Come ospitare un sito web in modo anonimo

L'anonimato è uno stack, non un'impostazione

Non esiste un singolo pulsante che renda un sito web anonimo. L'anonimato è il risultato di più livelli indipendenti, ciascuno dei quali può rivelare la tua identità da solo. Un server perfetto in una giurisdizione perfetta resta comunque rintracciabile se lo hai pagato con una carta; un pagamento impeccabile è vanificato se il WHOIS del dominio riporta il tuo nome; la migliore configurazione possibile crolla se amministri il server dalla tua connessione di casa mentre sei connesso a un account personale.

Il modo corretto di concepire l'hosting anonimo è quindi come uno stack — account, pagamento, dominio, giurisdizione, connessione e contenuto del sito — in cui l'insieme è robusto quanto il livello più debole. Questa guida li affronta uno alla volta. Seguili tutti e il sito web non potrà davvero essere ricondotto a te; tralasciarne uno e il resto diventa sforzo sprecato.

Livello 1 — Un account di hosting privo di identità

Il fondamento è un account di hosting che non contenga mai la tua identità. Con un provider tradizionale questo è strutturalmente impossibile: il modulo di registrazione richiede nome, email, spesso numero di telefono e carta di credito. Ogni campo è un filo che porta a te, conservato nei sistemi del provider ed esposto da qualsiasi violazione o richiesta legale.

Un provider no-KYC elimina il problema alla radice. ServPrivacy assegna un token di accesso casuale al posto di un account con email e password — il token è l'account, mostrato una sola volta e archiviato solo come hash. Non viene mai richiesto nome, email o numero di telefono. Poiché non viene raccolta alcuna informazione, non c'è nulla che il provider possa divulgare o essere costretto a fornire. Parti da qui: se il livello account contiene la tua identità, nessun livello successivo potrà rimediare.

Livello 2 — Un pagamento che non porta il tuo nome

Il secondo filo è il denaro. Un pagamento con carta porta con sé nome e indirizzo di fatturazione; un bonifico bancario è registrato a entrambe le estremità; PayPal collega la transazione a un'identità verificata. Ognuno di questi metodi ricollega un account anonimo a una persona reale nel momento dell'acquisto.

La soluzione è la criptovaluta. Pagare in Bitcoin non associa alcun nome; pagare in Monero non associa alcun nome né lascia alcuna traccia pubblica rintracciabile, celando mittente, destinatario e importo. Per un sito che deve rimanere non attribuito, paga in Monero dove possibile, oppure in Bitcoin da un indirizzo nuovo di zecca. Il principio è semplice: il livello di pagamento non deve introdurre un'identità che il livello account aveva cura di evitare.

Livello 3 — Il nome di dominio

Il dominio è la falla più comunemente trascurata. In passato, registrare un dominio comportava la pubblicazione di nome, indirizzo, email e telefono nel database WHOIS pubblico, consultabile da chiunque. La privacy WHOIS o la redazione nascondono oggi gran parte di queste informazioni dalla consultazione ordinaria, ma il registrar conserva comunque i dati sottostanti — e un registrar che ha ricevuto una carta e un'email verificata sa esattamente chi sei.

Per un sito genuinamente anonimo, il dominio deve essere acquisito allo stesso modo dell'hosting: da un registrar che non richiede identità e accetta criptovalute, con la privacy WHOIS applicata in aggiunta. ServPrivacy registra domini direttamente dal saldo del tuo account no-KYC, pagati in criptovaluta, con privacy WHOIS gratuita su ogni TLD che la supporta — così il livello dominio è coerente con il livello account invece di vanificarlo. Se puoi far girare il sito su un sottodominio o renderlo accessibile come servizio onion Tor, elimini completamente la falla del dominio.

Livello 4 — La giurisdizione

I primi tre livelli impediscono la raccolta della tua identità. La giurisdizione governa ciò che accade quando qualcuno cerca di ottenerla comunque per via coercitiva. Un server nel tuo paese d'origine, o in una giurisdizione che coopera strettamente con esso, è raggiungibile attraverso normali procedure legali — e un provider lì potrebbe essere obbligato per legge a indagare o registrare il proprio cliente, vanificando silenziosamente una configurazione altrimenti anonima.

Una giurisdizione offshore scelta per la sua reale solidità giuridica cambia le carte in tavola. Un paese senza leggi sulla conservazione obbligatoria dei dati non impone al provider di mantenere i registri di connessione che potrebbero in seguito de-anonimizzarti. Un paese senza trattati di mutua assistenza giudiziaria con la parte interessata al tuo sito non dispone di canali procedurali attraverso cui essere costretto. Scegli la giurisdizione con attenzione: è il livello che protegge gli altri livelli dallo smantellamento a posteriori.

Livello 5 — Come ti connetti e amministri il server

Con i primi quattro livelli in essere, il server non contiene alcuna identità. Il rischio residuo sei tu — più precisamente, come raggiungi la macchina. Se accedi via SSH a un server anonimo direttamente dal tuo indirizzo IP di casa, i log del tuo provider Internet ti collegano a esso. Il server è anonimo; la tua connessione ad esso non lo è.

La soluzione è non toccare mai il server da una connessione identificabile. Amministralo tramite Tor, o attraverso una VPN essa stessa anonima, in modo che l'indirizzo IP visto connettersi al server non sia il tuo. Mantieni una separazione netta: non accedere a email personali, account social o qualsiasi cosa legata alla tua identità reale dallo stesso browser o dalla stessa sessione che usi per gestire il server. La disciplina è semplice una volta diventata un'abitudine — tratta il progetto anonimo come un compartimento stagno, senza ponti verso la tua identità quotidiana.

Livello 6 — Ciò che il sito stesso rivela

L'ultimo livello è il contenuto. Un sito può essere ospitato in modo impeccabile e rivelare comunque il suo proprietario — in una pagina «chi siamo», un'email di contatto su un dominio personale, uno script di analisi o pubblicità che lo collega ad altre tue proprietà, una foto del profilo riutilizzata, o metadati lasciati nelle immagini e nei documenti caricati. I visitatori curiosi e i motori di ricerca de-anonimizzano molti più siti attraverso i loro contenuti che attraverso la loro infrastruttura.

Controlla quindi ciò che il sito pubblica. Rimuovi i metadati dalle immagini prima di caricarle. Evita script di terze parti che traccino o colleghino tra loro le tue proprietà. Non riutilizzare nomi utente, avatar o testi che compaiono già su account identificati. L'infrastruttura può essere perfetta; se il sito stesso firma il tuo nome, tutto il resto non è servito a nulla.

Mettere insieme lo stack

Ospitare un sito web in modo anonimo è quindi una sequenza, non un prodotto:

• Account — un provider no-KYC che assegna un token, non un'identità.
• Pagamento — criptovaluta, idealmente Monero, così l'acquisto non porta alcun nome.
• Dominio — registrato senza KYC e con privacy WHOIS, oppure aggirato tramite un servizio onion Tor.
• Giurisdizione — offshore, scelta per l'assenza di conservazione dei dati e di canali di cooperazione.
• Connessione — amministra tramite Tor o una VPN anonima, mai dal tuo IP personale.
• Contenuto — non pubblicare nulla che firmi il tuo nome, direttamente o tramite metadati.

Ogni livello è semplice di per sé; il lavoro consiste nel non saltarne nessuno. Eseguito completamente, il risultato è un sito web pienamente online e pienamente funzionale, eppure privo di qualsiasi filo — account, pagamento, dominio, giurisdizione, connessione o contenuto — che conduca alla persona che lo gestisce.