活动家如何构建敏感网站并躲避政府和恶意者的追踪监控

  • 本文会介绍具体步骤。但首先应该明确的是概念,即 您希望得到哪种程度的保护

曾经有朋友询问如何构建一个追查不到所有者身份的网站。这需要涉及多个方面,域名注册方面的隐身只是之一,还包括,比如购买非免费软件、注册高级服务、为访问专有数据库付费等等,每一步都可以暴露您的身份。

本文分为三个主要部分。

首先,简要介绍一下假名和匿名之间的区别。

其次,分步介绍如何获得一个假名域名,同时使任何人都难以确定您是谁。

最后,简要介绍其他挑战,包括有关如何应对其中一些挑战的详细信息。

这些步骤综合起来足以使一个人至少在一段时间内隐瞒身份,就算是最有能力和最有耐心的监视者也很难了解您是谁。同时,这也是一个警告性的故事,关于,追求 “完美” 匿名性也许需要您舍弃一些东西。

假名、匿名、和可追踪性

假名和匿名是不同的。假名指的是您在现实中从未使用过的名字;匿名一般指的是不论如何都找不到对应的身份。这两者经常被混用。

这些概念可以像数字安全领域中的任何其他事物一样变得复杂,但是最基本的定义通常是最有用的。

最基本层面讲,使用假名就像是笔名,人们基本知道您的假名,而且不难通过假名知道您的真名;但是,要想匿名,您必须防止任何人将这个名字链接到您的真实身份。

幸运的是,这些东西很少是非黑即白的,安全人员一般会谈论 “可追踪性”。重要的是要认识到,匿名性(无论您选择叫它什么)都是灰色地带。

👉更具体地说,您需要问的是一个切实的问题:“我需要防止谁将我的假名与真实身份联系起来?”

如果答案是 “那个精通技术的亿万富翁间谍同时也是我邻居”,那么您将必须真正的匿名;如果答案是 “不很聪明并且不太在意的人”,那么一个听起来很酷的化名也许就可以解决问题。

当然,这种可追踪性梯度并非仅限于域名注册 —— 它涉及各种在线和离线操作,包括选择电子邮件地址的简单过程

假设您的名字叫王大锤。如果您使用地址 [email protected] 注册一个电子邮件帐户,然后将消息发送给任何知道您名字的人,那么他们一看就能知道是谁发送的。

为了获得假名,您可以注册一个地址,例如 [email protected]。但是,如果您的邮件实际显示为 [email protected] < wangdachui> 发送的邮件,那么显然,它根本就没什么用。

同样,比如为 iyouport.org 购买域名,同时在 WHOIS 中公开列出 [email protected] 作为注册人的电子邮件地址。从技术上讲,该域是伪名,但是,几乎不提供匿名性。

公开的和私密的可追踪性

区分可追踪性是公开的还是私密的,也许很重要。

[email protected] < wangdachui> 是公开可追踪性的一个例子;如果在购买域名时,WHOIS 注册信息中包含您的真实联系信息,也是如此。任何知道该如何搜索的人都能拿到您参与其中的证据。

私密可追踪性相比下更复杂一些。即使您在选择假名电子邮件地址的 <Real Name> 部分时非常小心 —— 或提交了精心选择的WHOIS注册信息 —— 仍然会有许多个人、公司、机构和机器人能够将您的假名与您的真实身份联系在一起

👉比如下面这样的情况:

  • 这个电邮地址您曾经用过多年;
  • 您曾经将这个电邮地址链接到了个人社交媒体账户;
  • 您用信用卡付款了;
  • 创建帐户时提供了 “备用地址” 或手机号码;
  • 您经常从您的家和办公室的IP地址登录帐户 ……

如果以上任何一个条件为 “是”,都能说明您的 “私密可追踪性” 很高。

虽然私密可追踪性仅对那些占据某种特权的人而言是危险的,但是您需要清楚地列出这些人的名单,非常重要 —— ⚠️它们至少包括:熟悉您的所有人、域名注册商、电子邮件和社交网络服务提供商、ISP、任何监视机构、以及有机会物理访问您设备的任何人。

👉通常最有可能的威胁包括:

