# 8. 匿名上網的初級教程

# 1 賬號管理

註冊獨立的網絡帳號,不要使用 Sign in with Google/Facebook

# 1.1 電子郵箱

  • 使用獨立的電子郵箱用于註冊國外社交網站或網絡論壇
  • 郵箱帳號中不包含姓名、生日等個人信息
  • 電子郵箱服務的選擇
    • 推薦使用
      • 端對端加密的匿名電子郵箱(可保留電子郵箱帳號用於聯絡,大都不支援 Tor 下註冊,需用三重代理)
      • Temp Email (opens new window) 等臨時郵箱/一次性郵箱(不保留帳號,丟失密碼後無法通過註冊郵箱恢復帳號)
    • 可以使用
      • Gmail 等國外電子郵箱(相對安全,Tor 不友好,匿名強度低)
    • 不要使用
      • 163、qq 郵箱等中資電子郵箱(實名制,數據送中,全程監控)

# 1.2 手機號碼

# 1.3 密碼管理

參見 資安保護的一般性建議 - 密碼管理

可配合使用 VeraCrypt 創建的虛擬加密盤保存密碼/密碼庫

# 2 硬件隔離

  • 使用獨立的、未安裝中資軟體的桌面級裝置訪問,盡可能使用虛擬機/Live USB 系統 如使用移動裝置(不推薦)
  • 不要同時在該裝置上安裝使用微信等任何中資 App
  • 不要使用國產安卓 ROM
  • 如使用 iOS,應自始至終使用非中國區 Apple ID(不要在中國區與非中國區 Apple ID 之間相互切換,iCloud 雲上貴州存在網絡監控隱患)

# 3 使用 Tor Browser

  • 杜絕直連上網(指不使用任何代理,這樣會暴露【公網 IP】,形同裸奔)
  • 養成使用 Tor 的習慣,全程使用 Tor Browser 上網
    • VPN 等單層代理非為匿名上網所設計,雖然好過直連,仍有可能被追溯
    • 對於對 Tor 不友好的網站(如彈出 reCAPTCHA 圖形驗證碼、要求驗證手機號、凍結帳號等),建議:
      • 盡可能使用其對 Tor 友好的替代品(比如用 DuckDuckGo 替換 Google)
      • 如果非用不可,可以使用【三重代理】
    • 建議使用 Tails 和 Whonix 等強制所有流量經過 Tor 的作業系統,以免操作不當造成 IP 洩漏

# 4 身份隔離

# 4.1 獨立虛擬身份

註冊 Twitter 等牆外社交媒體時建議使用全新的虛擬身份,與日常使用的社交/即時通訊平台使用的身份相隔離。

不要在牆外平台使用與牆內的微信、微博、貼吧、知乎等社交媒體平台相同的用戶名、暱稱、頭像和簽名。

不要將相同的聯繫方式,如牆內電子郵箱、即時通訊軟體賬號(微信、QQ、Telegram 等)以備注、個人資料或博文等形式公佈同時公佈在牆外和牆內社交平台上,以防中國政府部門或者居心不良之人通過牆外與牆內社交軟體賬號之間的關聯,利用已經過【實名制認證】的牆內社交軟體來確定用家的真實身份。

# 4.2 不自暴真實身份

  • 不要在牆外平台上發送可能洩露自己真實身份的信息,比如公開自己的姓名、生日、學號、學校、專業、工作地點、常住城市。
  • 不要發送以下照片
    • 露臉的自拍照
    • 可清楚看到指紋的照片
    • 帶有易於判斷具體位置的地標的照片
    • 未對姓名、ID、出發地、目的地、座位等關鍵信息作遮罩处理的火車票、高鐵票、飛機票的照片
    • 未對卡號、安全碼等關鍵信息作模糊处理的銀行卡照片
    • 對個人信息作遮罩處理時建議使用色塊遮蓋,不建議使用馬賽克工具模糊處理,後者有可能被算法還原(參見 Depix (opens new window) 項目)。(自動化檢測/遮蓋個人信息的 iOS app:DAMA (opens new window)(所有運算在本地進行,不會連網上傳數據))
  • 發送自己拍攝照片前建議去除照片的 EXIF(Exchangeable image file format,可交換圖像文件格式)信息,後者包含了照片的屬性信息和拍攝數據,包括拍攝裝置、拍攝時間和拍攝地點定位等信息。
  • 不要在社交网站分享你的定位(不論是你的居住地點、工作地點還是旅行時訪問的地點)
  • 不要和牆外網友交換微信等牆內社媒/通訊軟體帳號
  • 不要在牆外、牆內社媒平台上發送相同的內容
  • 不要將網易雲音樂等牆內服務的超鏈接轉發到 Twitter 等国外社交平台,因為有些分享鏈接中可能包含牆內平台用家的個人ID,網警因而可以借助實名制的牆內帳號順藤摸瓜
  • 如果需要發表風險較高的言論,建議註冊、使用該社交賬號時全程使用虛擬機和 Proxy +Tor 雙重代理
  • 不要在社交网站使用自己在牆內社交媒體或者另一社交网站的個性化習慣性用語
    • 如果不怕麻煩,可以將要發表的中文文字用翻譯工具 A 譯成英文,再用翻譯工具 B 譯回中文後發表
  • 推薦使用的在線協作工具

