فصل ۲

تصور کنید در حال بازی ماینکرفت هستید و به صورت تصادفی در نقطه‌ای از نقشه بازمی‌گردید. شما مختصات خانه‌ای که ساخته‌اید را ندارید. پیدا کردن خانه‌تان در بازی بدون دانستن محل و جهت، ممکن است بسیار وقت‌گیر و آزاردهنده باشد و حتی گاهی غیرممکن (شاید به‌خاطر ناامیدی تسلیم شوید). شما از غذا و انرژی خالی می‌شوید، و شب‌ها با حمله‌ ورودی زامبی‌ها و اسکلت‌هایی که تیراندازی می‌کنند و کریپرهایی که در کنارتان منفجر می‌شوند، مواجه می‌شوید. اما اگر مختصات X, Y, Z خانه‌تان و جهتی که باید به آن بروید را داشتید، می‌توانستید قبل از شب به آنجا برسید و از تمام این مشکلات نجات پیدا کنید.

در این کتاب برنامه‌ریزی کرده‌ام که به مرور زمان به موضوعات پیشرفته‌تری بپردازم. فصل اول به افشای برخی از افسانه‌های رایج در مورد حریم خصوصی و امنیت اختصاص داشت و در این فصل، چیزها کمی عملی‌تر می‌شوند. این فصل کاملاً درباره مدل‌سازی تهدید است، چرا که من باور دارم این مهم‌ترین قدم است که باید هنگام شروع سفر حریم خصوصی خود بردارید. در غیر این صورت، زمان زیادی را صرف تلاش‌های بی‌فایده خواهید کرد و تمام تلاش‌ها برای نیازهای شخصی شما هیچ منفعتی نخواهد داشت.

داشتن یک مدل تهدید می‌تواند معادل داشتن محل خانه‌تان در ماینکرفت باشد که روی کاغذ نوشته شده است. هر وقت از خانه دور شوید، می‌دانید کجا باید بروید تا بازگردید. در مورد حریم خصوصی و امنیت، شما می‌دانید چه تهدیدهایی شخصاً با آن مواجه هستید، چه چیزی می‌خواهید محافظت کنید، و بر اساس آن عمل می‌کنید، نه اینکه به‌طور کورکورانه از تور در Whonix OS استفاده کنید بدون هیچ دلیلی و ممکن است با این کار زندگی خود را سخت‌تر و حتی حریم خصوصی خود را بدتر کنید.

چیزی به نام امنیت کامل وجود ندارد

هیچ چیزی نمی‌تواند کاملاً امن، کاملاً خصوصی یا کاملاً ناشناس باشد. وقتی صحبت از مدل‌سازی تهدید می‌شود، شما باید فداکاری‌هایی انجام دهید. باید ببینید چه چیزهایی برایتان مهم‌تر است و روی آن‌ها کار کنید، به‌جای اینکه وقتتان را صرف تلاش برای امن و خصوصی کردن همه چیز کنید، که این غیرممکن است.

یک مدل تهدید لیستی است از تهدیدهایی که احتمالاً رخ می‌دهند. شما نمی‌توانید از خودتان در برابر هر تهدیدی محافظت کنید، اما می‌توانید روی محافظت از خود در برابر آن‌هایی که احتمال وقوع بیشتری دارند، کار کنید.

برای مثال، برای یک خواننده رپ، محتمل‌ترین تهدید می‌تواند لو رفتن موسیقی او باشد. وقتی مدل تهدید خود را طراحی می‌کنید، باید به این پرسش‌ها پاسخ دهید:

  • چه چیزی را بیشتر از همه باید محافظت کنم؟ در مثال خواننده رپ، موسیقی منتشر نشده پاسخ خواهد بود.
  • باید از چه کسی محافظت کنم؟ برای خواننده رپ، این می‌تواند هکرهای آنلاین و افرادی که به‌صورت فیزیکی با او هستند و به آهنگ‌ها دسترسی دارند، باشد.
  • احتمال وقوع آن چقدر است؟ اگر خواننده رپ به اندازه کافی معروف باشد، احتمالاً زیاد است.
  • اگر شکست بخورم، چه اتفاقی می‌افتد؟ این می‌تواند برای خواننده رپ هزینه‌های مالی داشته باشد.
  • چه کاری می‌توانم انجام دهم تا از آن محافظت کنم؟ در مثال خواننده رپ، او می‌تواند از هارد درایوهای رمزگذاری‌شده استفاده کند و دسترسی به آن‌ها را محدود کند تا از خطاهای انسانی جلوگیری شود.

