OpSec سرور: ناشناس ماندن

OpSec عادت است، نه محصول

امنیت عملیاتی — OpSec — انضباط عدم نشت اطلاعاتی است که فعالیت ناشناس شما را به هویت واقعی‌تان متصل می‌کند. ارزش دارد روشن باشیم که چیست و چه نیست. OpSec یک محصول نیست که بخرید یا ابزاری که نصب کنید. بهترین سرور بدون KYC، برون‌مرزی، با پرداخت رمزارزی در دنیا شما را ناشناس نگه نمی‌دارد اگر از اتصال خانگی‌تان در حالی که وارد یک حساب شخصی هستید SSH بزنید. OpSec مجموعه عادت‌های پیرامون ابزارهاست.

دلیل اینکه عادت‌ها بیشتر از ابزارها اهمیت دارند این است که شناسایی هویت تقریباً هرگز از شکستن رمزنگاری یا غلبه بر یک فناوری حریم خصوصی نمی‌آید. از یک اشتباه انسانی ساده می‌آید — یک اتصال از IP اشتباه، یک نام‌کاربری استفاده‌شده مجدد، یک جزئیت بی‌احتیاطانه — که جنبه ناشناس زندگی شما را به جنبه شناس‌شده آن متصل می‌کند. این راهنما درباره اشتباهاتی است که آسیب می‌رسانند و عادت‌هایی که از آن‌ها جلوگیری می‌کنند. فرض می‌کند که یک سرور اجرا می‌کنید که می‌خواهید از هویتتان جدا بماند، و پوشش می‌دهد که چگونه واقعاً آن را آن‌گونه نگه دارید.

راه‌اندازی را روی یک پایه ناشناس بسازید

OpSec بسیار آسان‌تر است وقتی از ابتدا هیچ هویتی در پایه پخته نشده باشد. چند راهنمای دیگر ما لایه‌ها را به تفصیل پوشش می‌دهند؛ اینجا نحوه کنار هم قرار گرفتن آن‌ها به‌عنوان پایه است:

• یک حساب بدون هویت. یک هاست بدون KYC به شما یک token صادر می‌کند، نه یک حساب مرتبط با نام، ایمیل یا تلفن. هیچ چیزی برای ارائه‌دهنده وجود ندارد که فاش کند یا مجبور به افشا شود.
• پرداختی که هیچ نامی ندارد. رمزارز — Monero برای هیچ سابقه قابل ردیابی، یا Bitcoin از یک آدرس تازه — تا خرید حساب را به شما باز متصل نکند.
• یک حوزه قضایی برون‌مرزی. انتخاب‌شده برای عدم نگهداری داده و کانال‌های همکاری محدود، تا حتی یک درخواست مصمم با اصطکاک واقعی روبرو شود.

پایه را درست بگیرید و OpSec تبدیل به مسئله عدم معرفی هویت بعد از آن می‌شود — که بسیار آسان‌تر از تلاش برای پاک کردن آن بعداً است. ناشناس شروع کنید؛ ناشناس بمانید.

اتصال رایج‌ترین نشت است

اگر یک اشتباه وجود دارد که بیشتر از هر چیز دیگری هویت را فاش می‌کند، این است: اتصال به سرور ناشناس از یک آدرس IP شناسایی‌کننده. اتصال اینترنت خانگی شما به نام شماست. لحظه‌ای که مستقیماً از آن به سرور ناشناس خود SSH می‌زنید، لاگ‌های ISP شما یک رکورد دارند که شما را به آن سرور متصل می‌کند — و راه‌اندازی کامل بدون KYC با اتصال به آن خنثی می‌شود.

قانون مطلق است: هرگز سرور ناشناس را از یک IP که به شما ردیابی می‌شود لمس نکنید. از طریق Tor یا از یک VPN جداگانه که خودش ناشناس باشد به آن برسید، هر بار — نه معمولاً، هر بار. یک اتصال مستقیم، یک بار در عجله، کافی است. همین برای همه چیزی که برای پروژه انجام می‌دهید صدق می‌کند: ثبت حساب‌ها، دانلود ابزارها، آزمایش سایت. اگر اتصال می‌تواند به شما ردیابی شود، مهم نیست مقصد چقدر ناشناس باشد. IP واقعی خود را چیزی بدانید که پروژه ناشناس هرگز نباید ببیند.

بدون امان محفظه‌بندی کنید

محفظه‌بندی یعنی نگه داشتن هویت ناشناس و هویت واقعی در جعبه‌های مهروموم‌شده و جداگانه‌ای که هرگز لمس نمی‌کنند. این قوی‌ترین عادت OpSec است، چون اکثر شناسایی هویت پلی است که به تصادف بین دو محفظه ساخته می‌شود.

