Редактор Хабрахабра
2,0
рейтинг
28 января 2014 в 22:20

Разработка → Полностью анонимный блог

image
В качестве развлечения, а также упражнения в безопасности и анонимности в наше время, автор блога Untraceable представил свой блог, который, как он считает, абсолютно анонимный — такой, что по нему нельзя вычислить автора блога.

Итак, как создать анонимный блог.

Tails OS


Tails OS — линукс-операционка, специально заточенная под анонимность. Вся сетевая активность направляется через сеть Tor. ОС имеет зашифрованный раздел, на котором удобно хранить биткоин-кошелёк, пароли и исходник блога, и запускается с USB-флэшки.

Для надёжности можно сделать бэкап USB на настольном компе в зашифрованном спрятанном разделе TrueCrypt. Причём настроить его так, что при вводе фейкового пароля будет открываться другой раздел, в котором можно положить что-нибудь убедительное — скан паспорта, например.

E-mail


Для почты используем бесплатный ящик на outlook.com, а для подтверждения регистрации — анонимный одноразовый ящик на https://hidemyass.com

Блог


Блог генерим в статичных страницах, используя Octopress, а страницы выкладываем на GitHub через SSH (ключ также хранится на USB).

Домен


Покупаем за биткоины у IT Itch, и настраиваем DNS, чтоб они указывали на страницу на GitHub.

Биткоины


Чтобы купить домен за биткоины — их надо сначала где-то взять. Для этого подойдёт сервис localbitcoins.com, где в том числе можно купить биткоины за наличные. Вы ищете на этом сервисе продавцов в своём городе, договариваетесь о встрече, встречаетесь, отдаёте наличные, и получаете bitcoin (допустим, продавец проводит транзакцию с телефона). Я проверил — там уже есть несколько человек и в Москве. Аккаунт на сайте, естественно, также заводим через Tor.

Как теперь найти автора блога


Анализ словаря

Существуют методы анализа используемых слов, с помощью которых можно находить примерно похожие по стилю тексты. Простейший способ избежать этого — с помощью Google Translate перевести изначальный текст на какой-либо язык, потом обратно, и подчистить результат. Если ещё сильнее заморочиться, можно заказать человеческий перевод с оплатой биткоинами.

Анализ времени постинга

Время появления записей можно сопоставить с активностью человека, однако этого тоже достаточно легко избежать, меняя рутину.

Взлом Tor

Возможно, но трудоёмко. Для затруднения взлома можно подключить ещё один или несколько VPN-серверов, арендованных за биткоин у провайдеров, не требующих документы.

Транзакции биткоин

Сами транзакции доступны, но сопоставить транзакцию с реальным человеком довольно тяжело. Особенно при покупке их за наличные. Можно, конечно, нарваться при этом на агента ФСБ/ФБР.

Итог


После всех этих ухищрений действительно отслеживание автора блога выглядит довольно затруднительным делом.
Вячеслав Голованов @SLY_G
карма
262,2
рейтинг 2,0
Редактор Хабрахабра
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (93)

  • +19
    Про тор
    Личная встреча — это деанонимизация.
    • +1
      Вы о личной встрече для покупки bitcoin? В посте упоминается, что связать транзакцию с человеком сложно. Продающий криптовалюту не знает о вашем блоге, читатель или интересующийся сайтом не знает о пользователе bitcoin.
      Но в принципе с вами согласен, безопаснее покупать где-нибудь в i2p и постить через него же.
      • +9
        Просто на встречу надо приходить как показано выше:
        image
        • +5
          Довольно глупо закрывать лицо, но выставлять напоказ руки в татуировках
          • +14
            Татуировки временные. Это чтобы ввести собеседника в заблуждение.
          • +5
            Может это тату-рукава чтобы скрыть настоящие тату =)
            Скрытый текст
            image
    • 0
      Окей, вы прячете наличные в неком скрытом месте и меняете сведения о их местонахождении на биткойны. Так лучше?)
      • +21
        Я бы хотел посмотреть на такого лоха, который поведётся и заплатить биткоинами за сведения о том, где якобы лежат наличные.
        • +3
          Закладки — нормальная практика при не слишком законных операциях передачи чего либо материального.