چه چیزی را بیشتر از همه باید محافظت کنم؟

برای پاسخ به این پرسش، ابتدا باید لیستی از آنچه بیشترین ارزش را برایتان دارد، تهیه کنید. این می‌تواند دارایی‌های دیجیتال شما مانند ارزهای دیجیتال، اطلاعاتی که دارید، مانند ایمیل‌ها، مخاطبین، پیام‌ها یا فایل‌های مهم باشد. هر چیزی که برای شما ارزشمند است، آن‌ها را یادداشت کنید.

لیست خود را به این صورت تنظیم کنید: چه داده‌ای را محافظت می‌کنید، چگونه و کجا آن را نگه می‌دارید، چه کسی را می‌خواهید به آن دسترسی داشته باشد و چه کاری می‌توان انجام داد تا از دسترسی غیرمجاز به آن جلوگیری شود.

وقتی لیست خود را نوشتید، آن را بر اساس ارزشمندترین داده تا کم‌ارزش‌ترین داده اولویت‌بندی کنید. سپس می‌توانید گام بعدی را بردارید.

باید از چه کسی محافظت کنم؟

این می‌تواند هر کسی و هر چیزی باشد؛ این بستگی به موقعیت شخصی شما دارد. برای یک فعال سیاسی، مثلاً می‌تواند دولت باشد. برای کسی که علیه فاشیسم اعتراض می‌کند، می‌تواند هکرهای نئونازی و داکسرها باشد. برای یک کسب‌وکار، می‌تواند رقبا باشد.

سعی کنید لیستی از افرادی که ممکن است علاقه‌مند به دسترسی به دارایی‌ها یا داده‌های شما باشند، تهیه کنید. لیست شما می‌تواند شامل افراد، یک سازمان فدرال، یک شرکت، یک گروه داکسینگ، یک فرقه، هر چیزی باشد—شما بهتر می‌دانید.

این لیست می‌تواند به شما کمک کند تا ببینید با چه کسی و چه چیزی مواجه هستید، آن‌ها چه کاری می‌توانند انجام دهند و چه هزینه‌هایی ممکن است بپردازند تا به داده‌های شما دست یابند. این به شما کمک می‌کند تا وضعیت را با وضوح و واقع‌بینی بیشتری ببینید.

احتمال وقوع آن چقدر است؟

همه چیزهایی که ممکن است اتفاق بیفتد، رخ نخواهند داد. تهدیدهایی را که فکر می‌کنید احتمال وقوع دارند یادداشت کنید، به‌قدر امکان بسیاری از آن‌ها را یادداشت کنید، سپس آن‌ها را بر اساس احتمال وقوع درجه‌بندی کنید. آیا احتمال وقوع آن زیاد است؟ آیا به‌ندرت رخ خواهد داد؟ آیا حتی امکان دارد که بتوانید از داده‌های خود در برابر آن محافظت کنید؟

به‌عنوان مثال، ممکن است در هنگام بارندگی صاعقه به شما برخورد کند و بمیرید، اما احتمال آن چقدر است؟ آیا تا پایان باران در پناهگاهی عایق می‌مانید؟ نه، چون احتمال وقوع آن کم است. یا ممکن است هر بار که پشت فرمان می‌نشینید ماشین‌تان تصادف کند، اما آیا رانندگی را متوقف می‌کنید؟ نه. یا ممکن است اگر به یک منطقه جنگی باندهای خلافکار بروید به شما شلیک شود، و احتمالاً نمی‌روید، چون احتمال آن زیاد است. همین مسئله برای مدل‌سازی تهدید شما نیز صدق می‌کند؛ شما باید تهدیدها را بر اساس احتمال وقوعشان درجه‌بندی کنید.

