Sunucu OpSec: Anonim Kalmak

OpSec bir ürün değil, bir alışkanlıktır

Operasyonel güvenlik — OpSec — anonim faaliyetlerinizi gerçek kimliğinize bağlayan bilgileri sızdırmama disiplinidir. Ne olduğunu ve ne olmadığını net bir şekilde ortaya koymak gerekir. OpSec satın aldığınız bir ürün ya da kurduğunuz bir araç değildir. Dünyanın en iyi KYC'siz, offshore, kripto ödemeli sunucusu bile; kişisel bir hesaba giriş yapmışken ev bağlantınızdan SSH ile bağlanırsanız sizi anonim tutamaz. OpSec, araçların çevresinde şekillenen alışkanlıklar bütünüdür.

Alışkanlıkların araçlardan daha önemli olmasının nedeni, kimliğin deşifre edilmesinin neredeyse hiçbir zaman şifrelemenin kırılmasından ya da bir gizlilik teknolojisinin aşılmasından kaynaklanmamasıdır. Bunun arkasında hep tek bir insan hatası yatar — yanlış bir IP'den yapılan tek bir bağlantı, yeniden kullanılan bir kullanıcı adı, dikkatsizce paylaşılan küçük bir ayrıntı — ve bu hata, hayatınızın anonim tarafını isimli tarafına bağlar. Bu rehber, zarar veren hataları ve onları önleyen alışkanlıkları ele almaktadır. Kimliğinizden ayrı tutmak istediğiniz bir sunucu işlettiğinizi varsayarak, bunu pratikte nasıl başarabileceğinizi anlatmaktadır.

Kurulumu anonim bir temelle başlatın

Başından itibaren herhangi bir kimlik barındırmayan bir temel üzerinde inşa edildiğinde OpSec çok daha kolay olur. Diğer rehberlerimizin birçoğu katmanları ayrıntılı biçimde ele almaktadır; burada bu katmanların bir taban olarak nasıl bir araya geldiğini görebilirsiniz:

• Kimliksiz bir hesap. KYC'siz bir sağlayıcı size bir isim, e-posta veya telefona bağlı hesap değil, bir token verir. Sağlayıcının sızdıracak ya da açıklamaya zorlanacak hiçbir bilgisi olmaz.
• İsim taşımayan bir ödeme. Kripto para — izlenebilir kayıt bırakmayan Monero ya da taze bir adresten Bitcoin — sayesinde satın alma işlemi hesabı size yeniden bağlamaz.
• Offshore yargı bölgesi. Veri saklama zorunluluğunun olmadığı ve işbirliği kanallarının sınırlı olduğu bir yer seçilir; böylece kararlı bir talep bile gerçek bir dirençle karşılaşır.

Temeli doğru atarsanız OpSec, sonradan kimlik bilgisi eklememek meselesi haline gelir — ki bu, daha sonra temizlemeye çalışmaktan çok daha kolaydır. Anonim başlayın; anonim kalın.

Bağlantı en yaygın sızıntı kaynağıdır

Diğerlerinden daha fazla insanı ele veren tek bir hata varsa, o da şudur: anonim sunucuya kimlik tespitine olanak tanıyan bir IP adresinden bağlanmak. Ev internet bağlantınız size kayıtlıdır. Anonim sunucunuza doğrudan ev bağlantınızdan SSH ile girdiğiniz anda, ISP'nizin kayıtları sizi o sunucuya bağlayan bir iz barındırır — ve mükemmel KYC'siz kurulum, o sunucuya yapılan bağlantıyla çöpe gider.

Kural mutlaktır: anonim sunucuya asla size takip edilebilecek bir IP'den bağlanmayın. Sunucuya Tor üzerinden ya da kendisi de anonim olan ayrı bir VPN aracılığıyla ulaşın — çoğu zaman değil, her seferinde. Aceleyle yapılan tek bir doğrudan bağlantı yeterlidir. Aynı kural proje için yaptığınız her şey için geçerlidir: hesap açmak, araç indirmek, siteyi test etmek. Bağlantı size takip edilebiliyorsa hedefin ne kadar anonim olduğunun önemi kalmaz. Gerçek IP'nizi, anonim projenin asla görmemesi gereken bir şey olarak değerlendirin.

Acımasızca bölümlere ayırın

Bölümlere ayırma, anonim kimliği ve gerçek kimliği asla temas etmeyen, mühürlü ve birbirinden ayrı kutularda tutmak anlamına gelir. Bu, tek en güçlü OpSec alışkanlığıdır; çünkü kimliğin deşifre edilmesinin büyük çoğunluğu iki bölme arasına kazara inşa edilmiş bir köprüden kaynaklanır.

