SavePearlHarbor

Что такое OpSec, если углубится

от автора

admin

Для пользователей, которые читают это на Хабре

Это небольшой справочник по базе для тех, кто только заходит в интернет. На Хабре он лежит для того, что бы услышать мнение и дополнять этот справочник по мере нахождения проблем. Он лежит и на других платформах, но тут я прошу дополнять и давать советы.

Сам справочник был сделан @jsAnotherSec(Телеграм: @jsAnotherPlayer) для бесплатного прочтения. Если вы заметили его в платном доступе, прошу сообщить.

Что такое OpSec?

OpSec (Операционная Безопасность) — способ скрыть важную пользователю информацию в сети для избежания утечек или взлома аккаунтов.

Сам по себе OpSec не является чем то сложным. Соблюдать базу операционной безопасности может абсолютно каждый, достаточно простых знаний того, как работает компьютер или другая электроника.

Для кого нужен OpSec?

В основе своей, операционная безопасность нужна в какой-то мере для всех. Было много случаев, когда из-за отсутствия каких-либо знаний о безопасности в интернете, проводились взломы. Самый значительный пример: «Прослушано через MediaGet», подробнее про этот взлом можно посмотреть в видео Андрея Мурашкина.

Так же операционная безопасность в огромной мере нужна для черных и серых хакеров, журналистов, медийных личностей, звезд.

База OpSec-а

Самое главное в операционной безопасности, чему подвергают себя многие даже не подозревая, это скачивания пиратского софта. Большинство из них содержат вирусы, которые даже можно не заметить.

Что делать, если нет денег на какие либо продукты?
Тут есть выход, но нужно придерживаться правилам:

  • Проверка источников, откуда хочешь скачать файл.

  • Проверить через какой либо антивирус или VirusTotal. Если после этого, у тебя остаются сомнения в программе, можно воспользоваться AnyRun. Это бесплатный и очень полезный инструмент для проверки того, что запускает программа внутри пк и проверить ее работоспособность. После запуска, можно будет посмотреть полные логи активности, визуализацию всех запущенных программой процессов.

Соц. сети, это самое открытое место для удара по вам. Если вы, хотите создать вторую личность для веб‑серфинга, я советую создавать полностью новый аккаунт с другими данными, электронной почтой, паролем, описанием.

Избегайте совпадения имени пользователя на каждом сайте. Есть много утилит, которые проверяют 150+ сайтов на наличие такого никнейма.

Мифы про OpSec

Мифов про безопасность в интернете много, самый главный из них, что в интернете можно оставаться анонимным. Краткий ответ — нет, ведь все что утекает в интернет (не важно, было это сделано вчера или даже лет 10 назад) остается там навсегда.

Сейчас разберу все относительно популярные мифы.

VPN — гарант безопасности

VPN сервисы и правда могут помочь скрыть от провайдера какую либо информацию, но не стоит забывать про то, что и сервисы могут сохранять логи (в особенности бесплатные). В мире не много VPN, которые предоставляют полную безопасность. О достойных сервисах речь будет идти чуть позже.

Tor/I2P гарантируют полную безопасность в открытии ссылок

Это отчасти правда, но есть нюансы (я в дальнейшем буду говорить только про Tor, ведь система с I2P у них похожа, да и им пользуется большая часть людей, которые что-то знают про даркнет): при входе в Tor провайдер и правда видит зашифрованный https трафик, но не стоит забывать про то, что веб торрент клиенты деанонимизируют тебя, они используют UDP трафик, когда Tor защищает TCP

Так же не стоит забывать про то, что те же ссылки (что в лайтнете, что в даркнете) имеют свои порты, которые могут контролироваться правительством.

Telegram/Discord — самые безопасные мессенджеры для повседневной работы

И как бы да, это действительно так. Для многих обычных пользователей, которые хотят и придерживаются базы безопасности, они и правда самые лучшие мессенджеры, но для полной безопасности в них, нужна правильная настройка и 10–15 минут свободного времени.

