Gag Order, https://en.wikipedia.org/wiki/Gag_order ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Lettera sulla sicurezza nazionale https://en.wikipedia.org/wiki/National_security_letter ^[Wikiless] ^{[Archive.org]} ↩
TechCrunch, ProtonMail ha registrato l'indirizzo IP dell'attivista francese dopo l'ordine delle autorità svizzere https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss- autorità/ ^{[Archive.org]} ↩
ArsTechnica, i server VPN sequestrati dalle autorità ucraine non sono stati crittografati https://arstechnica.com/gadgets/2021/07/vpn-servers-seized-by-ukrainian-authorities-werent-encrypted/ ^{[Archive.org]} ↩
BleepingComputer, server DoubleVPN, registri e informazioni sull'account sequestrati dalle forze dell'ordine https://www.bleepingcomputer.com/news/security/doublevpn-servers-logs-and-account-info-seized-by-law-enforcement/ ^{[Archivio .org]} ↩
CyberScoop, la corte regola il provider di posta elettronica crittografato Tutanota deve monitorare i messaggi nel caso di ricatto https://www.cyberscoop.com/court-rules-encrypted-email-tutanota-monitor-messages/ ^{[Archive.org]} ↩
Heise Online (tedesco), https://www.heise.de/news/Gericht-zwingt-Mailprovider-Tutanota-zu-Ueberwachungsfunktion-4972460.html ^{[Archive.org]} ↩
PCMag, PureVPN ha attraversato una linea quando ha divulgato le informazioni sull'utente? https://www.pcmag.com/opinions/did-purevpn-cross-a-line-when-it-disclosed-user-information ^{[Archive.org]} ↩
Internet Archive, Wipeyourdata, "Nessun registro" Utente EarthVPN arrestato dopo che la polizia ha trovato i registri https://archive.is/XNuVw#selection-230.0-230.1 ^{[Archive.org]} ↩
Wikipedia, Lavabit Suspension and Gag order, https://en.wikipedia.org/wiki/Lavabit#Suspension_and_gag_order ^[Wikiless] ^{[Archive.org]} ↩
Internet Archive, Invisibler, quello che tutti dovrebbero sapere su HideMyAss https://archive.is/ag9w4#selection-136.0-136.1 ↩
Wikipedia, Warrant Canary https://en.wikipedia.org/wiki/Warrant_canary ^[Wikiless] ^{[Archive.org]} ↩
Washington Post, Il colpo di stato dell'intelligence del secolo https://www.washingtonpost.com/graphics/2020/world/national-security/cia-crypto-encryption-machines-spionage/ ^{[Archive.org]} ↩
Swissinfo.ch, la seconda azienda svizzera avrebbe venduto dispositivi di spionaggio crittografati https://www.swissinfo.ch/eng/second-swiss-firm-allegedly-sold-encrypted-spying-devices/46186432 ^{[Archive.org]} ↩
Wikipedia, Das Leben der Anderen https://en.wikipedia.org/wiki/The_Lives_of_Others ^[Wikiless] ^{[Archive.org]} ↩
Wired, Mind the Gap: questo ricercatore ruba i dati con rumore, luce e magneti https://www.wired.com/story/air-gap-researcher-mordechai-guri/ ^{[Archive.org]} ↩
Scientific American, un muro bianco può mostrare quante persone ci sono in una stanza e cosa stanno facendo https://www.scientificamerican.com/article/a-blank-wall-can-show-how-many-people-are -in-a-room-and-what-there-doing/ ^{[Archive.org]} ↩
Scientific American, le riflessioni di una borsa da snack lucida possono ricostruire la stanza intorno ad essa https://www.scientificamerican.com/article/a-shiny-snack-bags-reflections-can-reconstruct-the-room-around-it/ ^{[Archivio .org]} ↩
Scientific American, i sensori del passo identificano le persone in base all'andatura https://www.scientificamerican.com/article/footstep-sensors-identify-people-by-gait/ ^{[Archive.org]} ↩
Ben Nassi, Lamphone, https://www.nassiben.com/lamphone ^{[Archive.org]} ↩
The Guardian, Spionaggio laser: è davvero pratico? https://www.theguardian.com/world/2013/aug/22/gchq-warned-laser-spying-guardian-offices ^{[Archive.org]} ↩
ArsTechnica, le foto di una fabbrica di "aggiornamento" della NSA mostrano un router Cisco che viene impiantato https://arstechnica.com/tech-policy/2014/05/photos-of-an-nsa-upgrade-factory-show-cisco-router-getting -impianto/ ^{[Archive.org]} ↩
Wikipedia, negazione plausibile https://en.wikipedia.org/wiki/Plausible_deniability ^[Wikiless] ^{[Archive.org]} ↩ ↩ ² ↩ ³ ↩ ⁴
Wikipedia, Crittoanalisi con tubo di gomma https://en.wikipedia.org/wiki/Rubber-hose_cryptanalysis ↩
Defuse.ca, la negabilità plausibile di TrueCrypt è teoricamente inutile https://defuse.ca/truecrypt-plausible-deniability-useless-by-game-theory.htm ^{[Archive.org]} ↩
Wikipedia, Crittografia negabile https://en.wikipedia.org/wiki/Deniable_encryption ^[Wikiless] ^{[Archive.org]} ↩ ↩ ²
Wikipedia, OONI, https://en.wikipedia.org/wiki/OONI ^[Wikiless] ^{[Archive.org]} ↩ ↩ ²
Privacy International, Cronologia delle leggi sulla registrazione delle SIM Card https://privacyinternational.org/long-read/3018/timeline-sim-card-registration-laws ^{[Archive.org]} ↩
NYTimes, password perse bloccano i milionari dalle loro fortune di Bitcoin https://www.nytimes.com/2021/01/12/technology/bitcoin-passwords-wallets-fortunes.html ^{[Archive.org]} ↩
Usenix.org, gettare troppa luce sulla protezione del firmware di un microcontrollore https://www.usenix.org/system/files/conference/woot17/woot17-paper-obermaier.pdf ^{[Archive.org]} ↩
TorProject.org, posso eseguire Tor Browser su un dispositivo iOS? https://support.torproject.org/tormobile/tormobile-3/ ^{[Archive.org]} ↩