          Тем более, ты как покупатель, должен сказать месторасположение закладки, а продавец передаст биткоины после факта обнаружения денег в нужном месте.
          • +2
            … или решит после обнаружения наличных биткоины не передавать
            • +4
              Ну это уже вопрос доверия продавца и покупателя. Продавцу в целом не очень-то интересно портить свою репутацию ради мимолётной выгоды. Тем более сумма не столь крупная.
              • +1
                Механизм репутации требует наличия у продавца некого постоянного аккаунта. Что, в свою очередь, противоречит требованию анонимности.

                Можно сделать так, чтобы торговая площадка вступала гарантом сделки (как, например, PayPal). Скажем, продавец вносит некоторую сумму (биткоинами), которая определяет лимит сделок для него. Если он кидает покупателя (что можно проверить по блокчейну), требуемая сумма переводится площадкой на кошелек покупателя, а продавец получает минус в карму.

                Не совсем понятно, как в этом случае защищаться от злоупотребления такой «страховкой» со стороны покупателя. И вообще, проблема доверия не решена, а просто перенесена на другой уровень: вместо доверия к продавцу — доверие к площадке.
                • 0
                  Это было бы актуально, если бы не «копеечная» стоимость доменов и VPN. В принципе для большинства людей, которые заморачиваются с такой анонимностью (имеют для этого средства, знания и время), мне кажется не проблема пройти через процедуру покупки биткоинов (с некоторым риском и даже неудачным результатом) несколько раз.

                  Просто следует рассматривать это как «комиссию за анонимность».
                • +1
                  Так на localbitcoins.com у продавцов постоянные аккаунты, история сделок и репутация с фидбэками.
                  С чего вы взяли, что продавец должен быть тоже анонимным?
      • 0
        Не лучше, придется пользоваться телефоном. Только хардкор, только самому намайнить.
        • НЛО прилетело и опубликовало эту надпись здесь
      • НЛО прилетело и опубликовало эту надпись здесь
    • +5
      Создаем(tor+proxy+кафе) на фриланс сайте профиль, делаем что то за денежку(верстку например), просим заказчика оплатить биткоином. И кстати домен может быть бесплатным.tk

      А если заморачиваться еще меньше, есть блогодвижки.
    • 0
      Каким именно образом?
      Ну допустим, сделают скрыто фотку человека. Ок. А человек свои фотки не выкладывал никуда.
      Проследить за человеком? Ну так провести пару простых приёмов для ухода от слежки.
      Подкинуть в карман GPS-маячок? Зашить карманы :))
  • +5
    Про еще одну мелочь забыли — социальная инженерия, ведь всегда можно отследить по тематике блога, и человек существо не идеальное да на какой ни будь мелочи и проколоться, на каком то из отечественных сайтов встречал такую забавную тему, человек выкладывает фото, а ему выдают кто он, где он и чем живёт, а всего лишь фото из окна.
    • 0
      Действительно занятно.
      Да, против лома социальной инженерии приёма не существует. Можно случайно не удалить местоположение из exif, если смартфон/телефон её записывает.
    • +1
      Это где такое интересное?
      • +1
        На пикабу: Лига детективов. Там много мусора, но есть ряд постов, где человек выкладывает фото вида из окна или фото своего дома, а ему говорят город, улицу, дом. Иногда даже ФИО.
        • +1
          Лучше так: http://pikabu.ru/tag/лига детективов/best/all (ссылка на лучшие посты Лиги Детективов за все время)
          • +1
            Ну так там по exif и нику только и вычисляют
            • 0
              О, я сейчас похожим бредом занимаюсь, в рамках развлечения: мне поломали почту на той неделе, ищу обидчика )
  • 0
    Интересно, вышло вполне себе параноидально (читай, анонимно) и вместе с тем блог будет настоящим, обычным.
    Вместо hidemyass можно использовать 10minutemail.

