IYP 不是过眼云烟的新闻网站，我们提供实战能力，这里是值得您反复回看的档案室：iyouport.org

摆脱追踪者：您的行动必须是匿名的，否则没有可持续性

2020 年 4 月 19 日

这里是一些基础知识。易于追踪监视是这个互联网的本性，如果您想使用这个互联网做点正经事，就必须能实现足够程度的匿名

与现实中的调查不同，开源情报调查必须是匿名的，必须尽可能不留下数字足迹和面包屑，否则目标人在日后会反过来跟踪你，不仅阻止您的调查，甚至会对您的基本人身安全产生威胁。

掌握摆脱跟踪的安全防护技巧，是成为公民调查员的最基础的一步。

《不再吃瓜：把你的”围观”变成利器 — 公民调查指南（1）》

此前曾经介绍过很多安全防护知识，本文将介绍的是基础知识 —— 关于可用于追踪您的各种在线技术，并提出了在进行开源情报收集操作时应采取的针对性防护对策。

请注意：所有安全知识都不仅仅是给调查人员的。而是所有人的、任何不希望成为猎物的尊重自身人权利益的公民。

有很多不同的参与者对跟踪互联网用户感兴趣，每个参与者都有自己的动机。

最基本的，例如，广告商越来越多地监视人们的在线行为，以定制广告定位他们的目标，这种类型的跟踪被称为在线行为广告（OBA），就是它在一定程度上推动了社交网站的爆炸式增长，所有这些站点时刻都在努力跟踪您的一举一动 —— “免费注册，快来玩啊～”

如今最火的是所谓的网络分析服务（例如剑桥分析公司）跟踪在线用户以收集可以用于操纵人们的信息；而政府的间谍机构则大规模跟踪在线用户，以分析全球数字信息并预测未来的政治、军事和经济变化。

在这里看到调查报告《心理操纵的秘密：”行为经济学”+PR=？》
这个报告特别重要！《他们是如何抓捕说真话的人？⚠️灾难和教训》

最普遍存在多少，网警、警察和情报机构使用在线提供的公共信息来获取有关其目标的情报。以及，社交工程师和黑客实施跟踪监视，是为了制定最有针对性的攻击计划。

从公共资源获取的信息被称为开源情报（OSINT），它指的是所有可公开获得的信息。OSINT来源与其他形式的情报有所区别，因为它必须在不违反任何版权或隐私法的情况下合法地获得。

在这里看到情报分类和详细解读《“谷歌地图”是比詹姆斯邦德更棒的间谍》

⚠️如果作为调查者，你的目标对象发现你正在搜索他/他们怎么办？如果他们可以了解你（搜索者）的来源、背后的组织、以及搜索者的位置或身份，怎么办？他们会对你做什么？

你必须警惕这点。因为在互联网上隐藏身份不是在现实中戴墨镜假发那么简单。

⚠️在进行开源情报搜索过程中如果暴露了搜索者的身份，可能会在许多情况下带来严重的危险，甚至法律后果。

相同的问题也适用于商业领域，考虑一家寻求进入新市场的公司，如果在同一领域工作的其他竞争者发现了该公司的搜索调查行为，会发生什么？

保护操作的隐私安全性是开源情报调查成功的关键。

本文分为两个部分，首先探讨“在线跟踪”的概念，并介绍用于跟踪在线人员的不同技术方法，以提出相应的对策。

许多开源情报初级从业者认为，使用VPN服务足以隐藏其在线跟踪 —— 这是完全错误的。

使用可靠的VPN只会隐藏您的IP地址，而对于跟踪您的任何跟踪器来说，您的其他数字足迹都是显而易见的。

完全的在线匿名性非常难以实现。要成为完全匿名的在线状态，您需要使用一套工具和策略来隐藏任何可以揭示您的身份甚至是用于访问互联网的硬件和连接类型的踪迹，并且这需要一些认真的技术技能。

只有与外国间谍活动有关的那种等级的案件才需要这种匿名性，通常由非常了解如何隐瞒其搜集活动的情报机构进行。而不是公民调查者。

但是，出于进行常规开源情报收集活动的目的，您需要匿名化到适当的级别，以使目标无法发现您正在尝试查找有关他们的信息。

本文的第二部分将介绍各种在线跟踪技术、以及如何使用大量工具和策略来对付它们，并且将提出一种解决方案，允许在线的任何人使用虚拟设备将其浏览活动与本地网络和基础设施隔离开来。