• هر چیزی که می‌تواند هویت داشته باشد را جدا کنید. از یک مرورگر متفاوت — در حالت ایده‌آل یک پروفایل کاربری متفاوت، یا یک ماشین مجازی اختصاصی — برای پروژه ناشناس استفاده کنید. در همان session‌ای که برای آن استفاده می‌کنید هرگز وارد ایمیل شخصی، حساب اجتماعی، یا هر چیز مرتبط با نامتان نشوید.
• هرگز نام‌ها را استفاده مجدد نکنید. یک نام‌کاربری، مستعار یا آواتار استفاده‌شده مجدد بین یک پروژه ناشناس و یک حساب شناسایی‌شده یک پیوند مستقیم است. هر محفظه مختص خودش را می‌گیرد که در جای دیگری استفاده نمی‌شود.
• متقابلاً ارجاع ندهید. از یک حساب شناخته‌شده به پروژه ناشناس اشاره نکنید، یا از حساب ناشناس به زندگی شناس‌شده. حتی یک جزئیت کوچک و صادق — یک شهر، یک شغل، یک عبارت‌پردازی متمایز — دامنه را محدود می‌کند.
• یک پروژه، یک محفظه. اگر چند پروژه ناشناس اجرا می‌کنید، آن‌ها را از یکدیگر هم جدا نگه دارید تا مشکلی در یکی بقیه را آشکار نکند.

انضباط این است که دیوار را خودکار کنید — تا هرگز نیازی به یادآوری نداشته باشید، چون مرورگر، session و هویت‌ها به‌سادگی همیشه جدا هستند.

آنچه سرور و نرم‌افزارش فاش می‌کنند را زیر نظر بگیرید

یک سرور حتی وقتی مراقب نحوه رسیدن به آن هستید به دنیا چیزهایی می‌گوید. نشت‌هایی که ارزش حسابرسی دارند:

• بنرها و هدرها. سرورهای وب، سرورهای ایمیل و SSH به‌طور پیش‌فرض نسخه‌ها و گاهی hostنام‌ها را اعلام می‌کنند. آنچه تبلیغ می‌کنند را کوتاه کنید.
• صفحات و خطاهای پیش‌فرض. یک صفحه خطا یا صفحه آزمایش پیش‌فرض می‌تواند نرم‌افزار، پیکربندی، یا اینکه دو سایت یک سرور را به اشتراک می‌گذارند را فاش کند. پیش‌فرض‌ها را جایگزین کنید.
• متادیتا در فایل‌ها. تصاویر و اسناد متادیتا دارند — دستگاه، نرم‌افزار، گاهی موقعیت. قبل از آپلود هر چیز آن را پاک کنید.
• نرم‌افزاری که به خانه زنگ می‌زند. تحلیل‌گرها، فونت‌های خارجی، pingbackهای به‌روزرسانی و APIهای شخص ثالث اتصالات خروجی ایجاد می‌کنند که می‌توانند سرور را به ملک‌های دیگر متصل کرده یا آدرس واقعی‌اش را فاش کنند. یک پروژه ناشناس را خودکفا نگه دارید.
• همبستگی در سایت‌ها. همان شناسه تحلیل‌گر، حساب تبلیغاتی، گواهی TLS یا favicon استفاده‌شده روی یک سایت ناشناس و یک سایت شناخته‌شده آن‌ها را به هم وصل می‌کند. هیچ چیزی بین محفظه‌ها به اشتراک نگذارید.

اصل این است که برای هر چیزی که سرور منتشر می‌کند بپرسید، این به یک ناظر چه می‌گوید — و هر چیزی که با هویت شما پاسخ می‌دهد را حذف کنید.

انضباط پرداخت و تمدید

ناشناسیت یک راه‌اندازی یک‌باره نیست؛ باید از هر تمدید جان سالم به در برد. سروری که به‌صورت ناشناس خریداری شده اما یک سال بعد با یک کارت تمدید می‌شود خود را در تمدید لغو می‌کند. جنبه مالی را به همان اندازه بقیه منضبط نگه دارید: تمدیدها را به همان روش ناشناسی که اول پرداخت کردید بپردازید، با رمزارز. یک عادت عملی این است که حساب بدون KYC را با موجودی رمزارز شارژ نگه دارید تا تمدیدها به‌آرامی کسر شوند و شما پرداخت جدید جلب‌توجهی روی یک برنامه نمی‌کنید. همین برای یک دامنه صدق می‌کند — آن را از همان کانال ناشناس تمدید کنید، هرگز با کارتی که فقط این یک بار اضافه شده.

ذهنیت: ثبات بر شدت

نخ رابط در همه این‌ها این است که OpSec درباره ثبات است، نه شدت. درباره یک تلاش قهرمانانه منفرد برای ناشناس بودن نیست؛ درباره هرگز استثناء نبودن است. یک اتصال از خانه، یک مستعار استفاده‌شده مجدد، یک تمدید با کارت، یک ورود شخصی در تب اشتباه مرورگر — هر یک از این لغزش‌ها می‌تواند آن پیوند باشد، و هیچ میزان دقتی در جای دیگری آن را لغو نمی‌کند.

این سخت به نظر می‌رسد، اما در عمل تبدیل به روتین می‌شود. پایه را ناشناس راه‌اندازی کنید، محفظه‌ها را یک‌بار بسازید، مرورگر جداگانه و اتصال Tor را به پیش‌فرض خود تبدیل کنید، و انضباط خودش را اداره می‌کند. هدف پارانویا نیست — یک راه‌اندازی است که در آن ناشناس ماندن ساده‌ترین نحوه کارکرد پروژه است، بدون هیچ استثنایی برای یادآوری. آن را آن‌گونه بسازید، و یک سرور ناشناس نه به این دلیل که هر روز مراقب هستید ناشناس می‌ماند، بلکه به این دلیل که هیچ مسیری وجود ندارد که بتواند چیز دیگری باشد.