Wikipedia, Tails, https://en.wikipedia.org/wiki/Tails_(sistema_operativo) ^[Wikiless] ^{[Archive.org]} ↩
Vice.com, Facebook ha aiutato l'FBI a hackerare un bambino predatore https://www.vice.com/en/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez ^{[Archive.org]} ↩
Documentazione Veracrypt, operazioni di taglio https://www.veracrypt.fr/en/Trim%20Operation.html ^{[Archive.org]} ↩
YouTube, 36C3 - Scopri, Comprendi, Possedere - Riprendere il controllo sulla tua CPU AMD https://www.youtube.com/watch?v=bKH5nGLgi08&t=2834s ^[Invidious] ↩
Qubes OS, Anti-Evil Maid, https://github.com/QubesOS/qubes-antievilmaid ^{[Archive.org]} ↩
Domande frequenti su QubesOS, https://www.qubes-os.org/faq/#is-secure-boot-supported ^{[Archive.org]} ↩
Wikipedia, Avvio protetto, https://en.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_boot ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Avvio https://en.wikipedia.org/wiki/Booting ^[Wikiless] ^{[Archive.org]} ↩
Wired https://www.wired.com/2013/12/better-data-security-nail-polish/ ^{[Archive.org]} ↩
Wikipedia, Macchina virtuale https://en.wikipedia.org/wiki/Virtual_machine ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Crittografia negabile https://en.wikipedia.org/wiki/Deniable_encryption ^[Wikiless] ^{[Archive.org]} ↩
PrivacyGuides.org, non utilizzare Windows 10 - È un incubo per la privacy https://privacyguides.org/operating-systems/#win10 ^{[Archive.org]} ↩
Wikipedia, leggi sulla divulgazione delle chiavi https://en.wikipedia.org/wiki/Key_disclosure_law ^[Wikiless] ^{[Archive.org]} ↩
GP Digital, Mappa mondiale delle leggi e delle politiche sulla crittografia https://www.gp-digital.org/world-map-of-encryption/ ^{[Archive.org]} ↩
Wikipedia, Bitlocker https://en.wikipedia.org/wiki/BitLocker ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Evil Maid Attack https://en.wikipedia.org/wiki/Evil_maid_attack ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Cold Boot Attack https://en.wikipedia.org/wiki/Cold_boot_attack ^[Wikiless] ^{[Archive.org]} ↩
CITP 2008 ( https://www.youtube.com/watch?v=JDaicPIgn9U ) ^[Invidioso] ↩
ResearchGate, sconfiggere la negazione plausibile dei sistemi operativi nascosti di VeraCrypt https://www.researchgate.net/publication/318155607_Defeating_Plausible_Deniability_of_VeraCrypt_Hidden_Operating_Systems ^{[Archive.org]} ↩
SANS.org, Mission Implausible: sconfiggere la negazione plausibile con la digital forensics https://www.sans.org/reading-room/whitepapers/forensics/mission-implausible-defeating-plausible-deniability-digital-forensics-39500 ^{[Archive.org ]} ↩
SourceForge, Forum di Veracrypt https://sourceforge.net/p/veracrypt/discussion/technical/thread/53f33faf/ ^{[Archive.org]} ↩
Microsoft, contromisure per BitLocker https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures ^{[Archive.org]} ↩
SANS, approfondimenti su Windows ShellBag Forensics https://www.sans.org/reading-room/whitepapers/forensics/windows-shellbag-forensics-in-depth-34545 ^{[Archive.org]} ↩ ↩ ²
Università di York, recupero dati forense dal database di ricerca di Windows https://eprints.whiterose.ac.uk/75046/1/Forensic_Data_Recovery_From_The_Windows_Search_Database_preprint_DIIN328.pdf ^{[Archive.org]} ↩
Uno sguardo forense sulle Jump List di Windows 10 https://cyberforensicator.com/wp-content/uploads/2017/01/1-s2.0-S1742287616300202-main.2-14.pdf ^{[Archive.org]} ↩
Wikipedia, Gatekeeper https://en.wikipedia.org/wiki/Gatekeeper_(macOS) ^[Wikiless] ^{[Archive.org]} ↩
Wiki di Alpine Linux, Configurazione di un laptop https://wiki.alpinelinux.org/wiki/Setting_up_a_laptop ^{[Archive.org]} ↩
Wikipedia Veracrypt https://en.wikipedia.org/wiki/VeraCrypt ^[Wikiless] ^{[Archive.org]} ↩
OSTIF Veracrypt Audit, 2016, https://web.archive.org/web/https://ostif.org/the-veracrypt-audit-results/ ↩
Documentazione Veracrypt, dati non crittografati nella RAM https://www.veracrypt.fr/en/Unencrypted%20Data%20in%20RAM.html ^{[Archive.org]} ↩
Documentazione Veracrypt, fughe di dati https://www.veracrypt.fr/code/VeraCrypt/plain/doc/html/Data%20Leaks.html ^{[Archive.org]} ↩ ↩ ²
Gruppo Dolos, dal laptop rubato all'interno della rete aziendale https://dolosgroup.io/blog/2021/7/9/from-stolen-laptop-to-inside-the-company-network ^{[Archive.org]} ↩
I progetti di Trammell Hudson, comprensione degli attacchi di sniffing TPM https://trmm.net/tpm-sniffing/ ^{[Archive.org]} ↩
Jon Aubrey, attacca i laptop protetti dalla crittografia dell'unità Microsoft Bitlocker https://twitter.com/SecurityJon/status/1445020885472235524 ^[Nitter] ↩
F-Secure Labs, Sniff, perde la mia chiave BitLocker https://labs.f-secure.com/blog/sniff-there-leaks-my-bitlocker-key/ ^{[Archive.org]} ↩
Microsoft, contromisure per BitLocker, contromisure per gli aggressori https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-countermeasures ^{[Archive.org]} ↩
Wikipedia, Trim https://en.wikipedia.org/wiki/Trim_(informatica) ^[Wikiless] ^{[Archive.org]} ↩ ↩ ²
Documentazione Veracrypt, operazioni di taglio https://www.veracrypt.fr/en/Trim%20Operation.html ^{[Archive.org]} ↩
Documentazione Veracrypt, disco di salvataggio https://www.veracrypt.fr/en/VeraCrypt%20Rescue%20Disk.html ^{[Archive.org]} ↩