    Octopress, кстати, мне понравился. Встретил его в блоге Greg Kroah-Hartman и сделал себе блог на Github pages на нём, правда пользовался пока всего раз.
    • НЛО прилетело и опубликовало эту надпись здесь
  • +9
    Очень много деанонимизирующих моментов. Во-первых предполагается, что гитхаб и т.д. — доверенные. Во-вторых выход в сеть прямой, судя по описанию.

    В третьих появление irl за биткоинами — уже эпик фейл (камеры наблюдения, свидетели и т.д.).

    Правильно было бы начать с поиска анонимного выхода в интернет. В принципе, покупка препейда в Европе и одноразового телефона решает проблему. Но весьма условно, потому что всё равно остаётся irl покупка (пусть даже за наличные), и триангуляция места выхода в сеть.
    • 0
      irl можно обойти с помощью virtualvisa того же qiwi, камеры — вопрос времени хранения, начать писать в блок можно спустя 3 месяца, мало вероятно, что кто-то хранит в магазине записи за такой длительный срок. несколько серверов за те же биткоины — и вас уже реально сложно отследить. ну а количество wi-fi со свободным доступом (раз уж речь о Москве) море.
      • 0
        а где сервера за битки взять. подскажите?
        • 0
          например тут — www.qhoster.com/
          ну или у гугла спросите — «vps bitcoin payment»
      • 0
        > можно обойти с помощью virtualvisa того же qiwi

        Привязано к симке, а по симке можно найти.
  • +12
    только есть одно «но», чтобы завести такой анонимный блог (tor, github), и убирать всю деанонимизирующую информацию из фотографий, следить за социальной инженерией требуются прогрессивные знания в области IT и security. А людей, которые являются многопрофильными специалистами не так уж и много, особенно сочетающие в себе айтишника, писателя и, например, политика или руководителя (чиновника). В противном случае блог не будет настолько популярным, чтобы им заинтересовались спецслужбы и начали его активно деанонимизировать. IMHO.
    • 0
      Не обязательно что бы всё было в одном человеке. Это может быть группа людей.
      • +7
        группа — лучший способ спалиться.
        • 0
          Зависит от согласованности. Это может быть лучшим способом запутать следы, так как группа может действовать от одного лица.
          • 0
            Положим вероятность совершения человеком деанонимизируещей ошибки за время существования блога в 30%. Вроде нормально, можно играть, есть шанс.
            Для одного человека шанс выжить 70%. Для группы из семи (оптимальный размер как-бы) — меньше 10%. Кто-нибудь почти наверняка ошибётся, по пьяни проговориться, случайно нарвётся — и через него выйдут на остальных.
            • 0
              Вариантов много, конечно. Я больше про поговорку «одна голова — хорошо, а две — лучше».
              Группу из людей, которые являются хорошими специалистами в разных областях проще собрать, чем найти одного человека, который хороший специалист во всех областях сразу.
            • 0
              Группа должна друг от друга скрываться тоже.
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  В такой группе каждый должен думать о своей анонимности самостоятельно. Как ниже написал Capatillo, сцена хорошая модель для такой группы.
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      Ну очевидно что такая группа сможет существовать только если каждый из них освоит две профессии.
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0
                          Авторов которые могут заинтересовать больше 1000 подписчиков тоже не так уж много, поэтому тут скорее будет интересней мануал не как скрыть что это вы, а как сделать так что бы вас слушали. А потом уж думать, как не стать жертвой своей славы.

                          Я думаю о таких вещах стоит думать авторам уровня: Джулиана Ассанжа.
                          • НЛО прилетело и опубликовало эту надпись здесь
                  • НЛО прилетело и опубликовало эту надпись здесь
                    • 0
                      и сливает информацию о еще не пойманных участниках, в обмен на смягчение наказания.


                      Никто из них не должен получать никакой информации. Все даже имен друг друга знать не должны, если кто то пытается выяснить, его надо исключить из группы.

