Курс по экстремальной цифровой анонимности и Counter-OSINT без бюджета

Пошаговое руководство по удалению цифровых следов и защите от деанонимизации с использованием бесплатных инструментов, основанное на принципах [Zero Trust](https://habr.com/ru/articles/967012/) и [Counter-OSINT](https://gitbook.osint-mindset.com/counter-osint). Вы научитесь скрывать активность от рекламодателей и OSINT-специалистов, используя только ноутбук и смартфон, опираясь на [практические руководства](https://habr.com/ru/companies/vdsina/articles/556914).

1. Моделирование угроз и Zero Trust: базовая гигиена, пароли и шифрование данных

Моделирование угроз и Zero Trust: базовая гигиена, пароли и шифрование данных

Вы хотите исчезнуть. Вы хотите, чтобы OSINT-специалисты видели пустоту вместо вашего цифрового портрета. Вы хотите, чтобы рекламные алгоритмы не знали о вашем существовании. У вас нет бюджета на дорогое оборудование, но у вас есть смартфон и ноутбук. Этого достаточно, если вы измените мышление.

Большинство курсов по анонимности начинаются с установки VPN или Tor. Это ошибка. Инструменты бесполезны, если вы не понимаете, от кого и что защищаете. Первая статья курса посвящена фундаменту: моделированию угроз, философии Zero Trust и математике паролей.

Моделирование угроз (Threat Modeling)

Абсолютной анонимности не существует. Существует лишь защита, достаточная для того, чтобы стоимость атаки на вас превысила ценность ваших данных для атакующего. Чтобы достичь этого баланса, необходимо построить модель угроз.

Согласно Privacy Guides, модель угроз — это список наиболее вероятных атак на вашу безопасность. Невозможно защититься от всего сразу. Если вы защищаетесь от «хакеров» вообще, вы не защищены ни от кого.

5 вопросов для построения модели

Возьмите лист бумаги (не цифровой заметки) и ответьте на вопросы:

  • Что я хочу защитить? (Переписка, геолокация, история браузера, финансовые данные).
  • От кого я хочу это защитить? (Рекламодатели, сталкеры, киберпреступники, OSINT-исследователи, государство).
  • Насколько вероятно, что мне понадобится это защищать? (Рекламодатели следят за всеми постоянно; целевая атака хакера менее вероятна, но возможна).
  • Насколько серьезными будут последствия провала? (Таргетированная реклама — раздражение; кража личности — финансовый крах; деанонимизация — физическая угроза).
  • Через какие трудности я готов пройти? (Готовы ли вы вводить 20-значный пароль каждый раз или использовать отдельный ноутбук для чувствительных операций?).

    • Оценка рисков

    В информационной безопасности риск можно выразить простой зависимостью. Чем выше вероятность и ущерб, тем серьезнее риск.

    где — риск (Risk), — вероятность события (Probability), — влияние последствий (Impact).

    Для Counter-OSINT ваша главная угроза — это сопоставление данных. Если OSINT-специалист найдет ваш никнейм на форуме любителей кошек и свяжет его с вашей рабочей почтой, ваша анонимность разрушена. В данном курсе мы исходим из модели угроз, где противник — это квалифицированный OSINT-специалист или автоматизированная система сбора данных (дата-брокер).

    Концепция Zero Trust («Нулевое доверие»)

    В корпоративном мире Zero Trust — это сложная архитектура. Для частного лица без бюджета — это паранойя, возведенная в принцип.

    Традиционная безопасность похожа на замок: крепкие стены снаружи, но внутри все двери открыты. Zero Trust исходит из того, что злоумышленник уже внутри. По данным CISOClub, суть подхода заключается в полном отказе от неявного доверия к любым элементам системы.

    Принципы Zero Trust для анонимности:

  • Не доверяйте сети. Ваш домашний Wi-Fi, мобильный интернет и тем более публичный Wi-Fi в кафе — это враждебная среда. Весь трафик должен быть зашифрован (об этом в следующих статьях).
  • Не доверяйте устройству. Считайте, что ваш смартфон уже скомпрометирован. Не храните на нем данные, которые могут вас деанонимизировать, в открытом виде.
  • Изоляция контекстов. Никогда не смешивайте личности. Браузер для поиска информации о работе не должен знать о вашем хобби. Используйте разные браузеры, контейнеры или виртуальные машины.