  • 域名注册商或域名隐私保护服务提供商的员工收受贿赂而出卖您;
  • 信用卡公司出售交易信息以牟利的数据经纪人出卖您;
  • 经常与政府机构共享IP地址数据的互联网服务提供商(ISP);
  • 服务提供商和手机运营商被政府间谍要求透露特定电话号码或电子邮件地址的所有者……

⚠️请注意,以上这些仅仅是最基本的!完整列表要长得多,它还可能包括您身边的所有人,朋友、知己、同事;而且,当然,还包括被黑客入侵并找到其收件箱、交易日志、和用户数据库并在线倾销以供所有人查看的情况,私密可追踪能力突然变成公开追踪性。

因此,与其考虑有关假名性和匿名性的部分,不如考虑公开可追踪性部分和私密可追踪性部分。弄清面临的挑战,有助于帮您构思一个更合适的护盾。

域名所有权和WHOIS

互联网名称与数字地址分配机构(ICANN)是于1998年成立的美国非营利组织。除其他职责外,它还管理分配域所有权的协议。出于本文的目的,这些协议最重要的方面是它们要求域所有者:

向注册服务商提供准确详细的联系方式 … 包括:全名、邮政地址、电子邮件地址、语音电话号码、和传真号码(如果有的话)

该协议进一步指出:

故意提供不准确或不可靠的信息 … 或 … 未能在15天内答复注册服务商有关联系方式的准确性询问 … 应作为取消注册资格的依据。

域名注册商通常将此联系信息提交到可公开访问的域名所有者的分布式数据库 WHOIS中。有许多免费的在线服务可让您搜索此数据库。而且非常简单,只需:

  1. 在浏览器中导航到 ICANN WHOIS 页面
  2. 输入一个域名
  3. 点击查找

如何获得一个匿名的域名

有两种方法可以做到这点。

首先,付费购买域隐私保护服务。对于大多数人来说,这种方法可能就足够了,即使不试图隐藏您的身份,通常这样做也是个好主意。第二种方法要求违反您建立域 “所有权” 所依据的协议,但是会相对可靠。

下面分别介绍这两种。

域隐私保护服务

使用域隐私保护服务是最常见的方法。每月几欧元的费用,除了域名本身的费用外这些公司将收集并存储您的联系信息单独保留,而不是将其提交给 WHOIS。如果有人打电话问你是谁,他们不会把你说出来:

⚠️除非追踪者持有有令人信服的文件外加75美元,他们就会提供您的信息 ——具体措施参见这个页面,这其中写到他们将:

合理及时地回应传票和其他法律程序 …… 满足寻求信息、文件或其他商业记录的请求,并根据适用法律和事实评估每个请求。每个请求将收取$ 75的管理费 ……

并且,如果您的帐户违反了其可接受的使用政策,在这种情况下,它们 “将不会保护您的身份”。

而有些公司则更加明确。例如,满足以下任何一项的情况是,他们将保留其权利:

(i)向第三方透露您提供的联系信息…

(ii)在公共 WHOIS 数据库中填写了注册人的姓名、主要邮寄地址、电子邮件地址和/或电话号码…

(iii)终止您对私人注册服务的订阅 ……

👉在以下情况下同样可能会暴露您的身份:

(i)如果任何第三方声称该域名侵犯了其商标、商号或其他合法权利,不论该声称是否有效;

(ii)遵守任何适用的法律、政府法规或要求、ICANN 政策或要求、法庭传票、法院命令、执法机构或政府机构的要求;

(iii)如果任何第三方威胁要采取与域名直接或间接相关的法律诉讼 … 或声称您以违反任何法律法规的方式使用域名注册,或以其他方式违法或侵犯了第三方的合法权利,无论此类主张是否有效。

显然,您非常可能没有任何安全感,特别是在暴露后果严重的情况下。因为只要政府间谍或恶意第三方声称您侵权,就可以曝光您的身份

如上解释,域隐私保护服务仅仅提供了公开的不可追踪性,但是,很少能提供私密不可追踪性。

他们提供的匿名性几乎完全取决于可能为您选择的某些公司本身的可靠性和可信赖性。

尽管有时您可以自由地将业务交给自己感觉靠谱的ISP或注册商,但是,您几乎不可能了解这些域隐私服务的道德特征和运营安全性。

那么,还剩下另一种方法,使用假名注册域名。

用假名注册域名

👉在考虑私密可追踪性时,仅仅问自己 “我想向谁隐瞒?” 可能还不够。而且,无论您是否还选择域隐私保护服务,在注册域时都完全可以虚构姓名和联系信息。

但是,这样做违反了您与注册服务商达成的 ICANN 授权协议的条款,因此您需要创建一个内部一致的假名。至少两点很重要:

  • 使用以现金购买的并以新名字和地址注册的预付费“礼品卡”来支付域名;
  • 任何时候与礼品卡提供商、注册服务商或新域本身进行交互时,请使用 Tor 浏览器或 Tails。

限制金融可追踪性

首先是购买预付费礼品卡用于注册域名。以下步骤涵盖了随机选择的但有代表性的礼品卡提供商来解释这一过程。

第一步

用现金购买预付的礼品卡。有很多选择:

您的目标应该是防止注册服务商发现您的真实姓名和联系信息之间存在差异 —— 必须让它们看起来就像是常规信用卡交易的一部分 —— 并希望向WHOIS提交新的身份信息。

第二步

使用 Tor 浏览器或 Tails登录预付费礼品卡的帐户管理站点:

使用 Tor 可以避免公开真实的IP地址或唯一标识用于此交易的浏览器。

第三步

仍然使用 Tor 浏览器或 Tails,在向礼品卡提供商进行注册时,提供化名、假的/单独的电子邮件地址、电话号码和其他联系信息:

一些在线供应商(包括域名注册商)要求您输入街道地址、邮政编码,以与您所使用的信贷服务所记录的信息相匹配。

例如,该特殊礼品卡的文档指出:“注册预付礼品卡时,您还可以将其用于互联网、邮寄和电话订单的购买。”

根据域、注册商和礼品卡提供商的不同,有时有必要

  • 选择购买礼品卡的国家/地区的地址
  • 通过使用 Tor 浏览器或 Tails 访问在线 “假地址生成器” 来标识真实(或至少是现实)的街道地址。

同时,您还应该注意以下几点:

  • 选择在相应国家/地区有效的电话号码
  • 选择一个可以实际接收邮件的电子邮件地址
  • 确保该电子邮件地址没有透露有关您或您的合作伙伴的任何信息。

后面将对此给出一些建议。现在先把步骤介绍完。

第四步

确保记录所有这些详细信息,以备日后参考时使用。也就是说,您需要 “保持一致”。

使用比如 KeePassX(一种免费开源的安全数据管理器)来存储和保护所有虚构的用户名、密码和新的联系信息:

购买域名

以下步骤以随机选择但具有代表性的域名注册商为例以便说明问题。

第一步

使用 Tor 浏览器或 Tails 搜索并请求您想要注册的域名。

第二步

仍然使用 Tor 浏览器或 Tails,在注册商的站点上创建一个帐户,输入为预付费礼品卡建立的全套匿名联系信息。

第三步

再次确保将详细信息记录在 KeePassX 数据库中。

第四步

仍然使用 Tor 浏览器或 Tails,提供预付礼品卡的付款信息以及相关的联系信息。

这可能需要几次尝试。在找到可以成功完成交易的注册商之前,您需要尝试一些不同的注册商。您会遇到如下这类情况

  • 要求您解决 CAPTCHA 测试以证明是人类,只是因为通过Tor访问的结果
  • 直接拒绝您新创建的联系信息
  • 拒绝预付礼品卡的付款
  • 成功付款后过了很长时间又退回了钱

第五步

注册商会警告您,如果不验证电子邮件地址,他们将撤消您的域名。您可以验证在使用 Tor 浏览器或 Tails 时提供的地址。

第六步

最后,使用 Tor 浏览器或 Tails 来查询您自己的 WHOIS 条目。

除了提供匿名联系信息外,最好再注册一个域隐私保护服务。👉也就是说,如果您被隐私服务所出卖,则相同的查询将显示您的假名而不是您的真实身份。

获取一个 “真的” 匿名域名

部分原因是大多数域注册商都需要一个经过验证的电子邮件地址,因此通过执行上述步骤可以实现的匿名性有限,这些匿名性无法解决一些特定的私密可追踪性风险。

👉在用于其他活动的电子邮件地址下注册将意味着允许某人观察这些活动与新域名之间的联系。风险取决于您公开使用该地址的方式、以及在其他方式上的谨慎程度 —— “某人” 可能包括您的电子邮件提供商、注册商、或ISP,以及其他可能感兴趣的各方。