اگر شکست بخورم، چه اتفاقی می‌افتد؟

سپس باید ببینید اگر در محافظت از داده‌های خود شکست بخورید، چه پیامدهایی خواهد داشت. به‌عنوان مثال، برای یک معترض ضد فاشیست، اگر داکسرها آدرس خانه او و تمام اطلاعاتش را آنلاین منتشر کنند، ممکن است تهدیدات فیزیکی برای او به وجود آید. یا اگر یک شرکت در محافظت از داده‌های خود شکست بخورد، هکرها یا رقبا ممکن است تمام داده‌های شرکت را خراب کرده و آن را به سمت ورشکستگی سوق دهند. از سوی دیگر، اگر من که فقط برای دوستانم در تلگرام میم می‌فرستم، پیام‌هایم توسط کسی خوانده شود، احتمالاً اتفاق بدی برای من نخواهد افتاد.

شما باید یادداشت کنید که مهاجمان ممکن است بخواهند با دسترسی به داده‌های شما چه کاری انجام دهند. آیا آسیبی که ایجاد می‌کنند به قدری کم است که شما اهمیت ندهید؟ یا آن‌قدر قابل‌توجه است که ممکن است تهدیدی برای زندگی شما باشد؟ شما باید به این پرسش‌ها پاسخ دهید.

برای محافظت از آن چکار می‌توانم بکنم

سپس می‌توانید تحقیق کنید که چه کارهایی می‌توان برای محافظت از آن داده‌ها انجام داد، چه هزینه‌هایی همراه خواهد داشت و چقدر زندگی‌تان سخت‌تر خواهد شد. آیا آماده‌اید که این تلاش را بپذیرید؟

برای مثال، اگر ارزهای دیجیتال دارید، می‌توانید ببینید چگونه می‌توان دارایی‌های خود را محافظت کرد. شاید نیاز داشته باشید از کیف‌پول‌های چندامضایی استفاده کنید یا دارایی‌های خود را به‌صورت آفلاین بر روی یک دستگاه امن و اختصاصی با رمزگذاری ذخیره کنید که هیچ نرم‌افزار اضافی روی آن نصب نشده است.

سپس اقدام کنید

پس از طراحی مدل تهدید خود، می‌توانید به مرحله اجرا بروید. در مثال دارایی‌های ارز دیجیتال، می‌توانید با پشتیبان‌گیری از دارایی‌هایتان بر روی کاغذ و قرار دادن آن در مکانی امن شروع کنید، از کیف‌پول‌های آفلاین و مورد بررسی قرار گرفته استفاده کنید، بلاکچین خود را دانلود کنید به‌جای اینکه به نودهای دیگران وابسته باشید، و حتی یک دستگاه اختصاصی خریداری کنید که برای این نیازها و اهداف تقویت شده باشد.

در این مرحله می‌توانید یک چک‌لیست ایجاد کنید تا مطمئن شوید که هیچ چیزی را فراموش نمی‌کنید و تمام اقداماتی که فکر می‌کنید داده‌های شما را ایمن نگه می‌دارند، اجرا می‌کنید.

تهدیدهای رایج در مدل‌سازی تهدید

تهدیدهای مختلف نیاز به اقدامات متفاوتی دارند؛ هیچ اقدام واحدی وجود ندارد که بتواند شما را از همه تهدیدها محافظت کند. و این مشکلی نیست—شما نیازی ندارید که این کار را انجام دهید. به همین دلیل مدل تهدید طراحی شده است: برای انجام اقدامات در برابر تهدیدهای محتمل‌تر و مهم‌تر بر اساس وضعیت شخصی خودتان.

تهدیدهای شما ممکن است در این لیست تهدیدهای رایج نباشند. آن‌ها ممکن است به استراتژی‌های منحصربه‌فردی برای محافظت نیاز داشته باشند. باز هم باید طبق مدل تهدید خود عمل کنید. این‌ها برخی از مفاهیمی هستند که در این کتاب، به‌ویژه در این فصل به آن‌ها اشاره خواهم کرد:

  • ناشناس بودن: جدا کردن و محافظت از هویت واقعی شما از فعالیت‌های آنلاین‌تان، محافظت از خودتان در برابر هر کسی یا هر چیزی که می‌خواهد ماسک هوشیارانه شما را بردارد و چهره واقعی شما را ببیند.
  • حملات هدفمند: محافظت از خود در برابر هکرها، داکسرها، سازمان‌های دولتی و غیره که به‌طور خاص سعی در دسترسی به داده‌های شما دارند.
  • حملات غیرمستقیم: محافظت از خود در برابر حملاتی که گروه بزرگی از افراد را هدف قرار می‌دهند، مانند زمانی که یک شرکت هک می‌شود و داده‌هایش در اختیار عموم قرار می‌گیرد، یا در برابر بدافزارها و کلاهبرداران که هزاران نفر را هدف قرار می‌دهند.
  • حملات زنجیره تأمین: حملاتی که به دلیل یک آسیب‌پذیری در یک وابستگی از یک برنامه مورد اعتماد رخ می‌دهند، مانند اتفاقی که برای توزیع‌های لینوکس در سال ۲۰۲۴ با رخنه‌ای در xz utils (CVE-2024-3094) افتاد.
  • ارائه‌دهندگان خدمات: محافظت از داده‌های خود در برابر ارائه‌دهندگان خدمات، مانند ISP خودتان، معمولاً از طریق رمزگذاری انتها به انتهای ارتباطات.
  • نظارت گسترده: محافظت از خود در برابر سیستم‌های نظارتی که جمعیت گسترده‌ای را هدف قرار می‌دهند، که معمولاً توسط دولت‌ها انجام می‌شود، اما همچنین شامل وبسایت‌هایی است که شما را در سراسر اینترنت ردیابی می‌کنند.
  • نظارت شرکت‌های بزرگ فناوری: محافظت از خود در برابر شرکت‌های بزرگ فناوری که از ردیابی شما در اینترنت سود می‌برند و داده‌های شما را برای تبلیغات می‌فروشند، مانند گوگل، فیسبوک و غیره.
  • افشای عمومی: محدود کردن داده‌هایی که به‌طور عمومی درباره شما در اینترنت موجود است، مانند داده‌های شخصی شما که توسط موتورهای جستجو ایندکس شده است.
  • سانسور: دور زدن سانسور دیجیتال یا جلوگیری از سانسور شدن هنگام استفاده از اینترنت یا قرار دادن محتوایی در اینترنت.

ناشناس بودن در برابر حریم خصوصی

ناشناس بودن کاملاً متفاوت از حریم خصوصی است، اما برای دستیابی به ناشناس بودن، حریم خصوصی ضروری است. ناشناس بودن زمانی است که یک فرد مانند Daredevil شب‌ها بیرون می‌رود تا با روس‌هایی که برای ویلسون فیسک کار می‌کنند بجنگد—آن‌ها نمی‌دانند Daredevil همان مت مرداک است، اما می‌دانند او چه می‌کند. مت مرداک هویت شخصی خود را، که یک وکیل نابینا است، از هویت هوشیارانه‌اش که یک قهرمان نقاب‌دار است، جدا کرده است. مت مرداک در زمان تبدیل شدن به Daredevil ناشناس است، و ویلسون فیسک و تمام دیگر جنایتکارانی که با آن‌ها مبارزه کرده‌اند، کسانی هستند که دوست دارند هویت او را فاش کرده و بفهمند چه کسی پشت ماسک است.

در این مثال، مت مرداک از حریم خصوصی برای دستیابی به ناشناس بودن استفاده کرده است. او هویت خود را به‌گونه‌ای جدا کرده است که هیچ‌کس به او به‌عنوان Daredevil مشکوک نمی‌شود. او تمام این سال‌ها تظاهر کرده است که نمی‌تواند چیزی ببیند، حتی نمی‌تواند بدون عصایش راه برود، و اگر زخمی می‌شد، می‌گفت که از پله‌ها افتاده است. این همان حریم خصوصی است که ناشناس بودن او را محافظت می‌کند. او تصمیم گرفته است که مردم فقط این بخش از شخصیت مت مرداک را ببینند، نه بخش Daredevil او.

در دنیای آنلاین، همین اصل صدق می‌کند، اما ابزارها متفاوت هستند. ماسک‌ها ابزارهای دیجیتالی با استفاده از رمزگذاری و مسیر‌یابی پیازی هستند، اما مفهوم یکسان است. اگر شما هم مانند مت مرداک یک عدالت‌جو هستید، احتمالاً نیاز دارید هویت واقعی خود را از هویت عدالت‌جویتان جدا کنید و محافظت کنید.

حملات هدفمند

Daredevil نیز مورد هدف قرار گرفت؛ تمام جنایتکاران Hell's Kitchen به دنبال او بودند. بنابراین او هم باید هویت و ناشناس بودن خود را محافظت می‌کرد و هم در برابر حملات هدفمند از یکی از قدرتمندترین جنایتکاران نیویورک، Kingpin محافظت می‌کرد. اما چه کسانی دیگر ممکن است در موقعیت Daredevil باشند؟ افشاگران، فعالان و معترضان. اما آن‌ها به ابزارهای متفاوتی نسبت به مت مرداک نیاز دارند. آن‌ها ممکن است به مرورگر تور نیاز داشته باشند، نه یک ماسک؛ آن‌ها ممکن است به ابزارهای رمزگذاری انتها به انتها برای ارتباطات و ذخیره داده‌ها نیاز داشته باشند، نه یک لباس ضدگلوله ساخته شده توسط Melvin Potter.

اما اگر فکر می‌کنید NSA، CIA و سایر آژانس‌ها به دنبال شما هستند، نمی‌توانید برای همیشه از آن‌ها فرار کنید. شاید بتوانید مرگ خود را جعل کرده و در یک زیردریایی زندگی کنید، اما آن‌ها احتمالاً شما را پیدا خواهند کرد. این تهدیدها معمولاً از دسته تهدیدهایی هستند که بهتر است به آن‌ها اهمیت ندهید، زیرا ممکن است زندگی شما را بسیار سخت کند. همچنین، خیلی به ندرت پیش می‌آید که آن‌قدر هدف قرار بگیرید. معمولاً آن‌هایی که توسط NSA هدف قرار می‌گیرند، حمایت یک دولت فاسد دیگر را دارند.

حملات غیرمستقیم

این نوع حملات بیشتر مردم Hell's Kitchen، از Foggy Nelson تا Frank Castle، حتی مردم Gotham City را تحت تأثیر قرار می‌دهد. این حملات معمولاً گروه‌های بزرگی از مردم را هدف قرار می‌دهند، مانند بدافزارهایی که در اینترنت منتشر می‌شوند. وقتی WannaCry در اینترنت منتشر شد، هر دستگاهی که نسخه آسیب‌پذیری از ویندوز را داشت، تحت تأثیر قرار گرفت. این بدافزار انتخابی نداشت.

این نوع حمله، به‌نظر من، محتمل‌ترین نوع حمله برای اکثر مردم است. ما همه در طول زندگی‌مان در بسیاری از وبسایت‌ها ثبت‌نام کرده‌ایم. یک رخنه اطلاعاتی در یکی از این وبسایت‌ها بسیار محتمل است و قطعاً می‌تواند بر ما تأثیر بگذارد اگر هیچ احتیاطی نکرده باشیم.

حملات زنجیره تأمین

حملات زنجیره تأمین می‌توانند حتی مورد اعتمادترین برنامه‌ها را با حمله به برنامه‌های دیگر که برنامه‌های ما بر آن‌ها استوار هستند، هدف قرار دهند. گاهی اوقات این حملات به کسب‌وکارها یا دولت‌ها هدف گرفته می‌شوند، اما می‌توانند جمعیت گسترده‌ای را نیز تحت تأثیر قرار دهند. این حملات به سختی قابل پیشگیری هستند؛ آن‌ها نیاز به زمان و انرژی برای بررسی و آزمایش هر وابستگی در زنجیره دارند تا اطمینان حاصل شود، اما ما نمی‌توانیم به‌طور قطعی مطمئن باشیم. همیشه نقص‌هایی وجود دارد—هیچ چیزی نمی‌تواند کاملاً امن باشد.

چگونه این حملات انجام می‌شوند؟

راه‌های زیادی برای اجرای این نوع حملات وجود دارد؛ در اینجا برخی از رایج‌ترین آن‌ها آورده شده است:

  • کسی که قدرت و موقعیت کافی در یک شرکت یا تیم توسعه دارد، ممکن است اختیار اضافه کردن کد مخرب به نرم‌افزار را داشته باشد.
  • در دنیای متن‌باز، کسی می‌تواند به‌گونه‌ای کد مخرب به پروژه کمک کند که بدون توجه به کدبیس اضافه شود.
  • نویسنده و نگهدارنده یک کتابخانه یا وابستگی ممکن است تصمیم بگیرد یک بک‌دور در کد وارد کند.

کاهش ریسک

چگونه می‌توانیم ریسک را کاهش دهیم؟ خوب، این ریسک را نمی‌توان کاملاً از بین برد، این قطعاً درست است. اما راه‌هایی وجود دارد:

  • نرم‌افزارها و خدمات از شرکت‌های بزرگ مانند گوگل معمولاً اعتبار خوبی دارند و امنیت بهتری نسبت به نرم‌افزارهایی که توسط یک تیم کوچک یا یک فرد توسعه داده می‌شوند، دارند.
  • بررسی تغییرات، کامیت‌ها و مشارکت‌کنندگان در مورد نرم‌افزارهای متن‌باز.
  • بررسی مداوم برای یافتن نقص‌های امنیتی شناخته‌شده در نرم‌افزارها.
  • استفاده از نرم‌افزارهای مستقل و بررسی‌شده.
  • استفاده از محیط‌های ایزوله برای به حداقل رساندن تأثیر احتمالی حملات.

ارائه‌دهندگان خدمات

ارائه‌دهنده خدمات اینترنتی (ISP) شما می‌تواند تمام ترافیک شما را مشاهده کند، مثل جوکر که یک GPS روی Batmobile بتمن قرار می‌دهد. جوکر می‌داند بتمن به کجا می‌رود و می‌تواند این حرکات را نیز ثبت کند. با این حال، به لطف TLS و HTTPS، داده‌هایی که ISPها می‌توانند ببینند محدود شده است. آن‌ها می‌توانند آدرس IP، شاخص نام سرور (SNI) ترافیک شما و درخواست‌های DNS را ببینند، اما راه‌حل‌هایی وجود دارد. ما می‌توانیم DNS را رمزگذاری کنیم، پیام Client Hello و SNI را رمزگذاری کنیم، تا تمام چیزی که ارائه‌دهنده خدمات شما می‌بیند، آدرس IP مقصد و تایم‌استمپ‌ها باشد، البته اگر TLS برای آن وبسایت یا سرویس فعال باشد.

شما همچنین می‌توانید اعتماد خود را از ISP به یک ارائه‌دهنده VPN منتقل کنید که ترافیک شما را لاگ نمی‌کند و اجازه می‌دهد که به صورت ناشناس ثبت‌نام کنید، مانند Mullvad یا Proton VPN. اما به یاد داشته باشید، این فقط تغییر محل اعتماد است، نه از بین بردن آن. برای این کار ابزارهای دیگری وجود دارد، مانند تور (Tor) که اطمینان حاصل می‌کند هیچ‌کس در میان نمی‌تواند بفهمد که شما کجا می‌روید و چه کاری انجام می‌دهید (اگر از وبسایت‌های شبکه تور و نه وبسایت‌های clearnet استفاده کنید).

استفاده از DNS رمزگذاری‌شده نیز به معنای تغییر محل اعتماد است؛ سرور DNS همچنان می‌داند شما چه کسی هستید و چه زمانی و به کجا می‌خواستید بروید. خوشبختانه، تور خود DNS خاص خود را نیز دارد.

نظارت گسترده

David Liberman، که به نام Micro شناخته می‌شود، تحلیلگر NSA و هکری بود که وقتی سعی داشت قاچاق مواد مخدر CIA در افغانستان را افشا کند، توسط یک مأمور فاسد وزارت امنیت داخلی "کشته" شد. اما او زنده ماند. او به همه دوربین‌های نظارتی و تمام چیزی که این سازمان‌های دولتی به آن‌ها دسترسی داشتند، دسترسی پیدا کرد تا بتواند Frank Castle، معروف به Punisher، را پیدا کند تا به او کمک کند تمام کسانی که تهدیدی برای خانواده‌اش بودند را بکشد تا بتواند به خانه بازگردد. حداقل، این چیزی است که من به یاد دارم. فیلم موضوع اصلی نیست. این نوع عمل—جاسوسی از تمام مردم، جاسوسی از تمام ترافیک اینترنت، ثبت هر بسته داده—همان چیزی است که نظارت گسترده نامیده می‌شود. این نوع نظارت همه را تحت تأثیر قرار می‌دهد.

نظارت شرکت‌های بزرگ فناوری

نوع دیگری از نظارت گسترده وجود دارد که توسط دولت‌ها یا آژانس‌ها انجام نمی‌شود؛ بلکه توسط شرکت‌های بزرگ فناوری مانند گوگل و فیسبوک انجام می‌شود. این شرکت‌ها که بزرگ‌ترین شرکت‌های فناوری با بیشترین تعداد کاربران اینترنتی هستند، حجم عظیمی از داده‌ها را جمع‌آوری می‌کنند، گاهی حتی بیشتر از چیزی که دولت‌ها در برخی کشورها انجام می‌دهند.

این نوع نظارت گسترده با آنچه که توسط دولت‌ها انجام می‌شود، متفاوت است. این شرکت‌ها این کار را انکار نمی‌کنند یا ادعا نمی‌کنند که برای مبارزه با تروریسم یا امنیت ملی است؛ آن‌ها به‌سادگی این کار را برای فروش داده‌های جمع‌آوری‌شده انجام می‌دهند.

آن‌ها از داده‌های شما برای تبلیغات استفاده می‌کنند و از این طریق درآمد زیادی کسب می‌کنند. آن‌ها شما را در سراسر اینترنت ردیابی می‌کنند. اما هیچ تضمینی وجود ندارد که این موضوع فراتر از تبلیغات و پول نرود. ممکن است در آینده با سازمان‌های دولتی نیز همکاری کنند.

افشای عمومی

وقتی ۸ ساله بودم، یک وبسایت شخصی برای خودم ساختم که نام، ایمیل و شماره تلفنم روی آن بود. ماه‌ها طول کشید تا با گوگل و وبلاگ مربوطه مکاتبه کنم تا آن را از نتایج موتور جستجو حذف کنم. این همان افشای عمومی است: داده‌هایی که به‌طور عمومی درباره شما در اینترنت موجود است. این داده‌ها حتی ممکن است توسط خودتان زمانی که اهمیتی به حریم خصوصی نمی‌دادید، منتشر شده باشد. حذف آن بسیار سخت و گاهی غیرممکن است. در واقع، همیشه غیرممکن است که چیزی را که در اینترنت منتشر کرده‌اید به‌طور کامل حذف کنید. به همین دلیل، باید این طرز فکر را داشته باشید که اگر چیزی می‌گویید، پست می‌کنید یا به اشتراک می‌گذارید، ممکن است برای همیشه در اینترنت باقی بماند. حتی اگر رمزگذاری شده باشد، باید فرض کنید که یک روز خوانده خواهد شد—شاید نه در طول زندگی شما، اما در نهایت.

پیشگیری بهترین درمان است. بهترین راه برای خصوصی نگه داشتن داده‌های شما این است که از ابتدا آن‌ها را عمومی نکنید. به یاد داشته باشید که هیچ‌کس شما را برای ثبت‌نام نکردن در اینستاگرام با هویت واقعی‌تان دستگیر نخواهد کرد. این اینترنت است؛ شما در حال ثبت‌نام برای ارتش یا باز کردن حساب بانکی نیستید. نیازی نیست از نام واقعی، شماره تلفن و آدرس خانه‌تان در اینترنت استفاده کنید. هیچ‌کس نیازی به دانستن این اطلاعات درباره شما ندارد. شماره تلفن واقعی‌تان را برای کسانی که شخصاً می‌شناسید نگه دارید، نه برای هر ترول، داکسر یا کسی که ممکن است از اینترنت استفاده کند. همین موضوع برای نام واقعی و دیگر جزئیات شخصی شما صدق می‌کند.

جلوگیری از سانسور

گاهی اوقات شما فقط به حریم خصوصی و امنیت نیاز دارید تا از سانسور جلوگیری کنید، چه این سانسور توسط دولت اعمال شده باشد، چه توسط یک پلتفرم مانند توییتر یا یک مدیر سرور Matrix. اکثر ما، از جمله خودم، از سانسور بیزاریم. سانسور جامعه را از رشد بازمی‌دارد؛ این مانند خاموش کردن نوآوری، خلاقیت و ایده‌های جدید است. معمولاً توسط کسانی اعمال می‌شود که برای حفاظت از امپراتوری‌های خود به زور متوسل می‌شوند، زیرا خودشان می‌دانند چقدر در اشتباه هستند.

در این سناریو، ابزارهای حریم خصوصی مانند VPN ها، پروکسی‌ها، DNS رمزگذاری‌شده و تور می‌توانند به شما کمک کنند تا سانسور را دور بزنید. پلتفرم‌های دوستانه با حریم خصوصی مانند Mastodon که به شما اجازه می‌دهند خودتان آن‌ها را میزبانی کنید، به شما امکان می‌دهند آزادانه صحبت کنید بدون اینکه کسی مانند ایلان ماسک از دست شما عصبانی شود.

سفر آغاز می‌شود...

این‌ها برخی از تهدیدهای رایج و روش‌هایی برای طراحی مدل تهدید شما بودند. این می‌تواند بر اساس وضعیت منحصربه‌فرد شما متفاوت باشد؛ شما باید نیازهای شخصی خود را هنگام مدل‌سازی تهدید بررسی کنید. اما این کاری نیست که باید از آن صرف‌نظر کنید؛ در غیر این صورت، گم خواهید شد و وقت و انرژی خود را برای چیزهایی که نیازی به آن‌ها ندارید، هدر خواهید داد. این دقیقاً همان چیزی بود که باعث شروع سفر حریم خصوصی من شد. من به جای طراحی یک مدل تهدید، سعی کردم خودم را از هر حمله ممکن محافظت کنم. نه تنها یک سال از زندگی‌ام را هدر دادم، بلکه به خودم اضطراب و پارانویا طولانی‌مدت دادم، آن‌هم بی‌دلیل، فقط به این دلیل که برنامه‌ریزی نکردم که از چه کسانی می‌خواهم داده‌هایم را محافظت کنم.

این فصل با این نتیجه‌گیری به پایان می‌رسد. در فصل بعدی به امنیت عملیاتی (Operational Security) می‌پردازم که با اینکه فنی نیست، یکی از مهم‌ترین جنبه‌های حریم خصوصی و ناشناس بودن آنلاین است. امنیت عملیاتی، یا opsec، شامل جلوگیری از دسترسی اطلاعات حساس به دست افراد نادرست می‌شود.