Ako maximálne zabezpečiť anonymitu pri mobilnom prístupe do Internetu - Nethemba

BLOG

Ako maximálne zabezpečiť anonymitu pri mobilnom prístupe do Internetu

Problém mobilnej anonymity

Dystópia v Európe naberá plné obrátky a dosiahnuť skutočnú anonymitu z mobilných zariadení je veľký problém. Na obrázku nižšie môžeme vidieť, že väčšina štátov vyžaduje povinnú registráciu SIM kariet na OP alebo pas. Znamená to, že všetci mobilní operátori v danom štáte (a samozrejme aj samotné štátne inštitúcie) majú kompletnú informáciu o polohe svojich občanov, ktorí používajú lokálne SIM karty. Oficiálny dôvod pre povinnú registráciu SIM kariet je boj proti kriminalite a organizovanému zločinu. Bohužiaľ neexistujú ale žiadne dôkazy, že by povinná registrácia SIM kariet viedla k nižšej kriminalite (odporúčam štúdiu Mandatory registration of prepaid SIM cards – Addressing challenges through best practice). Práve naopak – existujú dôkazy, že povinná registrácia SIM kariet je opakovane zneužívaná totalitnými vládami na sledovanie svojich kritikov a oponentov.

Preto osobne pokladám za dôležite využiť všetky legálne spôsoby, ako sa vyhnúť plošnému špehovaniu, ktoré z povinnej registrácie SIM kariet vyplýva.

 

Mapa krajín, kde nie je, je alebo sa plánuje povinná registrácia SIM kariet.

Ako vidíme, stále existujú krajiny (ako ČR, UK a iné), kde je stále možné kúpiť anonymnú SIM kartu bez potreby registrácie. Problém nastáva, keď túto SIM kartu vložíte do neanonymného telefónu. Do takého, ktorého identifikátor (tzv. IMEI) mobilný operátor už pozná – čo znamená, že ste tento telefón v minulosti už použili s neanonymnou SIM kartou alebo pri kúpe tohto telefónu si predajca zaznačil jeho IMEI a prepojil s vašou osobou alebo firmou. V tomto prípade sa deanonymizujete a mobilný operátor (a sprostredkovane štát) vás opäť dokáže identifikovať a lokalizovať.

Ak chcete dosiahnuť vyšší stupeň anonymity, tak potrebujete nielen anonymnú SIM kartu, ale aj anonymný telefón

(teda telefón, ktorý bol anonymne zakúpený, napríklad za Bitcoin Lightning v Alza.sk).

Deanonymizácia anonymného telefónu

To, že budete mať úplne anonymnú SIM kartu a anonymný telefón vám bohužiaľ stále nemusí pomôcť – obzvlášť, ked budete túto kombináciu (anonymná SIM karta + anonymný telefón) dlhšiu dobu používať. Ak tento anonymný telefón s anonymnou SIM kartou budete nosiť a používať opakovane na tých istých miestach (váš domov, práca, zákazník atď) mobilný operátor uvidí opakujúce sa paterny, na základe ktorých vás opäť dokáže deanonymizovať. Uvidí totiž IMEI / IMSI toho istého anonymného telefónu, ktorý sa každý deň pohybuje na rovnakej trase medzi bodom A – vašou prácou a bodom B – vašim domovom. Rýchle vysvetlenie – IMEI je niečo podobné ako MAC adresa telefónu, IMSI je unikátny identifikátor každého používateľa v mobilnej sieti, jedna z množstva informácii uložených na SIM karte, netreba si ho mýliť s ICCID, čo je identifikátor SIM karty.

Riešenie je mať veľa anonymných SIM kariet a veľa anonymných telefónov.

A každý deň (alebo každých pár hodín) na inom mieste použiť novú anonymnú SIM kartu v novom telefóne.

Nenosiť tú istú trasu stále tú istú SIM kartu s tým istým telefónom.

Dosiahnuť vysokú mieru operačnej bezpečnosti je náročné – musíte si nakúpiť dostatočne veľa anonymných SIM kariet (a už aj v Čechách, keď si ich chcete kúpiť veľké množstvo, tak sa snažia od vás získať osobné informácie) a dostatočne veľa anonymných telefónov (čo môže byť veľmi drahé, keďže takýto telefón je doslova na jedno použitie a každých pár dní ho musíte vyhodiť).

Ďalšia alternatíva je mobilné zariadenie s IMEI/IMSI vôbec nepoužívať a byť prihlásený iba cez lokálne wifi siete. Je to najjednoduchší a vysoko bezpečný prístup – ak vám teda nebude vadiť, že nebudete počas vášho presunu z jedného miesta, kde je wifi na druhé miesto, kde je wifi, offline.

Namiesto veľa anonymných SIM kariet veľa anonymných eSIM

Napriek tomu, že na Slovensku ani v iných krajinách sveta nie je možné kúpiť anonymnú SIM kartu, stále je relatívne jednoduché kúpiť anonymnú eSIM kartu (technológiu eSIM podporuje väčšina moderných telefónov). Existuje veľa globálnych eSIM poskytovateľov, ktorí to umožňujú za kryptomeny, napríklad https://silent.link/, ktorý podporuje Bitcoin Lightning alebo Monero. Existujú lacnejšie alternatívy, kde je to možné zaplatiť Bitcoinom či inými altcoinami, napríklad https://www.keepgo.com (zrejme najlacnejší) či https://www.bitrefill.com/us/en/esims/ (ktorý akceptuje aj relatívne anonymný Bitcoin Lightning).

Je teda možné si zakúpiť anonymným spôsobom ľubovoľné množstvo anonymných eSIM – ceny začínajú od 2-3 EUR za eSIM, takže môžete každý deň použiť inú eSIM kartu. Pri platbe Bitcoin Lightningom je platba akceptovaná okamžite a do minúty si vašu novú eSIM kartu môžete na telefóne rovno aktivovať.

Namiesto veľa telefónov zariadenie umožňujúce zmenu IMEI

UPOZORNENIE: Zmena IMEI telefónu / 4G wifi routera je vo veľa krajín nelegálna. Pokým je to váš prípad, neporušujte zákon!

Byť anonymný a každý deň meniť telefón za nový je drahé a náročné riešenie. Telefón nestačí len zaplatiť, ale musíte ho vedieť aj anonymne kúpiť a s opakovaným fyzickým doručovaním a kupovaním nového telefónu sa zvyšuje pravdepodobnosť vašej deanonymizácie.

Riešenie je zaobstarať si zariadenie, ktoré umožňuje zmenu IMEI, teda hardvérového identifikátora telefónu, ktorý robí každý telefón jedinečným. Ako bolo zmienené už vyššie, množstvo krajín zakazuje zmenu IMEI, takže pred tým, ako sa odhodláte k tomuto kroku, si overte situáciu v štáte, kde túto zmenu plánujete vykonať.

Na trhu existujú dve (relatívne) udržiavané zariadenia, ktoré umožňujú zmenu IMEI:

1. Nokia 8110 4G (prezývaný tiež Banana phone), ktorý sa na ebayi dá kúpit nový za približne 70 EUR.

Nokia 8110 4G

Tento telefón neumožňuje zmeniť IMEI v originálnom firmvéri – je potrebné telefón dočasne vyrootovať a následne tam nahrať modul Wallace Toolbox, ktorý do telefónu pridá nové menu:

Change IMEI menu

Následne je možné jednoduchým spôsobom zmeniť IMEI1 a IMEI2 (ide o dual SIM telefón, takže je to možné zmeniť pre oba sloty).

Používať úplne náhodné IMEI nie je dobrý nápad, lebo je ho možné následne identifikovať ako náhodne vygenerovaný. Preto je lepší nápad použiť náhodné IMEI z definovaného rozsahu samotných výrobcov telefónov – je možné na to použiť nasledujúcu aplikáciu imeichanger.py od Amira Taakiho.

Aby celá anonymizácia mala zmysel, tak po zmene IMEI, treba telefón vypnúť, vložiť novú anonymnú SIM kartu, zmeniť vašu fyzickú polohu a naštartovať telefón s novým IMEI a novou anonymnou SIM kartou (v tomto okamihu sa telefón bude pre GSM sieť javiť ako úplne nový telefón s novou SIM kartou). Polohu je odporúčané zmeniť, aby operátor nevidel, že na mieste kde zmizol starý IMEI/IMSI sa zrazu objavil nový IMEI/IMSI a nedokázal to teda prepojiť.

Podotýkam, že Nokia 8110 4G umožňuje robiť normálny wifi hotspot, takže keď použijete napríklad české alebo UK SIM karty, tak si môžete užívať slušne anonymný Internet (samozrejme nezabudnite na ďalšie anonymizačné nástroje ako Tor, VPN atď na vyššej vrstve).

2. Nitro Wall NW750, ktorý kúpite za 249 EUR.

Nitro Wall NW750 je brandovaný Mudi 4G LTE portabilný router (GL-E750) rozšírený o funkcionalitu zmeny IMEI. Ak chcete ušetriť, tak je možné kúpiť priamo Mudi 4G LTE portabilný router (GL-E750) za 106 USD a modul umožňujúci zmenu IMEI si tam doinštalovať vlastnoručne. Tento modul sa volá blue-merle a stiahnete ho tu.

Modul blue-merle umožňuje buď úplne náhodnú randomizáciu IMEI alebo deterministickú randomizáciu IMEI, kedy IMEI generované pseudonáhodným generátorom je pre dané IMSI SIM karty vždy rovnaké (takže tá istá anonymná SIM karta má stále ten istý IMEI).

 

Modul blue-merle na zmenu IMEI aktivujete štandardne cez lokálnu linku https://192.168.8.1/cgi-bin/luci/admin/network/blue-merle po tom, ako sa do rozhrania prihlásite ako root.

IMEI Change from the web interface

Ale zariadenia, ktoré vedia meniť IMEI, nepodporujú eSIM!

Všetky dostupné zariadenia na trhu, ktoré umožňujú zmenu IMEI, podporujú iba fyzické SIM karty. Nie eSIM. Kupovať a nainštalovať nové anonymné fyzické SIM karty je pracné a drahé (a pri opakovanom procese hrozí riziko deanonymizácie).

Existuje ale riešenie https://esim.me/, čo je fyzická SIM karta, ktorá umožňuje emulovať ľubovoľnú eSIM kartu. Cena tohto zariadenia je od 25 do 70 EUR v závislosti, koľko eSIM profilov chcete v rámci jednej SIM karty manažovať. Najskôr musíte ESIM.ME fyzickú SIM kartu vložiť do normálneho Androidu s príslušnou ESIM.ME aplikáciou, ktorá vám danú SIM kartu “naprogramuje”. Čo znamená, že do nej stiahnete QR kód vašej novej práve zakúpenej eSIM karty a aktivujete. Pozor, tento Android telefón musí byť tiež anonymný s náhodným IMEI a vždy na inom mieste, aby ste sa nedeanonymizovali. Podobne aplikáciu ESIM.ME odporúčam stiahnuť cez anonymný účet prostredníctvom Aurora Store. Používanie služby ESIM.ME vyžaduje registráciu, teda zadať vaše osobné informácie a email, ktorého platnosť sa overuje. Ak chcete zostať v anonymite, použite náhodné osobné informácie a anonymný email.

Takto aktivovanú fyzickú ESIM.ME kartu s vašou obľúbenou anonymnou eSIM kartou (Silent.Link, KeepGo, BitRefill) vložíte do vášho anonymného zariadenia, ktoré umožňuje zmenu IMEI (Nokia 8110 4G, Nitro Wall NW750, Mudi 4G LTE GL-E750), kde nastavíte nový IMEI. Nitro Wall NW750/Mudi 4G LTE GL-E750 je pri častých zmenách IMEI vhodnejšie použiť ako Nokia 8110 4G, nakoľko je na to špeciálne hardvérovo vybavený.

Nitro Wall NW750/Mudi 4G LTE GL-E750 s hardvérovým prepínačom.

Aby zmena IMEI bola vykonaná bezpečne bez možnosti deanonymizácie, je potrebné striktne dodržiať nasledujúci viacfázový proces:

  1. Na zariadení z boku (viď obrázok vyššie) je špeciálny hardvérový prepínač, ktorý keď prepnete, tak sa inicializuje prvá fáza zmeny IMEI. Inštrukcie na displeji vás vyzvú vymeniť SIM kartu. Vložíte do zariadenia novú anonymnú SIM kartu.
  2. Následne dáte tento prepínač do pôvodného stavu. Vtedy sa IMEI v zariadeni reálne zmení a zariadenie sa fyzicky vypne. V tomto okamihu by ste mali zmeniť polohu (aby operátor nedokázal v danej lokalite prepojiť váš starý zmiznutý IMEI/IMSI s novým IMEI/IMSI, ktorý sa na danom mieste objaví).
  3. Telefón opäť naštartujte – spustí sa s novým IMEI a novou anonymnou SIM kartou.

Keď budete chcieť opäť zmeniť IMEI / SIM kartu, opakujete celý postup od kroku 1.

Ďalšie bezpečnostné odporúčania

Maximálne zabezpečiť anonymitu pri mobilnom prístupe do Internetu nie je jednoduché a je potrebné dodržať nasledujúce bezpečnostné zásady:

  1. Všetky potrebné fyzické zariadenia (Nokia 8110 4G, Nitro Wall NW750, Mudi 4G LTE GL-E750, ESIM.ME, … ) je potrebné doručiť na anonymnú adresu, ktorá s vami nie je nijako prepojená.
  2. Všetky platby za potrebné fyzické zariadenia ako aj za SIM / eSIM karty musia byť anonymné – buď za hotovosť alebo za kryptomeny (ktorá s vami nie je prepojená, v prípade Bitcoinu odporúčam mixing service Wasabi Wallet ). Môžete si napríklad za Bitcoin Lightning alebo za Monero kúpiť ebay gift karty. Alebo tovar môžete nakúpiť na Amazon.com a zaplatiť krypto službami ako Fold alebo Moon.
  3. eSIM služby ako KeepGo alebo Bitrefill či aktivácia eSIM.ME vyžadujú zadať osobné informácie a aktivačný email. Osobné informácie musia byť náhodne (neoverujú sa) a aktivačný email musí byť anonymný email bezpečnej služby (napríklad ProtonMail).
  4. Prístup na všetky služby v tomto procese (objednávanie zariadení, objednávania eSIM a ich aktivácia, vypĺňanie registračných formulárov, čítanie aktivačných emailov, atď) musí byť výhradne cez Tor alebo bezpečnú VPN.
  5. Pri zmene IMEI sa odporúča zariadenie vypnúť a zmeniť polohu, aby operátor nevidel, že tam kde zmizlo staré IMEI / IMSI, zrazu vzniklo nové IMEI / IMSI, čo by mohlo viesť k deanonymizácii.
  6. Je tiež dôležité randomizovať MAC adresy (čo modul blue-merle robí automaticky).
  7. Je potrebné dbať tiež o anonymizáciu a bezpečnosť na vyšších vrstvách (používať Tor, bezpečné VPN, end-to-end šifrované spojenia).