(基于Linux的匿名通用操作系统Whonix开发者给用户的忠告)
1、匿名上网的时候我想看看自己的网站是什么样子
匿名的时候,不要访问与你的真实姓名或网名有关联的个人网站
原因如下:
会有多少人访问你的个人网站?其中有90%是Tor用户,或仅仅你自己,或很少的一些人?
这样的匿名性很弱。一旦你访问了自己的网站,你所使用的Tor回路便不安全了。出口节点知道有人访问了你那个访问量并不是很大的个人网站,很容易猜到那个人就是你自己。并且很容易假定接下来的连接都是由你的机器发起的。
登陆你真实的facebook账号却还以为自己在匿名上网(就是要将匿名身份与实名身份完全隔离,曾经有人问我要QQ号,我直接回绝了,就是出于不能将两个身份关联起来的考虑)
不要登陆个人facebook(国内网站同理)账号。不管其是否与你真实姓名相关联或仅仅是假名。
你可能会添加了一些好友,而他们知道这个账号是你的。通过facebook社交网络可以猜到你是谁。没有万能的匿名上网解决方案。一些匿名上网软件可能会很好的隐藏你的IP地址/地理位置。但是facebook不需要你的IP地址/地理位置。他们已经知道你是谁,你有哪些朋友,你和谁发了什么私信等等。这些信息都会保存在facebook的服务器上。没有什么软件能够删除这些信息。只有facebook自己或黑客可以。所以一旦你登陆了自己的facebook账号,你仅仅是隐藏了地理位置而已,而不是匿名性。
在使用Tor网络的时候,永远不要登陆你在其之外曾登陆过的账号(这是指直接连接TOR时的情况,天朝三大社交平台都要通过加密代理才能上(在此提醒一下只用hosts的人,这样做很危险),这问题倒不大,不过不要相信墙内的VPN服务提供商)
要假定你在登陆一个网站的时候,网站服务器会记录你的登陆IP地址/地理位置,何时访问,及访问了哪些内容。
同样要假定,每当你通过你的ISP(网络服务提供商)接入网络的时候,它会记录你的在线时间,所分配的IP地址,及流量信息。
你的ISP同样会记录你连接了哪些IP地址,产生了多少流量,及你发送和接收了什么。
(除非你的数据加密过,否则会看到你的明文信息。)
哪怕你只搞砸了一次,使用了可以关联到你的非Tor网络的IP地址,那么你的整个账号就暴露了。
不要登陆你的银行账户,支付宝,易趣,或其他重要的个人账户(一旦涉及到支付,匿名就没有任何意义了)
登陆与钱修改的支付宝,易趣或其他你名下的个人账户有一定的风险,欺骗预防系统认为这是一个可疑操作,从而冻结你的账户,因为一些黑客会使用Tor网络进行欺骗攻击,冻结账户应该不是你想要的结果。上面已经解释过,这也破坏了匿名性,这是伪匿名性,并且会带来隐患(访问了ISP屏蔽的网站),暴露你的位置隐私,后面的章节会介绍真正的匿名性和伪匿名性的区别。
很多时候你可以联系客服解锁你的账户,甚至让预防系统放过你的账户,Whonix的一个开发者adrelanos不反对使用Tor网络来保护你的位置隐私,但是你应该清楚上面所讲,会冒账户被冻结的风险,以及本页所提的其他一些警告,如果你清楚自己在做什么,请随意。不要使用免费的WIFI代替Tor
你可能会觉得使用免费的WIFI会更快一些,并且和Tor一样的安全,因为IP地址不能和你的真实身份关联起来,但最好同时使用WIFI和Tor,而不是仅其一。
IP地址的近似位置可以缩小到一个城市,区,甚至街道,即使你已经离开了,你仍然留下了所在城市及大体的位置信息,因为大多数人并不会只为了一个免费的WIFI而跨越大洲,虽然这不会破坏你的匿名性,但是却将嫌疑圈从全世界缩小到了一个很小的地区,这会大大的破坏你的匿名性,最好尽可能多的隐藏你的个人信息。
避免Tor over Tor的情景
Whonix规范中有讲。
当使用透明代理的时候(Whonix系统中含有一个),在客户机中开启的Tor会话很可能是通过了透明代理,这样便会产生Tor over Tor的情景,这会发生在向Whonix-Workstation虚拟机中安装Tor或在其中使用Tor Browser Bundle却没有修改浏览器所用代理的时候,这样做会带来未定义或潜在的不安全行为。
理论上,你会得到6个中继而不是3个,但事实上并不能保证你会得到另外3个不同的中继节点——很可能你得到仍是前3个节点,也许顺序反过来或交叉顺序。
目前还不清楚这样是否安全。这还没有经过广泛的讨论,你可以选择Tor网络的入口/出口节点,但是让Tor自己来进行路由选择可以获得更好的安全性,自定义入口/出口节点会破坏匿名性,目前还不知道为什么。