St Cloud State University, ricerca forense sulle unità a stato solido utilizzando l'analisi del trim https://repository.stcloudstate.edu/cgi/viewcontent.cgi?article=1141&context=msia_etds ^{[Archive.org]} ↩ ↩ ²
WindowsCentral, Tutorial Trim https://www.windowscentral.com/how-ensure-trim-enabled-windows-10-speed-ssd-performance ^{[Archive.org]} ↩
Documentazione Veracrypt, operazione di taglio https://veracrypt.eu/en/docs/trim-operation/ ^{[Archive.org]} ↩
Black Hat 2018, Crittografia del disco steganografica perfettamente negabile https://i.blackhat.com/eu-18/Thu-Dec-6/eu-18-Schaub-Perfectly-Deniable-Steganographic-Disk-Encryption.pdf ^{[Archive.org ]} ↩
Blog di Milan Broz, TRIM & dm-crypt… problemi? https://asalor.blogspot.com/2011/08/trim-dm-crypt-problems.html ^{[Archive.org]} ↩
Documentazione Veracrypt, disco di salvataggio https://www.veracrypt.fr/en/VeraCrypt%20Rescue%20Disk.html ^{[Archive.org]} ↩
Wikipedia, Virtualbox https://en.wikipedia.org/wiki/VirtualBox ^[Wikiless] ^{[Archive.org]} ↩
Biglietto VirtualBox 17987 https://www.virtualbox.org/ticket/17987 ^{[Archive.org]} ↩
Documentazione Whonix, Spectre Meltdown, https://www.whonix.org/wiki/Spectre_Meltdown#VirtualBox ^{[Archive.org]} ↩
Documentazione Whonix, Stream Isolation https://www.whonix.org/wiki/Stream_Isolation ^{[Archive.org]} ↩
Documentazione Whonix, Tabella di confronto dei tunnel, https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table ^{[Archive.org]} ↩
Wikipedia, Whonix https://en.wikipedia.org/wiki/Whonix ^[Wikiless] ^{[Archive.org]} ↩
Manuale Oracle Virtualbox, snapshot https://docs.oracle.com/en/virtualization/virtualbox/6.0/user/snapshots.html ^{[Archive.org]} ↩
Utica College, RECUPERO FORENSE DI PROVE DA ORACLE VIRTUALE CANCELLATO ORACLE VIRTUALE MACCHINE https://web.archive.org/web/https://programs.online.utica.edu/sites/default/files/Neal_6_Gonnella_Forensic_Recovery_of_Evidence_from_Deleted_Oracle_VirtualBox_Virtual_Machine.pdf ↩
Wikipedia, Spectre https://en.wikipedia.org/wiki/Spectre_(security_vulnerability) ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Meltdown https://en.wikipedia.org/wiki/Meltdown_(security_vulnerability) ^[Wikiless] ^{[Archive.org]} ↩
Documentazione Whonix, isolamento del flusso, per impostazioni https://www.whonix.org/wiki/Stream_Isolation#By_Settings ^{[Archive.org]} ↩
Wikipedia, TOTP https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Autenticazione a più fattori https://en.wikipedia.org/wiki/Multi-factor_authentication ^[Wikiless] ^{[Archive.org]} ↩
Documentazione Whonix, adattatori con ponte Avviso https://www.whonix.org/wiki/Whonix-Gateway_Security#Warning:_Bridged_Networking ^{[Archive.org]} ↩
Sistema operativo Qubes, FAQ, https://www.qubes-os.org/faq/#is-qubes-just-another-linux-distribution ^{[Archive.org]} ↩
Sistema operativo Qubes, Requisiti di sistema https://www.qubes-os.org/doc/system-requirements/ ^{[Archive.org]} ↩
Documentazione Whonix, Stream Isolation https://www.whonix.org/wiki/Stream_Isolation ^{[Archive.org]} ↩
Documentazione Whonix, Tabella di confronto dei tunnel, https://www.whonix.org/wiki/Tunnels/Introduction#Comparison_Table ^{[Archive.org]} ↩
Problemi del sistema operativo Qubes, simula l'ibernazione / Suspend-To-Disk #2414 https://github.com/QubesOS/qubes-issues/issues/2414 ^{[Archive.org]} ↩
Wikipedia, AppArmor https://en.wikipedia.org/wiki/AppArmor ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, SELinux https://en.wikipedia.org/wiki/Security-Enhanced_Linux ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, TOTP https://en.wikipedia.org/wiki/Time-based_One-time_Password_algorithm ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Autenticazione a più fattori https://en.wikipedia.org/wiki/Multi-factor_authentication ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Test di Turing https://en.wikipedia.org/wiki/Turing_test ^[Wikiless] ^{[Archive.org]} ↩
Google reCAPTCHA https://www.google.com/recaptcha/about/ ^{[Archive.org]} ↩
hCaptcha https://www.hcaptcha.com/ ^{[Archive.org]} ↩
hCaptcha, hCaptcha è ora il più grande servizio CAPTCHA indipendente, funziona sul 15% di Internet https://www.hcaptcha.com/post/hcaptcha-now-the-largest-independent-captcha-service ^{[Archive.org]} ↩
Nearcyan.com, tu (probabilmente) non hai bisogno di ReCAPTCHA https://nearcyan.com/you-probably-dont-need-recaptcha/ ^{[Archive.org]} ↩
ArsTechnica, "reCAPTCHA di Google diventa" invisibile ", separerà i robot dalle persone senza sfide" https://arstechnica.com/gadgets/2017/03/googles-recaptcha-announces-invisible-background-captchas/ ^{[Archive.org]} ↩
BlackHat Asia 2016, “I'm not a human: Breaking the Google reCAPTCHA”, https://www.blackhat.com/docs/asia-16/materials/asia-16-Sivakorn-Im-Not-a-Human- Rompere-il-Google-reCAPTCHA-wp.pdf ^{[Archive.org]} ↩
Blog di Google https://security.googleblog.com/2014/12/are-you-robot-introducing-no-captcha.html ^{[Archive.org]} ↩
Blog Cloudflare, Cloudflare supporta Privacy Pass https://blog.cloudflare.com/cloudflare-supports-privacy-pass/ ^{[Archive.org]} ↩
Privacy International, Cronologia delle leggi sulla registrazione delle SIM Card https://privacyinternational.org/long-read/3018/timeline-sim-card-registration-laws ^{[Archive.org]} ↩
Blog di Google degli sviluppatori,

