فصل ۳

در سال ۲۰۱۲، FBI یک هکر با نام مستعار w0rmer را دستگیر کرد، بعد از اینکه او چندین وبسایت نیروی انتظامی ایالات متحده را هک کرد و داده‌های آن‌ها را به صورت آنلاین منتشر کرد. شاید فکر کنید عملیات بزرگی برای دستگیری این هکر انجام شد، اما نه، w0rmer فقط امنیت عملیاتی (opsec) ضعیفی داشت. او به‌سادگی مکان دقیق خود را به FBI داد، چرا که پایگاه داده FBI را با تصویری از دوست‌دخترش که از گردن به پایین در بیکینی بود و تابلوئی در دست داشت که روی آن نوشته شده بود "PwNd by w0rmer & CabinCr3w, <3 u BiTch's!" جایگزین کرده بود. FBI از روی تصویر متوجه نشد که دختر چه کسی است؛ w0rmer فراموش کرد (یا اهمیتی نداد) که متاداده EXIF تصویر را پاک کند. FBI تصویر را بررسی کرد و در متاداده آن متوجه شد که عکس با یک iPhone 4 گرفته شده است و مختصات GPS مربوط به حومه‌ای در ملبورن را نشان می‌دهد. w0rmer مکان خود را از طریق یک تصویر فاش کرد.

چسب الکتریکی روی وب‌کم‌تان و مرورگر تور داخل Whonix OS نمی‌تواند به شما کمک کند اگر بیش از حد درباره خودتان افشاگری کنید، اگر به مرور زمان هویت واقعی‌تان را تکه‌تکه فاش کنید. داشتن امنیت عملیاتی خوب به معنای داشتن کنترل و آگاهی از چیزهایی است که در هنگام صحبت با دیگران یا ارسال مطالب آنلاین به اشتراک می‌گذارید.

شناسایی داده‌ها و اطلاعات حساس

اولین گام در بهبود OPSEC شناسایی داده‌هایی است که برای شما حساس هستند. برای این کار، باید به مدل تهدید خود مراجعه کنید. ارزیابی کنید که چه تهدیدهایی رایج هستند و کدام داده‌ها در صورت افتادن به دست افراد نادرست، پیامدهای جدی‌تری خواهند داشت. سپس، اطلاعات را بر اساس شدت پیامدها اولویت‌بندی کنید.

داشتن این برنامه باعث می‌شود که نیازی به احتیاط بیش از حد نداشته باشید. بیش از حد محتاط بودن درباره هر چیزی که می‌گویید یا به اشتراک می‌گذارید، می‌تواند انرژی ذهنی زیادی را مصرف کند و احتمال خطا را افزایش دهد. با تمرکز بر روی آنچه که بر اساس وضعیت منحصربه‌فرد و مدل تهدیدتان حساس است، می‌توانید تلاش ذهنی لازم برای حفظ امنیت عملیاتی را به حداقل برسانید.

اطلاعات حساس رایج

این‌ها برخی از رایج‌ترین انواع اطلاعات حساس هستند که ممکن است فرد بخواهد از آن‌ها محافظت کند، اما همه چیز بستگی به وضعیت منحصربه‌فرد شما دارد و اینکه آیا این موارد با مدل تهدید شما همخوانی دارد یا خیر.

  • اطلاعات شناسایی شخصی (PII): اطلاعاتی که می‌تواند فردی را به‌طور منحصربه‌فرد شناسایی کند.

    • نام کامل قانونی: نام کامل شما که در مدارک شناسایی‌تان ثبت شده است.
    • آدرس‌ها: موقعیت فیزیکی که در آن زندگی یا کار می‌کنید.
    • شماره‌های تلفن: شماره‌هایی که به خطوط تلفن شما اختصاص داده شده است، از جمله شماره‌های موبایل و خط ثابت.
    • آدرس‌های ایمیل: حساب‌های ایمیلی که با هویت شخصی شما مرتبط هستند.
    • تاریخ تولد: تاریخی که متولد شده‌اید، که معمولاً برای اهداف تأیید هویت استفاده می‌شود و می‌تواند برای محدود کردن هویت شما مورد استفاده قرار گیرد.
    • شماره‌های شناسایی ملی: شماره‌های منحصربه‌فردی که توسط دولت‌ها برای شناسایی شهروندان یک کشور صادر می‌شوند، اما حتی چیزی مانند شماره کارت کتابخانه نیز اگر با هویت شخصی شما مرتبط باشد، می‌تواند حساس باشد.

  • اطلاعات مالی: داده‌های مرتبط با تراکنش‌ها و حساب‌های مالی شما. برخی از این اطلاعات می‌توانند PII نیز باشند.

    • شماره حساب‌های بانکی: شماره‌های منحصربه‌فردی که به حساب‌های بانکی شما برای تراکنش‌ها اختصاص داده شده است.
    • شماره‌های کارت‌های اعتباری/دبیت: شماره‌های موجود بر روی کارت‌های پرداخت شما که برای خرید کالاها و خدمات استفاده می‌شوند.
    • اطلاعات پرداخت (PayPal، Venmo و غیره): جزئیاتی که برای پردازش تراکنش‌های مالی از طریق خدمات پرداخت مانند ایمیل PayPal یا نام کاربری Venmo شما استفاده می‌شود.
    • صورت‌حساب‌های مالی: اسناد جزئیات تراکنش‌های مالی و مانده حساب‌های شما.
    • اطلاعات مالیاتی: جزئیات مربوط به اظهارنامه‌های مالیاتی و سوابق شما.

  • اطلاعات دسترسی به حساب‌ها: اطلاعاتی که برای دسترسی به حساب‌های آنلاین شما استفاده می‌شود.

    • نام‌های کاربری
    • رمزهای عبور
    • سؤالات و پاسخ‌های امنیتی: سؤالات از پیش تعیین‌شده با پاسخ‌هایی که برای بازیابی حساب استفاده می‌شوند.
    • کدهای احراز هویت دو مرحله‌ای (2FA): کدهای موقتی که همراه با رمز عبور برای امنیت بیشتر استفاده می‌شوند.

  • ردپای دیجیتالی و متاداده: اطلاعاتی که می‌تواند برای ردیابی فعالیت‌های آنلاین شما استفاده شود.

    • آدرس‌های IP: برچسب‌های عددی منحصربه‌فردی که به دستگاه‌های شما در یک شبکه اختصاص داده شده است.
    • آدرس‌های MAC: شناسه‌های سخت‌افزاری که به رابط‌های شبکه اختصاص داده شده‌اند.
    • اثر انگشت مرورگر: پیکربندی‌ها و تنظیمات منحصربه‌فرد مرورگر شما که می‌توانند برای ردیابی شما استفاده شوند.
    • اطلاعات دستگاه (مدل، سیستم‌عامل و غیره): جزئیاتی درباره دستگاه‌هایی که برای دسترسی به اینترنت استفاده می‌کنید.
    • داده‌های مکان‌یابی: اطلاعاتی درباره مکان فیزیکی شما که از دستگاه‌های شما استخراج شده است.
    • کوکی‌ها و اسکریپت‌های ردیابی: فایل‌ها و کدهای کوچکی که برای ردیابی فعالیت شما در اینترنت استفاده می‌شوند.

  • محتوای ارتباطات: محتوای واقعی ارتباطات شما.

    • ایمیل‌ها: پیام‌های دیجیتالی ارسال‌شده از طریق خدمات ایمیل.
    • پیام‌های متنی: پیام‌های کوتاه ارسال‌شده از طریق SMS یا برنامه‌های پیام‌رسانی.
    • پست‌های رسانه‌های اجتماعی: محتوایی که در پلتفرم‌های شبکه‌های اجتماعی به اشتراک گذاشته‌اید.
    • گزارش‌های چت: مکالمات ضبط‌شده از سرویس‌های پیام‌رسان فوری.
    • ضبط‌های تماس‌های صوتی و تصویری: داده‌های صوتی و تصویری از تماس‌هایی که از طریق خدمات VoIP انجام شده است.

  • اطلاعات رفتاری: داده‌هایی درباره رفتار و عادات آنلاین شما.

    • تاریخچه مرور: سابقه وبسایت‌هایی که بازدید کرده‌اید.
    • عبارات جستجو: کلمات و عباراتی که در موتورهای جستجو جستجو کرده‌اید.
    • عادات خرید آنلاین: الگوها و ترجیحات در خریدهای آنلاین شما.
    • فعالیت در شبکه‌های اجتماعی: تعاملات و مشارکت شما در پلتفرم‌های شبکه‌های اجتماعی.
    • سبک نوشتاری: طرز نوشتن یا صحبت کردن شما.
    • الگوهای استفاده از اپلیکیشن‌ها: اطلاعاتی درباره نحوه استفاده شما از اپلیکیشن‌های موبایل و وب.

  • اطلاعات حرفه‌ای: اطلاعات مربوط به کار شما.

    • جزئیات شغلی: اطلاعاتی درباره شغل و کارفرمای شما.
    • اسناد کاری: فایل‌ها و سوابق مربوط به فعالیت‌های حرفه‌ای شما.
    • اطلاعات مخاطبین کاری: اطلاعاتی درباره شبکه حرفه‌ای شما.
    • اطلاعات پروژه‌ها: جزئیاتی درباره پروژه‌هایی که روی آن‌ها کار می‌کنید.
    • داده‌های مشتریان: اطلاعاتی درباره مشتریانی که به‌صورت حرفه‌ای با آن‌ها تعامل دارید.

  • اطلاعات بیومتریک: ویژگی‌های زیستی منحصربه‌فرد که برای شناسایی استفاده می‌شوند.

    • اثر انگشت: الگوهای منحصربه‌فرد بر روی نوک انگشتان شما.
    • داده‌های تشخیص چهره: نقشه‌برداری دیجیتالی از ویژگی‌های چهره شما.
    • اثر صدا: ویژگی‌های منحصربه‌فرد صدای شما که برای شناسایی استفاده می‌شود.
    • اسکن‌های عنبیه: تصاویر دقیق از بخش رنگی چشم شما.

  • ترجیحات و عقاید شخصی: اطلاعاتی درباره باورها، ترجیحات و عقاید شما. این اطلاعات می‌تواند در صورتی که تحت دیکتاتوری یا در محیط‌های سرکوبگر زندگی می‌کنید، بسیار حیاتی باشد.

    • دیدگاه‌های سیاسی: باورها و مواضع شما در مسائل سیاسی.
    • اعتقادات مذهبی: دین و اعمال مذهبی شما.
    • گرایش جنسی: ترجیحات و هویت جنسی شما.
    • اطلاعات سلامتی: داده‌هایی درباره سابقه پزشکی و وضعیت سلامتی فعلی شما.
    • عضویت در سازمان‌های مختلف: عضویت‌های شما در باشگاه‌ها، انجمن‌ها و گروه‌های دیگر.

حفاظت از اطلاعات حساس

اکنون که با برخی از اطلاعات حساس رایج در OPSEC آشنا شدیم، می‌توانیم به روش‌هایی برای محافظت از این اطلاعات بپردازیم. این حفاظت‌ها نیز بسته به وضعیت شخصی شما و مدل تهدید منحصربه‌فردتان بسیار متفاوت است. همیشه به مدل تهدید خود نگاهی بیندازید.

اطلاعات شناسایی شخصی (PII)

  • فایل‌ها و اسنادی که حاوی PII هستند را با استفاده از الگوریتم‌های رمزنگاری قوی مانند AES رمزگذاری کنید. هرگز الگوریتم رمزنگاری خودتان را ایجاد نکنید؛ از الگوریتمی استفاده کنید که ثابت شده امن است و پیاده‌سازی آن بررسی شده است.
  • جمع‌آوری و نگهداری اطلاعات شناسایی شخصی غیرضروری را به حداقل برسانید. فقط در صورتی PII خود را ارائه دهید که مجبور باشید و راه دیگری وجود نداشته باشد. اگر می‌توانید از ارائه PII خودداری کنید و از یک نام مستعار یا هویت جعلی استفاده کنید، این کار را انجام دهید.
  • اسناد فیزیکی حاوی PII مانند پاسپورت خود را در مکانی امن و با سیستم‌های نظارتی مانند دوربین‌های مدار بسته (CCTV) نگهداری کنید.

اطلاعات مالی

  • هنگام دسترسی به وبسایت بانک یا هر وبسایت مالی دیگر، از اتصالات امن (مانند HTTPS) استفاده کنید.
  • به‌طور مرتب حساب‌های مالی خود را برای دسترسی‌های غیرمجاز بررسی کنید و اگر بانک شما این ویژگی‌ها را ارائه می‌دهد، هشدارها را فعال کنید.
  • هشدارهای تراکنش را برای تمامی تراکنش‌ها فعال کنید تا از هرگونه فعالیت مشکوک در حساب‌هایتان آگاه شوید.
  • در مورد ارزهای دیجیتال، از ارزهایی که غیرمتمرکز هستند و ناشناس بودن را فراهم می‌کنند مانند ZCash و Monero استفاده کنید. بیشتر ارزهای دیجیتال ناشناس نیستند؛ بلکه با نام مستعار عمل می‌کنند. کسی صاحب آدرس را نمی‌داند، اما به محض اینکه پول در دنیای واقعی خرج شود، به هویت واقعی شما ردیابی می‌شود. این در مورد ارزهای خصوصی مانند Monero صدق نمی‌کند.

اطلاعات حساب کاربری

  • از یک مدیر رمز عبور معتبر و بررسی‌شده برای ذخیره رمزهای عبور و اطلاعات حساب کاربری خود استفاده کنید. هرگز سعی نکنید رمزهای عبور خود را به خاطر بسپارید یا بدتر از آن، از یک رمز عبور برای همه‌جا استفاده نکنید. هر وبسایت باید رمز عبور منحصربه‌فردی داشته باشد تا در صورت فاش شدن رمز عبور یک حساب، دسترسی به حساب‌های دیگر امکان پذیر نشود.
  • هر زمان ممکن بود، احراز هویت دو مرحله‌ای (2FA) را برای افزودن لایه‌ای اضافی از امنیت فعال کنید. می‌توانید از دستگاه‌های فیزیکی برای 2FA یا اپلیکیشن‌های متن‌باز و بررسی‌شده برای کدهای TOTP استفاده کنید. همچنین، اطمینان حاصل کنید که اعتبارنامه‌های 2FA خود را نیز مانند رمزهای عبور محافظت می‌کنید.
  • هرگز اعتبارنامه‌های حساب کاربری خود را از طریق ایمیل یا پلتفرم‌های پیام‌رسانی بدون رمزگذاری به اشتراک نگذارید. اگر مجبور به اشتراک‌گذاری آن‌ها هستید، از رمزگذاری یا یک اپلیکیشن پیام‌رسان امن مانند Signal استفاده کنید و ویژگی حذف خودکار پیام را فعال کنید.
  • به‌طور دوره‌ای رمزهای عبور حساب‌ها را بازبینی و به‌روزرسانی کنید. همچنین، می‌توانید در سرویس‌هایی ثبت‌نام کنید که پایگاه‌های داده نقض‌شده یا وب تاریک را بررسی می‌کنند و اگر حساب شما در این نقض‌ها یافت شد، به شما اطلاع می‌دهند.

ردپای دیجیتالی و متاداده

  • از یک VPN یا تور با نام مستعار (بسته به مدل تهدیدتان) استفاده کنید تا آدرس IP خود را با رمزگذاری و تغییر مسیر ترافیک اینترنتی مخفی کنید.
  • مرورگرهای خود را تقویت کنید یا از مرورگر تور استفاده کنید تا جمع‌آوری تاریخچه مرورگر، کوکی‌ها و سایر متاداده‌ها را محدود کنید. همچنین می‌توانید مرورگر خود را به‌گونه‌ای پیکربندی کنید که اثر انگشت آن به حداقل برسد، اما به‌طور کلی استفاده از مرورگر تور برای جلوگیری از اثر انگشت بهتر است.
  • از موتورهای جستجوی دوستانه با حریم خصوصی مانند DuckDuckGo و StartPage استفاده کنید یا موتور جستجوی خود را مانند Searx میزبانی کنید.
  • سرویس‌های مکان‌یابی را بر روی دستگاه خود زمانی که به آن‌ها نیازی ندارید، غیرفعال کنید. موقعیت مکانی، زمانی که فعال باشد، می‌تواند در تصاویری که می‌گیرید ذخیره شود.
  • متاداده EXIF تصاویر را قبل از به اشتراک‌گذاری حذف کنید، یا از یک اپلیکیشن دوربین استفاده کنید که این کار را به‌طور پیش‌فرض انجام می‌دهد.

محتوای ارتباطات

  • همیشه از رمزگذاری انتها به انتها برای ارتباطات خود استفاده کنید. از اپلیکیشن‌های پیام‌رسانی مانند Session و Signal استفاده کنید که رمزنگاری قوی دارند و متاداده کمی ذخیره می‌کنند.
  • از ایمیل‌های رمزگذاری‌شده مانند Tutanota و ProtonMail استفاده کنید یا ایمیل‌های خود را قبل از ارسال با PGP رمزگذاری کنید. با این حال، ایمیل‌ها همیشه مقدار زیادی متاداده غیررمزگذاری‌شده خواهند داشت.
  • از به اشتراک گذاشتن اطلاعات حساس از طریق کانال‌های بدون رمزگذاری، مانند Wi-Fi عمومی، خودداری کنید. اطمینان حاصل کنید که کانال‌های ارتباطی شما رمزگذاری شده‌اند.

اطلاعات رفتاری

  • از موتورهای جستجوی دوستانه با حریم خصوصی برای به حداقل رساندن ردیابی فعالیت‌های آنلاین خود استفاده کنید. همچنین، پیشنهادات جستجو را در مرورگر خود غیرفعال کنید تا از فاش شدن جستجوهای خود به سرویس‌های شخص ثالث جلوگیری کنید.
  • به‌طور مرتب تاریخچه مرورگر، کوکی‌ها، کش‌ها و غیره را پاک کنید تا مطمئن شوید که هیچ اثری از فعالیت‌های شما بر روی مرورگر باقی نمانده است. یا در عوض از مرورگر تور استفاده کنید اگر با مدل تهدید شما همخوانی دارد.
  • تنظیمات حریم خصوصی خود را در شبکه‌های اجتماعی و وبسایت‌هایی که در آن‌ها ثبت‌نام کرده‌اید بازبینی و تنظیم کنید تا جمع‌آوری داده‌های شخصی به حداقل برسد.

اطلاعات کاری

  • در اینجا نیز رمزگذاری اهمیت دارد، بنابراین اسناد و فایل‌های کاری را با استفاده از رمزنگاری قوی رمزگذاری کنید، همان‌طور که برای داده‌های دیگر انجام می‌دهید.
  • از ابزارهای همکاری امن و رمزگذاری‌شده برای به اشتراک‌گذاری اطلاعات حساس مربوط به کار استفاده کنید.
  • دسترسی‌ها و مجوزها را پیاده‌سازی کنید تا دسترسی به داده‌های محرمانه کاری محدود شود.

اطلاعات بیومتریک

  • اطلاعات بیومتریک را با استفاده از یک الگوریتم رمزنگاری قوی و شناخته‌شده رمزگذاری کنید.
  • جمع‌آوری و ذخیره اطلاعات بیومتریک را به آنچه که برای اهداف احراز هویت لازم است، محدود کنید. اگر ممکن است، از استفاده از داده‌های بیومتریک برای احراز هویت خودداری کنید.

ترجیحات و عقاید شخصی

  • در به اشتراک گذاشتن ترجیحات و عقاید شخصی در پلتفرم‌های عمومی محتاط باشید، یا حداقل از نام واقعی خود استفاده نکنید.
  • تنظیمات حریم خصوصی خود را در شبکه‌های اجتماعی تنظیم کنید تا قابلیت مشاهده ترجیحات و عقاید شخصی محدود شود.
  • از نام مستعار یا حساب‌های ناشناس برای بحث در مورد موضوعات حساس استفاده کنید. این موضوع بسته به جایی که زندگی می‌کنید، گاهی اوقات می‌تواند حیاتی باشد.

OPSEC مؤثر فراتر از اجرای تکنیک‌ها است؛ این یک تغییر در ذهنیت است. این موضوع به آگاهی بیشتر از اطلاعاتی که به اشتراک می‌گذاریم و تعهد به یادگیری و سازگاری مستمر نیاز دارد. تهدیدها همیشه در حال تکامل هستند و ممکن است این تکنیک‌ها منسوخ شوند، اما اگر طرز فکر خود را بر این اساس تنظیم کنید که هر چیزی که آنلاین قرار می‌دهید ممکن است برای همیشه آنجا بماند و روزی خوانده شود، می‌توانید تکنیک‌های لازم را پیدا کنید.

"اگر چرایی را بدانید، می‌توانید هر چطور را زندگی کنید."

― فریدریش نیچه

فصل بعدی درباره اصول حریم خصوصی و امنیت خواهد بود. اکنون که افسانه‌ها شکسته شده‌اند، نقشه راه آماده است و ذهنیت شما تنظیم شده است، می‌توانیم به اصول دنیای حریم خصوصی برویم: ابزارها و تکنیک‌هایی که می‌توانند برای بهبود حریم خصوصی شما استفاده شوند.