行動安全 (Operational Security) === > * 致謝網友[UmmIt](https://github.com/UmmItC) > * 大部分摘要自 https://drive.google.com/file/d/1DHRYQZ-pvnKQZuMCHVhmeGqM-p7eyl90/view Operational Security (OpSec)：保護具體行動的安全性，以防止洩露行動的計劃、目的、結果。 數位年代很難免防止到未經同意的追蹤，但也不是完全不能做到。 這篇文章會講解如何避免被追蹤到的風險，從而加強大家的資安意識。 1. 不要用真實生活使用的作業系統與瀏覽器從事活動。 2. 不要上影音平台學習，因為平台會收集你對什麼有興趣的資料。 ## 作業系統的選擇 :::danger 不要使用Windows或macOS ::: 推薦Tails、Whonix、Qubes作業系統，Tails內建我們需要的軟體，開箱即用；Whonix、Qubes需要進階的安全設定，新手若無法設定完備，恐將自己放置於風險中；故此筆記以Tails為例。 ## 電郵服務 請使用有加密為預設的電郵 Service。例如 Proton / Tuta ## 匿名一次性的電郵 Alias 使用電郵 Alias 來申請任何東西可以有效保護到你真實的電郵，輸入資料的時侯用 Alias email，然後 Forward 去自己的真實 Email。將自己的真實 Email 用到網站上會增加被跟蹤到的風險。推介使用像 [Addy](addy.io) / [SimpleLogin](https://simplelogin.io/) 這類能夠 Self-hosting 的 Email alias 服務。 每一個網站都用一個新的 Email 來申請，而非每個網站都用同一個 Email。 如果你覺得自己的電郵已經 leaked，可以在 [haveibeenpwned](https://haveibeenpwned.com/) 上輸入自己的 Email。 Email Alias: - DuckDuck Go Email Protection - SimpleLogin - Addy - Mozilla alias ## 匿名性不佳的組合 v.s. 單純使用Tails - Windows+Tor Browser：會讓執法機構找到證據。 - Tails+VPN：VPN會在Tor之前設置固定的入口節點，且在Tor之後設置固定的出口節點。 - 推薦單純使用Tails：由於Tails是live OS，能讓你曾用過Tails開機都沒人知道。 ## 去匿名化攻擊(De-Anonymization Attack) * 只要你涉嫌的罪夠重，FBI曾經支付卡內基美隆大學研究人員(Tor的中繼節點維運者)費用取得匿名用戶資料。 * 在去匿名化攻擊的情況下，使用非自家Wi-Fi可讓攻擊者無法取得你的真實IP位址，而是你所使用網路的IP位址(例如：星巴克 Wi-Fi)，但須防止有人肩窺、攝影機錄下你的臉部或螢幕。 ## Tails 1. 所有連線接到Tor網路。  * 第一個節點知道你源自哪裡，但不知道你最終目的要去哪裡。 * 最後一個節點知道你最終目的要去哪裡，但不知道你源自哪裡。 3. 不會在電腦留下使用軌跡。 4. 採用最先進的加密工具加密檔案、信件、訊息。 ### 常見問題 1. 可以在私人或公共電腦使用Tails嗎? 可。因其不會異動到硬碟，惟RAM會被使用，但在關機後會自動刪除資料且無法復原，你需要保存的資料可存在額外的隨身碟或外接的硬碟。 2. 如何對網路服務供應商 (ISP) 隱藏你正在使用 Tor 的事實? 如果用自己的Wi-Fi，你的ISP會知道你在用Tor，若不想讓ISP知道，則選擇「Hide to my local network that I'm connecting to Tor」選項，讓Tor使用Bridge(祕密的Tor節點)。 用Gmail寄空白信到bridges@torproject.org，約一週會收到Bridge QR Code，即可使用。   3. 可以使用需登入真實身分的Wi-Fi嗎(例如：學校的Wi-Fi) 可。因為Tails偽造所有封包裡的MAC(```ip a```看到的便是假的MAC)，如果學校來找你麻煩，你可以聲稱登入帳密被盜，你的電腦網卡不是那個MAC，不過因為Tor網路流量既是已經加密，也沒人知道你最終要連到哪個目的網站。 