Linee guida per gli sviluppatori interessati dal nostro sforzo per bloccare browser e applicazioni meno sicuri https://developers.googleblog.com/2020/08/guidance-for-our-effort-to-block-less-secure-browser-and-apps. html ^{[Archive.org]} ↩ ↩ ²
Guida di Google, accesso a contenuti e funzioni soggetti a limiti di età https://support.google.com/accounts/answer/10071085 ^{[Archive.org]} ↩
Wikipedia, Dark Pattern https://en.wikipedia.org/wiki/Dark_pattern ^[Wikiless] ^{[Archive.org]} ↩
The Verge, Tinder ti darà un segno di spunta blu verificato se superi il test di pesca al gatto https://www.theverge.com/2020/1/23/21077423/tinder-photo-verification-blue-checkmark-safety-center- launch-noonlight ^{[Archive.org]} ↩
DigitalInformationWorld, Facebook ora richiederà la creazione di un selfie video per la verifica dell'identità https://www.digitalinformationworld.com/2020/03/facebook-is-now-demanding-some-users-to-create-a-video-selfie -per-verifica-identità.html ^{[Archive.org]} ↩
Vice.com, PornHub annuncia la "tecnologia biometrica" per verificare gli utenti https://www.vice.com/en/article/m7a4eq/pornhub-new-verification-policy-biometric-id ^{[Archive.org]} ↩
Variety, la Cina lancia una hotline per segnalare commenti online che "distorcono" la storia o "negano" la sua eccellenza culturale https://variety.com/2021/digital/news/china-censorship-hotline-historical-nihilism-1234950554/ ^{[Archivio. org]} ↩
Wikipedia, fidati ma verifica https://en.wikipedia.org/wiki/Trust,_but_verify ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, spionaggio, organizzazione https://en.wikipedia.org/wiki/Espionage#Organizzazione ^[Wikiless] ^{[Archive.org]} ↩
Medium.com, Kyle McDonald, Come riconoscere immagini false generate dall'IA https://kcimc.medium.com/how-to-recognize-fake-ai-generated-images-4d1f6f9a2842 ^[Scribe.rip] ^{[Archive.org]} ↩
Blog di Jayway, Utilizzo di ML per rilevare immagini di volti falsi create da AI https://blog.jayway.com/2020/03/06/using-ml-to-detect-fake-face-images-created-by-ai/ ^{[ Archivio.org
]} ↩
Wikipedia, Sim Swapping https://en.wikipedia.org/wiki/SIM_swap_scam ^[Wikiless] ^{[Archive.org]} ↩
Documentazione Whonix, https://www.whonix.org/wiki/Tor#Edit_Tor_Configuration ^{[Archive.org]} ↩
Documentazione Tor Browser, https://support.torproject.org/tbb/tbb-editing-torrc/ ^{[Archive.org]} ↩
Sito web della cipolla di Facebook http://facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/ ↩
Guida di Google https://support.google.com/accounts/answer/114129?hl=it ^{[Archive.org]} ↩
Guida di Google https://support.google.com/google-ads/answer/7474263?hl=it ^{[Archive.org]} ↩
Google, il tuo account è disattivato https://support.google.com/accounts/answer/40695 ^{[Archive.org]} ↩
Google, Richiesta di ripristino dell'account https://support.google.com/accounts/contact/disabled2 ^{[Archive.org]} ↩
Guida di Google, Aggiorna il tuo account per soddisfare i requisiti di età https://support.google.com/accounts/answer/1333913?hl=it ^{[Archive.org]} ↩
Jumio, funzionalità di verifica ID https://www.jumio.com/features/ ^{[Archive.org]} ↩
Privacyguides.org consigliato Provider di posta elettronica https://privacyguides.org/providers/email/ ^{[Archive.org]} ↩
Sistema di verifica umana di ProtonMail https://ProtonMail.com/support/knowledge-base/human-verification/ ^{[Archive.org]} ↩
Modulo di ricorso su Twitter https://help.twitter.com/forms/general ↩
KnowYourMeme, buona fortuna, sono dietro 7 proxy https://knowyourmeme.com/memes/good-luck-im-behind-7-proxies ^{[Archive.org]} ↩
Wikipedia, crittografia end-to-end, https://en.wikipedia.org/wiki/End-to-end_encryption ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Forward Secrecy, https://en.wikipedia.org/wiki/Forward_secrecy ^[Wikiless] ^{[Archive.org]} ↩
Protonblog, Cos'è la crittografia ad accesso zero e perché è importante per la sicurezza https://protonmail.com/blog/zero-access-encryption/ ^{[Archive.org]} ↩
Wikipedia, Scandalo Cambridge Analytica, https://en.wikipedia.org/wiki/Facebook%E2%80%93Cambridge_Analytica_data_scandal ^[Wikiless] ^{[Archive.org]} ↩
Signal Blog, Anteprima tecnologia: mittente sigillato per Signal https://signal.org/blog/sealed-sender/ ^{[Archive.org]} ↩
Signal Blog, Private Contact Discovery, https://signal.org/blog/private-contact-discovery/ ^{[Archive.org]} ↩
Blog di Signal, Sistema di gruppi privati, https://signal.org/blog/signal-private-group-system/ ^{[Archive.org]} ↩
Privacyguides.org, condivisione di file https://privacyguides.org/software/file-sharing/ ^{[Archive.org]} ↩
Privacyguides.org, Comunicazione in tempo reale https://privacyguides.org/software/real-time-communication/ ^{[Archive.org]} ↩
GetSession.org, Il protocollo di sessione: cosa sta cambiando e perché https://getsession.org/session-protocol-explained/ ^{[Archive.org]} ↩
Quarkslab, Audit of Session Secure Messaging Application https://blog.quarkslab.com/audit-of-session-secure-messaging-application.html ^{[Archive.org]} ↩
Techlore, i 5 MIGLIORI messaggeri migliori per la privacy https://www.youtube.com/watch?v=aVwl892hqb4 ^[Invidious] ↩