因此,以下步骤建议一种注册新电子邮件帐户的方法,不会在该地址和真实身份之间建立任何明显的联系

但是,由于现在许多电子邮件提供商都要求提供手机号码,因此您还必须考虑限制手机号码的可追踪性。

您可以通过以下步骤做到这点。

  • 限制手机号码的可追踪性
  • 使用该号码限制电子邮件地址的可追踪性
  • 如上所述,在 “以假名注册” 之前执行所有这些操作。

限制手机号码的可追踪性做法

通过使用现金购买预付费手机 —— 并在注册和激活时使用 Tor 浏览器或 Tails —— 能够降低任何人通过新电话号码找到您本人的可能性。

而且,由于对该手机上的软件或使它如此便宜的商业模式了解甚少,⚠️因此最好在办公室、家中、或任何您的常用地点附近都取下电池。

以下步骤涵盖了随机选择的但有代表性的预付费移动电话提供商以说明过程。

第一步

将自己的手机留在家中,但带着笔记本电脑和 Tails USB 记忆棒,找到一家商店出售预付费手机和充值卡。

用现金购买电话,充足够的时间来接收一些SMS短信。

第二步

使用 Tor 浏览器或 Tails,并在除了家或办公室之外的其他地方工作,为新的预付费手机充电并激活:

第三步

仍然使用 Tor 浏览器或 Tails,注册预付费手机并在提供商处创建一个帐户:

第四步

将预付费手机帐户详细信息添加到 KeePassX 数据库中。

第五步

仍然使用 Tor 浏览器或 Tails 完成激活预付费电话的操作,并充值。

限制电子邮件地址的可追踪性

现在就可以创建一个电子邮件地址了,以便在注册新域时使用。这部分非常简单。

第一步

依旧是使用 Tails,选择电子邮件提供商并创建了一个新帐户。输入注册预付费电话时提供的*相同*联系信息,包括电话本身的号码。

第二步

然后它会要求您在创建帐户时验证提供的电话号码。

刚开始访问新 Gmail 帐户时由于使用Tor,在下方会出现报错,就像下面这样:

因此,对于假名电子邮件帐户来说,Gmail可能不是一个好的选择。

第三步

验证电子邮件帐户后从预付费电话中取出电池。然后用预付的礼品卡按照上面的说明注册域名。

其他注意事项

从某种意义上说,上述所有这些额外的工作仍然是 “以假名注册” 方法的一部分;目的是减少可追踪性,实际上只是使弱小的欺骗变得更强的一种方法。

这也是迈向 “隐秘” 电子邮件和手机提供商的第一步 —— 减轻这些私密可追踪性的威胁 —— 但这些问题很难从根本性解决。

因为手机中装有GPS追踪器、照相机和麦克风,手机本身就是间谍设备;谷歌服务更是全球头号间谍,它随时想要知道你在干什么。

👉您需要在以下情况中坚决使用 Tor 浏览器或 Tails:

  • 访问预付费手机帐户的时候
  • 访问新电子邮件帐户的时候
  • 访问预付礼品卡帐户的时候
  • 使用预付礼品卡购物的时候
  • 访问、管理或搜索新域名信息的时候

坚持上述所有比听起来要难。但可以将所有相关密码短语保留在仅存在于 Tails USB 记忆棒上的 KeePassX 数据库中。

您需要将整套方法注入习惯,虽然的确不容易,并且,⚠️您还需要

  • 插入电池之前,在预付费手机上的两个摄像头上都贴上黑胶布
  • 每当靠近家、办公室、或真实的移动电话时,请将电池从预付费电话中取出
  • 避免将预付礼品卡用于任何无关的购买

最后还有现场监控问题。是的,面部识别技术比以前更好了;大多数商店中或附近都可能有这种监视器。您可以在异国购物、学习一些欺骗面部识别的方法、或者使用加密货币。

不要错过我们的未完成系列:

⚪️

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据