Мобильный интернет невозможно перехватить

Возможно. Делается это намного сложнее чем вай‑фай точки, но трафик мобильного интернета спокойно можно перехватит через уязвимости, как пример — Man‑in‑the‑Middle.

1. Софт для безопасного серфинга

Это будет блок для полезных утилит, системных настроек, конфигов и в общем достаточно обьемный технический блок про то, как работают сервера, как сохраняются данные, каким образом работает трафик в приложениях, как его ограничить и подобное.

Приложения и советы для телефона

Так как у многих действительно нет ПК, да и те, у кого есть ПК часто пользуются телефоном, я хотел бы начать с полезных советов и утилит для телефона.

Браузеры и поисковые системы

Для начала определитесь, для чего вам нужен браузер. Если вы собираетесь создавать вторую личность, я могу посоветовать использовать два браузера, один для основной работы в сети, второй для своего второго лица.

Самое основное, это какой браузер выбрать?
Для начала, я распишу браузеры, которые лучше никогда не использовать:

  • Google Chrome — слизанный Chromium с закрытым кодом, привязкой к Google сервисам, телеметрией и кучей ИИ мусора.

  • Microsoft Edge — такой же Chromium заточенный под взаимодействие с Copilot, телеметрией в нем, закрытым кодом, ИИ мусор в каждом углу, привязка к аккаунту Microsoft

  • Arc Browser — мне кажется, тут хватит даже того, что в нем обязательно регистрироваться. Я уже не говорю о том, что это просто Zen Browser с закрытым кодом, телеметрией и кучей и кучей ИИ мусора без нормальной производительности и в общем отсутствие какой либо приватности.

    У этих браузеров нет никакой связи с анонимностью или хотя бы личной приватностью. Единственный плюс который я вижу в первых двух, это то, что в условии пользования они уточнают, что собирают данные о пользователях для оптимизации программ под ПК, но для чего они используют информацию на самом деле, никто и никогда не узнает.

Что же тогда стоит использовать?
Я советую использовать только браузеры с открытым кодом. Самые хорошие браузеры в соотношении скорость/приватность:

  • Firefox — имеет открытый код, хорошую обратную совместимость с сайтами и расширениями, богатый магазин тех самых расширений.

  • Helium — относительно новый браузер, который сделан для тех, кто предпочитает приватность, но не может отказаться от интерфейса Chrome‑а. Поддержка всех ПК расширений на телефоне, большое кол‑во настроек под свой вкус, минималистичный, без привязки к каким либо аккаунтам.

  • Brave — браузер заточенный под безопасность в ее лучшем качестве. Имеет поддержку расширений на телефоне, много настроек для конфиденциальности и анонимности, кастомизация, работает на движке Chromium.

    Каждый из них есть на GitHub‑е, каждый может зайти и убедится в том, что они безопасны.

VPN сервисы

Я бы не советовал использовать бесплатные VPN сервисы. Каждый из них не имеет гарантии в удалении/отсутствии логов при активности пользователя.

Можно использовать бесплатные VPN клиенты, такие как:

  • Shadowsocks — клиент для подключения ss://… VPN ключей с открытым исходным кодом и минимальной нагрузкой в виде легкого интерфейса.

  • INCY — VPN клиент с открытым кодом, удобным менеджером VPN серверов и возможностью добавить провайдера (например Outline). Имеет совместимость с VLESS, Shadowsocks, Trojan, SOCKS5 ключами и имеет маршрутизацию по приложениям.

  • v2rayNG — универсальный клиент для многих протоколов. Как раз ему на замену и пришел INCY, ведь сама по себе линейка v2ray уже достаточно старая.

    Все приложения выше — не являются VPN самим по себе, они лишь клиенты, которые дают возможность подключаться к VPN ключам. Они не предоставляют VPN функции и являются полностью бесплатными.

Откуда брать ключи

Для покупки VLESS/Shadowsocks ключей, можно использовать:

  • HideMy.name — сервис, продающий ключи с протоколами VLESS/Shadowsocks. Имеют свой протокол обфускации «Хамелеон», маскирующий трафик. Сервис хороший для покупки таких ключей, но лучше использовать свой VPS сервер, например Outline.

Готовые и безопасные VPN сервисы

В данном списке не будет бесплатных VPN, у каждого такого сервиса почти нет гарантии полной безопасности, могу лишь упомянуть Proton VPN, он бесплатный, но он как зависимый софт со своей экосистемой, зависим от Швейцарского суда и действует по его законам, что дает ему возможность сохранять логи и применять их против пользователей в случае проблем.

Безопасные, независимые и проверенные VPN сервисы:

  • Mullvad VPN (~$5 в месяц) — относительно дешевый VPN сервис с полной гарантией анонимности. Не хранит логи и имеет открытый код.

  • iVPN (стандартный VPN прайс с поддержкой 5 устройств ~$6 в месяц) — сервис, который находится на рынке с 2009 года, имеет открытый код, гарантии безопасности и отсутствия логов. Все сервисы имеют репутацию в определенном круге лиц.

Сеть в приложениях на телефоне

Ограничить приложение от сети (например с одного взгляда не имеющее доступ приложение, но перестраховаться надо) можно с помощью этих програм:

  • RethinkDNS — бесплатное приложение с множеством функций и интересных фишек. Например брандмауэр и возможность подключения WireGuard конфигов.

  • NetGuard — простое приложение для простого ограничения доступа к интернету для приложений.

    У всех сервисов так же открытый код. Так же хочу упомянуть Hail, приложение для заморозки не используемых приложений методом скрытия его для системы. Снижает нагрузку на телефон и останавливает фоновые процессы приложений.

Дегуглизация

Google — главная телеметрия в телефоне каждого Android юзера. Во многие телефоны он буквально вшит (например Realme, Samsung), если в случае с Google Pixel, можно перепрошить телефон, то в случае с телефонами, где Google занимает огромную часть телефона, поможет дегуглизация — процесс, при котором пользователь вручную убирает Google приложения и сервисы с помощью сторонних утилит.

Изначально поговорим про прошивки, ведь это легчайший способ для анонимности на телефоне.

Большинство прошивок доступно только на Google Pixel, ведь его банально проще перепрошить и рутнуть. Самые популярные прошивки для анонимности:

  • GrapheneOS — ОС для телефона буквально заточенная под дегуглизацию и полную анонимность. Имеет открытый код, отсутствие телеметрии и хорошую производительность.

  • CalyxOS — прошивка заточенная под анонимную и удобную работу. Имеет пред‑установленные приложения, такие как DuckDuck Browser, Signal с открытым кодом и сама имеет открытый код.

  • /e/OS/ — прошивка в которой идет упор на использование внутренней экосистемы eCloud без экосистемы Google впринципе.

  • LineageOS — наверное самая популярная прошивка для многих телефонов с упором в конфиденциальность, но для полной анонимности требует установки без GApps.

    Так же стоит понимать, что из-за отсутствия Google сервисов в прошивке, не будут работать Google Pay, Gmail, Gemini и почти вся инфраструктура Google.

Что если мне нужны аккаунты Google и сервисы?

В этом случае отлично справятся ReVanced приложения и microG. Сам по себе microG использует аккаунт Google как посредник, но не передает данные напрямую серверам Google.

Лучшие приложения, которые используют microG:

  • YouTube ReVanced/RVX Extended — клиенты YouTube без привязки к Google на прямую, но с интеграцией через microG. Имеют YouTube Music версии и кучу дополнений, такие как AdBlock, SponsorBlock, Return Dislikes и кастомизацию интерфейса.

