Soy periodista en un país corrupto. Me preocupa que mi uso en línea permita a mis antagonistas rastrearme, y no terminará muy bien. Soy consciente de que puedo usar TOR y VPN y encadenarlos para ocultar la presencia de mi red. ¿Qué más puedo hacer para evitar que mis adversarios me identifiquen?
( PS : Esta publicación es solo una discusión general. ¡No estoy tentando a nadie a cometer ningún delito! )
Para ser anónimo, también tienes que considerar otras cosas, además de solo usar algunas herramientas mientras navegas por Internet. Tor o VPN pueden ayudarte a anonimizar tu identidad en línea, pero has considerado ser anónimo en tu vida real (sin conexión).
¿Has considerado el hecho de que la ingeniería social también puede desanonizarte o revelar tu identidad? Acabas de mencionar en tu pregunta que eres periodista en algún país y que acabaría mal para ti. No sé si es verdad, ¡pero si fue verdad, simplemente reveló algo sobre su identidad aquí! Estoy bastante seguro de que este sitio web también ha registrado su IP pública. (Es un problema diferente si está usando algún proxy o no). ¿Qué pasaría si alguien aquí en StackExchange tuviera alguna sospecha sobre su publicación en particular y comience una investigación? Él / ella inicia una conversación con usted y finalmente se pone en contacto con usted. Finalmente, tal vez resulte que este usuario fue uno de los tipos que te estaban rastreando. (Quizás uno de esos tipos podría haber votado tu pregunta o mi respuesta.: P)
Otro ejemplo podría ser que suponga que usa gmail para enviar y recibir correos electrónicos. Supongamos que, al principio, accedió a su cuenta de correo electrónico sin utilizar ningún proxy. Así que Gmail sabe tu IP pública real. El escenario sería algo como el siguiente:
Escenario 1:
You(Public IP) ----> Gmail server
Después de algunos días, lees que VPN o Tor te harán anónimo. Así que comenzó a usar Tor o VPN para acceder a su cuenta de correo electrónico. Ahora el escenario será algo como esto:
You(Public IP) ----> VPN/Tor -------> Gmail server
Considera que enviaste un correo electrónico amenazador a algún VVIP. Piensas que mientras estás usando VPN / Tor eres anónimo. Este VVIP tiene algunos amigos decentes en las tres organizaciones de cartas (MI6, CIA, RAW, etc.). Ahora todos te están persiguiendo. Piden a todos los proveedores de servicios de correo electrónico que encuentren quién es el propietario de esta dirección de correo electrónico. El proveedor de servicios de correo electrónico tendrá registros que contienen todas las direcciones IP que utilizó para acceder a su correo electrónico. Luego, encuentran la IP original que usaste en el escenario 1. La próxima hora, tienes a unos tipos con trajes negros en tu puerta.
Acabo de dar un ejemplo de proveedores de servicios de correo electrónico. Considere lo mismo para los sitios de compras en línea.
Supongamos que compraste en Amazon para comprar algo con la misma dirección de correo electrónico que usaste para enviar el correo electrónico amenazador. Usaste Tor / VPN, etc. para conectarte a Amazon. Es muy común que muchos usuarios den su dirección de casa / empresa para la entrega. Ahora tal vez los chicos de organización de 3 letras podrían pedirle a Amazon que busque en el perfil de usuario la persona que tiene la dirección de correo electrónico que se utilizó para enviar el correo electrónico amenazador. ¡Amazon busca su base de datos y descubre que vives en la calle XYZ! De nuevo verás a tus amigos en trajes negros. : P
Sé que los escenarios anteriores suenan como un estilo de Hollywood, pero solo piénsalo, pueden suceder. Realmente depende de lo que valga la pena. (Lo siento, no te refiero a nada para ti personalmente). Quiero decir lo valioso que eres para los tipos que quieren encontrarte. Si realmente vale la pena y si los muchachos después de usted son poderosos & Inteligente, entonces ten cuidado. Podría haber miles de maneras de encontrarte. Si no es así, encontrarán a alguien cercano a ti, a tus padres, a tu novia o incluso a tu perro / gato. Por otro lado, debe ser muy cauteloso con respecto a lo que hace y cómo lo hace, y no cometer errores.
No estoy tratando de asustarte para que no seas anónimo. Tampoco estoy tratando de tentarte a hacer algo que está en contra de la ley. Si sientes que he dicho algo en contra de tu personalidad en mi respuesta, entonces puedo asegurarte que no fue intencional.
Un recurso que me gusta específicamente para los periodistas es la Autodefensa de vigilancia de EFF ( enlace ) Sus recursos vienen en partes, simplificado, se ve así:
Modelado de amenazas. - ¿Quién podría estar interesado en monitorear tu identidad o descubrir tu identidad?
Cómo comunicarse con los demás. - Voz, correo electrónico, mensajes de texto y mensajes instantáneos.
Protegiendo tus datos. - Cifrado, contraseñas, claves, computadoras, etc.
Destrucción de datos. - Evitando que los adversarios lo recuperen.
Dependiendo de la amenaza a la que te enfrentas, tienes una variedad de opciones más difíciles y más fáciles para proteger tu identidad. Es importante entender quién puede estar detrás de usted, para que pueda equilibrar mejor los riesgos que toma con el valor de comunicar la información que conoce.
Si el gobierno de su país es su adversario, debe tomar medidas extremas y difíciles para reducir su riesgo de detección. Si, por el contrario, su adversario es un grupo pequeño con recursos limitados y conocimiento técnico limitado, es posible que solo tenga que tomar algunas precauciones simples comunes.
Para comprender la protección de identidad, debes pensar en ello desde la perspectiva de tus adversarios. Si, por ejemplo, publicas en un sitio web en línea que requiere que tengas una cuenta y muestres tu ID de usuario con cada publicación que hagas, y solo tengas una cuenta en el sitio web, un adversario concluirá fácilmente que todas las publicaciones que hagas son realizadas por la misma persona. Si, en cambio, tiene varias cuentas en el sitio web y realiza sus publicaciones con diferentes ID de usuario, será más difícil para un adversario llegar a la conclusión de que todas sus publicaciones están hechas por la misma persona. Llevando este concepto al extremo, si solo usó una cuenta de usuario determinada una vez para publicar su información, sería más difícil concluir que dos de sus publicaciones fueron realizadas por la misma persona.
El escenario que he estado presentando es una simplificación. Si siempre tuvo la misma dirección IP y la dirección IP del usuario se publicó junto con su publicación, el uso de una cuenta de usuario diferente para cada publicación no brindaría mucha protección. Además, usar el mismo estilo de escritura en cada publicación, hace que sea más fácil para un adversario llegar a la conclusión de que dos publicaciones fueron escritas por la misma persona, incluso si el ID de usuario y la dirección IP son diferentes.
Los marcadores de identidad adicionales incluyen aspectos como la hora típica del día para su actividad en línea. Otros identificadores pueden incluir referencias al clima local, geografía, equipos deportivos. Las referencias que indican dónde se encuentra pueden ayudar a un adversario a determinar dónde trabaja o vive.
Si la información específica que desea compartir en línea puede atraer adversarios, debe separar su identidad de la información que desea compartir en línea. No utilice ninguna cuenta en línea existente al compartir esta información. En su lugar, cree nuevas cuentas específicamente para intentar permanecer en el anonimato y use esas cuentas solo para compartir la información que pueda atraer adversarios. Trate de hacer que sus nuevas cuentas no estén relacionadas con las cuentas o servicios existentes que usa como sea posible. Si crea una nueva cuenta de correo electrónico, no envíe correos electrónicos entre su nueva cuenta y las cuentas existentes. Obtenga un teléfono móvil por separado para no vincular accidentalmente una de sus nuevas cuentas con el teléfono fijo o móvil existente.