# 8. 匿名上网的初级教程

# 1 账号管理

注册独立的网络帐号,不要使用 Sign in with Google/Facebook

# 1.1 电子邮箱

  • 使用独立的电子邮箱用于注册国外社交网站或网络论坛
  • 邮箱帐号中不包含姓名、生日等个人信息
  • 电子邮箱服务的选择
    • 推荐使用
      • 端对端加密的匿名电子邮箱(可保留电子邮箱帐号用于联络,大都不支持 Tor 下注册,需用三重代理)
      • Temp Email (opens new window) 等临时邮箱/一次性邮箱(不保留帐号,丢失密码后无法通过注册邮箱恢复帐号)
    • 可以使用
      • Gmail 等国外电子邮箱(相对安全,Tor 不友好,匿名强度低)
    • 不要使用
      • 163、qq 邮箱等中资电子邮箱(实名制,数据送中,全程监控)

# 1.2 手机号码

# 1.3 密码管理

参见 资安保护的一般性建议 - 密码管理

可配合使用 VeraCrypt 创建的虚拟加密盘保存密码/密码库

# 2 硬件隔离

  • 使用独立的、未安装中资软件的桌面级装置访问,尽可能使用虚拟机/Live USB 系统 如使用移动装置(不推荐)
  • 不要同时在该装置上安装使用微信等任何中资 App
  • 不要使用国产安卓 ROM
  • 如使用 iOS,应自始至终使用非中国区 Apple ID(不要在中国区与非中国区 Apple ID 之间相互切换,iCloud 云上贵州存在网络监控隐患)

# 3 使用 Tor Browser

  • 杜绝直连上网(指不使用任何代理,这样会暴露【公网 IP】,形同裸奔)
  • 养成使用 Tor 的习惯,全程使用 Tor Browser 上网
    • VPN 等单层代理非为匿名上网所设计,虽然好过直连,仍有可能被追溯
    • 对于对 Tor 不友好的网站(如弹出 reCAPTCHA 图形验证码、要求验证手机号、冻结帐号等),建议:
      • 尽可能使用其对 Tor 友好的替代品(比如用 DuckDuckGo 替换 Google)
      • 如果非用不可,可以使用【三重代理】
    • 建议使用 Tails 和 Whonix 等强制所有流量经过 Tor 的操作系统,以免操作不当造成 IP 泄漏

# 4 身份隔离

# 4.1 独立虚拟身份

注册 Twitter 等墙外社交媒体时建议使用全新的虚拟身份,与日常使用的社交/即时通讯平台使用的身份相隔离。

不要在墙外平台使用与墙内的微信、微博、贴吧、知乎等社交媒体平台相同的用户名、昵称、头像和签名。

不要将相同的联系方式,如墙内电子邮箱、即时通讯软件账号(微信、QQ、Telegram 等)以备注、个人资料或博文等形式公布同时公布在墙外和墙内社交平台上,以防中国政府部门或者居心不良之人通过墙外与墙内社交软件账号之间的关联,利用已经过【实名制认证】的墙内社交软件来确定用户的真实身份。

# 4.2 不自暴真实身份

  • 不要在墙外平台上发送可能泄露自己真实身份的信息,比如公开自己的姓名、生日、学号、学校、专业、工作地点、常住城市。
  • 不要发送以下照片
    • 露脸的自拍照
    • 可清楚看到指纹的照片
    • 带有易于判断具体位置的地标的照片
    • 未对姓名、ID、出发地、目的地、座位等关键信息作遮罩处理的火车票、高铁票、飞机票的照片
    • 未对卡号、安全码等关键信息作模糊处理的银行卡照片
    • 对个人信息作遮罩处理时建议使用色块遮盖,不建议使用马赛克工具模糊处理,后者有可能被算法还原(参见 Depix (opens new window) 项目)。(自动化检测/遮盖个人信息的 iOS app:DAMA (opens new window)(所有运算在本地进行,不会连网上传数据))
  • 发送自己拍摄照片前建议去除照片的 EXIF(Exchangeable image file format,可交换图像文件格式)信息,后者包含了照片的属性信息和拍摄数据,包括拍摄装置、拍摄时间和拍摄地点定位等信息。
  • 不要在社交网站分享你的定位(不论是你的居住地点、工作地点还是旅行时访问的地点)
  • 不要和墙外网友交换微信等墙内社媒/通讯软件帐号
  • 不要在墙外、墙内社媒平台上发送相同的内容
  • 不要将网易云音乐等墙内服务的超链接转发到 Twitter 等国外社交平台,因为有些分享链接中可能包含墙内平台用户的个人ID,网警因而可以借助实名制的墙内帐号顺藤摸瓜
  • 如果需要发表风险较高的言论,建议注册、使用该社交账号时全程使用虚拟机和 Proxy +Tor 双重代理
  • 不要在社交网站使用自己在墙内社交媒体或者另一社交网站的个性化习惯性用语
    • 如果不怕麻烦,可以将要发表的中文文字用翻译工具 A 译成英文,再用翻译工具 B 译回中文后发表
  • 推荐使用的在线协作工具