  • Aurora Store — клиент Google Play, само приложение можно использовать и локально без аккаунта, но можно и привязать microG. Не имеет привязки к региону, часовому поясу, что позволяет скачивать эксклюзивы других стран.

Дегуглизация телефонов, которые тяжело прошиваются

Для этого нужно использовать следующие приложения:

  • Shizuku — приложение, позволяющее дать adb права телефону по Wi‑Fi отладке, либо парами команд с пк. Имеет интеграцию с консолями по типу Termux и многими приложениями.

  • Termux — среда выполнения Linux команд со своим пакетным менеджером и почти полным функционалом bash из Linux ядра. Доступны дополнения, например Termux:API, Termux:Float и подобные.

  • Set Edit — добавляет возможность изменять системные настройки телефона через значения. Чем то похож на RegEdit из Windows.

  • Canta — позволяет удалять системные приложения с помощью Shizuku. Туториал на Shizuku не будет, она интуитивно понятная и особого туториала how‑to не требует.

Вырезание всех Google программ:

  • Google One

  • Google TV

  • Google Home

  • Gemini

  • Google Files

  • Google Wallet

  • Google Meet

  • Switch Access

  • Gmail

  • Gboard (после того, как найдете альтернативу)

  • Android Auto

  • Android Switch

  • Google Photo

  • Search Portal (если есть)

  • Google Обьектив

    Изначально может быть не привычно, ведь кол‑во приложений существенно увеличиться, не будет софта, который сможет заменить все эти приложения и банально придется привыкнуть к новому.

Альтернативы приложений от Google

Самое главное, иметь при себе F‑Droid или Aurora Store (в крайнем случае уметь пользоваться GitHub‑ом) для скачивания приложений
Я разобью их на категории:

Медиа

  • YouTube Music — Simp Music — плеер с возможной привязкой к аккаунту Google, но можно и работать локально

  • YouTube — LibreTube, EchoTube — EchoTube более новый клиент с системой локальных рекомендаций, LibreTube создает рекомендации на основе подписок. Не имеет каких либо алгоритмов.

  • Google Photo — Aves — бесплатная и открытая галерея для андроид.

  • Google Обьектив — для перевода OCR — поддерживает 120 языков по всему миру для перевода. Для сканирования QR‑Кодов — Binary Eye — бесплатное и простое приложение для сканирования QR‑Кодов

Общение

  • Gmail — Proton Mail на свой страх и риск, я не особо доверяю экосистеме Proton, но это на ваше усмотрение. Для быстрых аккаунтов можно использовать 10 Minute Mail, Temp Mail с временными электронными почтами. Для постоянных — Tuta Mail — приватная и зашифрованная почта для приватных писем.

  • Google Meet — Jitsi Meet — сервис с открытым кодом работающий прямо в браузере.

  • Gemini — лучше не использовать ИИ на телефоне вообще. Если очень нужно, то лучше использовать Claude. У него есть возможность ресерчить интернет и выдавать точечные ответы на вопросы благодаря запросу уточнений, так же является одной из самой умных моделей в бесплатном плане. Можно попробовать локальные ИИ как Ollama, Gemma, DeepSeek, но локальные ИИ на телефоне будут работать очень медленно из-за мощности самих телефонов. Лучше их использовать на ПК.

Мелкие приложения

  • Gboard — Fossify Keyboard — приложение экосистемы Fossify. Имеет минималистичный дизайн и открытый код.

  • Часы (по желанию) — Clock/Clock You — Clock более приближен к дизайну часов от Google на том же Realme, но имеет открытый код и частые обновления. Clock You имеет Material Design в себе и практичный функционал.

  • Звонки (тоже по желанию) — Koler, практичное и легкое приложение для звонков.

  • Установщик пакетов — Universal Installer — очень удобное приложение, которое может использоваться для установки приложений по умолчанию. Поддерживает прямую установку .apk, .apks, .xapk, .apkm пакетов. Имеет совместимость с Shizuku для особых и детальных настроек.