总之,不建议使用Tor over Tor。
端到端未加密的时候不要发送敏感数据
在警告页已经解释过,Tor的出口节点会被监听或者发生中间人攻击。
不想让第三方获取发送者和接收者之间的敏感数据,使用端到端加密是唯一方法。
不要泄露你的身份信息
IP地址并不是破坏匿名性的唯一方式,同样的,社会工程学也有巨大的危害。
下面收集了一些避免匿名性泄露的建议:
不要在昵称中包含个人信息。
不要谈论个人信息,比如你家乡何处……
不要提及你的性别,纹身,饰品或身体状况。
不要提及你的职业,爱好,或你参加的活动。
不要使用你用语言键盘上的特殊字符。
匿名上网的时候不要在常规网站上发帖子。不要使用推特和facebook。这很容易进行互相关联。
不要转发你facebook上的图片链接。图片名称包含你的个人信息。
不要使用匿名和非匿名同时连接相同的地址。要交替开。
时刻谨记网络聊天,论坛,邮件列表都是公开的。
时刻谨记所谓的英雄只会出现在漫画书中。现实中不存在。
如果匿名上网的时候需要使用个人信息,向上面所提到的要当做敏感信息加密处理。不要同时使用不同账号
这很容易进行互相关联。Whonix并不会帮你区分开不同账号的前后关系。
见下述。
使用完推特,facebook,谷歌等账号后及时退出
严格限制登陆推特,facebook,谷歌和其他基于账号服务(如论坛等)的时间。
在你读完留言或发完日志后立即登出。
关闭Tor Browser,更换Tor回路,等一段时间回路变换后再重新打开Tor Browser。
为了获得更好的安全性,可以使用Recommendation to use multiple VM Snapshots
和/或use multiple Whonix-Workstations
多个虚拟机快照和/或多个Whonix工作站。
这是因为很多网站会集成“分享”,谷歌分析,广告等。
因为你还在登陆中,所以这些插件会告诉网站你依然在访问该网站。
同时注意上面提到的不要同时使用不同的账号。
不要混淆匿名性的不同模式
大致了解下匿名性的不同模式:
模式(1):用户匿名;接收端随意
情景:匿名发帖/邮件/评论
情景:检举
你是匿名的。
你的IP地址被隐藏。
位置隐私:你的地理位置是保密的。
模式(2):用户知道接收者;都使用Tor网络
情景:收发方互相知道彼此,并且都使用Tor网络。
没有第三方知道他们互相通信了什么,甚至不知道他们在通信。
你不是匿名的。
你的IP地址被隐藏。
位置隐私:你的地理位置是保密的。
模式(3):使用Tor网络但是密钥匿名;接收者随意
情景:登陆真实用户名使用一些服务,邮件,facebook,推特等……
很显然你不是匿名的。一旦你使用真实用户名登陆,网站立马就知道你是谁了。(这句话是指之前注册时就泄露了真实身份的情况,天朝用户只要不是实名注册就不必太在乎。)
这种情况下Tor网络也无法保证你的匿名性。
你的IP地址被隐藏。
位置隐私:你的地理位置是保密的。
模式(4):密钥匿名;接收者随意
情景:未使用Tor网络的正常浏览。
你不是匿名的。
你的IP地址泄露了。
你的地理位置泄露了。
结论
混合使用模式(1)和模式(2)是不明智的。
例如你在模式(1)下使用了一个即时聊天或邮件账号,那么在模式(2)的时候就不要使用相同的账号。
前面有讲过为什么。
使用相同Tor会话的时候混合模式也是不明智的,他们会使用相同的出口节点(身份信息很容易互相关联)。
其他的模式组合也会很危险,并且带来个人信息或位置信息的泄露。
如不是很清楚则不要自定义配置
修改不联网应用程序的配置,通常是安全的。
例如不再显示tip或隐藏菜单栏对匿名性通常没有影响。
查阅Whonix的文档,看看你想修改的配置有没有列出或不建议修改的。尽量保持默认值。
修改联网应用程序的配置,即使只修改界面相关的,也要非常谨慎。
例如不建议移除Tor浏览器上的一个菜单栏或将其最大化。
后者则可令人知道屏幕的大小,这便留下了浏览器的指纹特征。
修改网络设置的时候要非常小心,并且很明确其所带来的影响。
例如不要去尝试所谓的“Firefox调优”的建议。
如果你确定当前的配置不是最优的,请提交修改方法,Tor浏览器的开发者在下一个版本中会为所有用户进行修改。
不要同时使用普通网络和Tor网络
同时使用普通浏览器和Tor浏览器,你会有混淆两者的使用且破坏匿名性的风险。
