.
Diferentes necessidades e diferentes modelos de ameaças levam a mal-entendidos entre as pessoas. Digamos que você queira deixar o comentário mais anônimo possível em alguma rede social. O que você precisa para isso? VPN? Tor? Um túnel SSH? Bem, basta comprar qualquer cartão SIM e um telefone usado em uma loja mais próxima, depois ir a uma distância considerável de onde você mora, inserir um no outro, postar sua mensagem e afundar o telefone. Você cumpriu sua missão em 100%.
Mas e se você não quiser apenas deixar um comentário único ou ocultar seu endereço IP de algum site? E se você quiser um nível tão avançado de anonimato que comporá o quebra-cabeça mais intrincado, sem espaço para qualquer hack em qualquer nível? E também esconder o próprio fato de usar ferramentas de anonimato no caminho? É sobre isso que vou falar nesta peça.
O anonimato perfeito é principalmente um sonho, como tudo perfeito. Mas isso não significa que você não pode abordá-lo bem de perto. Mesmo que você esteja sendo identificado pela ponta dos dedos do sistema e outros meios, você ainda pode permanecer indistinguível da massa de usuários da Web em geral. Neste artigo vou explicar como conseguir isso.
Este não é um apelo à ação, e o autor de forma alguma pede ações ilegais ou violação de quaisquer leis de qualquer estado. Considere isso apenas uma fantasia sobre “se eu fosse um espião”.
Nível básico de proteção
O nível básico de proteção e anonimato se parece mais ou menos assim: cliente → túnel VPN/TOR/SSH → destino.
Na verdade, esta é apenas uma versão um pouco mais avançada de um proxy que permite substituir seu IP. Você não conseguirá nenhum anonimato real ou de qualidade dessa maneira. Apenas uma configuração incorreta ou padrão no notório WebRTC e seu IP real é revelado. Esse tipo de proteção também é vulnerável a comprometimento de nós, impressões digitais e até mesmo análises simples de log com seu provedor e data center.
A propósito, há uma opinião comum de que uma VPN privada é melhor que uma pública, pois o usuário está confiante sobre a configuração do sistema. Considere por um momento que alguém conhece seu IP externo. Portanto, ele também conhece seu data center. Portanto, o data center sabe a qual servidor esse IP pertence. E agora imagine o quão difícil é determinar qual IP real conectado ao servidor. E se você for o único cliente lá? E se eles são numerosos, por exemplo 100, está ficando muito mais difícil.
E isso sem mencionar que poucas pessoas se incomodarão em criptografar seus discos e protegê-los da remoção física, então dificilmente perceberão que seus servidores são reinicializados com init nível 1 e ligando os logs da VPN com a desculpa de “pequenas dificuldades técnicas nos dados Centro.” Além disso, não há necessidade mesmo em coisas como essas, porque todos os seus endereços de servidor de entrada e saída já são conhecidos.
Falando sobre o Tor, seu próprio uso pode levantar suspeitas. Em segundo lugar, os nós de saída são apenas cerca de 1.000, muitos deles estão na lista de bloqueio e não são permitidos para muitos sites. Por exemplo, Cloudfare possui a capacidade de habilitar ou desabilitar conexões Tor por meio de um firewall. Use T1 como o país. Além disso, o Tor é muito mais lento que o VPN (atualmente a velocidade da rede Tor é inferior a 10 Mbit/s e geralmente 1-3 Mbit/s).
Resumo: Se tudo o que você precisa é evitar mostrar seu passaporte para todos, contornar bloqueios simples de sites, ter uma conexão rápida e rotear todo o tráfego através de outro nó, escolha VPN, e é melhor que seja um serviço pago. Pelo mesmo dinheiro, você terá dezenas de países e centenas e até milhares de IPs de saída em vez de um VPS com um único país que você precisará configurar dolorosamente.
Nesse caso, faz pouco sentido usar o Tor, embora em alguns casos o Tor seja uma solução decente, especialmente se você tiver uma camada extra de segurança como VPN ou um túnel SSH. Mais sobre isso mais abaixo.
Nível de proteção médio
Um nível de proteção médio parece uma versão avançada do básico: cliente → VPN → Tor e variações. Esta é uma ferramenta de trabalho ideal para quem tem medo de falsificação de IP. Este é um caso de sinergia quando uma tecnologia fortalece a outra. Mas não se engane embora. Embora seja realmente difícil obter seu endereço real, você ainda está vulnerável a todos os ataques descritos acima. Sua cadeia fraca é seu local de trabalho – seu computador de trabalho.
