Les technos de surf anonymes par Mitnick

[PengouinPdt]

01.net nous livre un article à-propos de Kevin Mitnick qui explique quel combat est de vraiment surfer anonymement. Interview suite à la sortie de son nouveau livre "Art of the Invisibility".

----

Pour moi, c'est clairement du bon sens ... et c'est très bien de pointer du doigt le fait que le plus difficile n'est pas de s'y mettre, bien que ce soit un peu "le parcours du combattant", mais de perdurer.

[piratebab]

Rester anonyme, c'est comme avec une chaîne de sécurité: il faut surveiller les maillons les plus faibles. Et là, en l’occurrence , c'est l'humain ....

[kitmale]

Ce qui m'amuse dans votre raisonnement est que si j'etais big brother je m'interesserais spécifiquement aux gens ayant un abo internet, un traffic élevé et aucune visibilité sur ce que cette personne visite...mais qd je dis ca je dis rien, eh

[piratebab]

kitmale, tu n'a visiblement rien compris à l'article!

[kitmale]

j'ai lu "rester anonyme" et j'ai réagi à cela

[vohu]

Et bien tu aurais du lire plus loin...


Sinon, pour en revenir à sa méthode, c'est assez contraignant... mais on a rien sans rien...

[lol]

Le plus compliqué c'est de trouver un hotspot public sans caméra de surveillance...
Ou il faut mettre un masque. Mais c'est pas trop discret dans un macdo...

[Mimoza]

Comme les ondes ne s'arrête pas à la clôture tu peux tout a fait te mettre a distance du hot-spot pour éviter les caméra.
Son manuel est en effet assez contraignant, mais la partie la plus difficile n'est pas l'obtention du matériel, mais du maintient de la discipline sur le long terme …

[piratebab]

Effectivement, il m'arrivait assez souvent de me connecter depuis le parking , bien au chaud dans mon camion.
Il faut que je prenne le temps de me remonter un petit systéme à base de bananapi pour remplacer mon vieux sheevaplug!
Pour le matériel, je pense qu'en s'approvisionnant dans les décheteries, il y a moyen de se monter facilement une machine anonyme.

[Mimoza]

Pas sûr que celui qui tient la déchèterie te laisse faire. Et trouver un petit Raspberry/Banana/etc Pi en déchèterie n'est pas évident
Je me demande si remonter une machine a partir d'ancienne pièce est une si bonne idée :
- l'ancien matos a déjà un «profil» et tu en profite pour passer plus facilement inaperçu
- une nouvelle activité très différente avec un matos déjà «taggé» obsolète/jeté peut paraitre suspect et donnerais une indication géographique sur la véritable localisation de l'utilisateur (si tu passe par des VPN).

L'intérêt d'une machine neuve est qu'elle ne traine aucune méta information susceptible de compromettre l'utilisateur.

Bref une question de base est « Est il préférable de tout faire pour se cacher au risque d'éveiller les soupçon, ou ne vaut il mieux pas essayer de se fondre dans la masse pour être plus difficilement remarquable.»

[piratebab]

La machine neuve, il ne faut pas non plus l'acheter prés de chez toi!
Se fondre dans la masse, c'est un peu ce qui est proposé. Changer de lieu, d'adresse MAC .... Cela revient à ne laisser que des miettes impossibles à relier entre elles.

[Grhim]

macchanger fonctionne du tonnerre

[funkygoby]

Je me suis un petit truc en C qui me change mon adresse mac. Je voulais le mettre dans les script d'inti puis j'ai laissé tomber.

Je me posais la question des données personnelles. Ce n'est pas le même sujet mais ça me semble lié.
Pour quelqu'un qui cherche à protéger sa vie privé d'internet, comment gérer le fait que les autres semblent avoir perdu toute notion de vie privée, données persos? Je parle des cas où les gens renseignent des données qui ne leur appartient as de renseigner:
Mon père a donné mon adresse mail perso/clean/famille à nespresso parce que ... ça lui rapportait des points. Je ne bois pas de café, je suis plutôt whisky.
Un pote a donné mon adresse perso (la même) a un site pour faire de la pub à notre groupe. Bien sûr on a été concerté après le fait accompli et il a fallu que je lui explique que j'avais des adresses prévues pour apparaitre sur le net. Heureusement, le patron du site et une connaissance et a accepter de retirer mon adresse.
Un pote (j'ai de drole de "potes") avait renseigné mon téléphone portable et mon nom complet dans son carnet gmail. Résultat, un jour je me connecte à gmail et je suis accueilli par mon nom complet au lieu du pseudo habituel. Donc gmail a une correspondance tél/nom/compte. super ...
Je me suis créé un compte facebook pro (je suis zicos) et en 2 semaines, mes "potes" (qui sont aussi mes collègues de travail) passaient par fb pour discuter de choses qui n'avaient rien de professionnelles, échange de tél, barbecs, piscines etc...

Donc je me posais la question, quelle est la portée des ces mesures (surf anonymes) si tout autour de vous, les gens mettent un point d'honneur à étaler votre vie privée?

[piratebab]

C'est un vrai problème. Par ex, sur FB, ils ont mis en place la reconnaissance de visage. bien que je n'ai pas de compte FB, FB connait mon visage parceque quelqu'un l'a renseigné. Je me bat pour que mon visage n'apparaisse pas sur FB, je me suis faché avec des amis à cause de cela .....

Afin de limiter les dégats, j'ai 2 identités sur le net:
- la vrai, avec mon vrai nom, limitée au strict minimum.
- mon identité piratebab, strictement limitée aux forums informatiques

Ayant un tel Android, je suis obligé d'avoir un compte chez google. J'y ai rempli le minimum d'infos, et j'efface celles que les autres rajoutent. Car rien ne prouve qu'elle sont justes. Et bien évidement, je désactive la géolocalisation, et le transfert de données. Je limite la surface d'exposition, car de toute façon, la bataille est perdue d'avance.

As tu essayé de taper ton pseudo dans un moteur de recherche ? En faisant des recoupements, n'importe qui peut avoir une bonne idée de tes centres d'interet (les tiens, ou ceux des personnes qui ont le même pesudo que toi ...)

[hybridemoineau]

J'en ai beaucoup voulu à Assange que j'avais trouvé fatigué sur ce coup là lorsqu'il avait dit que la vie privée était une notion obsolète, mais je suis devenu perplexe sur la protection des données, et je crois qu'il faut distinguer entre la limitation du nombre de données collectées, assez facile à mettre en oeuvre (avec le blocage des cookies, les extensions type RequestPolicy, Noscript, DecentralEyes, la désactivation de toutes les options liées au traçage du about:config de Firefox, l'utilisation de Dudckduckgo, Tor pour les furieux et je ne sais quoi encore), et l'empêchement du suivi individuel qui me paraît devenir une activité professionnelle à part entière - à part les agents secrets, je ne vois pas qui peut tenir, et encore.

Un détail m'a en particulier frappé, il y a quelques semaines. Au début de Facebook, en 2005-7 ? à peu près, je m'étais inscrit pour avoir accès au contenu posté par un ami. Facebook, MSN, pas de différence à l'époque. Le pseudo était pourri, le mot de passe aussi, je ne les ai utilisés que très peu de temps, peut être trois fois et je les ai perdus. J'ai toujours l'adresse mail utilisée pour l'inscription, et reçois toujours des mails de relance de la part de Facebbok, complètement creux. Mais il y a donc quelques semaines, ils m'ont proposé des amis, extrêmement bien ciblés (famille, profession, géographie).

J'avais un second profil facebook, utilisé au maximum 5 ou 10 fois, bidon, désactivé par facebook depuis, sans aucun post, avec une seule proposition d'ami (non validée) et qui me servait à me ballader dessus, activé avec une adresse mail différente, effacée aussi (par Yahoo).

C'est à partir de ce second profil et de l'adresse mail pour l'inscription du premier profil qu'ils m'ont profilé sur le premier et vieux profil.... A part l'adresse MAC du ou des ordis, l'IP fixe et les identifiants éventuels du routeur, enfin une ou deux occurences d'il y a 4 ou 5 ans où l'adresse mail du vieux profil apparaît sur le net ou qui est utilisée pour des listes de diffusion (web gris, non accesssible par Google sur SYMPA par exemple), il n'y pas d'autres infos qui font le lien entre les deux profils, ou entre ces profils et mon identité réelle. Et il faut toutes ces infos (profil 1, 2, identité réelle via adresse mail qui traîne sur le net et dans des BDD) pour expliquer toutes les propositions d'amis.

Entre les infos machines et le scrawling du net, Facebook fait bien son boulot.

Bref, ah oui, c'est quoi l'instruction pour changer d'adresse mac à chaque démarrage ?

[piratebab]

Changer d'adresse MAC est insuffisant. Ils arrivent à profiler le navigateur ....

[funkygoby]

Bref, ah oui, c'est quoi l'instruction pour changer d'adresse mac à chaque démarrage ?

Code : Tout sélectionner

/sbin/ifconfig wlan0 hw ether %s

À mettre dans les scripts rc (j'ai jamais fait ça) de manière à ce que ça s'exécute avant la connexion wifi. Voir le PS pour le programme complet.

@piratebab:
J'avais jamais fait. Ça colle avec mon "moi" informatique+vélo. Ce qui me rassure c'est que le ciblage des pub tombe souvent à coté. Oui, le vélo et la musique sont partis de mes centres d'interêt, non, je ne suis pas interessé par un vélo de merde à 500€ ou des cours de guitares accélérés.

P.S:
Attention ce programme a été écrit par un type incompétent. C'était une expérience, comment excuter une commande à partir d'un truc en C.
La licence c'est MicrosoftBSD 1973.

Code : Tout sélectionner

#include <stdlib.h>
#include <stdio.h>
#include <time.h>
#include <string.h>

#define N_BLOCKS 6

int main (int argc, char **argv) {
	char block[4] = {'\0'};/*':'+Les 2 chiffres hexa+'\0'*/
	char addr[(N_BLOCKS)*2+N_BLOCKS] = {'\0'};/*Les chiffres hexa+les ':'+le '\0'*/
	char command[256] = {'\0'};
	int i;

	srand(time(NULL));
	/*On écrit un premier block de 00 sans les ':'*/
	snprintf(addr,3,"00");
	for (i=1;i<N_BLOCKS;i++) {
	/*Il faut que addr soit bien initialisé sinon, le cat ne se fait forcement au début de addr => un Buffer overflow généralement muet dans la boucle.*/
		/*On écrit les 5 derniers blocks avec des ':' devant.*/
		snprintf(block,4,":%02x",rand()%256);
		strncat(addr,block,3);
	}

	snprintf(command,256,"/sbin/ifconfig wlan0 hw ether %s",addr);
	printf("executing %s\n",command);
	system(command);
	return 0;
}

[piratebab]

Pour brouiller un peu plus les pistes, tu peux utiliser un plugin qui change de façon aléatoire le user-agent de ton navigateur. Il doit même y en avoir que change encore plus de chose (version du navigateur, plugin installés ...) pour brouiller les pistes.

[funkygoby]

Tu aurais tendance à choisir de façon aléatoire ou bien te fondre dans la masse (genre safari version actuelle)?

[piratebab]

Comme je l'ai écrit, google et consort t'identifient aussi par l'empreinte de ton navigateur. Si tu veux brouiller les pistes et éviter les recoupements, il faut changer souvent cette empreinte vu par leurs services.
Ce n'ai pas trop creuser cette piste pour le moment, je me contente de changer manuellement avec user agent switcher.