Como ser anónimo na Internet
Como ser anónimo na Internet – TUTORIAL COMPLETO
Antes de mais, não sou um especialista, apenas alguém interessado em segurança e comunicação.
Como ser anónimo na Internet – HTTPS ou TOR?
Introdução
Ao navegarmos na Internet convencional, ou “surface web”, usamos protocolos. Tudo começou com o HTTP (HyperText Transfer Protocol), foi um dos primeiros protocolos quando tentamos aceder a um site mas é bastante fácil para um “hacker” ver o que fazemos e por onde navegamos isto porque não há qualquer tipo de encriptação entre o servidor web e a vossa máquina.
Basta alguém estar na mesma rede do que vocês, por exemplo a mesma rede Wifi, e executar um MITM (man-in-the-middle attack). Onde o hacker redireciona o tráfego da máquina alvo para o seu servidor e ele literalmente lê os pacotes de dados (informação trocada, ou seja, passwords, utilizadores, etc) com um simples “sniff” no Wireshark (programa que nos permite ver pacotes de dados (TCP, UDP, etc)).
Forma bastante eficaz de roubar informações a alguém em servidores desprotegidos.
Felizmente e a nosso favor a maioria dos sites hoje em dia usa HTTPS (HTTP + SSL), muitas pessoas convencionam o “S” no final do HTTPS como “secure”, daí o cadeado verde que vemos quando acedemos a esses websites.
O processo (SSL) começa quando nos tentamos conectar a um site e ele nos manda uma cópia do seu certificado SSL (Chave pública), o navegador verifica se o certificado está expirado, em vigor, válido, etc (uma grande treta de acreditação).
Se o navegador confiar no certificado, ele cria e envia de volta uma chave de sessão simétrica utilizando a chave pública do servidor.
O servidor dá decrypt da chave de sessão simétrica usando a sua chave privada e envia de volta uma confirmação criptografada com a chave de sessão para iniciar a sessão segura e agora o servidor e o navegador comunicam com, supostamente, segurança. São assim realizados os primeiros momentos de conexão quando acedemos a um website com HTTPS.
P.S: Pensem em chave pública como algo que transforma x em alguma coisa que só pode ser aberto com a chave privada, y. Mais sobre isso à frente.
Se HTTPS é assim tão seguro, porquê usar tor?
Bom, mesmo com esse tipo de segurança há várias formas de ver ou atacar alguém. Podemos sempre fazer phishing, ou mesmo ainda usar MITM (fazermo-nos passar pelo servidor verdadeiro, é difícil AF mas possível) entre muitas outras coisas.
Com o Tor deixamos de ter esses problemas. Mais ou menos.
Mas o que é Tor?
Tor é uma comunidade, uma rede de computadores muitas vezes referida como Dark Web ou Deep Web.
A rede Tor dá-nos um nível de segurança com 128-bit AES (Advanced Encryption Standard) end-to-end (De computadores para computadores, não da nossa máquina até ao website). No final das contas é uma rede que sobrepõe “IP’S” em várias camadas e deve ser tratada como tal.
O melhor é usar HTTPS e Onions (Tor), HTTPS protege os nossos dados a nível de navegadores (nós)<=>(WEBSITE) e a rede Onion reforça o anonimato com “loops” pela Internet de modo a escondemos a nossa identidade (IP).
Mas esse nível de segurança depende do próprio website/servidor com que estamos a tentar comunicar. Para os nerds que desconheciam esta tecnologia, aqui têm um “Let’s Encrypt” para onions (here)
A rede tor funciona a partir de nodes, qualquer um pode fazer um relay, node de saida, etc. Uma autêntica rede de computadores que comunicam entre si anonimamente.
Um aparte do funcionamento dos nodes…
-
A comunicação do vosso computador para a Internet depende do node de entrada onde basicamente o vosso computador entra na rede tor. Esse node de entrada comunica convosco e sabe o vosso endereço IP.
-
Esse node de entrada em seguida passa a vossa ligação para um relay. O relay comunica com o node de entrada e outro relay (pode haver vários) ou um node de saída mas não conhece o vosso IP.
-
E finalmente a vossa ligação chega ao node de saída onde o vosso pedido inicial é desencriptado e mandado pela Internet. O node de saída não conhece o vosso IP, apenas o IP do relay anterior.