                      В идеале эта группа должна состоять из двух людей: писателя и администратора(хакера). Писатель отправляет тексты через i2p. Админ публикует.
                      • НЛО прилетело и опубликовало эту надпись здесь
                        • 0
                          Админ тут в роли анонимного прокси.
                          • НЛО прилетело и опубликовало эту надпись здесь
                            • 0
                              Что мешает писателю делать это самому, ведь он разбирается в «IT и Security».


                              Мешать ничего не мешает, вот только писатель все-таки больше писатель, и менее грамотный в it. Отправить маил через i2p это одно, а вот поднять сервер с движком анонимно…

                              Вся соль группы в том что каждый из них прокачивает свою специализацию. Писателю нужен админ чтобы скрываться, админу писатель что бы проект был популярен. Важный момент каждый из них должен быть фанатиком проекта.

                              Идеальный вариант конечно, админ к которому приходит муза. Но так не бывает, или бывает но редко.
                              • НЛО прилетело и опубликовало эту надпись здесь
                                • 0
                                  только вот она не иллюзорно зафейлится при попытке отправить фотографию с айфончика, на котором включена геопривязка


                                  Именно для такого случая и должен быть админ. Который должен разделять убеждения своего напарника и помогать, а не сливать его при первой возможности.

                                  Хотя если админу придется работать с такой обезьянкой, ничто им не поможет. Писатель тоже не должен быть идиотом.
        • +1
          Группа это уже scene
          Участники сцены анонимны друг для друга, можно посмотреть как это было в сериале The Scene
  • +5
    страницы выкладываем на GitHub

    Ну что — ждем блокировок GitHub?
  • +3
    А чем не угодили бесплатные github pages?
    • +6
      Минусующие, аргументируйте. Зачем в данном примере возится с биткоинами, если можно пользоваться тем же гитхабом, держать репозиторий с бранчем gh-pages и получить из коробки адрес блога в виде user.github.io/repository или даже просто user.github.io при желании?
      • +2
        Можно и домен бесплатный… И блогодвижок можно.
  • +12
    Может я не понял сути, но зачем извращаться с гитхабом, почему нельзя завести обычный блог в тумблере/вордпрессе/жж/блогспоте?
  • +4
    Анонимный блог еще раскрутить надо анонимно, а не как Ульбрихт-Робертс (смотрите, я сайт нашел, годный секретный сайт, никто о нем еще не знает).
    • 0
      Имиджборды?
  • +4
    Криптовалюту можно анонимно намайнить.
  • +2
    Не знаю, чем i2p не угодил вместо гитхаба;
    Биткоин можно купить и просто в сети, используя Bitmessage
    email — сомнительная необходимость в принципе.

    Покупаем биткоин -> VPS -> i2p -> Profit или можно вести микроблог, через twister (который пока сыроват)
    • 0
      Да, можно сайт сделать в i2p или onion, но он не будет так широко доступен.
      • 0
        Но будет ли на гитхабе он полностью анонимным? Нет, т.к. полностью доверять ему невозможно. Тут стоит выбирать, либо полностью анонимный, либо популярный (доступный широкой массе), к том же, в i2p есть шлюзы, через которые «читатели» могут заходить на сайт. Адрес у сайта будет {blog_name}.i2p.us, к примеру.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Кроме того, мы сдаём оригиналы текста гуглу. Этот момент вообще гениален.
      • 0
        Да, для повышения градуса паранойи следует пользоваться только офлайновым переводчиком.
    • 0
      Похоже на то. Автор-то американец, судя по всему — а в наших реалиях есть способы попроще.
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          Я про терминалы. По-моему, там такого сервиса нет, все действительно с кредитками.
          Зато у них законно продавать предоплаченные мобильные телефоны без регистрации.
  • +9
    И что будет в этом блоге?
    «Сегодня (дата неизвестна) я (а может и не я, просто услышал от кого-то или придумал) и мой друг аноним, анонимно посидели в одном noname кафе, в одном из больших городов.
    Я взял котлету — возможно тофу, возможно говяжью, попросил официанта, имя которого я не запомнил, не говорить мне. Друг взял жидкость. Потом пошли не в музей

    Было нейтрально. (=(»

    Profit!