Wikipedia, IPFS https://en.wikipedia.org/wiki/InterPlanetary_File_System ^[Wikiless] ^{[Archive.org]} ↩
Praxis Films, Lettera aperta di Laura Poitras https://www.praxisfilms.org/open-letter-from-laura-poitras/ ^{[Archive.org]} ↩
Wikipedia, SecureDrop https://en.wikipedia.org/wiki/SecureDrop ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, TPM https://en.wikipedia.org/wiki/Trusted_Platform_Module ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Pastebin https://en.wikipedia.org/wiki/Pastebin ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Wear Leveling https://en.wikipedia.org/wiki/Wear_leveling ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Trim https://en.wikipedia.org/wiki/Write_amplification#TRIM ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Amplificazione in scrittura https://en.wikipedia.org/wiki/Write_amplification ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Ritaglia gli svantaggi https://en.wikipedia.org/wiki/Trim_(informatica)#Svantaggi ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Garbage Collection https://en.wikipedia.org/wiki/Write_amplification#Garbage_collection ^[Wikiless] ^{[Archive.org]} ↩
Techgage, troppo TRIM? Quando il ripristino dei dati SSD è impossibile https://techgage.com/article/too_trim_when_ssd_data_recovery_is_impossible/ ^{[Archive.org]} ↩
ResearchGate, Metodo forense in tempo reale per l'acquisizione sulla funzione TRIM NVMe Solid-State Drive (SSD) https://www.researchgate.net/publication/341761017_Live_forensics_method_for_acquisition_on_the_Solid_State_Drive_SSD_NVMe_TRIM_function ^{[Archive.org]} ↩
ElcomSoft, Life after Trim: utilizzo della modalità di accesso di fabbrica per l'imaging di unità SSD https://blog.elcomsoft.com/2019/01/life-after-trim-using-factory-access-mode-for-imaging-ssd-drives/ ^{[Archivio.org]} ↩
Focus forense, acquisizione forense di unità a stato solido con strumenti open source https://www.forensicfocus.com/articles/forensic-acquisition-of-solid-state-drives-with-open-source-tools/ ^{[Archive.org]} ↩
ResearchGate, Solid State Drive Forensics: a che punto siamo? https://www.researchgate.net/publication/325976653_Solid_State_Drive_Forensics_Where_Do_We_Stand ^{[Archive.org]} ↩
BleepingComputer, https://www.bleepingcomputer.com/news/security/firmware-attack-can-drop-persistent-malware-in-hidden-ssd-area/ ^{[Archive.org]} ↩
Wikipedia, Parted Magic https://en.wikipedia.org/wiki/Parted_Magic ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, hdparm https://en.wikipedia.org/wiki/Hdparm ^[Wikiless] ^{[Archive.org]} ↩
GitHub, nvme-cli https://github.com/linux-nvme/nvme-cli ^{[Archive.org]} ↩
PartedMagic Secure Erase, https://partedmagic.com/secure-erase/ ^{[Archive.org]} ↩
Partedmagic NVMe Secure Erase, https://partedmagic.com/nvme-secure-erase/ ^{[Archive.org]} ↩
UFSExplorer, posso recuperare i dati da un archivio crittografato? https://www.ufsexplorer.com/solutions/data-recovery-on-encrypted-storage.php ^{[Archive.org]} ↩
Documentazione per gli sviluppatori Apple, https://developer.apple.com/library/archive/documentation/FileManagement/Conceptual/APFS_Guide/FAQ/FAQ.html ^{[Archive.org]} ↩
EFF, Procedura: eliminare i dati in modo sicuro su macOS https://ssd.eff.org/en/module/how-delete-your-data-securely-macos ^{[Archive.org]} ↩
Privacyguides.org, Strumenti di produttività https://privacyguides.org/software/productivity/ ^{[Archive.org]} ↩
Documentazione Whonix, eliminazione dei metadati https://www.whonix.org/wiki/Metadata ^{[Archive.org]} ↩
Documentazione di Tails, MAT https://gitlab.tails.boum.org/tails/blueprints/-/wikis/doc/mat/ ^{[Archive.org]} ↩
GitHub, Disabilita Gatekeeper su macOS Big Sur (11.x) https://disable-gatekeeper.github.io/ ^{[Archive.org]} ↩
Aiuto DuckDuckGo, Cache https://help.duckduckgo.com/duckduckgo-help-pages/features/cache/ ^{[Archive.org]} ↩
Aiuto DuckDuckGo, Fonti https://help.duckduckgo.com/duckduckgo-help-pages/results/sources/ ^{[Archive.org]} ↩
Wikipedia, Dead Drop https://en.wikipedia.org/wiki/Dead_drop ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Secure Communication Offuscation https://en.wikipedia.org/wiki/Obfuscation#Secure_communication ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Steganografia https://en.wikipedia.org/wiki/Steganografia ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Kleptography https://en.wikipedia.org/wiki/Kleptography ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Koalang https://en.wikipedia.org/wiki/Koalang ^[Wikiless] ^{[Archive.org]} ↩ ↩ ²
Wikipedia, OPSEC https://en.wikipedia.org/wiki/Operations_security ^[Wikiless] ^{[Archive.org]} ↩
Quote Investigator, una bugia può viaggiare dall'altra parte del mondo mentre la verità si mette nei panni https://quoteinvestigator.com/2014/07/13/truth/ ^{[Archive.org]} ↩
Privacyguides.org, Sistemi operativi https://privacyguides.org/operating-systems/ ^{[Archive.org]} ↩
Coraggioso supporto, cos'è una finestra privata con Tor? https://support.brave.com/hc/en-us/articles/360018121491-What-is-a-Private-Window-with-Tor- ^{[Archive.org]} ↩