# 4.3 其他

  • 上线时间不固定
  • 建议只在【公共非睡眠时间段】(北京时间 20-22时)上线*
    为什么北京时间20-22点是最安全的? 理由见这里 https://be4.herokuapp.com/topic/207/
  • 不要进行【线上交易】,无论使用银行卡、第三方支付平台还是数字货币均存在泄露个人真实身份的风险。

参见:
NodeBE4|强烈推荐大家采用公共上线时段,避免时区泄漏 (opens new window) (2020-04-25)

# 5 纠错止损

如经自行检查发现有身份泄露的风险(比如用 +86 手机号绑定 Twitter),建议立即放弃当前帐号(删除旧账号发布的所有内容并注销账号),然后另行注册新账号。

不要通过修改用户名、昵称和头像等信息继续使用该账号,后续的修改是无济于事的。

附 Cryptoboy404 的匿名性强度检视列表
https://twitter.com/cryptobot404/status/1116757078222233600?s=12

硬度测试从第一条到最后一条,康康自己的twitter对于被出道有“多硬”?
1.没有绑定过实名制手机号码
2.没绑定过实名制邮箱
3.绑定手机&邮箱是这个ID下专用de,没有任何其他ID和这两个信息有关联
4.本ID以及头像没有和任何其他ID重复或相似
5.该ID及关联ID下没有任何一个壬知道咱的任何一个实名制账号
6.总是使用代理工具访问twitter
7.代理工具不会发生IP泄漏(WebRTC漏洞,非全局代理泄露等)
8.关于该ID下的所有IP地址没有登陆过其他ID下的账号,特备是实名制账号
9.推文中没有透露出真实的居住地址,活动范围,工作单位,以及从事之特殊小众行业
10.推文/视频/私信中没有暴露自己的长相,声音
11.推文/视频/私信中没有透露自己de任何证件/票据(车票,飞机票,船票,最近行程之事件地点,最近收发快递之详情)
12.该ID关联下所有IP地址皆为proxy over tor IP 13.对反钓鱼,反社工有一定的了解 14.所有推文内容没有和其他实名制身份有任何交叉
15.设备没有系统后门及恶意软件
16.从不使用手机登陆该ID下所有账号
17.使用虚拟机操作该账号
18.从未透露自己某时间段再某地点身在某人群中(如:几时几刻,真实IP访问过某连接,某天某地曾参与过某群体性时间,某时乘坐某个航班去往哪里等)
19.从不接受汇款
20.上线时间并不规律

参见:
编程随想的博客|为啥朝廷总抓不到俺——十年反党活动的安全经验汇总 (opens new window) (2019-01-30)
编程随想的博客 “如何隐藏你的踪迹,避免跨省追捕”系列博文 (opens new window)
NodeBE4|反社工网络论坛行为纪律 (opens new window)
The Hitchhiker’s Guide to Online Anonymity (opens new window)

RFA | 大陆掀起“推特强拆”风暴 数百推友被删号 (opens new window)(2018-12-12)
纽约时报中文网 | 网络审查再升级:中国推特用户遭政府盘查或拘留 (opens new window)(2019-01-11)