4. DNS請求會洩漏我要連的目的網站嗎? 只有Tor網路的最後一個節點會做DNS請求。 5. 若只是逛逛暗網黑市(沒買東西)，能否不使用Tails? 必須用Tails。若執法機構剛好查到你家，你那表面上看似合理的辯解將會徹底消失。 ### 硬體及版本 - [已知的硬體問題](https://tails.net/support/known_issues/index.en.html) - 為防止Tails被安裝後門偷竊你的資料，不要使用別人預先安裝的Tails的隨身碟。 - Tails須隨時升級到最新版。 ### 操作 - [安裝步驟](https://tails.net/install/index.en.html) - [升級步驟](https://tails.net/doc/upgrade/index.en.html) - [備份步驟](https://tails.net/doc/persistent_storage/backup/) - 安裝packages * 在歡迎頁面設定Persistent Storage Passphrase * 在歡迎頁面「+」設定Administrator Password * 在Persistent Storage啟用Additional Software  * 點APT on the command line  * 安裝完成會詢問Install Only Once或Install Every Time(每次開機連上網便自動安裝) ### 注意事項 * Tor browser設定： * 將security slider設為safest：這預設會關掉JavaScript及啟用一些安全特性功能，是為了防止JavaScript收集你的[被動數位足跡](https://hackmd.io/@derailment/digital_footprint?stext=496%3A35%3A0%3A1741577631%3Amwi46-)。  * javascript.enabled設成false  * 如果一個暗網一直要求啟用JavaScript，馬上逃走。 * 電腦完全關機才可以拔掉Tails隨身碟。 * 人離開電腦(即使只有10分鐘)就要關機拔掉Tails隨身碟，否則如果執法機構剛好來找你，就看到所有未加密資料。 * Tails是live OS，跑在VM上會功能不全。 ## [PGP、OpenPGP、GnuPG的關係](https://www.ecnetworker.com/2019/08/26/pgp%EF%BC%8Copenpgp%E5%92%8Cgnupg%E5%8A%A0%E5%AF%86%E4%B9%8B%E9%96%93%E7%9A%84%E5%8D%80%E5%88%A5/) * 同樣都是使用成對的金鑰來保護明文，公鑰用於加密，相應的私鑰進行解密。 * PGP(Pretty Good Privacy)是專利品；OpenPGP是由IETF支援的PGP開放替代品；而GPG(GNU Privacy Guard)則是基於OpenPGP標準實作。 ### [GPG](https://blog.darkthread.net/blog/gpg-gen-key-n-encrypt/) GPG是開源的，建議使用GPG。 ### PGP > 參考：https://www.reddit.com/r/darknet/comments/104rouc/guide_how_to_create_and_use_a_pgp_key_encryption/ * 使用Kleopatra的PGP來加密、解密、驗證敏感訊息。 * PGP Keys是成對的，公鑰用來加密(任何寄件人可取得)，私鑰用來解密(只能收件人持有)。 #### 步驟： 1. 創建成對的PGP Keys  2. 進階設定  3. 點Notepad，輸入明文  4. 切到Recipients，Sign as寄件人的公鑰、Encrypt for others收件人的公鑰  5. Sign / Encrypt Notepad  6. Decrypt / Verify Notepad  7. 如果你沒有收件人的私鑰，就Decrypt失敗  ## 在真實生活實現OpSec 1. 閉緊嘴，即使很親近的朋友家人也不要透漏口風 2. 手機 * 安裝F-Droid，透過F-Droid安裝應用程式。 * 從F-Droid安裝Aurora Store，若F-Droid找不到你需要的應用程式，可匿名登入Aurora Store安裝。 * 用來聯繫朋友家人的應用程式 * [Signal](https://play.google.com/store/apps/details?id=org.thoughtcrime.securesms&hl=zh_TW) - [x] 可在一段短暫的時間(例如24小時)後自動銷毀訊息。 * [SimpleX Chat](https://f-droid.org/zh_Hant/packages/chat.simplex.app/) - [x] 可在一段短暫的時間(例如24小時)後自動銷毀訊息。 - [x] 可加密聊天內容匯出再匯入。 - [x] 可Self-Hosting - [x] 不需任何個人ID就能建立帳號，也能隨時開新帳號或刪帳號。 - [x] 兩層端對端加密做保護，另外支援Tor做proxy。 * [Session](https://f-droid.org/zh_Hant/packages/network.loki.messenger.fdroid/) - [x] 可在一段短暫的時間(例如24小時)後自動銷毀訊息。 - [x] 可加密聊天內容匯出再匯入。 - [x] 可Self-Hosting - [x] 不需任何個人ID就能建立帳號，也能隨時開新帳號或刪帳號。 - [x] 以Tor網路的三層relay做proxy。 * 關掉Google Cloud自動備份。 * 儲存相片、影片 * [Ente Photos](https://f-droid.org/zh_Hant/packages/io.ente.photos.fdroid/)-多因子驗證、端對端加密。 3. 電子郵件 :::danger .onion電子郵件供應商可能隨時消失，請不要將重要的帳戶綁定上述電子郵件，並記得備份。 ::: * 在Dread上找一個經過良好審查、允許Tor用戶使用，且以對政府要求不太配合而聞名的供應商。 * 不啟用JavaScript。 * 僅傳送或接收PGP加密過的信件。 * 因主旨未被加密，不要在主旨透漏敏感資訊。 * 採用[電子郵件別名](https://support.google.com/mail/answer/22370?ctx=gsidentifer&sjid=5808075349835642255-NC#zippy=%2C%E4%BD%BF%E7%94%A8%E6%82%A8%E7%9A%84-gmail-%E5%88%A5%E5%90%8D%E7%AF%A9%E9%81%B8%E9%83%B5%E4%BB%B6)，不要用真實電子郵件地址 4. 桌面聊天軟體 ([Pidgin+OTR plugin](https://pidgin.im/plugins/?publisher=all&query=&type=)) * 端對端加密(End-to-End Encryption)-訊息在發送者的設備上加密，並在接收者的設備上解密，中間的任何第三方（包括服務供應商）都無法讀取加密訊息。 * 完美前向保密(Perfect Forward Secrecy)-即使伺服器的私鑰在未來被洩露，也能保護過去的會話不被解密。 * 對方仍可偷偷存下談話紀錄，或對方電腦早已被入侵。 * 先用PGP加密一道預先設計好的問題與答案寄到對方信箱，在Pidgin點擊Unverified請對方回答，以防止與錯的人談話。 5. 瀏覽器 * [Mullvad Browser](https://mullvad.net/en/download/browser/windows)-最小化指紋追蹤的瀏覽器。 * 修改瀏覽器指紋-上[Am I Unique ?](https://amiunique.org/)，偵測自己的瀏覽器Similarity Ratio特別低的部分修改。 * 設定privacy.resistFingerprinting，可使用[arkenfox/user.js ](https://github.com/arkenfox/user.js)(Firefox的隱私設定模板)。  * 修改時區 6. 