Medium.com, The Windows USN Journal https://medium.com/velociraptor-ir/the-windows-usn-journal-f0c55c9010e ^[Scribe.rip] ^{[Archive.org]} ↩
Medium.com, scavando nel System Resource Usage Monitor (SRUM) https://medium.com/velociraptor-ir/digging-into-the-system-resource-usage-monitor-srum-afbadb1a375 ^[Scribe.rip] ^{[Archivio .org]} ↩
SANS, registro con timestamp e artefatti NTFS da spazio non allocato https://www.sans.org/blog/timestamped-registry-ntfs-artifacts-from-unallocated-space/ ^{[Archive.org]} ↩
DBAN, https://dban.org/ ^{[Archive.org]} ↩
NYTimes, password perse bloccano i milionari dalle loro fortune di Bitcoin https://www.nytimes.com/2021/01/12/technology/bitcoin-passwords-wallets-fortunes.html ^{[Archive.org]} ↩
CrystalDiskInfo https://crystalmark.info/en/software/crystaldiskinfo/ ^{[Archive.org]} ↩
Wikipedia, Faraday Cage, https://en.wikipedia.org/wiki/Faraday_cage ^[Wikiless] ^{[Archive.org]} ↩
Edith Cowan University, un esame forense di diverse borse e materiali Faraday per dispositivi mobili per testarne l'efficacia materiali per testarne l'efficacia https://ro.ecu.edu.au/cgi/viewcontent.cgi?article=1165&context=adf ^{[Archive. org]} ↩
arXiv, Deep-Spying: spionaggio tramite Smartwatch e Deep Learning https://arxiv.org/abs/1512.05616 ^{[Archive.org]} ↩
Acm.org, Implicazioni sulla privacy dei dati dell'accelerometro: una rassegna di possibili inferenze https://dl.acm.org/doi/pdf/10.1145/3309074.3309076 ^{[Archive.org]} ↩
YouTube, Documento sulle impronte digitali - Istruzione forense https://www.youtube.com/watch?v=sO98kDLkh-M ^[Invidious] ↩
Wikipedia, Touch DNA, https://en.wikipedia.org/wiki/Touch_DNA ^[Wikiless] ^{[Archive.org]} ↩
TheDNAGuide, DNA da francobolli o campioni di capelli? Yeeesssss….. https://www.yourdnaguide.com/ydgblog/dna-hair-samples-postage-stamps ^{[Archive.org]} ↩
GitHub, Mhinkie, OONI-Detection https://github.com/mhinkie/ooni-detection ^{[Archive.org]} ↩
Wikipedia, Verifica file https://en.wikipedia.org/wiki/File_verification ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, CRC https://en.wikipedia.org/wiki/Cyclic_redundancy_check ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, MD5 https://en.wikipedia.org/wiki/MD5 ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, MD5 Sicurezza https://en.wikipedia.org/wiki/MD5#Security ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Collisioni https://en.wikipedia.org/wiki/Collision_(computer_science) ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, SHA https://en.wikipedia.org/wiki/Secure_Hash_Algorithms ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, SHA-2 https://en.wikipedia.org/wiki/SHA-2 ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Resistenza alle collisioni https://en.wikipedia.org/wiki/Collision_resistance ^[Wikiless] ^{[Archive.org]} ↩
GnuPG Gpg4win Wiki, Verifica l'integrità dei pacchetti Gpg4win https://wiki.gnupg.org/Gpg4win/CheckIntegrity ^{[Archive.org]} ↩
Medium.com, Come verificare il checksum su Mac https://medium.com/@EvgeniIvanov/how-to-verify-checksum-on-mac-988f166b0c4f ^[Scribe.rip] ^{[Archive.org]} ↩
Wikipedia, GPG https://en.wikipedia.org/wiki/GNU_Privacy_Guard ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, Crittografia a chiave pubblica https://en.wikipedia.org/wiki/Public-key_cryptography ^[Wikiless] ^{[Archive.org]} ↩
Wikipedia, codice polimorfico https://en.wikipedia.org/wiki/Polymorphic_code ^[Wikiless] ^{[Archive.org]} ↩
Documentazione Whonix, Uso di AV, https://www.whonix.org/wiki/Malware_and_Firmware_Trojans#The_Utility_of_Antivirus_Tools ^{[Archive.org]} ↩
Forum Whonix, https://forums.whonix.org/t/installation-of-antivirus-scanners-by-default/9755/8 ^{[Archive.org]} ↩
AV-Test Security Report 2018-2019, https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2018-2019.pdf ^{[Archive.org]} ↩
ZDNet, ESET scopre 21 nuove famiglie di malware Linux https://www.zdnet.com/article/eset-discovers-21-new-linux-malware-families/ ^{[Archive.org]} ↩
NakeSecurity, EvilGnome – malware Linux rivolto al tuo desktop, non ai tuoi server https://nakedsecurity.sophos.com/2019/07/25/evilgnome-linux-malware-aimed-at-your-laptop-not-your-servers/ ^{[Archivio.org]} ↩
Immunify, HiddenWasp: come rilevare il malware nascosto su Linux e IoT https://blog.imunify360.com/hiddenwasp-how-to-detect-malware-hidden-on-linux-iot ^{[Archive.org]} ↩
Wikipedia, malware Linux https://en.wikipedia.org/wiki/Linux_malware ^[Wikiless] ^{[Archive.org]} ↩
Lenny Zeltser, Foglio informativo sull'analisi dei documenti dannosi https://zeltser.com/analyzing-malicious-documents/ ^{[Archive.org]} ↩ ↩ ²
Wikipedia, macOS Malware https://en.wikipedia.org/wiki/macOS_malware ^[Wikiless] ^{[Archive.org]} ↩
MacWorld, Elenco di virus, malware e falle di sicurezza per Mac https://www.macworld.co.uk/feature/mac-viruses-list-3668354/ ^{[Archive.org]} ↩
JAMF, Il malware per Mac del 2020 https://resources.jamf.com/documents/macmalware-2020.pdf ^{[Archive.org]} ↩
Guida alla sicurezza e alla privacy di macOS, https://github.com/drduh/macOS-Security-and-Privacy-Guide#viruses-and-malware ^{[Archive.org]} ↩
ImageTragick.com, https://imagetragick.com/ ^{[Archive.org]} ↩