Alto nível de proteção
Cliente → VPN → Local de trabalho remoto (via RDP/VNC) → VPN.
Seu computador de trabalho não deve ser seu, mas uma máquina remota com, digamos, Windows 8, Firefox, alguns plugins como Flash, alguns codecs e nenhuma fonte exclusiva e outros plugins. Uma máquina chata e simples indistinguível para milhões por aí. Em caso de vazamento ou comprometimento, você ainda estará coberto por outra VPN.
Acreditava-se anteriormente que o Tor/VPN/SSH/Socks permitia um alto nível de anonimato, mas hoje eu recomendaria adicionar um local de trabalho remoto a essa configuração.
Perfeito
Cliente → VPN dupla (em data centers diferentes, mas próximos uns dos outros) → Local de trabalho remoto + Máquina virtual → VPN.
O esquema proposto consiste em uma conexão VPN primária e uma conexão VPN secundária (caso a primeira VPN esteja comprometida devido a algum vazamento). Ele serve para ocultar o tráfego do ISP com o objetivo de ocultar o endereço real do ISP no data center com um local de trabalho remoto. Em seguida, uma máquina virtual instalada no servidor. Suponho que você entenda por que uma máquina virtual é tão vital – reverter para o sistema mais padrão e banal com um conjunto padrão de plugins após cada download. E isso deve ser feito em um local de trabalho remoto em vez de local, porque as pessoas que usaram uma máquina virtual localmente junto com o TripleVPN abriram o site de verificação de IP e ficaram muito surpresas ao ver seu endereço IP real e real no campo “WebRTC”. Não sei e não quero saber qual software algum desenvolvedor desenvolverá amanhã e instalará no seu navegador sem sua preocupação. Portanto, não pense nisso e não armazene nada localmente. Kevin Mitnick sabia disso há 30 anos.
Testamos essa configuração, os atrasos são significativos mesmo se você configurar tudo corretamente em termos de geografia. Mas esses atrasos são toleráveis. Assumimos que o usuário não colocará os servidores em continentes diferentes. Por exemplo, se você estiver fisicamente baseado em Nova York, coloque sua primeira VPN também em Nova York, a segunda no México etc., seu local de trabalho remoto no Canadá e a VPN final, digamos, na Venezuela. Não coloque servidores diferentes na zona do euro, pois esses governos cooperam fortemente, mas, por outro lado, não os espalhe muito longe uns dos outros. Países vizinhos que se odeiam seriam a melhor solução para sua cadeia 
Você também pode adicionar a visita automática de sites em segundo plano de sua máquina real, imitando assim a navegação na Web. Com isso, você afasta as suspeitas de que usa algumas ferramentas de anonimato, pois seu tráfego sempre vai para apenas um endereço IP e por uma porta. Você pode adicionar Whonix/Tails e ficar online por meio de um Wi-Fi público em um café, mas somente depois de alterar as configurações do adaptador de rede, o que também pode levar à sua desanonimização. Você pode até mudar sua aparência para não ser identificado visualmente no mesmo café. Você pode ser identificado de várias maneiras, desde suas coordenadas em uma foto capturada por seu telefone até seu estilo de escrita. Apenas lembre-se disso.
Por outro lado, a maioria das pessoas se adapta perfeitamente a um anonimizador, mas mesmo nosso anonimizador, depois de todos os nossos esforços para torná-lo acessível, ainda falta em termos de experiência de navegação. Sim, uma VPN regular é uma solução normal e adequada para contornar blocos simples com uma velocidade decente. Precisa de mais anonimato e está pronto para sacrificar um pouco de velocidade? Adicione Tor à mistura. Quer um pouco mais? Faça como mencionado.
Impressões digitais, como os esforços para detectar o uso de VPN, são muito difíceis de contornar devido ao tempo de envio de pacotes do usuário para o site e do site para o endereço IP do usuário (sem considerar bloquear apenas solicitações de entrada específicas). Você pode fraudar um ou dois cheques, mas não pode ter certeza de que um novo “pesadelo” não aparecerá da noite para o dia. É por isso que você precisa tanto de um local de trabalho remoto, bem como de uma máquina virtual limpa. Portanto, é o melhor conselho que você pode obter no momento. O custo de tal solução começa em apenas US$ 40 por mês. Mas observe que você deve pagar apenas com Bitcoin.
E um pequeno posfácio. O fator principal e mais importante do seu sucesso em alcançar o verdadeiro anonimato é separar os dados pessoais dos secretos. Todos os túneis e esquemas intrincados serão absolutamente inúteis se você fizer login, por exemplo, na sua conta pessoal do Google.
Seja anônimo!
.