# 4.3 其他

  • 上線時間不固定
  • 建議只在【公共非睡眠時間段】(北京時間 20-22時)上線*
    为什么北京时间20-22点是最安全的? 理由见这里 https://be4.herokuapp.com/topic/207/
  • 不要進行【線上交易】,無論使用銀行卡、第三方支付平台還是數字貨幣均存在洩露個人真實身份的風險。

參見:
NodeBE4|强烈推荐大家采用公共上线时段,避免时区泄漏 (opens new window) (2020-04-25)

# 5 糾錯止損

如經自行檢查發現有身份洩露的風險(比如用 +86 手機號綁定 Twitter),建議立即放棄當前帳號(刪除舊賬號發佈的所有內容並註銷賬號),然後另行註冊新賬號。

不要通過修改用家名、暱稱和頭像等信息繼續使用該賬號,後續的修改是無濟於事的。

附 Cryptoboy404 的匿名性強度檢視列表
https://twitter.com/cryptobot404/status/1116757078222233600?s=12

硬度測試從第一條到最後一條,康康自己的twitter對於被出道有「多硬」?
1.沒有綁定過實名制手機號碼
2.沒綁定過實名制郵箱
3.綁定手機&郵箱是這個ID下專用de,沒有任何其他ID和這兩個信息有關聯
4.本ID以及頭像沒有和任何其他ID重復或相似
5.該ID及關聯ID下沒有任何一個壬知道咱的任何一個實名制賬號
6.總是使用代理工具訪問twitter
7.代理工具不會發生IP洩漏(WebRTC漏洞,非全局代理洩露等)
8.關於該ID下的所有IP地址沒有登陸過其他ID下的賬號,特備是實名制賬號
9.推文中沒有透露出真實的居住地址,活動範圍,工作單位,以及從事之特殊小眾行業
10.推文/視頻/私信中沒有暴露自己的長相,聲音
11.推文/視頻/私信中沒有透露自己de任何證件/票據(車票,飛機票,船票,最近行程之事件地點,最近收發快遞之詳情)
12.該ID關聯下所有IP地址皆為proxy over tor IP 13.對反釣魚,反社工有一定的瞭解 14.所有推文內容沒有和其他實名制身份有任何交叉
15.作業系統沒有系統後門及惡意軟體
16.從不使用手機登陸該ID下所有賬號
17.使用虛擬機操作該賬號
18.從未透露自己某時間段再某地點身在某人群中(如:幾時幾刻,真實IP訪問過某連接,某天某地曾參與過某群體性時間,某時乘坐某個航班去往哪裡等)
19.從不接受匯款
20.上線時間並不規律

參見:
編程隨想的博客|為啥朝廷總抓不到俺——十年反黨活動的安全經驗匯總 (opens new window) (2019-01-30)
編程隨想的博客 「如何隱藏你的蹤跡,避免跨省追捕」系列博文 (opens new window)
NodeBE4|反社工網絡論壇行為紀律 (opens new window)
The Hitchhiker’s Guide to Online Anonymity (opens new window)

RFA | 大陸掀起「推特強拆」風暴 數百推友被刪號 (opens new window)(2018-12-12)
紐約時報中文網 | 網絡審查再升級:中國推特用家遭政府盤查或拘留 (opens new window)(2019-01-11)