同时使用普通网络和Tor网络非常的危险,不建议同时使用匿名方式和非匿名方式连接同一个服务器。(这是关键,如果用TOR时同时直连墙内网站,关系倒不大,前提是用TOR时没有连这个网站)
下面会介绍原因。
如果你真的不打算遵从本条建议,那么你至少也要使用两台不同的电脑,以免混淆浏览器的使用。不要同时使用匿名方式和非匿名方式连接同一个服务器
强烈反对使用此方式连接远程服务器。也就是说,不要同时创建Tor连接和非Tor连接到同一个远程服务器。
如此一来,你的网络连接最终便会暴露,你的网络连接就此泄露,对于敌人来说,将所有的报文片段联合分析,
从而判断一个公网IP和Tor网络IP的对应关系并非难事,最终导致你身份的暴露。
不要混淆匿名和假名
本节介绍匿名和假名的区别。给一个词下定义是很困难的,因为这需要大多数人的认可。
匿名连接:一个到目标服务器的连接,目标服务器无法确定原始IP和位置,也无法和某一个身份关联。
假名连接:一个到目标服务器的连接,目标服务器无法确定原始IP和位置,但是能够和某一个身份进行关联。
理想情况下,Tor网络,Tor浏览器(和潜在的操作系统,硬件,物理安全等)是完美的
例如用户访问一个新闻网站,该新闻网站或该新闻网站的ISP都无法确定此用户曾经是否访问过该网站。
相反情况,不正确的使用软件,例如使用Firefox代替Tor安全的浏览器Tor Browser,网络连接的原始IP虽然被隐藏了,
但是一个标识符(比如Cookies)便可以让这个连接变成假名连接。
目标服务器会记录下如此日志信息“用户111222333444在日期c时间b看了电影a,在日期f时间e看了电影d。”。(关于这一点,墙外大型网站不用太担心,至少他们不可能主动将你的信息提供给共匪;但墙内网站就要小心了,墙内网站一直是卖你没商量的。)
这些信息会用于分析。随着时间的累积,这些分析数据就变得越来越易于理解,降低了匿名性,
也就是说,最坏情况是导致真实身份的暴露。
一旦某人使用一个用户名登入了网站(论坛或邮箱),依照定义此连接便不再是匿名的,而是假名的。
原始的IP虽然是隐藏的,但是该连接可以和一个标识符相关联,也就是说,此情况下和一个账号名称关联。
标识符可以用于保存日志的很多信息。
用户什么时候写,何时登入登出,写了什么,向哪个用户发送了什么,IP地址(无用的,是Tor的出口节点),浏览器指纹等。
不要第一个发布你的链接
你创建了一个匿名博客或隐藏服务?非常好。你的推特账号有很多的粉丝,有很大的普通网络群?非常好。
要抵挡住诱惑,不要第一个将你的匿名项目昭告天下。
最好严格分开各个账号的用途,减少马甲之间的交叉关联。
当然有时候你已经这么做了,不过还是要非常小心。
不要随意打开文件或链接
某人在邮件中给你发了给pdf文档或pdf的链接?发送者的邮箱/账号/密码可能已经被盗用,pdf可能是伪装的木马感染你的系统。
不要使用你被期望使用的工具去打开它。
例如使用pdf阅读器查看pdf文档。如果文档可以公开,使用一个在线pdf阅读器。
不要进行手机验证(这点我有规避方法:1,虚拟手机与短信自动接收以及VOIP,vovox,pinger,text now,google voice等都可以试试;2,进行手机验证时随便找个TOR之外的翻墙软件(三大社交平台都是HTTPS链接,所以不用担心账号密码泄露),完成后再用TOR登录,这样就无法通过手机号将真实身份与TOR身份联系起来了。
有些网站比如谷歌,facebook在你使用Tor登陆的时候会让你进行手机验证。除非你非常的聪明或有其他方法,否则千万不要。
理由:
你使用的手机号会记入日志。SIM卡通常是使用你真实姓名注册的。
即使不是,接收一条短信息会暴露你的地理位置。
即使你是匿名购买的SIM卡,并且在离你家很远的地方使用,也是有风险的。
问题在于手机。
每次手机接入移动网络的时候,服务商会记录SIM开的序列号和手机的序列号。
如果你的SIM卡是匿名购买的,但是手机却不是,那么你并没有获得匿名性,
因为这两个序列号是互相关联的。
如果你真的想进行手机验证,你需要在远离你家的地方,全新的手机,全新的SIM卡,
并且在你使用完后立即关机,马上离开,立即烧毁手机和手机卡。
你可以找一个提供在线接收短消息的服务。那样可以带来匿名性。
但问题是,谷歌和facebook在进行验证的时候很可能将这些网站加入了黑名单。
或者你可以找另外一个人帮你接收短消息,但这仅仅是将风险转嫁给另一个人。