Anonimato

Una volta collegati ad Anonet, solo i vostri peer conoscono il vostro indirizzo IP (di Internet) e quindi siete al sicuro. Giusto?

Non proprio. Anonet è in grado di difendervi da diversi tipi di attacco ma non può difendervi da voi stessi. Ci sono alcuni comportamenti che possono mettere a rischio l’anonimato vostro e dei vostri peer e che quindi vanno assolutamente evitati. Li elenchiamo brevemente qui di seguito.

Non parlate di voi stessi. Dovrebbe essere una cautela ovvia ma può succedere facilmente di dimenticarsene. Soprattutto, non entrate mai in una chat room dicendo “Salve ragazzi, sono arrivato qui da Torino, Italia, perchè ho letto di Anonet sul sito http://anonet.it/” .Sarebbe come dire al mondo intero: “ Fino ad un momento fa ero il pirla tal dei tali ed ero collegato all’IP di http://anonet.it/ ed adesso sono qui…”

Configurate correttamente il vostro Client IRC. I programmi di chatting e di instant messagging possono tenere traccia di alcuni vostri dati anagrafici (nome e cognome) e renderli visibili ai vostri interlocutori. Lo stesso vale per i documenti creati con molti wordprocessor. Abbiate l’accortezza di rimuovere queste informazioni prima di collegarvi ad un server IRC e prima di inviare documenti in giro.

Fate attenzione a cosa incollate nel client IRC. Fate una prova su un editor di testo prima di fare Cut&Paste di qualunque cosa nel client IRC. Potreste inviare involontariamente dei dati che permettono di identificarvi.

Parlate solo in inglese. Ovviamente, se vi mettete a scrivere in italiano dentro una chat room, restano pochi dubbi sulla vostra localizzazione geografica e/o sulla vostra nazionalità.

Usate un “time zone” generica (Greenwich). Se lasciate il vostro sistema settato sull’ora di Roma…

Usate sempre TOR e Privoxy, sia dentro che fuori Anonet. Ammettiamo per un attimo che, navigando dentro Anonet, troviate un link ad un sito web che si trova su Internet. Vi collegate a questo sito e – voilà – il proprietario del sito registra il vostro IP su Internet. A questo punto, può confrontare questo dato con l’IP di Anonet con cui vi siete collegati all’altro suo sito dentro Anonet ed il vostro anonimato è andato a farsi fottere. Dovete sforzarvi di restare anonimi anche al di là di quello che può fornirvi Anonet.

Usate delle sottoreti diverse per ogni attività. Su Anonet potete registrare tutte le sottoreti (i blocchi di indirizzi IP) che volete. Registratene una per ogni vostra diversa attività, ad esempio una per navigare e l’altra per essporre il vostro sito web, e usatele. In questo modo diventa quasi impossibile mettere in correlazione la vostra identità di navigatore con quella di blogger.

Usate canali sicuri per scambiare informazioni con i vostri peer. IRC e Jabber non sono sicuri. Usate un messaggio di posta elettronica cifrato (Thunderbird con Enigmail) o spedite file cifrati in precedenza con GPG sulla vostra macchina.

Tenete al sicuro i vostri file di configurazione. Su Linux, li potete piazzare su una partizione cifrata con cryptoloop o con qualcosa di simile.

Configurate in modo adeguato il firewall. Se non sapete come fare, probabilmente potete usare questo script:

#!/bin/bash
# By Arctic.
# I'm not an iptables guru (yet) so send any complaints to me on IRC.

echo "Firewalling..."

iptables -F                                                # Clear the tables
iptables -F -t nat                                         # Clear the tables
iptables -X                                                # Clear the tables
iptables -P INPUT DROP                                     # Default policies
iptables -P OUTPUT ACCEPT                                  # Default policies
iptables -P FORWARD DROP                                   # Default policies
iptables -A INPUT -p icmp         --icmp-type 0 -j ACCEPT  # Accept ping replies
iptables -A INPUT -p icmp -i tap+ --icmp-type 8 -j ACCEPT  # Accept ping requests on taps
iptables -A INPUT -p icmp         --icmp-type 3 -j ACCEPT  # Accept Dest-Unreachable (Traceroute)
iptables -A INPUT -p icmp         --icmp-type 11 -j ACCEPT # Accept Time-Exceeded (Sometimes traceroute)
iptables -A INPUT -i lo -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT  # Accept all loopback stuff
iptables -A INPUT -i +  -m state --state ESTABLISHED,RELATED -j ACCEPT      # Accept reply packets

iptables -A FORWARD -i tap+ -d 1.0.0.0/8 -j ACCEPT
iptables -A INPUT -i tap+ -d 224.0.0.5 -j ACCEPT            # You need this for OSPF to work
iptables -A INPUT -i tap+ -d 224.0.0.6 -j ACCEPT            # You need this for OSPF to work
iptables -A INPUT -i + -m state --state NEW -j DROP         # Just to make sure
iptables -A INPUT -i + -m state --state INVALID -j DROP     # Just to make sure

echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all          # Ignore Pings
echo "1" > /proc/sys/net/ipv4/ip_forward                    # Forward Traffic
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts   # Ignore broadcast pings (good)
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route  # You may want to turn this on if you're a router
echo "0" > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "0" > /proc/sys/net/ipv4/conf/all/secure_redirects
echo "0" > /proc/sys/net/ipv4/conf/all/rp_filter            # if you are a router; not to be used
                                                            # in general (has security implications).      
                                                            # See rfc1812, 5.3.8
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
echo "1" > /proc/sys/net/ipv4/tcp_syncookies                # Nice new anti-DoS feature

echo "Firewalled"

Attenzione ai file di log di openVPN e di Quagga. Possono contenere informazioni sensibili. Settate la “verbosità” a zero (verb 0) o crittografate i file.

Studiatevi OpenVPN. OpenVPN è il vostro principale meccanismo di protezione. Non usatelo alla cieca. Cercate di capire come funziona e come funzionano le varie opzioni di cifra.

Annunci

~ di anonetitalia su 1 aprile 2009.

 
%d blogger hanno fatto clic su Mi Piace per questo: