链接
编者注：译文略有改动。

• 这里是一些基础知识。易于追踪监视是互联网的本性，如果您想使用这个互联网做点正经事，就必须能实现足够程度的匿名

与现实中的调查不同，开源情报调查必须是匿名的，必须尽可能不留下数字足迹和蛛丝马迹，否则目标人物会反过来跟踪你，不仅阻止您的调查，甚至会对您的基本人身安全产生威胁。

掌握摆脱跟踪的安全防护技巧，是成为公民调查员最基础的一步。

我们曾经介绍过很多安全防护知识。本文将介绍的是基础知识——有哪些可用于追踪您的网络技术，在进行开源情报收集时应采取哪些针对性的防护对策。

请注意：安全知识不仅仅是给调查人员看的，也是给任何不希望成为猎物的、尊重自身权利的公民看的。

有很多不同的参与者对跟踪互联网用户感兴趣，每个参与者都有自己的动机。

最基本的，例如，广告商越来越多地监视人们的在线行为，以定制广告来定位他们的目标，这种类型的跟踪被称为在线行为广告（OBA），就是它在一定程度上推动了社交网站的爆炸式增长，所有这些站点都在时刻跟踪您的一举一动——“免费注册，快来玩啊～”

如今最火的是所谓的网络分析服务（例如剑桥分析公司），他们跟踪在线用户以收集可以用于操纵人们的信息；而政府的间谍机构则大规模跟踪在线用户，以分析全球数字信息并预测未来的政治、军事和经济变化。

此外，网警、警察和情报机构会使用网上公共信息来获取关于目标的情报。社会工程学专家和黑客也会跟踪监视，以制定有针对性的攻击计划。

从公共资源获取的信息称为开源情报（OSINT），它指的是所有可公开获得的信息。OSINT的来源与其他形式的情报有所区别，因为它必须在不违反任何版权或隐私法的情况下合法地获得。

！作为调查者，如果你的目标对象发现你正在搜索他/他们怎么办？如果他们可以了解你（搜索者）的来源、背后的组织、以及位置或身份，怎么办？他们会对你做什么？

你必须警惕这点。因为在互联网上隐藏身份不是在现实中戴墨镜假发那么简单。

！在进行开源情报搜索过程中如果暴露了搜索者的身份，在许多情况下可能会带来严重的危险，甚至法律后果。

相同的问题也适用于商业领域，考虑一家寻求进入新市场的公司，如果同一领域的其他竞争者发现了该公司的搜索调查行为，会发生什么？

保护操作的隐私安全性是开源情报调查成功的关键。

本文分为两个部分，首先探讨”在线跟踪”的概念，并介绍用在线于跟踪的不同技术方法，以提出相应的对策。

许多开源情报初级从业者认为，使用VPN服务足以防止被在线跟踪 ——这是完全错误的。

使用可靠的VPN只会隐藏您的IP地址，而对于跟踪您的其他跟踪器来说，您的数字足迹都是显而易见的。

完全的网上匿名非常难以实现。要做到完全匿名状态，您需要使用一整套工具和策略来隐藏任何可以揭示您的身份的信息，甚至是隐藏访问互联网的硬件和连接类型的踪迹。这需要一些专业的技术技能。

只有外国间谍活动的那种等级才需要这种匿名性，通常由非常了解如何隐藏其搜集活动的情报机构进行，而不是公民调查者。

但是，为了进行常规开源情报收集活动，您需要匿名化到适当的级别，使目标无法发现您正在尝试查找有关他们的信息。

本文的第二部分将介绍各种在线跟踪技术、以及如何使用大量工具和策略来对付它们，并且将提出一种解决方案，允许在线的任何人使用虚拟设备将其浏览活动与本地网络和基础设施隔离开来。

什么是在线跟踪？

在线跟踪可以定义为追踪互联网用户在不同网站上的浏览历史记录、有时是在线行为的过程。

为了将浏览历史连接到目标用户，追踪者可以使用标识符将每个在线用户区分为可以跟踪的个人。

该标识符类似于人的指纹，因为它可以在数百万个已连接的用户中区分出特定的用户设备。

下一节将演示在线跟踪在技术上如何工作。

在线跟踪技术

在线跟踪通常利用以下一种或多种方法：

1、IP地址跟踪

没有IP就无法联网，IP地址是唯一的标识符，用于在连接到互联网时标识任何具有联网功能的设备。

没有两个设备可以在同一IP网络上拥有相同的IP地址，这使得IP地址成为在线跟踪用户的首选。

连接到 Internet 时，您要么每次使用相同的IP地址（静态IP），要么每次使用不同的数字（称为动态IP）。

静态IP地址是您的互联网服务提供商（ISP）分配的地址，不会随时间变化；相反，动态IP是指每当您连接到互联网时，ISP都会分配一个动态IP地址。

每次重新启动计算设备或路由器时，它都使用一种被称为动态主机配置协议（DHCP）的东西为您分配新的IP地址。一些ISP可能会多次分配以前分配给您的相同IP地址，但这不是经验法则。

请注意，使用不同的技术（例如VPN和TOR网络之类的匿名网络）上线，可以伪造（隐藏）IP地址。用户还可以使用NAT路由器，它使所有属于同一网络的设备都共享一个公共IP地址。

由于这些原因，一个IP地址并不足以定位当今互联网上的某个特定的在线用户。但是，它仍然是在线跟踪目标的首选。

要了解如何选择VPN提供商，可以参见《安全手册》；要了解如何判断VPN的安全性，可以参见这里《如何验证您的 VPN 连接是否安全？》。

2、Cookie 追踪

Cookies 是跟踪在线用户的最常用技术，如今家喻户晓。

Cookie 是用户访问特定网站时创建的小型文本文件，其中包含的标准信息包括区分客户端设备的唯一ID、有效日期、和Cookie网站名称。

当再次返回同一网站时，cookie 用于判断客户端设备。网站使用 Cookie 的主要目的有两个：存储登录凭据、和跟踪用户的在线行为。

大多数人在谈论 Web cookie 时都意味着一个基本的 cookie 文件（也称为 HTTP cookie）。HTTP cookie 是一个简单的文本文件，用于跟踪用户对部署它的网站的访问。

关闭浏览器时，过期的 HTTP cookie 会自动删除。但是，到期日期可能是未来的很多年。就 cookie 的寿命而言，主要有两种类型：会话cookie和持久cookie。

会话Cookie存储在临时内存中，并且在用户关闭浏览器时将被擦除，此类Cookie没有到期日期，并且不存储有关用户客户端设备的任何信息。它通常用于维护电子商务网站中的购物车内容。

持久Cookie（例如 Flash 和 evercookie cookie）引起了严重的隐私问题。

Cookie 的内容中有一半是第一方的，属于您访问的网站，另一半是第三方的，属于合作伙伴、服务或与网站合作的广告商。

第三方 Cookie 用于（跨网站的）跟踪活动，并识别频繁访问和回访的访问者，以根据Cookie的历史记录量身定制内容或优化广告或改善用户体验。持久 cookie 的两种主要类型是 Flash 和 Evercookies。

与具有有效日期并存储在客户端硬盘驱动器上特定文件夹中的传统cookie文件相比，Flash Cookies 具有更高的持久性。仅删除网络浏览器的 cookie 文件夹不会删除此类型的 cookie。

Flash cookie 用于存储用户在多个网站上的浏览历史记录，可以用来重新实例化用户删除的 HTTP cookie。

要访问存储在计算机中的所有 Flash cookie（在Windows下），请转到”控制面板”➤” Flash Player”，然后选择”阻止所有站点在此计算机上存储信息”（Block all sites from storing information on the computer）选项。

还可以使用一个工具来显示系统中存在的 Flash cookie 列表并将其删除，FlashCookiesView** 是为此目的创建的便携式工具**。

Evercookies Cookie：根据开发人员 Samy Kamkar 的说法，evercookie 是基于 JavaScript 的 cookie，即使用户从其计算机中删除了 HTTP 和 Flash cookie 之后，它也可以存在。

它通过将数据存储在客户端浏览器/计算机上的多个位置（例如，HTTP cookie，Flash cookie，HTML5本地存储，Web历史记录，Silverlight）来实现其持久性。

例如，如果这些位置之一被用户删除，evercookie 将检测到该位置并自行重新生成。幸运的是，现代的网络浏览器能够阻止或检测 evercookies。

3、ETag 追踪

ETag 是不使用 Cookie（HTTP和Flash）、JavaScript、HTML存储、或IP地址而跟踪用户的另一种方法。

ETag或实体标签是超文本传输协议（HTTP）机制的一部分，该机制提供Web缓存验证，并用于控制特定文件在客户端缓存的时间。

ETag帮助Web浏览器避免两次加载相同的Web资源，例如，当用户访问在后台播放音乐的网站时，它会检查用户的本地时间。

如果ETag不同，则客户端浏览器将下载新版本的音频文件。

ETag 类似于持久cookie的特点，可以用来跟踪用户，并且，即使服务器上的内容不变，跟踪服务器也可以不断将ETag发送到客户端浏览器。这样，跟踪服务器可以与客户端计算机保持无限期持久的会话。

要摆脱 ETag，必须清除浏览器缓存内容。

4、数字指纹追踪

浏览器指纹是有关用户系统和浏览器的一组技术信息，可以在线区分其机器。

此信息包括以下内容：浏览器类型、操作系统（OS）版本、安装的附件、用户代理、安装的字体、语言设置、时区、屏幕大小和颜色深度等。

即使禁用了 cookie 和 JavaScript，指纹也可以使跟踪器区分用户的机器。

浏览器指纹识别是无状态的，对用户和计算机都是透明的。

数字指纹收集的信息看似通用，不足以在线识别数百万个已连接设备中的单个计算机；但是，如果将这些信息组合在一起，则可以绘制有关每台用户计算机的全面而独特的图景，此后，如果将其与其他个人身份信息组合在一起，则可以将该信息追踪到真实身份。

数字指纹追踪可以使不同的势力有效地在不使用传统跟踪技术（例如计算机IP地址和cookie）的情况下轻松地对目标进行描述。

结论是，仅使用浏览器中的少量技术信息就可以在线配置和跟踪大多数互联网用户。

设备指纹识别主要有两种类型：基于脚本的和基于画布的。

基于脚本的指纹——

脚本指纹通过将脚本（通常为 JavaScript）加载到用户的浏览器中而起作用。成功加载脚本后，它将执行以提取有关当前浏览器和系统配置的大量技术信息。

提取的信息包括用户代理、已安装的附件/扩展程序、已安装的字体、屏幕分辨率、时区、操作系统类型和版本、CPU和GPU类型、以及有关目标系统的许多其他详细信息。

然后根据脚本收集的信息进行哈希处理。该哈希值可以识别和跟踪您的设备，就像IP地址一样。

跟踪器使用 Flash、Silverlight 或 Java applet 代替 JavaScript 来执行指纹识别。他们都将返回相同的结果。

抵制此技术的主要方法是在浏览器中禁用 JavaScript。但是，这种方法不切实际，并且可能导致大量网站无法使用（大多数Web设计框架现在都基于 JavaScript 来提供功能）。

禁用 Java（参见下图）不会导致诸如禁用 JavaScript 之类的问题。

画布指纹

画布（Canvas） 是最初由Apple开发的 HTML5 元素；它使用 JavaScript API 在网页上绘制图形（线条、形状、文本、图像）和动画（例如游戏和横幅广告）。广告客户可以利用画布功能识别和追踪用户。

画布指纹追踪是一种跟踪用户在线活动的新方法。只需在用户的客户端浏览器上绘制不可见的图像即可。

该图像对于每个用户而言都是不同的，一旦绘制在客户端浏览器上，它将收集有关用户浏览器和计算机的不同技术信息。然后根据已收集的信息进行哈希处理。

该哈希值将在用户访问的所有网站上保持一致（哈希值是从画布数据生成的）；这将有效地记录用户的浏览历史记录。

尽管不能单独使用从画布指纹中收集的信息来识别用户，但是，可以将此指纹与其他来源结合使用，以完全地识别您。

浏览器指纹追踪的对策

当前，指纹识别被认为是用户在线冲浪时面临的最大风险。

为了了解如何才能阻止这种入侵以保护我们的隐私，首先来看看您当前的数字指纹正在向追踪者展示些什么内容。以下是免费提供此类服务的流行网站。

1. Panopticlick (https://panopticlick.eff.org)
2. DeviceInfo (https://www.deviceinfo.me)
3. Browserleaks (https://browserleaks.com)
4. AmIUnique (https://amiunique.org)

配置Web浏览器以提高安全性

可以将主要的Web浏览器配置为对隐私更加友好（例如，自动删除浏览历史记录和cookie）、具有完善的隐私配置，以实现此目标。

用户还可以使用私密浏览模式自动删除浏览历史记录、保存的密码和 cookie。

在Firefox中，它称为 “Private Browsing”，可以通过按以下按钮组合（Ctrl + Shift + A）进行访问，而在Chrome中，它称为”隐身模式”（Incognito）。

在这里看到更多解释《Opsec 操作安全：在反侦察的过程中您应该注意哪些陷阱？》。

Brave 浏览器是基于 Chromium 项目的注重隐私的网络浏览器，它接受 Chrome 扩展程序。

默认情况下，Brave 会阻止其他在线跟踪机制，您可以通过转到”设置”然后单击” Shields”来启用指纹保护（参见下图）。

浏览器扩展保护隐私

有许多隐私附加组件可用来阻止或误导在线跟踪者，以下是最有名的：

1. Privacy Badger — block invisible trackers (https://www.eff.org/privacybadger)
2. Disconnect — Block invisible websites (https://addons.mozilla.org/en-US/firefox/addon/disconnect)
3. uBlock Origin — another efficient blocker (https://addons.mozilla.org/en-US/firefox/addon/ublock-origin)
4. HTTPS Everywhere — encrypts your communications with many major websites, making your browsing more secure (https://www.eff.org/HTTPS-EVERYWHERE)
5. CanvasBlocker — Alters some JS APIs to prevent fingerprinting (https://addons.mozilla.org/en-US/firefox/addon/canvasblocker)
6. Cookie AutoDelete — Automatically delete cookies upon tab closes (https://addons.mozilla.org/en-US/firefox/addon/cookie-autodelete)
7. Decentraleyes — Block Content Delivery Networks (https://decentraleyes.org)
8. uMatrix — A point-and-click matrix-based firewall, with many privacy-enhancing tools (https://addons.mozilla.org/en-US/firefox/addon/umatrix)
9. User-Agent Switcher — switch between popular user-agent strings (https://addons.mozilla.org/en-US/firefox/addon/user-agent-switcher-revived)

搜索引擎跟踪

典型的搜索引擎都会跟踪其用户的搜索记录，以量身定制广告，并定制返回的搜索结果。

例如，大多数 Google 搜索引擎用户拥有一个 Gmail 帐户（Google免费电子邮件服务），当用户进行在线搜索时，该用户的在线活动将被记录、并被链接到他/她的 Gmail 帐户（通常是用户的真实身份）。

即使用户尚未登录Gmail帐户，Google 仍可以使用已提及的任何以前的跟踪技术将用户的浏览历史记录链接到其真实身份。

在搜索开源情报来源时，建议使用面向隐私的搜索引擎，该引擎应该不记录您的搜索历史、不会根据搜索提供商确定的标准返回结果。

有很多匿名搜索引擎无法跟踪其用户的活动，您可以在这里找到：《如果你擅长搜索，你能找到一切：没有谷歌的强大搜索世界》。

社交网络跟踪

诸如 Facebook 和 Twitter 之类的社交网站可以跨网站跟踪用户（它们实际上可以跟踪大多数互联网用户的浏览历史记录），即使这些用户当前并未登录Facebook 和 Twitter 也是如此！

你一定注意到了，大多数网站都有 Facebook 的” Like”和” Share”按钮，这些按钮有助于在用户的 Facebook 新闻源上共享内容。但是，您应该知道的是，只要您访问了具有 Facebook “点赞”或”分享”按钮的网页，即使您没有单击该按钮，Facebook 也会记录此访问！

Facebook 跟踪不会在此时停止，因为他们可以在用户不知情的情况下使用嵌入在”点赞”和”共享”按钮中的隐藏代码，在不同网站上跟踪非 Facebook用户，他们一直在这样做！

Twitter的”关注”按钮，在跟踪在线用户方面也起着相同的作用，就像Facebook 的”点赞”和”共享”按钮一样。

逃避在线跟踪

正如我们一直以来不断介绍的安全知识中强调的那样，可以使用不同的技术在线跟踪用户，而应付这些技术需要正确地使用不同的工具和策略。

为了防止在线跟踪，用户需要执行三个最基本的步骤：

• 使用可靠的VPN服务隐藏IP地址。
• 关闭浏览器后，删除（或拒绝）cookie和Web浏览器缓存。
• 防止数字指纹技术对计算机进行描述。

这需要一定的技术技能和明确的防御意识。对抗跟踪和指纹识别很困难，并且没有100％保证的技术方案可以解决此问题。

要知道，即使将Web浏览器配置为具有更好的隐私性并安装了许多附件，熟练的对手仍然可以在很大程度上识别您的数字指纹。

对抗浏览器指纹识别的最佳技术解决方案是使您的浏览器看起来像大多数浏览器的指纹一样。

为此，建议使用一个新安装的Web浏览器副本，该浏览器手动配置为具有增强的隐私设置，而无需安装任何附加组件。该浏览器应从同样全新安装的虚拟机（例如 Virtual Box ）上运行。

通过使用此技术，您的浏览器将看起来像大多数正在运行的浏览器，从而有效地隐藏了您的真实数字足迹。

当然，您仍然需要使用VPN来加密您的连接并隐藏您的真实IP地址。

尤其推荐匿名工具 Whonix，您可以在这里看到安装使用教程。