Documentazione Oracle Virtualbox, https://docs.oracle.com/en/virtualization/virtualbox/6.0/admin/hyperv-support.html ^{[Archive.org]} ↩
Documentazione Oracle Virtualbox, https://docs.oracle.com/en/virtualization/virtualbox/6.0/admin/hyperv-support.html ^{[Archive.org]} ↩
Wikipedia, applicazioni portatili https://en.wikipedia.org/wiki/Portable_application ^[Wikiless] ^{[Archive.org]} ↩
Aiuto coraggioso, che cos'è una finestra privata con Tor Connectivity? https://support.brave.com/hc/en-us/articles/360018121491-What-is-a-Private-Window-with-Tor- ^{[Archive.org]} ↩
BlackGNU, https://ebin.city/~werwolf/posts/brave-is-shit/ ^{[Archive.org]} ↩
Centro assistenza coraggioso, https://support.brave.com/hc/en-us/articles/360022973471-What-is-Shields ^{[Archive.org]} ↩
VentureBeat, battaglia sui benchmark del browser Gennaio 2020: Chrome vs Firefox vs Edge vs Brave https://venturebeat.com/2020/01/15/browser-benchmark-battle-january-2020-chrome-firefox-edge-brave/ visualizza tutto/ ^{[Archive.org]} ↩
Brave.com, Brave, Fingerprinting e Privacy Budget https://brave.com/brave-fingerprinting-and-privacy-budgets/ ^{[Archive.org]} ↩
Madaidan Insecurities, Firefox e Chromium https://madaidans-insecurities.github.io/firefox-chromium.html ^{[Archive.org]} ↩
GrapheneOS, Navigazione Web https://grapheneos.org/usage#web-browsing ^{[Archive.org]} ↩
ResearchGate, Privacy del browser Web: cosa dicono i browser quando telefonano a casa? https://www.researchgate.net/publication/349979628_Web_Browser_Privacy_What_Do_Browsers_Say_When_They_Phone_Home ^{[Archive.org]} ↩
Laghetto delle anatre, Ungoogled-Chromium, https://qua3k.github.io/ungoogled/ ^{[Archive.org]} ↩
Madaidan Insecurities, Firefox e Chromium https://madaidans-insecurities.github.io/firefox-chromium.html ^{[Archive.org]} ↩
GrapheneOS, Navigazione Web https://grapheneos.org/usage#web-browsing ^{[Archive.org]} ↩
Microsoft.com, supporto Microsoft Edge per Microsoft Defender Application Guard https://docs.microsoft.com/en-us/deployedge/microsoft-edge-security-windows-defender-application-guard ^{[Archive.org]} ↩
PcMag, Mozilla firma un lucrativo accordo di ricerca di Google di 3 anni per Firefox https://www.pcmag.com/news/mozilla-signs-lucrative-3-year-google-search-deal-for-firefox ^{[Archive.org]} ↩
Madaidan Insecurities, Firefox e Chromium https://madaidans-insecurities.github.io/firefox-chromium.html ^{[Archive.org]} ↩
FingerprintJS, Demo: disabilitare JavaScript non ti salverà dalle impronte digitali https://fingerprintjs.com/blog/disabling-javascript-wont-stop-fingerprinting/ ^{[Archive.org]} ↩
Laghetto delle anatre, Ungoogled-Chromium, https://qua3k.github.io/ungoogled/ ^{[Archive.org]} ↩
Wikipedia, Virtualizzazione https://en.wikipedia.org/wiki/Virtualization ^[Wikiless] ^{[Archive.org]} ↩
Progetto Tor, Progetto Snowflake https://snowflake.torproject.org/ ^{[Archive.org]} ↩
GitHub, repository Obfs4 https://github.com/Yawning/obfs4/ ^{[Archive.org]} ↩
Manuale Tor Browser, Pluggable Transport https://tb-manual.torproject.org/circumvention/ ^{[Archive.org]} ↩
Manuale Tor Browser, Pluggable Transport https://tb-manual.torproject.org/circumvention/ ^{[Archive.org]} ↩
Wikipedia, Domain Fronting https://en.wikipedia.org/wiki/Domain_fronting ^[Wikiless] ^{[Archive.org]} ↩
GitLab, Problemi con il browser Tor, Aggiungi uBlock Origin al browser Tor https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/17569 ^{[Archive.org]} ↩
Vice, NSA e CIA usano gli ad blockers perché la pubblicità online è così pericolosa https://www.vice.com/en/article/93ypke/the-nsa-and-cia-use-ad-blockers-because-online-advertising -è-così-pericoloso ^{[Archive.org]} ↩
Rapporto sul portafoglio Europol Wasabi, https://www.tbstat.com/wp/uploads/2020/06/Europol-Wasabi-Wallet-Report.pdf ^{[Archive.org]} ↩
NIST, https://www.sans.org/blog/nist-has-spoken-death-to-complexity-long-live-the-passphrase/ ^{[Archive.org]} ↩
ZDnet, FBI raccomanda passphrases sulla complessità della password https://www.zdnet.com/article/fbi-recommends-passphrases-over-password-complexity/ ^{[Archive.org]} ↩
L'intercettazione, passphrases che puoi memorizzare, ma che nemmeno la NSA può indovinare https://theintercept.com/2015/03/26/passphrases-can-memorize-attackers-cant-guess/ ^{[Tor Mirror]} ^{[Archivio .org]} ↩
Blog di ProtonMail, risolviamo una volta per tutte il dibattito tra password e passphrase https://protonmail.com/blog/protonmail-com-blog-password-vs-passphrase/ ^{[Archive.org]} ↩
YouTube, Edward Snowden sulle password: la scorsa settimana stasera con John Oliver (HBO) https://www.youtube.com/watch?v=yzGzB-yYKcc ^[Invidious] ↩
YouTube, come scegliere una password – Computerphile https://www.youtube.com/watch?v=3NjQ9b3pgIg ^[Invidious] ↩
Wikipedia, Passphrase https://en.wikipedia.org/wiki/Passphrase#Passphrase_selection ^[Wikiless] ^{[Archive.org]} ↩
Monero Research Lab, Valutare la sicurezza e la privacy delle criptovalute in un mondo post-quantistico https://github.com/insight-decentralized-consensus-lab/post-quantum-monero/blob/master/writeups/technical_note.pdf ^{[Archive.org ]} ↩

