Редакция xmr.club. Один OPSEC-столп в неделю — кураторская выборка, перекрёстные ссылки, threat-model first. Дополнение (а не замена) ежедневного #OPSEC365 от Sam Bent.
Семь недель раздельных почт, телефонов, профилей браузера и хранилищ живут все на одном куске кремния. Если кто-то выключит ваш ноутбук, унесёт его, а диск не зашифрован — вся ваша компартментализация ничего не значит: они прочитают всё в покое, включая тот самый менеджер паролей, который вы так берегли. Полнодисковое шифрование — единственный контроль, превращающий изъятое устройство из «прочти всю мою жизнь» в «здесь только случайный шум». Оно бесплатно, встроено в каждую ОС, и большинство до сих пор оставляет его наполовину выключенным.
Каждый отсек, который вы выстроили до сих пор — отдельные почты, отдельные телефоны, отдельные профили браузера — держится на одном тихом шве, способном снова сшить их воедино — на повторно использованном пароле. Можно месяцами вести безупречную гигиену личностей, а затем войти в два псевдонимных аккаунта одной и той же строкой — и бесплатно вручить противнику ключ, который их связывает. Повторное использование пароля — это не проблема стойкости, это проблема связуемости. Менеджер паролей решает и то, и другое сразу, и это единственная привычка OPSEC, которую вы действительно сохраните.
Ты можешь выходить через безупречный узел Tor и всё равно быть привязанным к региону своими часами. Часовой пояс, язык, порядок даты и формат чисел — это тихий региональный отпечаток, который почти никто не догадывается скрывать, и худшее не в том, что ты его выдаёшь, а в том, что выдаёшь тот, который противоречит твоему IP. Чистый выход с шанхайскими часами кричит громче, чем полное отсутствие VPN.
Ваш браузер — это движок корреляции. Куки, активные сессии и почти уникальный отпечаток незаметно сшивают ваш банк, вашу биржу, ваш одноразовый псевдоним и ваше настоящее имя в один профиль — если вы их не разделите. Один профиль браузера на личность — самый дешёвый и действенный шаг к приватности, который вы, скорее всего, ещё не сделали.
Ваш телефонный номер опаснее почты в роли мастер-ключа — это якорь в реальном мире, который операторы, брокеры данных и атакующие через SIM-swap считают вами. Перестаньте давать один и тот же номер банку, бирже и случайному форуму и перестаньте верить, что SMS что-то защищает.
Ваша почта — мастер-ключ к каждому аккаунту, который использует её для восстановления. Выдавайте каждому сервису отдельный псевдоним, и ни утечка, ни брокер данных, ни атакующий через поддержку не перепрыгнут с одного ящика на всю вашу жизнь.
Повторное использование одного имени, почты или номера восстановления между контекстами — это и есть то, как отдельные личности схлопываются в одну. Постройте стену под каждую цель и никогда не давайте им соприкасаться.
Если логин в биржу и сессия Tor выходят через одну и ту же точку, мост между ними построили вы сами. Меняйте сервера, разделяйте контексты, исходите из того, что всё рано или поздно свяжется.