  • Файлы (по желанию) — Material Files/ZArchiver. в Material Files ничего особенного, просто файлы с открытым кодом. ZArchiver — мощное приложение для управления файлами, директориями и файловой системой в общем.

    Каждое приложение из перечисленных можно скачать из F-Droid или GitHub, некоторые есть в Aurora Store, но так же имеют открытый код.

Софт для ПК

Тут уже намного интереснее.

Начнем с самого масштабного: какую ОС выбрать?
Тут выбор не очень большой. Для основной операционной системы, Windows подойдет, но что бы вырезать телеметрию, нужно скачивать либо сторонние сборки, либо потратить 1–2 недели на детальный разбор регистра и его изменение.

Если нужна максимальная анонимность и удобство, обязательно ставить Linux.

Вредные дистрибутивы

Есть дистрибутивы, которые ничем особо от Windows в плане анонимности не отличаются, в основном это дистрибутивы для новичков: Ubuntu и Majaro. Они собирают телеметрию, что идет против философии Linux и ставит под вопрос вашу анонимность.

Какие анонимные ОС для ПК можно выбрать новичку в Linux‑е?

Самый лучший вариант — Fedora. Это легкий в установке и использовании дистрибутив, имеет богатый dnf пакетный менеджер и сама по себе является стабильной ОС.

На Федоре можно будет научится базе терминала, управлением ПК без мыши, взять на заметку полезные и Open‑Source программы из Flatpak/пакетного менеджера.

Что на счет реально анонимных систем?

Полностью анонимных систем очень мало, ведь сам по себе Линус Торвальдс (создатель и основатель ядра Linux) сделал ядро для того, что бы оно было свободным и конфиденциальным (в отличие от MS‑Dos того времени). Оно и сейчас таким остается, так что если не учитывать «вредные дистрибутивы», каждый линукс будет хорош.

Но, есть и правда ОС, которые либо заточенны под анонимность, либо балансируют на гранях удобства/анонимности.
Примером полностью анонимной системы является TailsOS. Это достаточно уникальная система. Она запускается с флешки не храня кэш прямо на компьютер, весит достаточно мало, имеет пред‑установленный Tor и много хорошего софта для безопасного серфинга.

Из дистрибутивов, которые балансируют на грани удобства и конфиденциальности, это:

  • EndeavourOS — дистрибутив на основе Arch Linux с упором в нормальную установку, совместимостью со всем софтом для Arch Linux и отсутствием какой либо встроенной телеметрии.

  • Artix — удобный форк Arch Linux с нормальной установкой. Из-за отсутствия systemd может показаться не удобным, но достаточно хороший дистрибутив для повседневной работы.

  • Gentoo — DIY дистрибутив для мазохистов. В большинстве своем, он анонимен потому, что он ничего в себе не имеет. Ты делаешь все сам без пакетного менеджера и ручной сборкой через cmake. Упомянуть его я считаю нужным, ведь при ровных руках и неплохим количеством свободного времени, его можно полностью подогнать под свои нужды.

    Я не буду упоминать Black Arch или Kali Linux, ведь первый просто форк Arch Linux‑а со своим репозиторием, второй просто Debian с невероятно большим кол‑вом пред‑установленных пакетов, что скорее даже мешает, ведь производительность в нуле. Если их использовать, то только на виртуальной машине.

Софт для пк. Браузеры, пакеты и магазины

Софта для операционной безопасности на Linux очень много, начиная от браузеров и конфигов под них, заканчивая кастомными конфигами ядра.

Начну с браузеров. Лучшим решением для OpSec‑а, будет иметь 2 браузера. Один для основной деятельности и второй в виде Tor, I2P в случае, если надо будет открыть какую то подозрительную ссылку.

Список лучших браузеров для Linux:

  • Brave — я уже его упоминал, но не могу не упомянуть то, что он есть в официальных репозиториях для pacman, dnf, apt.

  • Zen — очень красивыйбраузер с неплохой конфиденциальностью. Имеет открытый код и много кастомизации. Имеет полную поддержку Firefox расширений и тем.

  • Chromium — легкий браузер с полным потенциалом движка Chromium. Имеет открытый код.

    Можно использовать так же Firefox, но его я уже упоминал.

VPN
Для Linux‑а можно спокойно использовать Outline для подключения через ключи или тот же Mullvad/iVPN. Все сервисы уже были разобраны, поэтому не вижу смысла их разбирать еще раз.

Что на счет вспомогательного софта?

Для Linux‑а есть очень много прикольного и вспомогательного софта во Flatpak и Snap.

Полезные программы для повседневности:

  • Obsidian — удобное приложение для заметок, конспектов. С помощью расширений можно превратить его в инструмент для изучения, сделать его визуализатором для OSINT кейсов, сделать интерактивной доской и еще много чего. Имеет открытый код и тонну тем и кастомизации.

  • Audacity — легкий обработчик звука с кучей фишек и открытым кодом.

  • KDEnLive — программа для монтажа от создателей рабоего окружения KDE Plasma с открытым кодом.

  • KDE Connect — позволяет связать андроид устройство с компьютером на Linux. Имеет много функций, например исполнение комманд, удаленное управление мышкой, управление медиа, синхронизирование уведомлений, передача файлов.

  • Rust Desk — приложение вдохновленное AnyDesk с открытым кодом, минималистичным интерфейсом, лучшей передачей качества и многое другое при регистрации.

  • Tailscale — утилита, позволяющая создать локальную сеть между устройствами в ней. В админ панели можно поделится устройством через ссылку или прислать ее на эмайл для добавления устройства в локальную сеть из другого конца мира. Полезна для случаев, когда нужно открыть SSH на длинной дистанции с дополнительным слоем защиты.

    При должном желании, можно найти еще много чего, я описал то, чем пользуюсь я ежедневно.

Полезный софт в OpSec‑е

Это справка для каждого устройства (телефон и ПК).

Менеджеры паролей:

  • BitWarden — менеджер паролей и их генератор, который хранит их в зашифрованном виде. Даже если бы у разработчиков были логи, они бы их не увидели. Бесплатный и с открытым кодом, так же доступен как расширение в браузере.

  • KeePassXC — менеджер паролей в локальной бд. Так же есть KeePassDX, который дает возможность создавать ключи входа для приложений на телефоне в виде биометрии и USB ключа.

Поверхностное обязательное шифрование

Обязательно иметь сложный пароль для телефонов и шифрование дисков на ПК. Не стоит оставлять лишь биометрию, это можно легко обойти, банально приложив к пальцу спящего человека.

Используйте шифрование диска. Не используйте BitLocker на Windows, лучше поставить VeraCrypt. Для Linux — LUKS.

Важная информация на счет браузеров на телефоне и ПК

Я встречался с практикой, где для мобильной версии сайта было больше телеметрии, ведь большинство мобильных пользователей используют Chrome, где поддержка расширений таких как Privacy Badger не доступна, из-за этого на сайте для телефонов и вправду может быть больше телеметрии.

Настройка браузеров

Первое — поисковая система.
Советую перейти с Google/Bing/Yandex на DuckDuckGo, в нем совсем недавно появился ИИ, который не плохо анализирует запрос и выдачу сайтов, идет в ровень с Gemini и возможно даже обгоняет его по самой выдаче, подает ее аккуратно и структурировано.

Расширения
Обязательно ставить:

  • Privacy Badger

  • uBlock Origin — лучше других Ad Blocker‑ов тем, что у него открытый код, отсутствие телеметрии и лучше справляется со своей задачей.

  • Ghostery — на удивление достаточно малополуряное расширение для блокировки навязчивых баннеров и pop‑up сообщений на сайтах. Имеет открытый код и справляется со своей работой на отлично.

    Это минимальный набор для безопасности в браузере. По желанию можно добавить расширений для YouTube, например SponsorBlock, но это уже по желанию.

Метаданные

Супер важная вещь, про которую забывают.

Что такое метаданные?
Метаданные — по простому — данные о данных. Они хранят информацию о файлах: кому принадлежит, когда был создан, устройство. В случае фотографий, они могут содержать координаты, город, модель камеры и подобное.

Сейчас почти все мессенджеры стирают метаданные файла и заменяют на свои при отправке файлов, но например в Телеграм они сохраняются, если отправить фото/файл без сжатия, так что с этим нужно быть осторожным.

2. Зачем именно тебе нужен OpSec?

Многие в интернете задаются вопросом: «А кому я вообще нужен?» — и это огромная ошибка.

Большие компании собирают телеметрию, чтобы снять с себя ответственность в случае непредвиденных обстоятельств. Это бизнес, и винить их в этом глупо. Но важно понимать: это также означает, что они способны передать или продать ваши данные кому угодно в случае возникновения каких-либо проблем.

Однако есть и другая, куда более непредсказуемая причина — люди.

Отличный пример — специальность OSINT‑разведчика. Простыми словами, OSINT — это поиск информации из открытых источников. Главными зацепками в OSINT‑е являются ваши соцсети, цифровой след и всё, что вы когда‑либо оставили за собой в сети. В случае, если вы кого‑то задели, захейтили или оскорбили, OSINT‑еры могут начать рыть на вас информацию, пока вы даже не подозреваете об этом. Это процесс небыстрый, но он идет верно: специалисты в OSINT‑культуре будут идти буквально до конца, и результат их деятельности явно не появится спустя один‑два дня.

Опасность кроется в том, что за любое неосторожное слово в интернете вам могут попытаться «приписать» 3–4 статьи уголовного или административного кодекса с помощью социальной инженерии и манипуляций с государственными органами. Да, в большинстве случаев это будет фейк. Но, во‑первых, если дело дойдет до полиции, вы так просто не докажете свою непричастность.

Именно от этого и можно защититься операционной безопасностью. Для того чтобы написать на вас реальное заявление, злоумышленникам необходимо иметь ваши настоящие данные. А OpSec — это как раз способ защиты своей личной информации в интернете.

Также OpSec дает уверенность в том, что ваши соцсети, банковские счета, криптокошельки и личные файлы не уйдут в сеть просто так и не будут взломаны за две минуты каким‑нибудь брутфорсом паролей или через социальную инженерию с вашими знакомыми.

Во многих ситуациях для защиты от вышеперечисленных угроз будет достаточно даже базового уровня OpSec. Но в случае какой‑либо нестандартной деятельности (например, если вы сами занимаетесь OSINT‑ом), лучше использовать инструменты по максимуму и выводить безопасность на предел. Ведь пока вы изучаете цифровой след другого человека, кто‑то может изучать след, оставленный вами.

3. Принцип создания второй личности

Если вы задумались над созданием второй личности в интернете, стоит знать очень много нюансов и помнить о последствиях от их несоблюдения.

Деактивация аккаунта вместо полного удаления

Это частая ошибка тех, кто хочет полностью пересоздать себя в сети. Во многих соцсетях есть функция деактивации, которая просто скрывает ваш аккаунт из поиска и не дает перейти по прямой ссылке. Но это не полное удаление ваших данных из базы компании. В таком случае, спустя года два, эту базу данных могут банально слить, и все ваши данные, которые вы якобы «удалили», окажутся в открытом доступе.

Смена основной информации вместо создания новых аккаунтов

Огромная ошибка при попытке стереть свой прошлый профиль. Множество соцсетей имеют привязку не к вашим текущим данным (имя пользователя, никнейм, номер телефона), а к уникальному идентификатору (ID), который не меняется никогда — даже если вы полностью перепишете страницу и смените способ регистрации.