什么是在线跟踪？

在线跟踪可以定义为追踪记录跨不同网站的互联网用户的互联网浏览历史记录、有时是在线行为的过程。

为了将浏览历史链接到目标用户，将使用标识符将每个在线用户区分为可以跟踪的个人。

该标识符类似于人的指纹，因为它可以在数百万个已连接的用户中区分出特定的用户设备。

下一节将演示在线跟踪在技术上如何工作。

在线跟踪技术

在线跟踪通常利用以下一种或多种方法：

1、IP地址跟踪

没有IP就无法联网，IP地址是唯一的标识符，用于在连接到互联网时标识任何具有联网功能的设备。

没有两个设备可以在同一IP网络上拥有相同的IP地址，这使得IP地址成为在线跟踪用户的首选。

连接到 Internet 时，您要么每次使用相同的IP地址（静态IP），要么每次使用不同的数字（称为动态IP）。

静态IP地址是您的互联网服务提供商（ISP）分配的地址，不会随时间变化；相反，每当您连接到互联网时，ISP都会分配一个动态IP地址。

每次重新启动计算设备或路由器时，它都使用一种被称为动态主机配置协议（DHCP）的东西为您分配新的IP地址。一些ISP可能会多次分配以前分配给您的相同IP地址，但这不是经验法则。

请注意，使用不同的技术（例如VPN和TOR网络之类的匿名网络）上线时，可以伪造（隐藏）IP地址。用户还可以使用NAT路由器，它使所有属于同一网络的设备都共享一个公共IP地址。

由于这些原因，我们不能仅考虑一个IP地址就足以定位当今互联网上的单个在线用户。但是，它仍然是在线跟踪目标人的首选。

要了解如何选择VPN提供商，可以参见《安全手册》；要了解如何判断VPN的安全性，可以参见这里《如何验证您的 VPN 连接是否安全？》。

2、Cookie 追踪

Cookies 是跟踪在线用户的最常用技术，如今家喻户晓。

Cookie 是用户访问特定网站时创建的小型文本文件，其中包含的标准信息包括区分客户端设备的唯一ID、有效日期、和Cookie网站名称。

当再次返回同一网站时，cookie 用于判断客户端设备。网站使用 Cookie 的主要目的有两个：存储登录凭据、和跟踪用户的在线行为。

大多数人在谈论 Web cookie 时都意味着一个基本的 cookie 文件（也称为 HTTP cookie）。HTTP cookie 是一个简单的文本文件，用于跟踪用户对部署它的网站的访问。

关闭浏览器时，过期的 HTTP cookie 会自动删除。但是，到期日期可能是未来的很多年。就 cookie 的寿命而言，主要有两种类型：会话cookie和持久cookie。

会话Cookie存储在临时内存中，并且在用户关闭浏览器时将被擦除，此类Cookie没有到期日期，并且不存储有关用户客户端设备的任何信息。它通常用于维护电子商务网站中的购物车内容。

持久Cookie（例如 Flash 和 evercookie cookie）引起了严重的隐私问题。

Cookie 的内容中有一半是第一方的，属于您访问的网站，另一半是第三方的，属于合作伙伴，服务或与网站合作的广告商。

第三方 Cookie 用于（跨多个网站的）跟踪活动，并识别频繁访问和回访的访问者，以根据Cookie的历史记录量身定制内容或优化广告或改善用户体验。持久 cookie 的两种主要类型是 Flash 和 Evercookies。

与具有有效日期并存储在客户端硬盘驱动器上特定文件夹中的传统cookie文件相比，Flash Cookies 具有更高的持久性。仅删除网络浏览器的 cookie 文件夹不会删除此类型的 cookie。

Flash cookie 用于存储用户在多个网站上的浏览历史记录，可以用来重新实例化用户删除的 HTTP cookie。

要访问存储在计算机中的所有 Flash cookie（在Windows下），请转到“控制面板”➤“ Flash Player”，然后选择“阻止所有站点在此计算机上存储信息”选项（参见下图）。

还可以使用一个工具来显示系统中存在的 Flash cookie 列表并将其删除，FlashCookiesView 是为此目的创建的便携式工具。

Evercookies Cookie：根据开发人员 Samy Kamkar 的说法，evercookie 是基于 JavaScript 的 cookie，即使用户从其计算机中删除了 HTTP 和 Flash cookie 之后，它也可以存在。

