監視資本主義寡頭 FATBAG(Facebook Amazon Tencent Baidu Alibaba Google)—— 以及無數其他中間商 —— 為行銷目的跟蹤和分析我們所有人的絕大部分網路行為,以操縱我們的行為。
⚠️除非您對隱私非常積極主動,否則您的大多數線上活動都可以被收集、分析、出售、再出售。
即便您是歐盟公民也一樣,⚠️GDPR 也幾乎沒有提供對這種侵入式數據收集的真正保護。
網路公司和政府合作收集有關您和您的設備的數據的能力意味著任何保持假名的努力都可能被輕鬆推翻。
如果您登錄到自己的 Facebook 袖子木偶帳戶,然後登出並切換到您的個人帳戶(或其他袖子木偶帳戶)—— 整個過程對 Facebook 完全透明,然後 Facebook 就可以在您的真實和假人物之間建立關聯。您就暴露了。
本文的其他部分將解釋可以如何減輕這種暴露的危險性。(其中一些內容我們曾經介紹過,現在作為一個系統將它們目標化,並串聯起來)
本文假設您對自我保護一無所知,於是以下內容將適用於任何首次接觸這些知識的用戶:沒有門檻。
一、IP 地址
當您連接到互聯網時,您的計算機具有唯一的公共 IP 地址,該地址會向您訪問的網站公開。
這是眾所周知的,並且常見的 Opsec 實踐是使用 Tor 或 VPN 來偽裝您的真實 IP 地址。我們也多次介紹過(在本网搜索 “洋蔥頭會讓誰流淚”)
技術角度上這樣做很有效,但是它有很多限制:使用 Tor 瀏覽器限制了許多網站的功能,而且,⚠️Tor 不掩飾你正在使用 Tor 的事實 —— 每個人都可以看到你正在使用 Tor,即使他們不知道你是誰。
調查人員都知道,由於谷歌抓取的數據量異常龐大,於是谷歌應用對於深度挖掘的開源情報來說非常有效。
但是,您很難在掩飾真實身份的情況下使用谷歌應用,您會被頻繁地要求下面這種愚蠢的自證:
VPN 是另一種選擇,儘管它們也有一些局限性。
而且與 TOR 一樣,許多 VPN IP 地址都是眾所周知的,並且經常被列入黑名單,因此您在訪問之前必須填寫無限的驗證碼。
一個好的 VPN 服務是一個很好的 Opsec 操作安全的重要工具,但 Tor 或 VPN 都不是完全神奇的工具,“完全神奇” 意味著你不必關注其他領域只需要使用它們就夠了 —— 絕對不夠。
我還認為 IP 地址對谷歌或亞馬遜等數據監控公司來說並不一定非常重要。
根據您訪問網路的方式和位置,您的 IP 地址可能會定期更改,或者可能會與許多其他人共享,因此,對於想要確切知道您是誰以及您希望在互聯網上做什麼的監視者來說,它的價值有限。
但是,這並不意味著您不應該考慮您的 IP 地址可能會揭示您的身份,但重要的是要注意它不是完整的生活全景圖。
它是在與其他關於您的信息結合起來時才會真正暴露您。
二、Cookie 和 Cookie 自動刪除
Cookie 也是一種眾所周知的跟蹤方法。
有不同類型的 cookie,但是對你的袖子木偶活動的主要威脅是:在你訪問網站後,cookie 可以在網上跟蹤你。
除了隱私方面,對 opsec 安全操作的威脅非常明顯。
⚠️Cookies 不關心你已經完成了多少查詢還是只是想做一些個人瀏覽;不論如何它們仍會繼續通過網路跟蹤您,以建立您的行為習慣檔案。
以下用 LinkedIn 做一個示例,⚠️ LinkedIn 是網路上用於跟蹤監視的最具侵略性的网站之一。
在訪問該網站之前,我清除了我的 cookie 然後再次嘗試訪問。 LinkedIn 不喜歡這樣做,因為它不再能識別我是谁(即使我的 IP 地址保持不變):
繼續登入時我的瀏覽器插件亮得像一堆聖誕樹一樣:
左起:UBlock Origin, Privacy Badger, and Cookie Auto-Delete
⚠️請注意,即使您沒有點擊網頁上的任何內容,LinkedIn 也會嘗試加載大量的腳本和 cookie,主要是為了跟蹤您的行為、並嘗試盡可能多地了解您的線上活動。
如果我從真正的 LinkedIn 帳戶切換到用於調查的袖子帳戶,那麼對 LinkedIn 來說,⚠️它可以看到一切,並且擴展到任何運行具有類似跟蹤功能的其他網站。
這就是為什麼您購買雜貨的行銷公司也知道你訪問過什麼樣的色情網站。
您可以使用上圖所示的三種插件工具來緩解這種情況。