儲存空間加密 * 虛擬機器加密 * [LUKS加密硬碟分割區](https://dywang.csie.cyut.edu.tw/dywang/linuxsecurity/node59.html) * [VeraCrypt加密硬碟分割區](http://wiki.kmu.edu.tw/index.php/%E7%A1%AC%E7%A2%9F%E9%9A%A8%E8%BA%AB%E7%A2%9F%E5%8A%A0%E5%AF%86-VeraCrypt%E8%BB%9F%E9%AB%94%E6%95%99%E5%AD%B8) 8. 避免用非自由軟體(Proprietary Software) 9. 移除圖片軌跡 * 刪掉圖片的中繼資料(EXIF data) :::danger 不要使用線上EXIF工具，因為對方可能保留你的圖片。 ::: 相機或手機的資訊、GPS座標都會存在圖片裡，上傳前記得刪掉中繼資料。 * 採用可棄式相機或不要使用拍過生活照的相機。 * 裁剪掉圖片背景、增加噪點，使不會因追溯相機傳感器的特徵，進而辨識出與你用過的相機有一樣的特徵。 ## [額外補充] 暗網黑市(Darknet Market) ### 注意事項 - 自己加密訊息，不要讓市場代勞，因其可能保留你的訊息明文，再加密傳給賣家。 - 使用2FA(Factor Authentication)，每次登入市場時須用你的PGP公鑰解密。 - 不要告訴別人你的暗網活動。 - 在不同市場間，不要使用相同的username、password、PIN、PGP key-pair。 - 不要使用有能辨識你個人身份的username、password。 - 不要使用Privnote或是自毀訊息的服務，因為它會使用JavaScript。 - 如果賣家突然換PGP**密鑰**，而沒有用舊的PGP**密鑰**簽名，快逃吧。 - 把PGP公鑰版本移掉，不要透漏你正在使用的軟體版本。 - 不要使用Tor gateway，在到達Tor gateway之前，你的訊息是以明文在網路上的所有節點進行傳遞，包含登入身分及其他資料。 - 使用KeePassXC管理密碼。 ### 暗網上還會賣什麼東西? * 複製的信用卡：不會賣這個給你，賣家自己盜刷就好了。 * PayPal帳戶：信譽良好賣家都有帳戶買到幾分鐘之後被PayPal反詐系統鎖定的差評。 * 電子產品：所有暗網上的電子產品商店都是詐騙。 * 不使用託管服務(Escrow)、無法留評價的商店：貨品永遠不會寄給你。 * 假鈔：執法機構喜歡抓，而且無法一次性大量花掉。 ### 付款的方法 * 多重簽名(Multisig)：是一種數位簽章技術，它允許多個私鑰控制一個加密貨幣錢包，只有當達到預設數量的授權簽名時，才能執行交易。 * 第三方託管(Escrow)：買家將錢傳到市場控制的錢包，再取得貨品且無爭議後，告訴市場結算金額給賣家，壞處是市場可能捲款落跑。 * 提早結算(Finalize Early)：這是詐騙，你可能永遠拿不到貨。 ### 如何找到暗網網址 * 不要相信某人貼在論壇的網址或傳給你的訊息，那可能是在釣魚。 * 只找[DarkFail](https://dark.fail/)上的網址。 * 必須驗證暗網網址。 ### 如何驗證暗網網址(onion address) 用暗網持有人的PGP簽章驗證暗網鏡像站網址 * MarketOnionAddress.onion/mirrors.txt：會列出暗網的鏡像站網址  * MarketOnionAddress.onion/pgp.txt：會列出暗網持有人的PGP簽章  ### 步驟 1. 複製暗網持有人的PGP簽章為.asc檔，若有多位持有人，則存成多個.asc檔 舉例：Archetyp Support、YGW - Admin  2. 開啟Kleopatra，File->Import匯入所有暗網持有人的PGP簽章.asc   3. 將mirrors.txt貼到Notepad  4. Decrypt / Verify Notepad  ### 詐騙的型態 * 賣家花錢買假的正面評論、封鎖負面評論。 * 賣家發空箱給買家，追貨系統會顯示已送達，而買家無法拍照舉證，因為有可能是買家自己拿走貨品拍照空箱的。 * 賣家寄一封執法機構的警告信，而不發貨。 * 賣家不發貨而收到50-100%的金額。