**1. Wstęp**

Chcę nadmienić że ten sposób zapewnia 90-100% ANONIMOWOŚCI. To, czy dojdzie do setki zależy też od waszych nawyków i zachowania, bo nie da się przewidzieć wszystkiego. Poniższy system wykorzystuje maksymalnie dostępną zwykłym śmiertelnikom technologię, aby przynajmniej spróbować powalczyć z exploitami NSA/CIA i ich technikami deanonimizującymi.

Pokazane poniżej sposoby nie są na każdą kieszeń, a wymagają dość dużego nakładu pracy, gwarantują jednak bardzo dużą dozę anonimowości przy poprawnym korzystaniu i poprawnym skonstruowaniu.

WYMAGANA DUŻA WIEDZA INFORMATYCZNA / ELEKTRONICZNA DO WYKONANIA PONIŻSZYCH KROKÓW - WKRÓTCE INNY PORADNIK, ŁATWIEJSZY A GWARANTUJĄCY JEDYNIE NIECO MNIEJSZĄ ANONIMOWOŚĆ.

SPOSOBY BYŁY UŻYWANE PRZEZ WIELU PRZESTĘPCÓW M.IN HANDLARZY PORNOGRAFIĄ DZIECIĘCĄ ALE NIE OZNACZA TO ŻE TEN SPOSÓB JEST TYLKO DLA TAKICH LUDZI. ZWERYFIKOWANY JEST, GDYŻ NIE ZOSTALI ZŁAPANI DO TEJ PORY. NIE ODPOWIADAM ZA ZŁE WYKORZYSTANIE TEGO SPOSOBU.

**2. Hardware - pierwsza linia obrony.**

Potrzebować będziemy osobnego laptopa niż nasz zwykły - z kilku powodów.

Po pierwsze będzie to model który jest tani, po drugie dość łatwo go dostać a po trzecie nie ma zbrodniczych technologii jak AMT, a po czwarte będzie możliwe wgranie na niego BIOSa open-source.

Po piąte z kolei - ułatwi to separację tożsamości i zmniejszy ryzyko zrobienia katastrofalnego w skutkach błędu (patrz Ross Ulbricht).

Moim wyborem jest laptop Lenovo ThinkPad T400. M.in dlatego, że współpracuje z open-source biosem, oraz jest tani (około 400-600zł), a parametry są wystarczające jak na Linuxa dźwigającego maszyny wirtualne i nasz setup.

Dodatkowo nie rzuca się w oczy, bo ciężko opisać "czarnego laptopa o kanciastym kształcie".

W sumie musimy zakupić:

- Laptop Lenovo T400 (mój wybór) - około 450-600zł. MUSI mieć pamięć RAM DDR**3** w wielkości conajmniej 4GB.

- Klips EPROM (około 50zł) **(o ile zamierzamy programować chip manualnie)**

- BeagleBone Black (około 200zł) LUB zakupione wcześniej raspberry pi jeżeli ktoś potrafi tego używać do programowania chipów **(o ile zamierzamy programować chip manualnie)**

- Raspberry PI model 2B - koszt to około ~200zł. Będzie to osobny komputerek służący do fizycznej izolacji (o tym za chwilę). Nie może być żaden inny model - Raspberry bowiem nie może mieć WiFi ani Bluetooth.

- Obudowę do Raspberry Pi - zwykle kosztuje mniej niż 50 zł, potrzebujemy jej przede wszystkim do ochrony Malinki przed fizycznymi zagrożeniami oraz żeby ładniej wyglądała :)

- Kabel ethernet oraz ładowarkę do Malinki

- Co najmniej kilka NOWYCH lub nie używanych od min 2 lat modemów 3g/LTE (w zależności od kosztów).

- Kilka kart zarejestrowanych na anonimowe osoby, najlepiej od różnych operatorów

- Pendrive 16gb

- Opcjonalnie powerbank jeżeli zamierzamy brać malinkę gdzieś w teren.

**3. Bezpieczny zakup hardware.**

Laptop powinien być kupiony za gotówkę, najlepiej dogadać się o odbiór osobisty za pieniądze.

Raspberry Pi może być kupione wedle uznania, choć najlepiej też za kasę, to samo z kablem ethernet i ładowarką micro usb (o ile takiej nie posiadamy).

Najważniejszą kwestią jednak jest tu nie tak laptop jak modemy 3G oraz karty.

Otóż każde urządzenie typu telefon/modem jest wyposażone w unikalny numer IMEI który łączy wszystkie karty wkładane w to samo urządzenie. Zmiana tego numeru jest nielegalna na terenie Unii Europejskiej, a poza tym dość trudna. Dlatego więc najlepszym rozwiązaniem jest fizyczna zamiana tych modemów.

OSTRZEŻENIE: JEDEN MODEM = JEDNA KARTA. NIGDY NIE WKŁADAJ WIĘCEJ NIŻ 1 KARTY DO TEGO SAMEGO MODEMU ORAZ NIE UŻYWAJ MODEMÓW DO KTÓRYCH BYŁA WKŁADANA JAKAKOLWIEK KARTA WCZEŚNIEJ NIŻ 2 LATA TEMU.

Modemy można kupić w jednym z wielkich sklepów. Tylko i wyłącznie za gotówkę, kilka naraz.

Przed użyciem odczekać minimum 2 miesiące - tyle czasu zwykle są trzymane nagrania z kamer w sklepach.

Karte SIM można zamówić hurtowo z oglaszamy24.pl lub olx.pl. Najlepszym rozwiązaniem jednak będzie zapłata jakiemuś pobliskiemu menelowi, by zarejestrował kilka takich kart na siebie.

Doładowujemy je kupując kody za gotówkę w sklepach bez kamer (np wiejskich), ale można też pobawić się w ninję i zakryć twarz. Nie jest to w żadnym wypadku nielegalne, aczkolwiek napewno wzbudzi uwagę policji/straży miejskiej/przechodniów na ulicy.

**4. Konfiguracja laptopa i przygotowania**

Pierwszym krokiem jaki zrobimy po zakupie laptopa będzie mała "operacja" na nim. Jak już pisałem wcześniej - nie każdy sobie z tym poradzi, choć najtrudniejsze dopiero przed nami.

Laptop T400 nie jest trudny w rozkręceniu, jednak dla kogoś kto tego nie robił przedtem może być to wyzwaniem. Na koniec zapodam kilka linków pomocnych również w tym.

Usuniemy z niego nastepujące elementy, aby zminimalizować skutki infekcji ewentualnym malware:

- dysk twardy (chyba że BARDZO potrzebujemy instalacji) - brak możliwości zainstalowania malware

- kartę WiFi (zostawić Ethernet!) - deanonimizacja poprzez pobliskie sieci wifi

- moduł Bluetooth (o ile jest) - skanowanie pobliskich urządzeń, deanonimizacja

- modem 3G (o ile jest) - numer IMEI

- skaner odcisków palców (o ile jest) - to już trochę paranoja, ale nie zaszkodzi.

- kamerkę internetową - wiadomo 

- mikrofon - wiadomo

- głośniki - mogą być użyte jako mikrofon

Części należy FIZYCZNIE usunąć z laptopa, można je pozostawić w innym miejscu albo gdzieś schować.

Następnie laptop należy całkowicie rozkręcić i dobrać się do płyty głównej, a konkretnie w to miejsce:

https://web.archive.org/web/20170222111119im_/https://libreboot.org/docs/install/images/t500/0060.jpg

Z pomocą poniższego poradnika z oficjalnej strony projektu LibreBoot flashujemy chip BIOSa firmwarem open-source, które nie posiada żadnych ukrytych backdoorów ani tego typu rzeczy + jest o wiele szybsze i fajniejsze :)

https://web.archive.org/web/20170222111119/https://libreboot.org/docs/install/t400_external.html

Jeżeli ktoś nie poradzi sobie z powyższym, można kupić laptop ze sflashowanym już BIOSem, jednak będzie to nieco większy wydatek.

https://minifree.org/product/libreboot-t400/

**5. Przygotowanie systemu operacyjnego dla laptopa.**

Tak przygotowanego laptopa skręcamy z powrotem, a następnie przechodzimy do naszego normalnego laptopa, skąd ściągamy Qubes OS: https://www.qubes-os.org/downloads/

Qubes OS jest to dystrybucja Linuxa która pozwala nam izolować aplikacje od siebie co znacznie zwiększa bezpieczeństwo przed wirusami lub exploitami.

KONIECZNIE weryfikujemy pobrany plik: https://www.qubes-os.org/security/verifying-signatures/

Jeżeli plik jest oryginalny - teraz mamy dwie opcje.

Pierwsza - jeżeli nie wyjąłeś dysku z komputera - instalujemy Qubes OS na dysku WŁĄCZAJĄC PEŁNE SZYFROWANIE. Poradnik do bezpiecznych i łatwych do zapamiętania haseł na końcu artykułu.

Druga - kopiujemy Qubes OS w wersji Live na pendrive. Minusem jest fakt, że wszelkie pliki / programy zainstalowane znikną po zgaszeniu komputera, jednak nie zostawia on wtedy ŻADNYCH ale to ŻADNYCH śladów na komputerze.

System jest gotowy do użycia. Laptop NIE MOŻE mieć żadnego połączenia z internetem (stąd wyciągnięcie wifi) do czasu, aż skonfigurujemy nasz router anonimizujący.

Raspberry PI oraz Qubes OS stanowią tak zwaną ochronę przez izolację. O wiele trudniej będzie zdeanonimizować człowieka który przypadkowo odpalił malware lub został trafiony exploitem.

Trudniej również będzie o wyciek IP jakiegoś programu gdyż cały ruch idzie przez TORa, a VMy Qubesa nie mają dostępu do wrażliwych informacji o systemie.

**5. Kupno dobrego VPNa - polecam NordVPN**

I nie, nie otrzymałem za to żadnych pieniędzy. Wybrałem go obiektywnie, dlatego że:

- znajduje się poza jurysdykcją USA i innych krajów, bo w Panamie.

- w Panamie nie ma tzw "gag orders" ani obowiązku przechowywania danych

- jest bardzo szeroko polecany przez ludzi ceniących sobie anonimowość

- można za niego zapłacić Bitcoinami

- mają tzw warrant canary 

- oferują bardzo dobre szyfrowanie, i mają serwery w wielu krajach

- nie mają żadnych logów (choć nie powinniśmy nigdy w to wierzyć, mocnymi argumentami są płatność BTC i lokalizacja w Panamie)

Mogą być inne VPNy, muszą jednak one być w krajach niezależnych, nie trzymać logów i mieć dobre szyfrowanie. Obowiązkowa jest również możliwość płatności Bitcoin lub inną kryptowalutą.

**6. Przygotowanie routera anonimizującego z Raspberry Pi 2B**

Instalujemy Arch Linux bądź Raspbian na kartę SD do Malinki. Nie ma sensu tłumaczyć jak to zrobić, gdyż tak jak nadmieniłem poradnik wymaga pewnego skilla w IT.

Odpalamy malinkę, podłączamy do monitora a następnie instalujemy:

- OpenVPN

- TOR

- skrypt na firewall wykorzystujący iptables

Pobieramy pliki VPNa, ustalamy login i hasło.

Możemy dodac je do inita, aby łączyły się po starcie systemu jednak najpierw VPN następnie TOR.

Radzę łączyć się z serwerami w krajach takich jak Rosja, Chiny, Mołdawia, Szwajcaria, Szwecja, Islandia, Liberia, Maroko, Argentyna, Brazylia, Ukraina, Białoruś, Kazachstan, Turkmenistan, Panama i inne tego typu terytoria, które nie są związane traktatami lub nie uczestniczą aktywnie w szpiegowaniu Internetu.

Serwer VPNa zmieniamy za każdym połączeniem. Powinien iść po porcie 443 (SSL), w NordVPN jest taka możliwość. 

Skrypt firewalla należy napisać w taki sposób, aby pozwalał na ruch jedynie z laptopem (adres z LAN) i w kierunku VPNa. Zapobiegnie to wszelkim przeciekom. Można użyć własnych reguł iptables, jeżeli ktoś umie to zrobić. Skrypt wrzucę później, jednak do tego czasu możecie się podzielić swoimi.

Aby setup działał poprawnie należy najpierw połączyć się z VPNem, a następnie odpalić daemon TORa.

W pliku .torrc dodajemy:

`ExcludeExitNodes {us}, {uk}, {ca}, {nz}, {au}, {gb}`

`ExcludeNodes {pl}`

`StrictNodes 1`

Wytnie to wszystkie exit nody z krajów przyjaznych dla NSA zmniejszając ilość podsłuchujących wyjść TORa.

Aby podłączyć modem 3G polecam korzystanie z narzędzi typu wvdial, sakis3g, usb_modeswitch.

Nie jest to łatwe zadanie, dlatego polecam zapoznanie się z tym poradnikiem. Wiele modemów konfiguruje się w nieco inny sposób.

http://malinowepi.pl/post/43152638823/raspberry-pi-i-modem-3g-od-dawna-planowa%C5%82em

Częstotliwość zmiany:

Modem razem z kartą palimy w piecu lub niszczymy fizycznie od tygodnia do miesiąca używania, w zależności od tego jak niebezpiecznego coś robimy. NIGDY możemy go używać ponownie, unikalny numer IMEI jest połączony z numerem IMSI i należy o tym pamiętać. Traktuj modem jako zatruty, 1 karta max.

_Tutaj jeden kolega chciał mnie zjeść za to, że skrytykowałem jego pomysł z hackowaniem wifi. Otóż zrobiłem to z kilku powodów. Po pierwsze, chcę aby sposoby przedstawione tu były legalne. To, co proponował kolega jest nielegalne, a łączenie się do otwartych wifi prywatnych osób jest prawnie wątpliwe. Naraża to na dużo większe straty w anonimowości niż korzystanie z anonimowych modemów, ponieważ można zostać złapanym przez kamery bezpieczeństwa, w sieci lokalnej mogą być atakujący nasłuchujący sieć, możesz zapomnieć zmienić adres MAC lub też router może prowadzić logi. A z modemami 3G możemy pojechać w pola i robić co nam się żyw nie podoba, nie stercząc pod oknem sąsiada jak debil :). I tak, wiem że są anteny ale to trudniej zdobyć niż modem 3G i NAPEWNO nie każdy chce się babrać przestępstwem. Likwiduje też to element mobilności zestawu. _

**7. Przeglądarka Tor Browser**

W Qubes OS pobieramy Tor Browser, a następnie ustawiamy suwak bezpieczeństwa w ikonce cebuli na max. Włączamy również NoScript (forbid globally). 

W ustawieniach przeglądarki Tor Browser zmieniamy ustawienia proxy na adres Malinki podłączonej ethernetem.

W ustawieniach HTTPS Everywhere zaznaczamy aby pozwalał na łączenie tylko ze stronami HTTPS. Dlaczego? Moze to utrudnić korzystanie z Internetu, jednak warto to zrobić ponieważ w innym wypadku przesyłane 

dane mogą być podsłuchiwane przez skompromitowane wyjścia TORa. 

Staramy się korzystać jak najwięcej z darknetu, wtedy bowiem nasze bezpieczeństwo w sieci TOR jest największe.

Pod koniec poradnika zamieszczę kilka ciekawych linków do deep webu, razem z serwisami które są przydatne.

Używamy wyłącznie darknetowej wersji przeglądarki duckduckgo.com.

POD ŻADNYM POZOREM NIE WOLNO UŻYWAĆ PRZEGLĄDAREK TAKICH JAK OPERA LUB GOOGLE CHROME - SZPIEGUJĄ!

**8. Bezpieczna komunikacja**

Najbezpieczniejszą opcją jest pobranie Tor Messenger, bądź Pidgin i skonfigurowanie go z Off The Record Messaging. Jest to plugin zapewniający szyfrowaną komunikację między dwoma użytkownikami.

Plugin ten był wielokrotnie testowany, i zostało udowodnione m.in w wyciekach Edwarda Snowdena, że nawet NSA nie potrafi sobie poradzić z jego szyfrowaniem.

**Stanowczo odradzam ufanie aplikacjom typu Telegram/Whatsapp/Messenger/Wickr. Wszystko to jest closed source a szyfrowanie nie jest sprawdzone przez kryptologów i kryptografów.**

Polecam używać XMPP jako metody komunikacji, na zagranicznych serwerach takich jak exploit.im lub thesecure.biz. 

Można również korzystać z darknetowej wersji serwisu ProtonMail, wymaga ona jednak włączenia JavaScript jednak jest to jedna z niewielu stron na której możecie to zrobić raczej bez obaw. Skrzynka jest szyfrowana na poziomie przeglądarki, a wszystkie e-maile w sieci są szyfrowane. Można również wysyłać z darknetowego URL do clearnetowych adresów. ProtonMail siedzibę ma w Szwajcarii i nie trzyma logów. Jest to jedna z lepszych opcji jeśli chodzi o e-mail.

Adres darknetowy zamieszczę na końcu poradnika.

**9. Ogólne porady dotyczące OPSEC**

0. Wykorzystaj możliwości jakie daje ci laptop i modem 3g - wyjdź z domu. Przyda ci się powerbank do Raspberry Pi. Wychodź w różne miejsca, nigdy nie wchodź dwukrotnie w to samo miejsce. Unikaj kamer jak ognia. Nie zataczaj kółka wokół miejsca zamieszkania, wchodź w losowe budynki. Możesz również pojechać na wieś, stanąć na środku pola i efekt również będzie zadowalający. Najlepiej jednak rób to w zaludnionych miejscach takich jak bloki aby utrudnić dokładne namierzenie poprzez triangulację. 

1. Nikomu nie mów:

- swoich danych osobowych

- charakterystycznych cech charakteru / wyglądu

- informacji na temat przyjaciół/ znajomych/ miejsca zamieszkania/zainteresowań

- numeru telefonu

- jakichkolwiek powiązań z realnym życiem: innych adresów e-mail, facebooka itd

- jak się anonimizujesz

- kiedy masz czas wolny

- z jakiego kraju pochodzisz lub z jakiego regionu świata

- jakie języki programowania znasz, w czym jesteś dobry lub słaby

- o poprzednich nickach, lub dokonaniach

- NIE CHWAL SIĘ ŁAMANIEM PRAWA LUB CZYMŚ PODOBNYM POD ŻADNYM POZOREM, NAWET NAJBLIŻSZYM W REALU. 

2. Prowadź AKTYWNĄ kampanię dezinformującą - mów ludziom nieprawdę. Cały czas. Kłam jak z nut, kłam jak Donald Tusk w expose. Na przykład jesteś azjatą, masz 30 lat i jesteś uchodźcą z Korei Północnej. Wymyśl fałszywe dane. Weź zdjęcie jakiegoś randoma z facebooka. Najlepiej zagranicznego. Pozakładaj konta społecznościowe, spraw aby wręcz łatwo było Cię wydoxxować (znaleźć personalia). Ale muszą one być fałszywe, lecz spójne.

Polecam stronę: fakenamagenerator.com.

Podawaj fałszywe informacje na temat zainteresowań, umiejętności itd.

3. NIGDY nie wchodź na komunikatory darknetowe i nie pojawiaj się w internecie o tych samych godzinach co zwykle. Staraj się to zmieniać aby było w miarę nieregularne.

4. Nigdy nie pobieraj ŻADNYCH plików z darknetu, a jeżeli jest to absolutnie konieczne - otwieraj je w sandboxie bądź na tzw Live OS.

5. Pismo: Wszelkie dłuższe teksty pozbawiaj znaków interpunkcyjnych, polskich znaków i wszystkiego poza cyframi i literami. Usuń wielkie litery, pozostaw same małe. Staraj się używać znanych zwrotów i nie używać charakterystycznych zwrotów lub nazw. Mów konkretnie, bez poezji. Jak robot.

6. Nigdy nie używaj tych samych haseł na żadnym z kont. 

Korzystaj z managera haseł typu KeePassX. Generuj losowe hasła.

7. To samo tyczy się nicków. Wymyślaj nicki lub korzystaj z generatora.

8. Nie kontaktuj się ze znanymi ci osobami z darknetowej tożsamości - jesteś kimś zupełnie innym

9. Nigdy nie loguj się z tego komputera na żadne personalne konta powiązane ze światem zewnętrznym, nawet nie zamawiaj jebanej pizzy na twój adres.

10. Szyfruj wszystko i zawsze. Nie przywiązuj się do żadnej tożsamości ani do żadnych znajomych.

11. Traktuj każdego jakby był kimś komu zależy na poznaniu twojej prawdziwej tożsamości. Paranoja jest wskazana. Albo jesteś anonimowy albo nie, nie ma półśrodków.

12. Nie ufaj nikomu.

13. Nie spoufalaj się z nikim i nie licz na to że ktoś "nie powie".

14. Staraj się jak najmniej płacić za cokolwiek, ale jak już to robisz to tylko i wyłącznie w kryptowalutach, odpowiednio zmiksowanych. Polecam Grams Helix Light, BitcoinFog oraz konwersje na XMR przez shapeshift.io.

15. Do rejestrowania się na strony korzystaj z disposable e-mail. 

16. Nie rób nic nielegalnego :)

17. Staraj się korzystać tylko i wyłącznie z oprogramowania open-source.

18. ZAWSZE sprawdzaj sumy kontrolne i sygnatury wszystkich programów lub dystrybucji jakie pobierasz.

19. Nie ujawniaj swojego głosu w Internecie, nie rób żadnych zdjęć i żadnych filmików. Jeżeli absolutnie musisz zrobić zdjęcie, to wyczyść dane EXIF z niego używając programu exiftool

`exiftool -all= zdjecie.jpg` powinno zadziałać.

20. Laptop zawsze wyłączaj po używaniu, najlepiej wyjmij baterię i połóż obok. Pendrive ukryj w dobrym miejscu, tak samo jak karte od Raspberry PI i modemy wraz z kartami.

21. Staraj się mieć za sobą ścianę, gdy korzystasz z komputera i rób to najlepiej w samotności.

22. Ten komputer i ten raspberry pi, tak samo jak tem odemy są używane TYLKO w tym ustawieniu, i z niczym innym. Na tym komputerze jesteś inną osobą, nie znasz siebie ze świata nie anonimowego. Inny nick, inne hasło, inna data urodzenia. Ale o tym już mówiłem? Nie ważne, nie możesz popełnić tego błędu!

23. Nie prowokuj służb, bo trafisz na celownik. Czyli nie wysyłaj alarmów bombowych. A lepiej pozostać w cieniu, pomijając etyczny aspekt takich działań.

24. NIGDY nie korzystaj z tego setupu w domu, lub przechowuj odłączone od prądu.

**10. Przydatne linki**

Adresy darknetowe i clearnetowe warte zobaczenia:

ProtonMail - szyfrowany e-mail w Szwajcarii: protonirockerxow.onion, protonmail.ch, protonmail.com

DuckDuckGo - bezpieczna wyszukiwarka: 3g2upl4pq6kufc4m.onion

Grams - wyszukiwarka darknetowa oraz dobry mixer bitcoinow: grams7enufi7jmdl.onion

BitcoinFog - dobry mixer bitcoinow: foggeddriztrcar2.onion

Disposable e-mail: guerrillamail.com, temp-mail.org

Flashowanie BIOS na Libreboot: https://libreboot.org/docs/install/t400_external.html

Rozkręcanie T400: https://www.youtube.com/watch?v=UTZds3NpTOc

VPN: https://nordvpn.com

**11. Generowanie silnych haseł**

Jako hasło do dysku, oraz hasło do KeePassX polecam metodę Diceware.

Wymagana jest do niej jedynie kostka do gry, jednak musi to być kostka a nie elektroniczny generator.

Polega ona na wybieraniu 6-7 losowych wyrazów z potężnego słownika. Łatwe do zapamiętania, a entropia tak duża, że praktycznie nie do złamania.

Więcej o tej metodzie tutaj: http://world.std.com/~reinhold/diceware.html