Utilizando este modelo de 3 ou mais nodes fica mais difícil, mas não impossível de correlacionar o vosso pedido inicial com o vosso IP original. Também queria frisar que a maior parte destes nodes são universidades (fun fact)
O problema vem quando escrevemos “plain text” num site a que acedemos via Tor, imaginemos que o meu exit node é o FBI ou a NSA. Se tivermos introduzido dados sensíveis apenas rezem que quem estiver a manter/operacional o exit node não tenha poder computacional suficiente para desencriptar a vossa ligação.
Let’s get REAL
Depois disto não parece nada seguro usar tor né? O bom é que é praticamente e impossível quebrar 128-bit AES. Toda a rede de bitcoin (hash rate atual é de 60M) demoraria 2.158 x 10^12 anos para quebrar 1 só chave. E para além do mais, podemos sempre configurar os nossos nodes, mais aqui.
Apenas não coloquem nada que não gostariam que se tornasse público pois a segurança nunca é garantida! O que é (praticamente) garantido é o anonimato com o tor :)(Eu diria até que o vosso anonimato é garantido, todos os websites na deepweb que foram fechados até o dia de hoje por exemplo, não teve nada a ver com uma falha na rede tor mas sim foi um descuido dos administradores)
E para comunicação na web (chat) usem sempre PGP (Pretty Good Privacy), vamos falar mais à frente.
Que sistema operativo usar / Como Operar – Como ser anónimo na Internet
Pretty bit topic here..
Sistemas Operativos
Querem anonimato? Usem um sistema operativo ao vivo (Live Operating System / Live CD). É um sistema operativo contido num dispositivo de armazenamento móvel, podem usar em qualquer lado com um computador (motherboard não desbloqueada) não deixando qualquer rasto no pc da sua existência (kinda, mais à frente).
Caso não queiram ser tão hardcores, podem sempre usar Linux, muito bom também, updates constantes da comunidade ;)Para o típico utilizador Windows.. sabiam que o Windows envia tudo o que vocês escrevem e falam para a Microsoft? Aqui têm tools que removem a telemetria and stuff (here)
Se são uns completos noobs e nunca instalaram nenhum OS (operating system) podem usar uma coisa chamada Virtual Box que emula um sistema operativo dentro de outro. Pesquisem.
Recomendo o uso do Tails (Live), Link here.
P.S: No que toca à Apple não tenho experiência portanto, não comento.P.S2: Dêm uma vista de olhos no “Qubes”, sistema operativo hardcore para segurança.
PGP, Como Operar & Related
Mini Introdução
Temos de assumir sempre o pior, qualquer agência de inteligência ou governamental interceptou e desencriptou os nossos dados. O que eles podem usar contra nós?
Temos sempre de agir/ter o cuidado de nunca compartilhar dados pessoais, NUNCA. Ter uma boa password sem nada que nos identifique (Tenho uma boa password?) e diferentes passwords e entidades para cada serviço/website que usemos. Lembrem-se, basta “deslizarmos” uma vez e somos comprometidos. Caso usem o mesmo utilizador/pass qualquer organização/pessoa com intenções pode “ligar os pontos” e identificar-te.
PGP (Pretty Good Privacy)
Outro passo que devem tomar é comunicar apenas usando PGP. Lembram-se das chaves públicas e privadas? Vou salientar novamente esse tópico.Tomem em conta que nem sempre é possível comunicar com PGP, quando estamos a preencher informação num website ou wtv essa informação pode estar comprometida.
Side Note: Há uns open source code para usar o Proton Mail com PGP com alguma facilidade, pesquisem nerds.
O processo PGP:
-
Criam uma chave privada e uma chave pública.
-
A chave pública é aquela que vocês mandam para as pessoas poderem encriptar mensagens/ficheiros/etc.
-
A vossa chave privada é guardada por vocês, é a única coisa que pode desencriptar os ficheiros encriptados pela chave pública.
-
A pessoa com quem comunicarem tem de fazer exactamente o mesmo processo e vocês tem de usar a chave pública delas para lhes enviar mensagens.
GUARDEM BEM A VOSSA CHAVE PRIVADA, GUARDEM NUM LOCAL OFF-GRID, fisicamente escondida. Caso comprometida, fudeu. E já agora, se a perderem não há nenhuma forma de a recuperar.
No Tails a área onde podem mexer com o PGP fica no canto superior direito, uma que parece uma prancheta, vão a “manage keys”.