    Легче написать все на салфетке и сжечь, супер-анонимно, олдово и никто кроме вас не узнает.
    • +1
      Думаю, конечно, подразумевались политически или экономически острые записи.
      • 0
        Это какие? «Пошли взорвем белый дом»?
        Народ недовольный своим правительством это такая редкость, что едва ли каждый второй известный вам человек, постит у себя в фейсбуке и вконтактике смешные карикатуры на бывшего премьер-министра, называя его последним дебилом на земле.
        Все довольны эмиграционной политикой своей страны, без исключений.
        И конечно, если бы такие люди были, то их бы уже всех посадили и расстреляли, как при Сталине.

        Если действительно человеку есть что сказать и его баттхёрты даже интересно читать, то незачем ему скрывать свою личность.
        Даже лидеров оппозиции, благо пока, не мочат в сортирах и не ловят в подворотнях. Чего уж тут боятся простому работяге, который чем-то в жизни недоволен?

        Для недалеких параноиков есть борды и I2P.

        Просто я в такие методы как в статье уже не верю. Сайт Silk Road явно не последние кретины делали, но и их поймали.
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            Создатель его продал, а поймали второго хозяина.
        • 0
          Это какие? «Пошли взорвем белый дом»?
          Это как викиликс.
  • 0
    Тогда уж и в интернет надо выходить только через анонимные WiFi сети и каждый раз менять MAC адрес WiFi адаптера
  • +1
    на пхд2013 был доклад спеца из Краснодара (не помню как зовут) про анонимность… После выступления мы собрались в коридорчике(в аудитории пошёл следующий доклад) и пришли к выводу, что анонимность очень условна.
    Укради ты несколько тысяч долларов, используя торы и айтупи и прочие — тебя никто не найдёт.
    Укради триллион, бильён или почтальон — тебя найдут, сиди ты хоть с тостера.

    Ходят «пули» о торе, который порождение лаборатории ВМФ США, и айтупи, который ни что иное, как проект ЦРУ. Насколько это соответствует действительности — не понятно, но если параноить по-настоящему, то надо везде закладки видеть и никакими «сервисами для анонимности» не пользоваться, в принципе.
    • 0
      К тому же, ради блога так мучаться — я этого не понимаю. Может, кому то и надо… Я понимаю — ради трильёна баксов :))
      • 0
        Вы бы себя почётче дифференцировали от автора алгоритма такой анонимности, только перечитав Вашу статью я понял, что это не Ваша идея, пускай на базе чьих-то наработок, а некого «не отслеживаемого» создателя «полностью» анонимного блога.
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Что за ОСь?

      Форк Backtrack'а.
      И полностью удваиваю пункт про блогохостинг.
      А вот с .tk могут быть проблемы, у меня как-то отняли домен. Я, признаюсь, по школярству ещё использовал его для фишинга, но почему бы и у блога, который постит что-то, для чего необходимо так маскироваться, не отжать домен?
      • 0
        У меня тоже забрали домен в .tk зоне, причем нарушений с моей стороны не было.
        Домен использовался для выкладки портабельной сборки i2p.
        В просто в один момент домен исчез из панели безо всякого уведомления :(
        Такое ощущение, что он кому-то понравился и его тихо отжали.
        Так что с этой зоной нужно быть аккуратным.
        • НЛО прилетело и опубликовало эту надпись здесь
      • 0
        Кстати вопрос про ось для анонимности. Тут недавно проскакивала какая-то сборка из 2 виртуалок, тоже со всеми соединениями через тор, не подскажете как называется?
        • 0
          Уже сам нашел, называется Whonix.
  • 0
    Hidemyass насколько я помню сыграли огромную роль в аресте LulzSec, так что для анонимности я бы не стал использовать их почтовый сервер.
  • +1
    А еще неплохо было бы предложить способ «незакрываемого» блога. А то у некоторых принято разом отрубать всякие жж и блогспоты. Так, что толк от такого блога стремится к нулю.
  • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    Будет продолжение в духе анонимной монетизации блога касательно бумажек?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.