• Kimlik taşıyabilecek her şeyi ayırın. Anonim proje için farklı bir tarayıcı — ideal olarak farklı bir kullanıcı profili ya da ayrı bir sanal makine — kullanın. Anonim proje için kullandığınız oturumda kişisel e-postanıza, sosyal medya hesabınıza ya da adınıza bağlı herhangi bir şeye asla giriş yapmayın.
• İsimleri asla tekrar kullanmayın. Anonim bir proje ile tanımlanmış bir hesap arasında tekrar kullanılan kullanıcı adı, takma ad veya avatar doğrudan bir bağlantı oluşturur. Her bölmenin kendine özgü, başka hiçbir yerde kullanılmayan bir kimliği olmalıdır.
• Çapraz atıf yapmayın. İsimli hesabınızdan anonim projenizden söz etmeyin; anonim taraftan gerçek hayatınıza dair bilgi vermeyin. Küçük de olsa gerçek bir ayrıntı — bir şehir, bir meslek, dikkat çekici bir ifade biçimi — alanı daraltır.
• Bir proje, bir bölme. Birden fazla anonim proje yürütüyorsanız bunları da birbirinden ayrı tutun; birindeki sorun diğerlerini ifşa etmesin.

Disiplin, duvarı otomatik hale getirmektir — bunu asla hatırlamak zorunda kalmamak, çünkü tarayıcı, oturum ve kimlikler her zaman zaten ayrıdır.

Sunucunun ve yazılımının neler açıkladığını takip edin

Bir sunucu, ona nasıl eriştiğinize dikkat etseniz bile dünyaya bir şeyler söyler. Denetlemeye değer sızıntılar:

• Bannerlar ve başlıklar. Web sunucuları, posta sunucuları ve SSH, varsayılan olarak sürümlerini ve bazen ana bilgisayar adlarını duyurur. Yayınladıkları bilgileri kısıtlayın.
• Varsayılan sayfalar ve hatalar. Varsayılan bir hata sayfası veya test sayfası, yazılımı, yapılandırmayı ya da iki sitenin aynı sunucuyu paylaştığını açığa çıkarabilir. Varsayılanları değiştirin.
• Dosyalardaki meta veri. Resimler ve belgeler meta veri barındırır — cihaz, yazılım, bazen konum. Herhangi bir şey yüklenmeden önce bu verileri temizleyin.
• Eve telefon eden yazılımlar. Analitik araçları, harici fontlar, güncelleme ping-back'leri ve üçüncü taraf API'ler, sunucuyu diğer kaynaklara bağlayabilecek ya da gerçek adresini sızdırabilecek giden bağlantılar oluşturur. Anonim bir projeyi kendi kendine yeten hale getirin.
• Siteler arası korelasyon. Anonim bir sitede ve tanımlanmış bir sitede kullanılan aynı analitik kimliği, reklam hesabı, TLS sertifikası veya favicon bunları birbirine bağlar. Bölmeler arasında hiçbir şey paylaşmayın.

İlke şudur: sunucunun yaydığı her şey için "bu bir gözlemciye ne söylüyor?" diye sorun ve kimliğinizi ele verecek her şeyi ortadan kaldırın.

Ödeme ve yenileme disiplini

Anonimlik tek seferlik bir kurulum değildir; her yenilemeden sağ çıkması gerekir. Anonim olarak satın alınan ancak bir yıl sonra kartla yenilenen bir sunucu, yenileme anında kendini ele verir. Para tarafını da diğer her şey kadar disiplinli tutun: yenilemeleri ilk seferinde ödediğiniz aynı anonim yöntemle, kripto para ile ödeyin. Pratik bir alışkanlık olarak KYC'siz hesabı kripto bakiyesiyle dolu tutun; bu sayede yenilemeler sessiz sedasız gerçekleşir ve belirli bir takvimde dikkat çeken yeni bir ödeme yapmanıza gerek kalmaz. Aynı durum domain için de geçerlidir — onu da aynı anonim kanaldan yenileyin, sadece bu sefer eklenmiş bir kartla değil.

Zihniyet: yoğunluk değil, tutarlılık

Tüm bunların özündeki ortak iplik şudur: OpSec yoğunluk değil, tutarlılık meselesidir. Anonim olmak için tek seferlik kahramanca bir çaba göstermekle ilgili değildir; asla istisna olmamakla ilgilidir. Evden yapılan tek bir bağlantı, bir kez tekrar kullanılan bir takma ad, kartla yapılan tek bir yenileme, yanlış tarayıcı sekmesinde bir kişisel oturum — tek bir ihmal bu bağlantıyı oluşturabilir ve başka hiçbir yerde gösterilen özen bunu telafi edemez.

Bu kulağa ağır gelebilir, ancak pratikte rutin hale gelir. Temeli anonim olarak kurun, bölmeleri bir kez oluşturun, ayrı tarayıcıyı ve Tor bağlantısını varsayılanınız haline getirin; disiplin kendiliğinden işler. Amaç paranoya değil — anonim kalmak projenin varsayılan çalışma biçimi olsun, hatırlanacak hiçbir istisna kalmasın. Bunu bu şekilde inşa edin ve anonim bir sunucu, her gün dikkatli olduğunuz için değil, başka türlü olmasının hiçbir yolu kalmadığı için anonim kalır.