Por exemplo, uma das razões que o Silk Road falhou foi que Ross (um dos administradores) nem sempre comunicava através de encriptação PGP e depois de ser apanhado (meteu informações pessoais na net no inicio da sua jornada) as autoridades tiveram acesso a tudo o que não estava encriptado.
Sugiro sempre que guardem as suas chaves privadas num cartão SD ou melhor num microSD para que se um dia forem apanhados e alguém vos for bater à porta podem simplesmente partí-lo e os vossos dados ficam seguros x)
Tails e resíduos
(assumindo que têm o Tails…)
Tails é um excelente sistema operativo para privacidade, quando ligado e “bootado” no PC ele cria um drive virtual e quando é fechado tal é apagado, mas não permanentemente.
Como deve ser conhecimento geral, armazenamento na memória de um computador (no seu disco rígido) funciona a base de 0’s e 1’s. Vamos supor que crio uma pasta chamada “teste”. O disco rígido será desempenhado de designar os respetivos 0’s e 1’s a uma secção do disco e saber onde está tal secção.
Temos 2 dados importantes aqui, os dados da pasta “teste” (0’s e 1’s) e a sua localização na respectiva secção do disco, chamam-se “pointers”. Pointers apontam o local do disco onde estão armazenados os dados (0’s e 1’s).
Quando apagamos algo (tradicionalmente) apenas apagamos os pointers e os 0’s e 1’s anteriormente designados à pasta teste estarão agora labled como livres, esperando serem rescritos por novos 0’s e 1’s de novos dados. Espero ter sido claro.
Portanto, alguém com habilidades pode pesquisar no disco 0 e 1’s designados como “espaço livre” que, organizados “façam sentido” e recuperar os nossos dados privados.
Temos 2 opções:
-
Dar Shread nos ficheiros (Rescrever aleatoriamente 0’s e 1’s “livres”)
-
Encriptar o disco rígido
Encriptação do disco inteiro & destruição segura de ficheiros & RAM
No que toca a encriptação do disco Tails tem uma funcionalidade incorporada chamada FDE (Full Disk Encryption) ou seja, formata-vos a pen (ou o quer que seja que estão a usar) e rescreve-a com o seu conteúdo encriptado sendo apenas possível ganhar-lhe acesso com uma palavra-passe. E como sempre, guardem a password num local seguro ou memorizem-na.
Tutorial de como encriptar o disco (here)
E no que toca a destruição segura dos ficheiros há vários programas para o fazer, apenas recomendo que o faças no mínimo 3x (para garantir aleatoriedade). Duck it.
Mesmo com o disco encriptado e os dados limpados ainda podemos extrair-te informações pela tua RAM
Chamam-se de “Cold Boot” esses tipos de ataques.
Primeiro, RAM (random acess memory), quesamerda?
RAM é o local onde o computador armazena dados que apenas são necessários temporariamente e isso acontece milhões de vezes por segundo. Pensem na RAM como uma memoria onde pode ser escrita e rescrita os 0’s e 1’s extremamente rápido.
Imaginemos que estão a trabalhar num documento de texto, enquanto trabalham tal está a ser guardado na RAM (armazenamento de curto prazo) até que clicam em salvar e o documento é armazenado no disco rígido em si (armazenamento de longo prazo).
Nesse período de tempo os dados são armazenados na RAM sem qualquer tipo de encriptação. Quando desligamos o computador normalmente ele passa por um ciclo onde limpa os dados armazenados na RAM mas se ele perder energia abruptamente os dados ficam “leaked” na RAM e é onde são realizados os Cold Boot Atacks.
A única medida que podemos implementar contra este tipos de ataques é usar RAM DDR3 (isto porque ela necessita de eletricidade para manter dados, passado x tempo os dados são apagados) e desligar o PC normalmente, sempre.
Inimigo? JavaScript.
Imaginemos que corro servidores maliciosos tendo em conta que tenho uma grande comunidade a alimentar-se dos meus serviços e sou apanhado. O que é que as autoridades podem fazer para os apanhar?
Um dos métodos mais comuns usado pelas autoridades é injetar JavaScript ou seja, todos os utilizadores iriam acessar uma página web alterada que tinha como intenção correr JavaScript que transmitia o IP da pessoa e a sua localização (visto que tal código era apenas descodificado e corrido no pc da pessoa).