Contenuti:

Prerequisiti e limitazioni:

Prerequisiti:

Limitazioni:

Introduzione:

Comprendere alcune nozioni di base su come alcune informazioni possono ricondurre a te e come mitigarne alcune:

La tua rete:

Il tuo indirizzo IP:

Le tue richieste DNS e IP:

I tuoi dispositivi abilitati RFID:

I dispositivi Wi-Fi e Bluetooth intorno a te:

Punti di accesso Wi-Fi dannosi/rogue:

Il tuo traffico Tor/VPN anonimizzato:

Alcuni Dispositivi possono essere tracciati anche offline:

I tuoi identificatori hardware:

Il tuo IMEI e IMSI (e, per estensione, il tuo numero di telefono):

Il tuo indirizzo MAC Wi-Fi o Ethernet:

Il tuo indirizzo MAC Bluetooth:

La tua CPU:

I tuoi servizi di telemetria dei sistemi operativi e delle app:

I tuoi dispositivi Smart in generale:

Te stesso:

I tuoi metadati inclusa la tua posizione geografica:

Impronta digitale, impronta e comportamento online:

I tuoi indizi sulla tua vita reale e OSINT:

Il tuo viso, voce, dati biometrici e immagini:

Riconoscimento dell'andatura e altri dati biometrici a lungo raggio

Phishing e ingegneria sociale:

Malware, exploit e virus:

Malware nei tuoi file/documenti/e-mail:

Malware ed exploit nelle tue app e servizi:

Dispositivi USB dannosi:

Malware e backdoor nel firmware hardware e nel sistema operativo:

I tuoi file, documenti, immagini e video:

Proprietà e metadati:

Filigrana:

Immagini/Video/Audio:

Filigrana di stampa:

Informazioni pixelate o sfocate:

Le tue transazioni in criptovalute:

I tuoi servizi di backup/sincronizzazione cloud:

Impronte digitali del browser e del dispositivo:

Perdite di dati locali e analisi forensi:

Crittografia errata:

Nessuna registrazione ma registrazione comunque politiche:

Alcune tecniche mirate avanzate:

Alcune risorse bonus:

Appunti:

Preparativi generali:

Scegli il tuo percorso:

Limiti di tempo:

Limiti di budget/materiale:

Abilità:

Considerazioni contraddittorie:

Minacce:

Avversari:

Passi per tutti i percorsi:

Abituarsi a utilizzare password migliori:

Ottenere un numero di telefono anonimo:

Fisico Burner Telefono e SIM prepagata:

Prendi un telefono con masterizzatore:

Ottenere una SIM prepagata anonima:

Numero di telefono in linea:

Ottieni una chiavetta USB:

Trova alcuni luoghi sicuri con Wi-Fi pubblico decente:

Il percorso Tor Browser:

Windows, Linux e macOS:

Android:

iOS:

Avviso importante:

Il percorso di Tails:

Impostazioni Tor Browser su Tails:

Negabilità plausibile persistente usando Whonix all'interno di Tails:

Prima corsa:

Corse successive:

Passi per tutti gli altri percorsi:

Ottieni un laptop dedicato per le tue attività sensibili:

Alcuni consigli per il laptop:

Impostazioni BIOS/UEFI/Firmware del tuo laptop:

PC: