Vodio sam neke prepiske zadnjih dana, a gledam i ovu aferu s Plivom, Kamenom Ingrad ili stavi_ovdje_aferu_po_mjeri pa si nekako mislim da na različitim razinama vlasti (ali i gospodarstva) sigurno postoje ljudi koji su nijemi svjedoci različitih malverzacija i kriminalnih djelatnosti, no iz različitih razloga ne mogu puno učiniti na tu temu.
Uzmimo primjer (u cijelosti izmišljene) Petre koja radi kao asistent knjigovodstva u nekom od vladinih ureda. Knjižeći tamo razne izgubljene račune, uviđa kako zamjenik ministra kanalizira nešto novaca sa strane, te odluči učiniti nešto po tom pitanju. Idealno bi bilo javiti se ministru, no nije realno da kao niži činovnik uopće može dobiti termin, a kakva su vremena može izgubiti i posao budući da ova dvojca su u stvari u zajedničkom poduhvatu. Kontaktirajući nekog od novinara koje poznaje, ovaj joj kaže kako ne može objaviti vijest samo na temelju pojedinačne informacije nego su mu potrebni i neki dokumenti i puno više provjerljivih podataka.
Naša idealizirana Petra tako otvara svoj blog, no želi biti sigurna da joj nitko ne može ući u trag, pa stoga blogira anonimno koristeći izmišljeni nadimak ili alias.
Postoje dva osnovna načina kako se blogera može uhvatiti. Prvi način je da u samom sadržaju svog bloga objavite podatke ili okolnosti koje bi suzile moguće izvore informacija te vas na taj način identificirati. Recimo, izuzetno bi glupo bilo napisati kako je “zamjenik ministra donio taj_i_taj račun na moj stol s očigledno krivotvorenim odobrenjem tajnika, te je inzistirao na hitro(tm) plaćanju”. Na ovaj način nije osobito teško zaključiti, čak i korumpiranom djelatniku javne uprave o kome se radi.
Druga metoda je da netko iz informatike ministarstva, analizirajući promet koji se događa na mreži vrlo jednostavno utvrdi koja računala su pristupala kojem blog servisu. Prilikom komunikacije na internetu računala koja međusobno komuniciraju ostavljaju iza sebe trag u vidu log dokumenta. Znajući IP adresu javnog blog servisa nije teško iz desetina tisuća zapisa pronaći samo one koji se odnose na komunikaciju između inkriminirajućeg bloga i vrlo konkretnog računala smještenog u računovodstvu ministarstva.
Postoji mnogo načina kroz koje Petra može postati i ostati anonimna na internetu, no prije nego što odaberemo određenu metodu potrebno je odlučiti koliko smo paranoični kako bi izabrali primjereni način zaštite, osobito stoga što pojedine metode zaštite uključuju poprilično znanje tehnologije i računala.
Korak 1 – Pseudonimi
Najjednostavniji način da Petra zaštiti svoj identitet je kreiranjem izmišljenog nadimka/pseudunima/aliasa. Kreiranje besplatnog email računa na nekom od servisa (hotmail, yahoo, hushmail, gmail iako dobar nije idealan jer uvijek postoji neki trag kroz pozivnice za otvaranje email računa) je prvi korak ka anonimnosti, a potom se može lagano kreirati blog račun na nekom od besplatnih blog servisa. Iako postoji nekolicina domaćih blog servisa, možda je bolje odabrati blog servis u nekoj dalekoj i vrlo demokratskoj ili ne baš dobro povezanoj zemlji kako bi onemogućili ili barem značajno otežali pristup blogu od strane domaćeg korumpiranog sudstva, policije i/ili obavještajne zajednice. Ne koristite plaćene servise jer ćete ih u pravilu platiti kreditnom karticom, a trag novca je najlakše pratiti. Dobre adrese za tako nešto su: blogsome, blogger ili wordpress.
Korak 2 – Javna računala
Drugi korak u zaštiti identiteta je korištenje javnih računala. Kada bi Petra za svoje pisanje koristila računalo u uredu ili ono kod kuće, nepotrebno bi olakšala organima reda pri identifikaciji. Puno je mudrije koristiti neko od javnih računala na mjestima gdje ih koristi velika količina ljudi. Primjer jedne takve lokacije bi bio internet caffe (u Zagrebu bi to mogao biti Profil MegaStore, Charlie), javne knjižnice ili fakulteti koji nerijetko u svojim predvorjima imaju računala povezana na internet. Ako odlučite objaviti neki dokument (word, excel ili slično) pripazite; naime većina dokumenata ima ili u svojem headeru ili u samom dokumentu oznake tko ga je kreirao i/ili editirao; proučite kako možete maknuti te identifikatore – bilo bi jako nezgodno da objavite dokument, a u document_properties piše da je PDF napravljen na vašem računalu.
Korak 3 – Anonimna proxy računala
Naravno, nije uvijek zgodno hodati po internet kafićima, a može biti da postanete i “sumnjivi”. Petra je stoga odlučila koristiti anonimne proxye. Anonimno proxy računalo se nalazi negdje na internetu i služi kao ograda između vašeg računala i računala kojime želite komunicirati. Iako se računala međusobno razgovaraju, ne postoji direktni trag komunikacije. Mnogobrojna anonimna proxy računala stvorena su upravo zato kako bi omogućila ljudima koji se nalaze u državama s represivnim režimima da slobodno surfaju internetom. Najjednostavniji način da potražite anonimno proxy računalo je da pretražite google za termin “proxy server“; tu lagano možete pronaći ne samo adrese proxy računala nego i kako svoje računalo konfigurirati da ga koristi; dobro je mijenjati proxy računala s vremena na vrijeme, a osim toga proxy računala zbog svoje poluilegalne naravi rijetko ostaju predugo na internetu. Petrin problem je u tome što jednako paranoični pomoćnik ministra u kombinaciji s računalnim guruom može pronaći računala unutar ministarstva koja koriste proxy-e (a ako želite uploadati neki dokument na internet to ćete najvjerojatnije učiniti upravo iz ureda).
Korak 4 – Anonimna proxy računala, dio drugi
Ako vam se gornji scenariji čine kompliciranima tek sada krećemo u tehničke vode. Slijedeći korak je kreirati svoj privatni proxy za kojega nitko na ovoj planeti ne zna. Petra ima prijatelja u primjerice Nizozemskoj te će ga zamoliti da instalira softver koji se zove Circumventor s peacefire.org. Ovo je iznimno komplicirano za instalirati, no ako se uspije, Petrin kolega će joj dojaviti URL na koji treba uputiti svoj browser (bez potrebe da konfigurira proxy server); ovaj URL je moguće koristiti i kod kuće, i u uredu ili bilo gdje. Web site slične funkcionalnosti je stupidcensorship.com, no već i samo ime domene će privući neželjenu pažnju administratora.
Korak 5 – Za doista paranoidne
Petri se naravno ništa od ovoga nije dopalo i odlučila je pronaći ultimate rješenje koje se nalazi down_under u zemlji u kojoj je donedavno živio Steve Irwin i koji su napravili blog za svu paranoičnu i šizofreničnu klijentelu. Da bi mogli objavljivati sadržaje na njihovom Invisiblogu, potrebno je koristiti i MixMaster te GPG (GNU implementaciju PGP protokola za kriptiranje podataka). MixMaster je sustav koji uključuje između 2 i 20 anonimnih remailera. ReMailer je mail server na internetu koji zaprima email poruku, skine iz nje sve podatke koji bi Petru mogli jednoznačno identificirati te je pošalje slijedećem remaileru. Prednost ovog sustava je u tome što čak i ako je jedan ili više servera kompromitiran (to znači da bilježi od kuda je email stigao i kuda je otišao) poruci je i dalje vrlo teško ući u trag budući da se radi o desecima servera u različitim zemljama i kontinentima, a postoje trenuci kada će i najupornije vlade i obavještajne službe morati podvući crtu. Da bi mogli koristiti GPG morate ga sami iskompajlirati i Petra je u proučavanju kako napisati anonimni blog naučila o open sourceu puno više nego što je možda htjela, tako da se igrom slučaja otvorio i sasvim novi horizont u profesionalnom životu.