    • Как пишет Илья Сафронов на Habr, одна из идей Zero Trust — «Всегда проверяй явно». Для нас это значит: каждое приложение, запрашивающее доступ к камере или контактам, должно быть проверено и, по умолчанию, заблокировано.

    Пароли и Энтропия: Математика взлома

    Ваша первая линия обороны — это пароли. Большинство людей используют слабые пароли, потому что не понимают математику перебора (brute-force).

    Сила пароля измеряется не в «сложности» для человека, а в энтропии (битах неопределенности). Формула расчета энтропии пароля:

    где — энтропия в битах, — длина пароля (количество символов), — размер набора символов (мощность алфавита).

    Пример расчета

    Сравним два пароля.

    Пароль А: Tr0ub4dor&3 (11 символов, используются большие, маленькие буквы, цифры и спецсимволы). . Пароль Б: correct horse battery staple (4 случайных слова, 28 символов, только маленькие буквы и пробелы). .

    Рассчитаем энтропию для Пароля А:

    Рассчитаем энтропию для Пароля Б:

    Каждый дополнительный бит энтропии удваивает время, необходимое для перебора. Разница между 71 и 133 битами колоссальна. Пароль Б, несмотря на простоту символов, на порядки надежнее из-за длины.

    Правила гигиены паролей

  • Менеджер паролей обязателен. Используйте KeePassXC (для ПК) или KeePassDX (для Android). Это бесплатные open-source решения, которые хранят базу локально. Никаких облачных менеджеров.
  • Уникальность. Один сервис — один уникальный пароль. Если базу данных форума сольют, хакеры не должны подобрать пароль к вашей почте.
  • Длина важнее сложности. Используйте парольные фразы (passphrases) от 20 символов.

    • Двухфакторная аутентификация (2FA)

    Пароль могут украсть (кейлоггер, фишинг). 2FA — это второй замок.

    ЗАПРЕЩЕНО: Использовать SMS для 2FA. Протокол SS7 уязвим, а SIM-карту можно клонировать или перевыпустить по поддельной доверенности (SIM swapping).

    РЕКОМЕНДОВАНО: Использовать приложения для генерации TOTP (Time-based One-Time Password). * Android: Aegis Authenticator (Open Source, шифрование резервных копий). * iOS: Raivo OTP (или Ente Auth).

    Эти приложения работают оффлайн и не передают ваши коды третьим лицам.

    Шифрование данных: Последний рубеж

    Если ваше устройство украдут или изымут, пароль на вход в систему (Windows/macOS) будет сброшен или обойден за считанные минуты. Единственная защита данных — полнодисковое шифрование (FDE).

    Veracrypt и правдоподобное отрицание

    Для ноутбука лучшим бесплатным решением является VeraCrypt. Это форк закрытого проекта TrueCrypt.

    Главная фишка VeraCrypt для экстремальной анонимности — скрытые тома (Hidden Volumes). Это реализация концепции Plausible Deniability (правдоподобное отрицание).

    Как это работает:

  • Вы создаете зашифрованный контейнер.
  • Внутри него создаете два раздела: обычный и скрытый.
  • У вас есть два пароля.
    • * Пароль №1 открывает «обычный» раздел, где лежат безобидные файлы (фото котиков, скучные документы). * Пароль №2 открывает «скрытый» раздел, где лежат ваши реальные данные.

    Если вас принуждают выдать пароль (терморектальный криптоанализ), вы выдаете Пароль №1. Атакующий видит файлы, убеждается, что пароль подошел, и технически не может доказать существование скрытого раздела.

    Для смартфонов (Android/iOS) обязательно включите шифрование в настройках безопасности. На современных устройствах оно включено по умолчанию, но требует надежного пин-кода (минимум 6 цифр, лучше — буквенно-цифровой пароль).

    Итоги

  • Модель угроз первична. Прежде чем качать софт, определите, что и от кого вы прячете. Риск = Вероятность × Ущерб.
  • Zero Trust. Не доверяйте своему провайдеру, своему Wi-Fi и даже своему телефону. Изолируйте процессы.
  • Математика паролей. Длина важнее спецсимволов. Используйте KeePassXC и генерируйте пароли длиной 20+ символов. Энтропия — ваш друг.
  • Шифрование. Данные без шифрования — это публичные данные. Используйте VeraCrypt для создания скрытых контейнеров, чтобы иметь возможность правдоподобного отрицания.
  • Никаких SMS. Для 2FA используйте только локальные генераторы кодов (Aegis, Raivo).

    • 2. Сетевая анонимность: Tor, DNS, смена MAC-адресов и обход блокировок без затрат

    Сетевая анонимность: Tor, DNS, смена MAC-адресов и обход блокировок без затрат

    Ваше физическое устройство — это маяк. Как только вы подключаетесь к сети, вы начинаете транслировать идентификаторы, которые позволяют OSINT-специалисту или автоматизированной системе слежки определить ваше местоположение, провайдера и модель устройства. В предыдущей статье мы закрыли данные на диске. Теперь мы должны стать невидимками в сети.

    В условиях отсутствия бюджета мы не можем полагаться на платные VPN (которые часто ведут логи) или дорогие аппаратные решения. Наш арсенал — это математика, протоколы с открытым исходным кодом и понимание архитектуры сети.

    MAC-адрес: Ваш цифровой отпечаток пальца

    Прежде чем ваш трафик покинет комнату, вас может выдать ваше «железо». У каждой сетевой карты (Wi-Fi или Ethernet) есть уникальный физический адрес — MAC (Media Access Control).

    MAC-адрес состоит из 48 бит и записывается как 6 пар шестнадцатеричных чисел (например, 00:1A:2B:3C:4D:5E).

    Количество возможных комбинаций MAC-адресов рассчитывается так:

    где — количество уникальных адресов, — основание двоичной системы, — количество бит в адресе.

    Это число настолько велико, что вероятность случайного совпадения двух устройств ничтожна. Если вы зашли в кафе и подключились к Wi-Fi с реальным MAC-адресом, а через неделю вернулись — админ сети (или перехватчик трафика) точно знает: «Это тот же человек». Более того, первые 24 бита адреса (OUI) выдают производителя устройства (Apple, Samsung, Intel).

    Важно: MAC-адрес не передается дальше вашего роутера в глобальный интернет. Но он критичен для защиты от локальной слежки (в кафе, отелях, университетах).

    Смена MAC-адреса (MAC Spoofing)

    Для Counter-OSINT вы должны менять MAC-адрес при каждом новом подключении к сети.

  • Windows/Linux: Используйте бесплатные утилиты вроде Technitium MAC Address Changer или встроенные средства Linux (macchanger).
  • Android/iOS: В современных версиях (Android 10+, iOS 14+) включена рандомизация MAC-адресов по умолчанию. Проверьте настройки Wi-Fi: опция должна называться «Использовать случайный MAC-адрес» (Use randomized MAC).

    • DNS: Телефонная книга, которая вас сдает

    Когда вы вводите в браузере google.com, компьютер не знает, куда идти. Он спрашивает IP-адрес у DNS-сервера. По умолчанию этот сервер принадлежит вашему интернет-провайдеру.

    Даже если вы используете HTTPS (шифрование контента), DNS-запросы часто идут открытым текстом. Провайдер видит не что вы читаете на сайте, а какие сайты вы посещаете, и когда.

    Согласно Security in a Box, шифрование DNS-запросов критически важно для обхода цензуры и защиты от мониторинга.

    Решение: DNS over HTTPS (DoH)

    DoH заворачивает ваши DNS-запросы в зашифрованный HTTPS-трафик. Провайдер видит лишь поток мусорных данных.

    Как настроить без бюджета: В настройках браузера (Firefox, Chrome) найдите раздел «Безопасный DNS» и выберите провайдера, ориентированного на приватность. Не используйте Google или провайдера по умолчанию.

    Рекомендуемый вариант: Quad9 (швейцарская юрисдикция, блокировка вредоносов, отсутствие логов).

    Tor: Основа анонимности без бюджета

    Бесплатные VPN — это ловушка. Как правило, они монетизируют ваши данные, продавая их рекламным сетям. Для экстремальной анонимности без денег существует только один путь: сеть Tor (The Onion Router).

    Как работает луковая маршрутизация

    В отличие от VPN (где вы доверяете одному серверу), Tor строит цепочку из трех случайных узлов. Ни один узел не знает полного пути.

    Математически процесс шифрования пакета выглядит так:

    где: * — отправляемый пакет (Ciphertext). * — исходные данные (Message). * — шифрование ключом входного узла (Guard Node). * — шифрование ключом среднего узла (Middle Node). * — шифрование ключом выходного узла (Exit Node).

  • Входной узел (Guard): Знает ваш реальный IP, но не знает, куда вы идете. Видит только зашифрованный пакет .
  • Средний узел (Middle): Знает IP входного узла и IP выходного. Не знает ни вас, ни сайт назначения.
  • Выходной узел (Exit): Знает сайт назначения, но не знает, кто вы. Снимает последний слой шифрования и отправляет запрос в интернет.

    • Согласно Front Line Defenders, использование Tor рекомендуется, если вы хотите быть уверены, что никто не сможет отследить вас по конкретным действиям или установить вашу личность.

    Изоляция потоков

    Tor Browser автоматически меняет цепочку узлов для каждого нового домена. Если вы открыли вкладку с почтой и вкладку с форумом, они пойдут через разные страны. Это делает корреляцию трафика (сопоставление активности) крайне сложной задачей для OSINT-специалиста.

    Обход блокировок и мостов (Bridges)

    В странах с жесткой цензурой доступ к публичным узлам Tor может быть заблокирован. Провайдеры используют DPI (Deep Packet Inspection), чтобы выявлять характерный «почерк» протокола Tor.

    Для обхода используются мосты (Bridges) — узлы, адреса которых не публикуются в открытых списках.

    Типы мостов для разных угроз:

  • obfs4: Делает трафик Tor похожим на случайный шум. Эффективен против большинства систем фильтрации.
  • Snowflake: Использует WebRTC. Ваш трафик проходит через браузеры волонтеров по всему миру. Это крайне сложно заблокировать, так как это выглядит как обычный видеозвонок.

    • По данным ProxyWing, Tor Browser помогает обойти геоблок и открыть сайты, недоступные в вашем регионе, однако важно выбрать правильный инструмент обхода, так как многие сайты умеют распознавать прокси.

    Цифровой отпечаток браузера (Fingerprinting)

    Даже если вы скрыли IP через Tor и MAC через спуфинг, ваш браузер может выдать вас через уникальную комбинацию настроек: разрешение экрана, список шрифтов, версия драйверов видеокарты.

    В статье GIJN отмечается, что веб-сервер может узнать человека на 98% даже без IP-адреса, используя уникальные свойства плагинов, разрешение экрана и другие параметры.

    Правило: Никогда не меняйте размер окна Tor Browser и не устанавливайте в него дополнительные плагины. Используйте стандартные настройки. Это позволяет вам слиться с толпой других пользователей Tor, делая ваш цифровой отпечаток идентичным тысячам других.

    Практический алгоритм действий (Zero Budget)

  • Подготовка: Скачайте Tor Browser с официального сайта (или через зеркала/GitHub, если сайт заблокирован).
  • MAC-адрес: Перед подключением к сети убедитесь, что на ноутбуке/смартфоне включена рандомизация MAC.
  • Настройка мостов:
    • * В Tor Browser: Настройки -> Соединение -> Мосты -> Выбрать встроенный мост -> obfs4 (или Snowflake, если obfs4 не работает).
  • Проверка: Зайдите на сайт check.torproject.org. Вы должны увидеть сообщение, что используете Tor.
  • Утечки: Зайдите на dnsleaktest.com. Вы должны видеть IP-адреса выходных узлов Tor, а не вашего провайдера.

    • Итоги

  • MAC-адрес — это угроза в локальной сети. Меняйте его при каждом подключении или используйте встроенную рандомизацию.
  • DNS — это «жучок» провайдера. Используйте DoH (DNS over HTTPS) или Tor, чтобы скрыть список посещаемых ресурсов.
  • Бесплатные VPN — зло. Они продают данные. Tor — единственный надежный бесплатный инструмент для анонимности.
  • Математика Tor. Три узла шифрования обеспечивают разрыв связи между отправителем и получателем. .
  • Fingerprinting. Не меняйте настройки Tor Browser, чтобы не выделяться из толпы. Ваша цель — быть как все.