它通过将数据存储在客户端浏览器/计算机上的多个位置（例如，HTTP cookie，Flash cookie，HTML5本地存储，Web历史记录，Silverlight）来实现其持久性。

例如，如果这些位置之一被用户删除，evercookie 将检测到该位置并自行重新生成。幸运的是，现代的网络浏览器能够阻止或检测 evercookies。

3、ETag 追踪

ETag 是不使用 Cookie（HTTP和Flash）、JavaScript、HTML存储、或IP地址而跟踪用户的另一种方法。

ETag或实体标签是超文本传输协议（HTTP）机制的一部分，该机制提供Web缓存验证，并用于控制特定文件在客户端缓存的时间。

ETag帮助Web浏览器避免两次加载相同的Web资源，例如，当用户访问在后台播放音乐的网站时，它会根据用户的本地时间而改变。

如果ETag不同，则客户端浏览器将下载新版本的音频文件。

可以利用 ETag 以类似于持久cookie的方式跟踪用户，并且，即使服务器上的内容不变，跟踪服务器也可以不断将ETag发送到客户端浏览器。这样，跟踪服务器可以与客户端计算机保持无限期持久的会话。

要摆脱 ETag，必须清除浏览器缓存内容。

4、数字指纹追踪

浏览器指纹是有关用户系统和浏览器的一组技术信息，可以在线区分其机器。

此信息包括以下内容：浏览器类型、操作系统（OS）版本、安装的附件、用户代理、安装的字体、语言设置、时区、屏幕大小和颜色深度等。

即使禁用了 cookie 和 JavaScript，指纹也可以使跟踪器区分用户的机器。

浏览器指纹识别是无状态的，对用户和计算机都是透明的。

从数字指纹收集的信息看似通用，不足以在线识别数百万个已连接设备中的单个计算机；但是，如果将这些信息组合在一起，则可以绘制有关每台用户计算机的全面而独特的图景，此后，如果将其与其他个人身份信息（PII）组合在一起，则可以将该信息追踪到真实身份。

这应该有效地允许不同的外部方在不使用传统跟踪技术（例如计算机IP地址和cookie）的情况下轻松地对目标人进行描述。

更多见《Opsec 操作安全：在反侦察的过程中您应该注意哪些陷阱？》

得出的结论是，仅使用浏览器中的少量技术信息就可以在线配置和跟踪大多数互联网用户。

设备指纹识别主要有两种类型：基于脚本的和基于画布的。

基于脚本的指纹 ——

脚本指纹通过将脚本（通常为 JavaScript）加载到用户的浏览器中而起作用。成功加载脚本后，它将执行以提取有关当前浏览器和系统配置的大量技术信息。

提取的信息包括用户代理、已安装的附件/扩展程序、已安装的字体、屏幕分辨率、时区、操作系统类型和版本、CPU和GPU类型、以及有关目标系统的许多其他详细信息。

然后根据脚本收集的信息进行哈希处理。该哈希值可以识别和跟踪您的设备，就像IP地址一样。

跟踪器使用 Flash、Silverlight 或 Java applet 代替 JavaScript 来执行指纹识别。他们都将返回相同的结果。

抵制此技术的主要方法是在浏览器中禁用 JavaScript。但是，这种方法不切实际，并且可能导致破坏大量网站（大多数Web设计框架现在都基于 JavaScript 来提供功能）。

禁用 Java（参见下图）不会导致诸如禁用 JavaScript 之类的问题。

画布指纹 ——

Canvas 是最初由Apple开发的 HTML5 元素；它用于使用 JavaScript API 在网页上绘制图形（线条、形状、文本、图像）和动画（例如游戏和横幅广告）。广告客户可以利用画布功能识别和追踪用户。

画布指纹追踪是一种跟踪用户在线活动的新方法。只需在用户的客户端浏览器上绘制不可见的图像即可。

该图像对于每个用户而言都是不同的，一旦绘制在客户端浏览器上，它将收集有关用户浏览器和计算机的不同技术信息。然后根据已收集的信息进行哈希处理。

该哈希值将在用户访问的所有网站上保持一致（哈希值是从画布数据生成的）；这将有效地记录用户的浏览历史记录。

尽管不能单独使用从画布指纹中收集的信息来识别用户，但是，可以将此指纹与其他来源结合使用，以完全地识别您。

浏览器指纹追踪的对策

当前，指纹识别被认为是用户在线冲浪时面临的最大风险。

为了了解如何才能阻止这种入侵以保护我们的隐私，首先来看看您当前的数字指纹正在向追踪者展示些什么内容。以下是免费提供此类服务的流行网站。

Panopticlick (https://panopticlick.eff.org)
DeviceInfo (https://www.deviceinfo.me)
Browserleaks (https://browserleaks.com)
AmIUnique (https://amiunique.org)

配置Web浏览器以提高安全性

可以将主要的Web浏览器配置为对隐私更加友好（例如，自动删除浏览历史记录和cookie）、具有完善的隐私配置，以实现此目标。

用户还可以使用私密浏览模式自动删除浏览历史记录、保存的密码和 cookie。

在Firefox中，它称为 “Private Browsing”，可以通过按以下按钮组合（Ctrl + Shift + A）进行访问，而在Chrome中，它称为“隐身模式”。

在这里看到更多解释《Opsec 操作安全：在反侦察的过程中您应该注意哪些陷阱？》。

Brave 浏览器是基于 Chromium 项目的注重隐私的网络浏览器，它接受 Chrome 扩展程序。

默认情况下，Brave 会阻止其他在线跟踪机制，您可以通过转到“设置”然后单击“ Shields”来启用指纹保护（参见下图）。

浏览器扩展保护隐私

有许多隐私附加组件可用来阻止或误导在线跟踪者，以下是最有名的：

Privacy Badger — block invisible trackers (https://www.eff.org/privacybadger)
Disconnect — Block invisible websites (https://addons.mozilla.org/en-US/firefox/addon/disconnect)
uBlock Origin — another efficient blocker (https://addons.mozilla.org/en-US/firefox/addon/ublock-origin)
HTTPS Everywhere — encrypts your communications with many major websites, making your browsing more secure (https://www.eff.org/HTTPS-EVERYWHERE)
CanvasBlocker — Alters some JS APIs to prevent fingerprinting (https://addons.mozilla.org/en-US/firefox/addon/canvasblocker)
Cookie AutoDelete — Automatically delete cookies upon tab closes (https://addons.mozilla.org/en-US/firefox/addon/cookie-autodelete)
Decentraleyes — Block Content Delivery Networks (https://decentraleyes.org)
uMatrix — A point-and-click matrix-based firewall, with many privacy-enhancing tools (https://addons.mozilla.org/en-US/firefox/addon/umatrix)
User-Agent Switcher — switch between popular user-agent strings (https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher-revived)

搜索引擎跟踪

典型的搜索引擎都会跟踪其用户的搜索，以定位量身定制的广告，并定制返回的搜索结果。

例如，大多数 Google 搜索引擎用户拥有一个 Gmail 帐户（Google免费电子邮件服务），当用户进行在线搜索时，该用户的在线活动将被记录、并被链接到他/她的 Gmail 帐户（通常是用户的真实身份）。

即使用户尚未登录Gmail帐户，Google 仍可以使用已提及的任何以前的跟踪技术将用户的浏览历史记录链接到其真实身份。

在搜索开源情报来源时，建议使用面向隐私的搜索引擎，该引擎应该不记录您的搜索历史、不会根据搜索提供商确定的标准返回结果。

有很多匿名搜索引擎无法跟踪其用户的活动，您可以在这里找到：《如果你擅长搜索，你能找到一切：*没有谷歌*的强大搜索世界》。

社交网络跟踪

诸如 Facebook 和 Twitter 之类的社交网站可以跨网站跟踪用户（它们实际上可以跟踪大多数互联网用户的浏览历史记录），即使这些用户当前并未登录Facebook 和 Twitter 也是如此！

你一定注意到了，大多数网站都有 Facebook 的“ Like”和“ Share”按钮，这些按钮有助于在用户的 Facebook 新闻源上共享内容。但是，您应该知道的是，只要您访问了具有 Facebook “点赞”或“分享”按钮的网页，即使您没有单击该按钮，Facebook 也会记录此访问！

Facebook 跟踪不会在此时停止，因为他们可以在用户不知情的情况下使用嵌入在“点赞”和“共享”按钮中的隐藏代码，在不同网站上跟踪 **非 Facebook** 用户，他们一直在这样做！

Twitter 的“关注”按钮，在跟踪在线用户方面也起着相同的作用，就像 Facebook 的“点赞”和“共享”按钮一样。