UBlock Origin(適用於 Firefox 和 Chrome)可過濾顯示廣告的請求,並阻止您的瀏覽器檢索和顯示行銷內容。
Privacy Badger(Firefox 和 Chrome)用於識別和阻止跟蹤器。在這種情況下,它在我的 LinkedIn 主頁上檢測並阻止了不少於 10 個不同的跟蹤腳本
如果我從真正的 LinkedIn 帳戶切換到用於調查的袖子帳戶,那麼對 LinkedIn 來說,⚠️它可以看到一切,並且擴展到任何運行具有類似跟蹤功能的其他網站。
這就是為什麼您購買雜貨的行銷公司也知道你訪問過什麼樣的色情網站。
您可以使用上圖所示的三種插件工具來緩解這種情況。
UBlock Origin(適用於 Firefox 和 Chrome)可過濾顯示廣告的請求,並阻止您的瀏覽器檢索和顯示行銷內容。
Privacy Badger(Firefox 和 Chrome)用於識別和阻止跟蹤器。在這種情況下,它在我的 LinkedIn 主頁上檢測並阻止了不少於 10 個不同的跟蹤腳本:
我通過 cookie 處理侵入式跟蹤的首選工具是 Cookie Auto-Delete。
它不會阻止瀏覽器下載 cookie,但它可以確保在關閉瀏覽器選項卡時,刪除與該選項卡關聯的任何 cookie。
這可以防止 Cookie 在您的瀏覽會話中跟蹤您,將您的網路活動進行偽裝。Cookie 自動刪除適用於 Firefox 和 Chrome。
三、瀏覽器指紋識別
瀏覽器指紋識別是一種比 IP 地址或 cookie 更新的跟蹤概念。它並不是眾所周知的,但它更具侵入性。因此對希望保持謹慎的任何調查人員來說都提出了更大的挑戰。有一篇很棒的學術論文概述了這方面的一些研究(https://securehomes.esat.kuleuven.be/~gacar/persistent/the_web_never_forgets.pdf)。
瀏覽器指紋識別的基本前提是可以將瀏覽器和計算機的獨特功能結合起來,並將它們組合成一個獨特的值,然後可以使用它在網上跟蹤你的一舉一動。
具體說就是,通過查看瀏覽器軟體版本、操作系統、系統字體、圖形卡、螢幕解析度和許多其他變量等信息,可以構建一個獨特的瀏覽器 “指紋”,然後用來在整個網路中跟蹤您。
從跟蹤效果上對比,⚠️瀏覽器指紋識別比 IP 地址或 cookie 更有效和持久。
💡有幾種很好的工具可用於分析您自己的瀏覽器指紋。
我最喜歡的兩個是 EFF 的 Panopticlick 工具和 BrowserLeaks 網站。
為了演示這個過程是如何工作的,我將在沒有任何攔截插件的情況下 “按原樣” 查看我自己的瀏覽器指紋,然後可以看到,如何為了避免被識別而成功地模糊一個人的線上指紋。
以下是 Panopticlick 在 Linux Mint 18.3 上掃描全新 Chrome 時的第一個結果:
使用默認設置的乾淨 Chrome,結果如下:
簡直是令人瞠目結舌
請注意,這裡不僅沒有受到任何保護,我的瀏覽有一個獨特的指紋,可以把我輕鬆被識別出來。
關於這意味著什麼更詳細的介紹見
Panopticlick 查看我的瀏覽器設置如何被顯示在網站上,然後計算其他人具有完全相同設置的可能性。
識別信息基於一些相當複雜的數學,這些數學評估任何一個人的任何給定事實是否正確的可能性。
簡單來說,這是一個 1 到 33 分的分數,其中 33 分代表完全獨特 —— 也就是說 “絕對是你”。
第三列以不同的方式表達相同的信息:通過查看有多少瀏覽器通常會共享相同的信息。
在這種情況下,它顯示 19.51 瀏覽器中有 1 個與我在同一時區,1.19 中有 1 個啟用了 cookie,但 204,955 個瀏覽器中只有 1 個具有與我相同的畫布指紋。
⚠️這意味著我的畫布指紋對於想要識別我的任何人來說都非常獨特,無論我使用哪個帳戶登錄。
從 OSINT 的角度來看,這意味著:無論我的 IP 地址是什麼、甚至不論我是否清除了 cookie,只要我的硬體和瀏覽器設置保持不變,我就很容易被識別到真實身份。
⚠️不論創建多少個袖子木偶匿名帳戶都會被揭露出來。
這不是新鮮事。這就是 Facebook 、Twitter 和其他網站能夠快速識別從同一台機器運行的多個帳戶的方式之一 —— 推特已經封鎖了很多持有多帳戶的人 —— 因為他們懷疑這是機器人或袖子木偶。