Такие идентификаторы способны хранить в себе историю изменений. Самый яркий пример — ВК и Телеграм. Для ВК существует куча сервисов‑архивов, которые готовы показать всю историю профиля, зная лишь его цифровой ID. В Телеграме есть боты (например, Funstat или TgDB), которые совершенно бесплатно покажут историю смены ваших юзернеймов, обычных имен, аватарок и описаний профиля за всё время.

Создание второй личности «на ходу»

Достаточно незабавная, но критическая ошибка. Если придумывать легенду для новой личности прямо в процессе общения, можно допустить очень много дыр.

Например, если собеседник вдруг спросит ваш адрес (узнав, что вы якобы из одного города), и вы укажете случайный реальный дом, этот адрес в итоге может оказаться выставленным на продажу или аренду, а его настоящий владелец обнаружится в базах должников, где сразу можно будет сравнить фамилии.

Любые данные, которые вы хотите выставить за свои, нужно тщательно проверять. У меня был опыт, когда человек общался со мной под маской, но при вводе его фейкового ФИО в поиск выяснилось, что этот «персонаж» числится победителем в школьной олимпиаде по математике за 5-й класс, хотя, по словам самого собеседника, ему было уже 23 года.

Также в подобных моментах можно выдать себя на банальной неподготовленности. Заранее создавайте пустые аккаунты во всех необходимых соцсетях. Чтобы при внезапном вопросе «Дай свой ВК» вам не пришлось судорожно бежать и регистрировать его с нуля только потому, что вы только что скинули человеку интересный пост, который сами листали со своего основного (реального) аккаунта.

Не жалейте времени на подготовку инфраструктуры и легенды в течение хотя бы одной‑двух недель. Взамен вы получите отличный результат — вас будет физически невозможно связать с вашими настоящими данными.

4. Поведение в интернете

Что может тебя выдать?

Самое главное, что может выдать человека — это его поведение. Всякие маленькие, незаметные привычки (например, специфический стиль общения или построения фраз вроде «привет,как дела?») могут выдать вашу реальную личность, даже если вы пишете со второго аккаунта.

Чтобы этого не допустить, нужно периодически анализировать свои сообщения и стараться сливаться с массой. Соблюдать идеальную академическую орфографию тоже не стоит: большинство людей в интернете не умеют нормально ставить запятые, тире и двоеточия (исключение — официальные документации, научпоп и важные документы). Ваша фейковая личность должна писать так же, как пишут миллионы обычных пользователей.

Конфликты

Категорически нельзя влезать в конфликты, даже в случае, если вас намеренно пытаются туда втянуть. Злоумышленники будут пытаться вывести вас на эмоции. Эмоции — это не часть цифрового интернета, это проявление вашей реальной человеческой личности. По эмоциональным срывам, паттернам агрессии и уникальным ругательствам эксперты могут легко сравнить ваши сообщения со старыми аккаунтами и нарыть на вас досье.

Эмоции — это самое ценное топливо, которое могут получить OSINT‑еры и доксеры. Это не значит, что нужно превращаться в бездушного робота, но как минимум необходимо полностью исключить порывы, истерики и неконтролируемую злость в сети.

Итог

OpSec нужен для каждого. Это не значит, что нужно стирать себя из интернета, это значит, что лучше соблюдать минимальную базу по безопасности в интернете. Использовать проверенный софт, не экономить на своей конфиденциальности и не лезть туда, откуда можно и не выбраться.

Лучше воздержаться от критики, хейта и подобной активности в соц. сетях и интернете в общем. За каждым твоим действием, могут быть последствия, даже в том случае, если ты ничего подобного не делал.

ссылка на оригинал статьи https://habr.com/ru/articles/1040798/