Pregunta:
Suponiendo que estoy usando Starbucks Wifi, ¿tiene sentido usar una VPN si quiero permanecer en el anonimato?
Kay
2020-06-18 11:39:08 UTC
view on stackexchange narkive permalink

¿Usar Starbucks Wifi no me haría algo anónimo ya que mi dirección IP sería la misma que la de otros usuarios conectados a la misma red? Por lo tanto, no es necesario utilizar una VPN asumiendo que no quiero que el sitio web al que estoy conectado conozca mi identidad. Por supuesto, el sitio web puede determinar quién estoy asumiendo que mis huellas digitales del navegador son únicas. Sin embargo, suponiendo que cambie las huellas digitales de mi navegador en cada sesión, debería estar bien. ¿Correcto?

La última vez que me conecté a Starbucks Wifi en EE. UU., Me pidieron mi dirección de correo electrónico y mi código postal.Esto no parece muy anónimo (aunque, por supuesto, uno podría simplemente falsificar la información).
@MichaelHampton no es anónimo para la red, sino anónimo (o dado que la IP es la misma que la de muchos otros usuarios) para los sitios web que uno visita.
¡VPN no te hace anónimo!No caiga en una falsa sensación de seguridad.
Usar la misma VPN desde diferentes puntos de acceso en realidad sería una forma de tomar las huellas digitales.
Cuatro respuestas:
#1
+33
mallocation
2020-06-18 12:16:24 UTC
view on stackexchange narkive permalink

Su escenario cae dentro de uno de los principales casos de uso de una VPN, que es protegerse de puntos de acceso Wi-Fi públicos que no son confiables . Otros casos de uso son superar las restricciones geográficas cuando se trata de transmitir y acceder a ciertos sitios web.

El punto de venta más fundamental de una VPN es permitir el acceso a la Internet pública mediante una conexión privada.

algo anónimo ya que mi dirección IP sería la misma que la de otros usuarios conectados a la misma red.

"Algo" es correcto pero tener una dirección IP diferente no significa que su conexión de identidad & esté segura. Como mencionaste que hay otros usuarios en la misma red, eso solo anula el anonimato que estás tratando de lograr.

El anonimato debería ser la menor de tus preocupaciones, estoy más preocupado por esto. desde el punto de vista de la seguridad.

Como beneficio adicional, si bien es posible que la IP de la cafetería no lo lleve directamente a usted, puede conducirlo a la ubicación física, que puede ser igualmente mala según su modelo de amenaza.
La pregunta se hizo explícitamente sobre el anonimato, no la seguridad.
@vsz Y el anonimato sería difícil de lograr sin seguridad.Son conceptos entretejidos.
@mallocation: ¿por qué?¿Qué pasa si alguien quiere publicar una opinión política en un lugar donde es ilegal o peligroso hacerlo?Con una computadora que no se usa para ningún banco y no se almacena información personal en ella (básicamente una computadora portátil que se usa únicamente para este propósito), o usando una máquina virtual, los problemas de seguridad se pueden eliminar o al menos reducir en gran medida.Pero si lo hace desde casa, su IP podría llevar a algunos hombres agradables con armas a aparecer en su puerta.
Garantizar que la seguridad no provenga de nuestros hogares individuales.Puede estar fuera de casa y aún así obtener seguridad y anonimato.
El anonimato puede verse comprometido en el wifi de Starbucks, dependiendo de los recursos del adversario.Si el "cartel anónimo 777777564" critica un gobierno totalitario de Starbucks IP con una fuerte correlación con las veces que Joe Blow es visto en su computadora portátil allí, eventualmente será identificado positivamente.La VPN es resistente a esto siempre que la VPN no coopere con el adversario.
Las VPN sirven para proteger un segmento de una red (la P en VPN), no para el anonimato.Esa es una afirmación de marketing * no verificada * de los proveedores de VPN.No hay un mecanismo incorporado para el anonimato en las VPN, a diferencia de TOR.Básicamente, los está utilizando como proxy o como host de salto.Pero al contrario de, digamos, un host de salto pirateado, los proveedores de VPN seguramente * mantienen * registros de su actividad.Además, tienen tu correo electrónico, etc.¿De verdad crees que una pequeña empresa guardará el secreto cuando los federales llamen a su puerta por terrorismo o pornografía infantil?Las VPN comerciales solo son útiles para conectarse desde un país determinado.
Entrar a hurtadillas en la conexión de otra persona es probablemente más anónimo que registrar una cuenta VPN.
Sé que las redes públicas son "inseguras" en el sentido de que todo el mundo puede ver los datos que está enviando / recibiendo, pero si todo se realiza a través de HTTPS, ¿qué tipos de ataques deberían preocuparle?
@vsz una serie de marcas de tiempo más la IP de la cafetería conduce a una violación del anonimato al solicitar imágenes de la cámara de seguridad y encontrar a la persona que estaba en la cafetería en esos momentos particulares.
#2
+13
mentallurg
2020-06-18 15:15:46 UTC
view on stackexchange narkive permalink

"mallocation" dio una buena respuesta.

Agregaría algunas palabras sobre el anonimato.

VPN ocultará su IP real. Pero desde el punto de vista del anonimato eso es todo. Desafortunadamente, los navegadores revelan demasiada información a los sitios web y, en la mayoría de los casos, no puede evitar que el JavaScript de su navegador se comunique con sus backends y les envíe su información de identificación (bloquear algunas solicitudes a menudo hace que los sitios web no funcionen).

Hay algunas extensiones de navegador que pueden falsificar algunos parámetros utilizados para la toma de huellas digitales, como la cadena del agente de usuario o la huella digital del lienzo. Pero otras cosas permanecen visibles para los sitios web sin ningún cambio, como:

  • idioma: ~ 1 bit
  • HTTP acepta encabezados: ~ 2 bits
  • zona horaria: ~ 6 bits
  • fuentes del sistema: ~ 10 bits
  • tamaño de pantalla y profundidad de color: ~ 5 bits
  • Proveedor de WebGL & renderizador: ~ 12 bits

Estos parámetros dan información de 36 bits. Esto es suficiente para identificar de forma única ~ 70 000 000 000 de dispositivos, es ~ 10 veces más que la población mundial. Si agrega la huella digital WebGL ~ 14 bits que es mucho más difícil de falsificar en comparación con la huella digital del lienzo, la huella digital del contexto de audio ~ 8 bits que también es difícil de falsificar, habrá aún más información de identificación, ~ 58 bits. Y hay más parámetros.

La identificación del cliente en las soluciones más confiables puede ser más complicada que un simple cálculo de un solo número de huella digital. Por lo tanto, falsificar uno o dos parámetros no ayudará realmente a disimularlo del sitio web de seguimiento.

TLDR

Si algún sitio puede permitirse el estado del huellas digitales artísticas, con muy alta probabilidad de que te identifiquen de forma única también cuando estés usando una VPN.

Actualización

Los comentaristas a continuación tienen razón. El número de 70 000 000 000 de dispositivos no es del todo correcto. Debemos tener en cuenta que algunas combinaciones de parámetros ocurren con mucha más frecuencia que otras. Por ejemplo, la gran mayoría de los usuarios con idioma italiano se encuentran en la zona horaria CET. Es por eso que saber que el idioma es el italiano y la zona horaria es CET no tiene mucha más información que saber solo que el idioma es el italiano . Los datos de la zona horaria casi no brindan información adicional en tal caso.

Si miramos Panopticlick, lo veremos claramente. La suma formal de la información de identificación puede dar entre 70 y 80 bits. Donde, teniendo en cuenta la frecuencia de sus combinaciones, todos juntos pueden dar solo 16 - 18 bits.

Vaya, me perdí que el OP ya estaba vinculado a un sitio de huellas digitales.NVM!
¿Cómo es la zona horaria de 6 bits?No hay 64 TZ diferentes en la Tierra.
Hay 37 zonas horarias, según https://www.timeanddate.com/time/current-number-time-zones.html.Esto es de 5,2 bits.
70 mil millones es una exageración, ya que no está considerando la agrupación de estos datos.La gran mayoría de los usuarios no avanzados utilizan el idioma de [nación] + zona horaria + fuentes (~ 8 bits de naciones + zonas horarias), 1920x1080x8 (0 bits) y Chrome o Edge (1 bit).Por eso la toma de huellas digitales del navegador es tan importante.
https://panopticlick.eff.org/ es probablemente la herramienta más conocida para probar qué tan exclusivo parece su navegador para los servidores web.Una vez que se complete, presione el enlace "Mostrar resultados completos para la toma de huellas digitales"
@CSM: Si se dio cuenta, utilicé la redacción de huellas dactilares de panóptico.No entiendo si quieres agregar o cambiar algo.¿Cuál es el propósito de tu comentario?
¿Cómo se puede transmitir el lenguaje por un bit, que es equivalente a una bandera (sí / no)?
@ZOMVID-20 Y es por eso que enviar un encabezado de no rastrear realmente les ayuda a rastrearte lol
Hay muchas condiciones de contorno y agrupaciones que se pueden hacer y que no se mencionan en su trabajo aquí;está lejos de los dispositivos 7E10
@LTPCGO: Correcto.He actualizado la respuesta.
@ZOMVID-20: Sí.He actualizado la respuesta.
Buena actualización y buen ejemplo;votado a favor.Curiosamente, en su comentario erróneo original, lo que ha ilustrado es la razón exacta por la que falsificar su huella digital puede ser una mala idea: ¡un usuario que informa el idioma catalán en una zona horaria del este de Rusia será bastante único!Ni siquiera es necesariamente correcto simplemente tomar la respuesta más común que se ve en Panoptclick, ya que esa combinación puede no ser la más única.
@LTPCGO: Gracias por señalar alrededor de 70 000 ... :) Con fingir me refería a seguir.Un algoritmo de huellas digitales ingenuo solo tomará todos los parámetros disponibles en un navegador en particular.Por lo tanto, si alguien falsifica la huella digital del lienzo, proporcionará mucha información y puede hacer que el navegador sea único.Para el usuario esto es bueno.Porque en la próxima sesión (o al día siguiente, o la próxima hora) la huella dactilar del lienzo puede volver a ser diferente.Por lo tanto, el sitio web no podrá coincidir con las solicitudes de los usuarios durante muchos días o semanas ... Se ve bien ... Pero ...
@LTPCGO: ... Pero sabiendo esto, un buen algoritmo de huellas digitales puede excluir algunos parámetros por completo.Lo mismo con la cadena del agente.Si es real, es una información valiosa.Si es falso, esto puede dar lugar a resultados incorrectos.Es por eso que la toma de huellas digitales confiable no es tan fácil como parece.Sin embargo, todos los navegadores modernos que conozco revelan demasiada información sobre el usuario.
Relevante al punto sobre la toma de huellas digitales del navegador: considere https://www.amiunique.org/
#3
+11
Damon
2020-06-18 23:50:34 UTC
view on stackexchange narkive permalink

Dependiendo de lo que esté hablando cuando diga VPN, es muy posible que tenga menos anonimato si la usa.

Lo único que cambia es la dirección IP (las huellas digitales no se ven afectadas, las cookies y almacenamiento local, de todos modos).

En realidad, VPN solo significa que haces una conexión a otra red a través de algún tipo de protocolo presuntamente seguro (hay diferentes, que también difieren en cuán seguros son). Lo que significa que la dirección IP es ahora la dirección IP de su servidor VPN, que está en su casa (como es mi caso, por ejemplo), o en algún servidor que haya alquilado. En cualquier caso, es mucho menos anónimo que "alguien en Starbucks".

Ahora, recientemente (2-3 años), VPN también se refiere a "pagar un poco de confianza company ", generalmente con la promesa de ser mejor en todos los sentidos, súper seguro y protegerlo de los piratas informáticos y los virus, y si lo bebe, probablemente también curará el COVID. Por la forma en que hacen lo que llaman "VPN", en realidad son mucho más como un proxy transparente. Con cifrado, sí.
A veces necesitas una aplicación en tu dispositivo, a veces no, las implementaciones difieren. A veces también es "gratis". Aunque tenga en cuenta que "gratis" suele ser lo más caro.

Si bien este tipo de VPN tiene la ventaja de que el servidor web ya no lo identifica como individuo (aunque gracias a los sitios que comparten datos de seguimiento y huellas digitales , muy bien podría, de todos modos), la desventaja es que todo su tráfico pasa por una fiesta al menos no muy confiable y, a veces, no confiable en absoluto. Por lo menos, esa parte ahora sabe a qué sitios se conecta (es posible que también puedan hacer un intermediario si inserta un certificado adecuado).
También hay algunas otras desventajas como latencia, sobrecarga de encapsulación y demás, pero son irrelevantes para la mayoría de las personas.

Ahora la pregunta es, ¿cuánto anonimato necesita razonablemente una persona no criminal ni terrorista?

Para mí, el anonimato que obtengo al usar NextDNS en el teléfono móvil (y Pihole en casa) que bloquea >99% de todos los rastreadores, balizas, basura de píxeles y cómo los llamas, y al mismo tiempo elimina 90 % de todos los anuncios, incluidos los de anuncios en este sitio y en youtube ... es, bueno ... ¡lo suficientemente bueno!
Siempre que youtube no me recomiende cosas relacionadas con lo que había estado viendo en Amazon Fire TV el día anterior y siempre que Amazon en un sistema Ubuntu recién instalado que nunca se ejecute no me ofrezca cosas relacionadas con algo que busqué en Google en un dispositivo diferente el día anterior (lo creas o no, yo ' De hecho, esto sucedió hace algunos años, esa fue la razón para comenzar a usar Pihole), todo está bien. Suficiente anonimato.
Hay cosas que puedes hacer y cosas de las que no puedes defenderte de todos modos. Con el 1% del esfuerzo puedes obtener el 99% del resultado.

Me gustaría argumentar que hay buenos proveedores de 'vpn' (me gustan mucho más sus definiciones); no puedo recomendar uno ... pero estoy seguro de que al menos algunos lo están haciendo bien y en realidad brindan beneficios en el mundo real.a la seguridad y al anonimato.Dicho esto, +1 para las sugerencias de NextDNS y Pihole.
"Ahora la pregunta es, ¿cuánto anonimato necesita razonablemente una persona no criminal, no terrorista?" Eso es completamente subjetivo.Lo que es completamente legal en un país podría hacer que el servicio secreto le disparara en otro.Además, "privacidad" = "esconderse del gobierno" es solo propaganda a favor de la vigilancia.Está fuera de tema, la pregunta es técnica.
#4
+1
user1532080
2020-06-19 11:15:05 UTC
view on stackexchange narkive permalink

Primero, todas las respuestas que existen actualmente son correctas en lo que a mí respecta.

Con Starbuck (o algún otro wifi gratuito), será "anónimo", como en el La dirección IP por sí sola no se puede rastrear hasta usted.

Luego, su navegador enviará cookies. Esas cookies pueden vincularse a un perfil de Facebook u otras cosas. Además, como señaló otra respuesta, está sujeto a las huellas dactilares del navegador.

Y, como se ha descrito, es posible que lo descubran por correlación. Será fácil encontrar la ubicación (Starbuck) y la hora. ¿Hay CCTV? ¿Pagó con tarjeta de crédito u otro medio rastreable (iow, use efectivo)? Y Starbuck podría mantener registros, por lo que también querrá cambiar la dirección MAC de su adaptador. Puede haber algún enlace de propietario MAC < = > posible (si usted dice que es un cliente de Apple, ¿asocian el número de serie de su máquina con usted? Y para cada máquina, ¿tienen la dirección MAC?). ¿Tenías un teléfono móvil? ¿Estaba encendido? ¿Tiene wifi encendido? ¿Alguien registró el hecho de que el viernes a las 14:00 en Starbuck, algún teléfono hizo ping para una red wifi "JOHN_SMITH_HOME"?

Entonces, sí, serás anónimo, desde el punto de vista de IP. Lograr el anonimato práctico es diferente. Usar una VPN debería proporcionarle una capa adicional, y generalmente afirman que no mantienen registros, pero estoy bastante seguro de que la historia ha demostrado lo contrario en al menos un caso. Luego se reduce a cuánto confía en el proveedor de VPN.

Por último, está TOR. Si usa el navegador TOR, también obtiene la ventaja de que reduce drásticamente el tamaño de su huella digital. Hay ataques contra TOR (ataques de correlación), pero no me parece que se apliquen a su caso.

Ahora que está cubierto, hay algo adicional sobre el contenido. Algunas formas de identificar a las personas por contenido:

  • Etiquetas EXIF ​​en imágenes.
  • Más avanzado: si se trata de texto, identificándolo por la forma en que usa el idioma. No se trata de una búsqueda inversa, como "oh, aquí hay un texto, dinos quién lo escribió", sino más bien un "oye, aquí hay un texto, aquí hay textos de estas 10 personas, dinos quién es más probable que tenga escribió la primera pieza ".
  • Puede haber formas de vincular una imagen a una cámara específica (Facebook tiene una patente al respecto, eso no significa que puedan hacerlo ... eso no no significa que alguien más no puede hacerlo).
  • En escenarios muy específicos, asumiendo que escribe alguna publicación en línea Y lo que escribe se envía letra por letra, sus patrones de escritura podrían coincidir con usted. Al igual que la del idioma, no conozco ninguna base de datos global que, para un patrón, le dé una lista de personas que coincidiría con ella, pero dada una lista de "sospechosos", eso ayuda a reducir. (Nota: puede solucionarlo escribiendo el texto en algún lugar de confianza, como una aplicación fuera de línea, y luego simplemente copiar / pegar ... Dicho esto, no tengo conocimiento de ningún sitio web que realice activamente este tipo de análisis. )

Y es posible que me haya perdido algunos métodos;)



Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 4.0 bajo la que se distribuye.
Loading...