💡幸運的是,通過一些工具和一些調整,就可以改變瀏覽器在互聯網上的顯示方式。
我安裝並啟用了 UBlock Origin 來阻止廣告 / 跟蹤器,使用 Privacy Badger 阻止跟蹤腳本,以及 NoScript 來禁用任何不需要的 JavaScript 運行。
以下是這樣做之後的新結果:
顯然已經取得了一些進展 —— 我的瀏覽器現在阻止跟蹤廣告和跟蹤器。
需要注意的一點是,儘管我在 Chrome 設置中發送了 “請勿跟蹤” 的請求,但結果沒有任何區別。谷歌的 “請勿跟蹤” 只是個騙局。
不止谷歌,證據表明大多數公司完全無視這個 “Do Not Track request”,因此不能將它們視為隱私設置。
但其他指紋結果怎麼樣?如下:
它正確地說出我在 Linuz x86_64 系統上運行 Chrome 75.0.3770.100。
UA 字符串中提到的其他瀏覽器技術是關於兼容性而不是我正在使用的實際瀏覽器 —— 對 AppleWebKit 和 Gecko 的引用提供了有關我的瀏覽器兼容的軟體類型的信息,以便網站知道如何正確顯示內容。
正確顯示,這是用戶代理字符串存在的主要合理原因,但是,從隱私的角度來看,它們也是可以用來識別您的身份另一個數據點。
為了解決這個問題,可以使用簡單的 User Agent Switcher 插件。
這會騙網站說您正在使用與您實際使用的瀏覽器不同的瀏覽器,因此您的真實瀏覽器詳細信息會被混淆。
一旦安裝在 Firefox 或 Chrome 中,User Agent Switcher 就可以讓您的瀏覽器有效地冒充其他瀏覽器或操作系統。
在 Chrome 中安裝後,我選擇了 Android User Agent string 並在 whatismybrowser.com 上進行了檢查:
⚠️這強調了線上匿名和假名的重要觀點。在進行深度調查時,你永遠不能做到真正匿名。
因為您必須向網站提供某種 User Agent string。因此,最好提供一個虛假的用戶代理,而不是期待根本不用
瀏覽器指紋識別最有效的方面是畫布指紋。
已知使用畫布指紋識別的網站列表很長且已經過時,因此使用畫布指紋識別的網站的實際數量可能要大得多。
畫布指紋識別的工作原理是獲取有關瀏覽器顯示字體和圖形的方式的信息,然後將它們組合成一個可用於識別您身份的唯一哈希。
您的操作系統、圖形卡和驅動程序、系統字體、螢幕解析度、和其他變量的組合非常獨特,可以將它們組合成一個哈希。
此哈希是您計算機的唯一數字指紋,網站就是用這個東西來識別您。
⚠️即使你已經製作了非常好的袖子木偶,如果你從同一台機器上運行所有帳戶,那麼它們對於監視者來說一眼就能看出是您的操作。您的身份就暴露了。
Panopticlick 可以顯示畫布指紋哈希的樣子。
我再次運行測試(禁用 NoScript)結果如下:
當我加載頁面時,Panopticlick 為我的瀏覽器提供一個小圖像,然後觀察當我的瀏覽器嘗試渲染時會發生什麼。
此計算的值顯示為哈希:2eaaa026e19b958c09debc6d23f6a64c。
這對人類來說沒有任何意義,但是,對於任何運行帶有畫布指紋識別功能的網站的人來說,這都是我唯一可識別的東西。
我的瀏覽器不再是將獨特的哈希值呈現給網站,而是呈現隨機值,因此無法輕鬆地在網路上跟蹤我。
我也嘗試過 Canvas Defender,它與 Panopticlick 或 BrowserLeaks 之間沒有任何區別。
對於 Firefox,我推薦使用 CanvasBlocker,Canvas Fingerprint Defender 或 Canvas Blocker。
六、結論
希望這篇文章能清楚地解釋:要創建一個真正有效的 OSINT 袖子木偶帳戶、或者在任何情況下保護您自己的真實身份,您需要的不僅僅是一個 VPN、一個假名和隨機照片(假臉)。還必須考慮網站及其背後的海量數據公司正在以什麼方式盯著你。
當然,對於解決方案相關資源還有很多,以下這些您都可以嘗試:
BrowserLeaks
Am I Unique?
Pixel Privacy
BrowserPrint
祝你好運!每個人都應該獲得免於被監視的自由。