Dito isto, aconselho desativarem a execução de JavaScript nos vossos navegadores (browsers). Tanto no Iceweasel (Tails) ou no Firefox (tor) podemos desativar a execução de JavaScript com o seguinte procedimento:
-
Abram uma nova tab (janela) no navegador e escrevam “about:config” e cliquem no botão “I’ll be careful, I promise.” (apenas versões mais antigas, se não tiverem botão, ignorem)
-
Procurem no “mini motor de busca” as palavras “javascript.enabled” e “browser.urlbar.filter.javascript” e cliquem com o botão direito neles e depois, “Toggle” até que ambos terem como “Value”:”False.
(se usam Tails, cada vez que o iniciam poderão de ter de fazer isto)
Dados EXIF
Tiramos tantas fotografias com os nossos telemóveis né? Sabiam que provavelmente a vossa localização está incorporada nelas?
Quase todos os formatos de fotos podem ter as coordenadas incorporadas, menos o formato .PNG, portanto é imperativo para um criador de um website apenas permitir formatos PNG e também para nós porque a nossa informação pode dar “leak” por um erro tão simples como este.
Felizmente o Tails tem uma solução, basta irmos a Applications -> Accessories -> Metadata Anonymisation Toolkit, mais info –> (here)
VPN + TOR = PERFECTION?
Bem, não.
VPN’s não são de confiança. A famosa “HideMyAss” que supostamente tinha uma carrada de implementações de segurança que nem eles próprios conseguiriam ver o que o utilizador fazia abriu a boca quando questionada pelo governo da Inglaterra sobre o caso LulzSec.
Mas se tentarem a vossa sorte escolham uma que no mínimo tenha 128 bits ou até mesmo 256 bits de encriptação.
Se querem ainda mais segurança do que já têm, comprem umas Raspberry Pi, disfarcem-nas e coloquem-nas num sitio que tenha uma rede Wifi Pública escondidas e com eletricidade, façam uns servidores OpenVPN, uns proxies da treta e GG (Como criar uma rede tor mas caseira). Fiz um tutorial de como fazer uma VPN numa Raspberry, depois é só fazer uns loops.
P.S: DNSQueries, não confiem na vossa rede.
Cuidado com downloads
Por vezes numa comunidade da deepweb recebemos PM (private messages) que nos dizem que a nova atualização do tor tem uma falha de segurança e aqui está o link X para dar patch. Treta, nunca confiem e façam sempre o download do website oficial (cuidado com o phishing) mas podemos sempre verificar a autenticidade dos nossos downloads.
Recomendo o uso do GnuPG. Pesquisem, muito importante! Voltamos a usar o nosso amigo PGP 😉
P.S: Não só downloads, também podem assinar mensagens encriptadas (quase como encriptado 2x)
Simples e eficaz, adeus monitorização da treta
Podem-nos identificar de várias maneiras, uma delas é pelos nossos padrões habituais que podem ser usados contra nós em tribunal.
Uma forma fácil de acabar com isso é desabilitar “mostrar o meu status online”, muito comum em fóruns e comunidades.
Usem bridges!
Mesmo com esta segurança quando ligados ao tor o vosso ISP (Internet Service Provider) pode ver que vocês estão a usar o Tor, para tal sempre podemos usar bridges. Lista de bridges (here) captcha é hard mesmo.. (ataques de correlação)
Depois de entrarem vão ter acesso a uma lista de bridges que são publicamente disponiveis pelo Tor, talvez não seja a melhor opção mas sempre tens a opção de mandar diretamente um email para bridges@bridges.torproject.org com o body da mensagem sendo “get bridges”, infelizmente só funciona para Gmail e Yahoo (anti bots)
Para usá-las no boot do Tails, aparecem 2 opções: Live e Live (Fail Safe), neste menu cliquem em Tab, Espaço e escrevam “bridge” e depois Enter. Modo bridge ativado. Ao entrarem no Tails basta adicionar as vossas bridges numa tab que vos vai aparecer neste formato-> IP:PORTA e gg.
Visto que é muito menos provável que o vosso ISP conheça estas ligações. Também podem especificar o pais assim: XXX.XXX.XXX.XXX – COUNTRY: X
De qualquer das formas bridges é um assunto complexo, do your homework. Coisas bonitas para vocês (here)
Governo e polícia – Como ser anónimo na Internet
Os seus limites
Bom, não têm, pelo menos os americanos (casos mais conhecidos). Eles chegaram ao ponto de ter uma conta no silk road como vendedores onde seriam vendidas fake ID’S (durante 7 anos), após esse período começaram de apreensões. E no serviço postal dos US, qualquer encomenda “ilegal” não eram apreendida mas sim colocavam-lhe um tracker.
Tenham sempre em mente que se eles vos querem apanhar mesmo, eles farão tudo no seu alcance para vos capturar. Tenham sempre em mente que se vocês estão a fazer qualquer tipo de actividade considerada ilegal têm sempre de ter em conta o pior cenário possível.
Vocês até podem ter uns PC’s, uns servidores e algumas skills mas não é nada comparado com o poder deles.
Lembrem-se, basta escorregarem uma vez e acabou, sejam prudentes.
O que fazer quando se é apanhado
Errar é humano. Provavelmente vamos todos cometer um erro e se o governo achar que somos um peixe suficientemente grande ele vem atrás de nós.
É sempre melhor prevenir do que remediar, temos de ter já um advogado pago 50k + extra (caso sejam ilegais, mesmo.) isto porque o governo pode congelar-nos as contas/apreender o dinheiro.
Sabiam que o silencio é um direito? Mantenham a boca fechada. Eles vão tentar usar todas as táticas para nos fazer admitir que somos culpados dos crimes de que somos acusados.
Provavelmente a primeira coisa que eles vos vão dizer é que nos querem ajudar e estão atrás do maior peixe do cardume, ignorem, treta.
Eles vão dizer “Então não queres cooperar? Estava a tentar ajudar-te mas agora só vais dar problemas.” ou “Tens alguma noção dos crimes de que és acusado?”. Mais uma vez, mantenham-se calados e continuem a pedir por um advogado.
Nunca falem sem o vosso advogado presente e nunca façam nada que não seja exigido legalmente. Vocês têm o DIREITO de estar calados.
Não discutam com os polícias sobre se eles têm ou não alguma coisa contra ti, sê chill nesse assunto. Age assustado, ansioso e confuso. Como se não soubesses o que se passa e apenas queres o teu advogado. Diz aos polícias: “Vocês estão-me a assustar, apenas quero o meu advogado”… como eu amo engenharia social.
Com o vosso advogado é o basico, sejam honestos com ele e trabalhem como uma equipa. Privilégio Cliente-advogado.
Cool Stuff – Como ser anónimo na Internet
TorChat
TorChat funciona da mesma forma que o tor funciona com todas a features que todos gostamos, cria links .onion da mesma forma que o tor mas usa-os para identificar um ID de uma pessoa em particular sendo que esse ID pode comunicar com outros ID.
P.S: Não recomendo, ideia bonita mas não sabemos o nível de anonimato ou as vulnerabilidades que tal implica visto que funciona da mesma forma do que se como tivéssemos criado um HiddenService (um site tor) no nosso PC. Isso pode levar a problemas sérios.
Fica à vossa mercê, de qualquer das formas a sua comunicação eu<=>parceiro teria o mesmo nível de segurança do que o tor.
Como utilizadores do Tor foram apanhados
https://www.youtube.com/watch?v=7G1LjQSYM5Q
Email anónimo, História & Tor
https://www.youtube.com/watch?v=_Tj6c2Ikq_E
Recomendações – Como ser anónimo na Internet
-
Nunca deixes o teu PC aberto, dá WIN + L quando saíres
-
Não fales à tua família daquilo que fazes na web, apenas os instruas para não mexerem no teu PC protegido por password
-
Se usas várias camadas para te ligares à web, verifica e actualiza-as periodicamente
-
Utiliza sempre users e passwords diferentes
-
Utiliza passwords FORTES e sem dados pessoais
-
Não uses tor em redes públicas que necessitam de login, o servidor consegue sempre ver o tipo de browser que estão a usar
-
Faz backups diários (encriptados)
-
Não cliques em links de fontes desconhecidas
-
Impõe limites na informação que partilhas em plataformas
-
Não coloques na net informações pessoais
-
Melhora a segurança nos routers (mudar a pass default, etc)
-
Usa VPN e Proxys confiáveis
-
Cobre a tua WebCam
-
Tem um anti-virus, -malware, -spyware, -rootkit and stuff e atualiza diariamente
-
Ativa 2FA se possível
-
Recebe notificações de login
-
Evita guardar passwords em browsers
-
Não faças logins em Wifi públicas sem protecção (lembram-se dos MITM?) também vos podem fazer phishing, uma Dnsquery, alot of shit
Outras DICAS