UPDATE: Korak 6 – Torpark
Na adresi Torparka možete downloadati, vidi koincidencije, Torpark. Torpark je visoko modificirana verzija Firefoxa koja ne zahtjeva nikakvu instalaciju, može se pokrenuti s USB memorije, a ne zapisuje nikakve aktivnosti (dakle nema cache-a, log dokumenata, document history-a), a kao dodani bonus, Torpark između vašeg računala i TOR exit računala kreira kriptirani tunel tako da je vaše surfanje totalno anonimno.
Koliko je anonimnosti dovoljno?
Teško je to reći i morate odlučiti sami. Za mnoge slučajeve u kojima nije realno očekivanje uključivanja represivnog aparata blog pod pseudonimom i upotreba javnog računala bi trebali biti više nego dovoljni. Korištenje anonimnog proxy-a je poprilično jednostavno i prilično sigurno osobito ako mijenjate proxy redovito. Korištenje circumventora ili web stranica sa sličnom funkcijom je vrlo efikasna metoda zatiranja tragova, dok je posljednja metoda iako najefikasnija i najsigurnija opasna po tome što rijetko tko koristi kriptiranje podataka, a teško ćete (suvislo) objasniti i pravu malu GNU radionicu te posjedovanje PGP ključeva (činjenica je kako nitko neće moći dokazati što ste poslali i gdje, no sigurno je da će moći dokazati da ste poslali nešto). Dodatnih materijala na ovu temu možete lagano pronaći na internetu, a preporučio bih EFFov Kako blogirati sigurno čija je misija zaštita privatnosti i sigurnosti na internetu.
Misao dana:
When the Nazis came for the communists,
I remained silent;
I was not a communist.When they locked up the social democrats,
I remained silent;
I was not a social democrat.When they came for the trade unionists,
I did not speak out;
I was not a trade unionist.When they came for me,
there was no one left to speak out.
4 replies on “Vodič za anonimne blogere”
Odlican post,
obozavam tvoje izmisljene karaktere, tako je lako vizualizirati nekoga medju nama, ta tone ih citaju dnevne listove i uzdisu zbog svoje “nemoci”.
Sto se tice anonimnog postanja – vrlo solidan naputak za sve zeljne pustolovine. Osobno nisam neki paranoican lik i rado otkrivam svoj identitet, iza svojih rijeci i inace stojim. No potreba za anonimnoscu stoji – narocito na netu.
Mnoge su se dobre i uzbudljive stvari dogodile upravo tim mogucnostima anonimnih aktivnosti na netu.
Pitanje je samo do kada ce ta anonimnost ostati upotrebljiva i/ili izvediva.
Treba imati na umu da je još davno jedan održavatelj anonimnog remailera iz Finske morao predati svoje logove zbog tužbe iz SAD-a. Radilo se o scientološkoj crkvi. Tako da nisu ni oni potpuno sigurni. Uostalom, kad bih ja bio megatajna služba, vrtio bih i poneki anonimni remailer ;)
U tvoje savjete se može dodati i fora s laptopom i vožnjom autom po gradu, nezaštićenih WLAN-ova ima koliko hoćeš.
Kako očuvati blog anonimnost? i odličan PDF uputstvo Guide for bloggers and cyberdissidents
Zar se i u web cafeima korisnici ne moraju autenticirati, pogotovo s ovim našim (novijim) zakonima?