awesome-privacy - 🦄プライバシーとセキュリティに重点を置いたソフトウェアとサービスの厳選されたリスト
(🦄 A curated list of privacy & security-focused software and services)
プライバシーとセキュリティに重点を置いたアプリ、ソフトウェア、プロバイダーの厳選されたリスト
イントロ
データを大量に消費する大企業がデジタルの世界を支配していますが、プライバシーはほとんど、またはまったく尊重されていません。セキュリティに重点を置いたオープンソースアプリケーションへの移行は、企業、政府、ハッカーによる個人データのログ記録、保存、販売を阻止するのに役立ちます。
注:完璧なソフトウェアはないことを忘れないでください。適切なセキュリティ慣行に従うことが重要です。
カテゴリ
- 必需品
- コミュニケーション
- セキュリティツール
- ネットワーキング
- 生産性
- ユーティリティ
- 社交
- オペレーティングシステム
- 発達
- ホーム/IoT
- ファイナンス
- ボーナス
関連項目
パスワードマネージャー
| プロバイダー | 説明 |
|---|---|
| BitWarden | クラウド同期を備えたフル機能のオープンソースパスワードマネージャー。BitWardenは、デスクトップ、Web、およびモバイル用のクリーンなUIとクライアントアプリを備えた使いやすいものです。 |
| KeePass | 強化された安全なオフラインパスワードマネージャー。安全なパスワードマネージャーのゴールドスタンダードと見なされているクラウド同期が組み込まれていません。KeePassクライアント:Strongbox (Mac&iOS)、KeePassDX (Android)、KeeWeb (Webベース/セルフホスト)、KeePassXC (Windows、Mac&Linux) 、@lggによるawesome-keepassでより多くのKeePassクライアントと拡張機能を参照してください。 |
| LessPass (セルフホスト) | LessPassは、Webサイト名のハッシュ、ユーザー名、および再利用する単一のメインパスフレーズを使用してパスワードを生成するため、少し異なります。パスワードを保存または同期する必要がなくなります。すべての一般的なプラットフォーム用のアプリとCLIがありますが、セルフホストすることもできます。 |
| パドロック | 個人およびチーム向けの最新のオープンソースパスワードマネージャー。美しく、直感的で、使い方はとても簡単です。すべてのプラットフォームで利用可能なアプリであり、セルフホストすることもできます。 |
注目すべき言及
Password Safeは、 Bruce Schneierによって設計されたオフラインのオープンソースパスワードマネージャーであり、Windows、Linux、MacOS、Android、iOSのネイティブアプリケーションを備え、YubiKeyをサポートしています。UIは少し古く、公式のブラウザ拡張機能がないため、他のオプションに比べて使い勝手が少し劣ります。
PassBoltはチームに適したオプションです。これは無料で、オープンソースで、自己ホスト型で、拡張可能で、OpenPGPベースです。ターミナル、ブラウザー、チャットが統合されているため、開発とDevOpsの使用に特に適しています。また、カスタム使用のために簡単に拡張でき、Dockerを使用してすばやくデプロイできます。
1Password(proprietary)は、同期機能を備えたフル機能のクロスプラットフォームパスワードマネージャーです。セルフホストデータは無料(または月額$ 3ホスト)。1Passwordは完全にオープンソースではありませんが、独立したセキュリティ監査の結果を定期的に公開しており、脆弱性を透過的に開示して修正することで定評があります。
その他のオープンソースPM:Buttercup、Clipperz、Pass、Padloc、TeamPass、PSONO、UPM、Gorilla、Seahorse(GNOME用)、GNOME Keyring 、KDEWalletManager。
非推奨のPMを使用している場合は、アクティブに保守されているものに移行する必要があります。これには、 Firefox Lockwise、Encryptr、Mitro、Rattic、JPasswords、Passopolis、KYPS、Factotumが含まれます。
パスワード管理チェックリストも参照してください
2要素認証
| プロバイダー | 説明 |
|---|---|
| イージス(Android) | Android用の無料で安全なオープンソースの認証システムアプリ。バックアップ/復元機能とダークモードでカスタマイズ可能なUIを備えています |
| Authenticator Pro(Android) | Android用の無料のオープンソース2要素認証アプリ。暗号化されたバックアップ、アイコン、カテゴリ、および高度なカスタマイズが特徴です。WearOSコンパニオンアプリもあります |
| 豆腐(iOS) | iOS専用に設計された使いやすいオープンソースの2要素認証アプリ |
| オーセンティケーター(iOS) | シンプルでネイティブなオープンソースのiOS用2-FAクライアント。インターネットに接続することはありません-@mattrubin.meによって構築されました |
| Raivo OTP(iOS) | iOS用に構築されたネイティブで軽量かつ安全なワンタイムパスワード(OTP)クライアント。Raivo OTP!-@tijmeによって作成されました |
| WinAuth(Windows) | MicrosoftWindows用のポータブルで暗号化されたデスクトップ認証アプリ。WinAuthは、ホットキーやいくつかの追加のセキュリティツールなどの便利な機能を備えており、デスクトップパワーユーザー向けの優れたコンパニオンオーセンティケーターです。オープンソースであり、定評があります(2010年半ば以降) |
| オーセンティケーター(Linux) | 錆ベースのOTP認証システム。GNOMEShellとのネイティブ統合があります。flathubからも入手できます。 |
多要素認証をサポートしているWebサイトを確認してください:2fa.directory
注目すべき言及
OTPClient (Linux)、gauth (セルフホスト、Webベース)、Etopa (Android)
KeePassユーザーの場合、TrayTopはTOTPを管理するためのプラグインです。オフラインでWindows、Mac、Linuxと互換性があります。
Authy(properity)は、使いやすさとデバイスの同期機能により、新しいユーザーの間で人気のあるオプションです。クラウド同期は便利かもしれませんが、攻撃対象領域も増加します。Authyはオープンソースではないため、お勧めできません
2FAセキュリティチェックリストも参照してください
ファイルの暗号化
| プロバイダー | 説明 |
|---|---|
| VeraCrypt | VeraCryptは、オープンソースのクロスプラットフォームディスク暗号化ソフトウェアです。これを使用して、特定のファイルまたはディレクトリ、あるいはディスクまたはパーティション全体を暗号化できます。VeraCryptは非常に機能が豊富で、包括的な暗号化オプションを備えていますが、GUIを使用すると簡単に使用できます。CLIバージョンとポータブルエディションがあります。VeraCryptは、(現在は非推奨の)TrueCryptの後継です。 |
| Cryptomator | クラウドファイルのオープンソースクライアント側暗号化-Cryptomatorは、クラウドバックアップソリューションと一緒に使用することを目的としているため、個々のファイル構造を保持して、アップロードできるようにします。使い方も簡単ですが、VeraCryptと比較して、データの暗号化方法に関する技術的なカスタマイズが少なくなっています。CryptomatorはWindows、Linux、Macで動作しますが、優れたモバイルアプリもあります。 |
| 年 |
ageは、シンプルでモダンで安全なCLIファイル暗号化ツールおよびGoライブラリです。小さな明示的なキー、構成オプションなし、UNIXスタイルの構成可能性を備えています |
注目すべき言及
AES Cryptは、軽量で簡単なファイル暗号化ユーティリティです。これには、Windows、Mac OS、BSD、およびLinux用のアプリケーションが含まれ、これらはすべて、GUI、CLIを介して、またはAPI(Java、C、C#、およびPythonで使用可能)を介してプログラムで対話できます。それは十分に確立されており、全体的に肯定的な評判がありますが、最近いくつかのセキュリティ問題が提起されています。
CryptSetupは、 dm-cryptの上で使用するのに便利なレイヤーです。EncFSは、ユーザーのローカルディレクトリ内で使用するためのクロスプラットフォームのファイルベースの暗号化モジュールです。geliは、FreeBSDに含まれているディスク暗号化サブシステムです。
PGPは、個々のファイルやフォルダーの暗号化、送信用のファイルの準備、または機密データへのセキュリティの追加レイヤーに役立つ場合があります。PGPを使用すると、ファイルとフォルダーを暗号化、復号化、署名、および検証できます。PGPツールを参照してください。
BitLockerは、Microsoft Windowsおよびエンタープライズユーザーの間で人気があり、高速で効率的で、(正しく構成されている場合は)適度に安全なフルドライブ暗号化を提供します。ただし、これはオープンソースではなく、他のオペレーティングシステムとの互換性が低く、非常に危険なデフォルトがいくつかあるため、システムが危険にさらされる可能性があります。同様に、MacOS上のAppleのFileVaultは簡単で安全ですが、ソースコードは独自のものです。
DiskCryptorは、Windowsのみのオープンソース、ファイル、およびボリュームの暗号化ソリューションであり、BitLockerの優れた代替手段になります。
圧縮されたアーカイブを作成する必要がある場合、PeaZipは素晴らしい小さなクロスプラットフォームのオープンソースファイルアーカイバユーティリティです。これにより、RAR TAR ZIPアーカイブを作成、オープン、および抽出できます。また、パスワード保護機能も備えており、 AES-256を使用して圧縮ファイルを暗号化します。これは、他のほとんどのアーカイブユーティリティとも互換性があります。
警告の言葉
可能であれば、現在のシステムを使用してファイルにアクセスできないことに直面しないように、クロスプラットフォームで十分に確立された暗号化方法を選択してください。
確立された暗号化方式は通常非常に安全ですが、パスワードが強力でない場合、攻撃者は十分に強力なGPUを使用してファイルにアクセスできる可能性があります。システムが危険にさらされている場合、パスワードはキーロガーまたは他の同様のマルウェアでスキミングされる可能性もあるため、適切な基本的なセキュリティ慣行に従うように注意してください
ブラウザ
| プロバイダー | 説明 |
|---|---|
| Librewolf | Librewolfは、Firefoxの独立した「フォーク」であり、プライバシー、セキュリティ、およびユーザーの自由を主な目的としています。LibreFoxの後継者であるコミュニティ運営です |
| ブレイブブラウザ | 現在最も人気のあるプライベートブラウザの1つであるBraveBrowserは、クリーンでありながらフル機能のUIでトラッカーをブロックすることにより、速度、セキュリティ、プライバシーを提供します。また、それを使用するためのBATトークンであなたに支払います。プライベートタブ/ウィンドウを開くと、BraveにはTorも組み込まれています。 |
| Firefox | 大幅にプライベートで、Chrome、Internet Explorer、Safariよりも優れたプライバシー機能を提供します。インストール後、Firefoxを保護するために、いくつかの小さな調整を行う必要があります。設定については、 @arkenfoxのuser.jsを参照してください。次のいずれかのガイドに従うこともできます:プライバシーの復元または12バイト |
| Torブラウザ | Torは、各リクエストを暗号化し、それを複数のノードにルーティングすることで、匿名性の追加レイヤーを提供します。これにより、ISP/プロバイダーによる追跡がほぼ不可能になります。毎日のブラウジングが少し遅くなり、一部のサイトが正しく機能しない場合があります。すべてと同様に、トレードオフがあります |
| ブロマイト | ChromiumforAndroidの強化されたプライバシーを尊重するフォーク。組み込みのアドブロックと強化のための追加設定が付属しています。 |
注目すべき言及
モバイルブラウザ:FF-Fenix(Android)、Firefox Focus(Android / iOS)、DuckDuckGo Browser(Android / iOS)、Orbot + Tor(Android)、Onion Browser(iOS)のMull Hardened fork
追加のデスクトップ:Nyxt、WaterFox、Epic Privacy Browser、PaleMoon、Iridium、Sea Monkey、Ungoogled-Chromium、Basilisk Browser、IceCat
12Bytesは、プライバシーとセキュリティの拡張機能のリストも保持しています
警告の言葉
新しい脆弱性は常に発見され、パッチが適用されています。これらのセキュリティクリティカルな更新を受信するには、アクティブに保守されているブラウザを使用してください。
プライバシーを尊重するブラウザでさえ、デフォルトで有効になっている最良のプライバシーオプションを持っていないことがよくあります。インストール後、プライバシーとセキュリティの設定を確認し、構成を適切なものに更新します。12Bytesは、プライバシーとパフォーマンスのためのFirefox構成に関する包括的なガイドを維持しています
プライバシーとセキュリティについては、ブラウザと検索のセキュリティチェックリストと推奨されるブラウザ拡張機能も参照してください。
サーチエンジン
Googleは頻繁に検索を変更および操作し、競争を排除し、他のサービスよりも独自のサービスを宣伝することを追求しています。また、詳細なユーザー検索とメタデータを追跡、収集、使用、販売します。
| プロバイダー | 説明 |
|---|---|
| DuckDuckGo | DuckDuckGoは、非常にユーザーフレンドリーで高速かつ安全な検索エンジンです。トラッカー、Cookie、広告がなく、完全にプライベートです。また、ダークモード、多くの言語と機能を備えた、高度にカスタマイズ可能です。Torで使用するための.onionURLもあり、Javascriptバージョンはありません |
| Qwant | Bingsの結果を独自の結果とともに集約するフランスのサービス。QuantはCookieを設定せず、トラッカーやサードパーティの広告もありません。プロモーションなしで、偏りのない検索結果を返します。Quantには、ユニークでありながら優れたUIがあります。 |
| スタートページ | グーグルで検索して結果を表示するオランダの検索エンジン(わずかに再配置)。使用中のプライバシーを向上させるいくつかの構成があります(オープンソースではありません) |
注目すべき言及
SearxとSearXNGは、他の複数のエンジン(GoogleやBingなど)の結果を同時に使用する2つの自己ホスト可能な検索エンジンです。これらはオープンソースで自己ホスト可能ですが、パブリックインスタンスを使用すると、使用するエンジンへのクエリを個別化しないという利点があります。
12Bytesは、プライバシーを尊重する検索エンジンのリストも保持しています
ブラウザと検索のセキュリティチェックリストも参照してください
暗号化されたメッセージング
インスタントメッセージングに安全なアプリを使用しないと、すべての会話、メタデータなどが保護されません。Signalは最良のオプションの1つです。簡単でありながら、安全性が高く、プライバシーを重視しています。
| プロバイダー | 説明 |
|---|---|
| 信号 | おそらく、強力な暗号化( Signal Protocolを参照)とシンプルなUIおよび多くの機能を組み合わせた最も人気のある安全なプライベートメッセージングアプリの1つです。これは世界中で広く使用されており、使いやすく、WhatsAppと同様に機能します。インスタントメッセージング、開封確認、メディア添付ファイルのサポート、高品質の音声通話とビデオ通話が可能です。クロスプラットフォームでオープンソースであり、完全に無料です。SignalはEdwardSnowdenによって推奨されており、ほとんどのユーザーにとって完璧なソリューションです。 |
| セッション | セッションはSignalのフォークですが、Signalとは異なり、登録に携帯電話番号(またはその他の個人データ)は必要ありません。代わりに、各ユーザーは公開鍵で識別されます。また、分散型であり、サーバーはLoki Netを介してコミュニティによって実行され、メッセージは暗号化され、これらのノードのいくつかを介してルーティングされます。すべての通信はE2E暗号化されており、メタデータはありません。 |
| 沈黙 | SMS / MMSの送信のみに制限されている場合、Silenceを使用すると2つのデバイス間でメッセージを簡単に暗号化できます。従来のテキストメッセージングは本質的に安全ではないため、これは重要です。使いやすく、信頼性が高く、安全ですが、インターネットベースのメッセージングがより高速で柔軟になることが多いため、人気が低下しています。 |
| オフレコ | オフレコ(OTR)メッセージングを使用すると、インスタントメッセージング/ XMPPを介してプライベートな会話を行うことができます。近年人気が低下し、よりシンプルなモバイルベースのメッセージングアプリが支持されていますが、それでも広く使用されており、安全です。それは提供します:暗号化(他の誰もあなたのメッセージを読むことができないように)、認証(通信相手があなたが思っている人であるという保証)、否認(会話の後、あなたが参加したことを証明することはできません)、完璧な転送の秘密(あなたの場合キーが危険にさらされ、以前のメッセージを復号化することはできません)。OTRを使用する最も簡単な方法は、IMクライアント用のプラグインを使用することです。 |
その他の注目すべき言及
その他のプライベートな暗号化されたオープンソースのメッセージングアプリには、Surespot、Chat Secure(iOSのみ)、Statusなどがあります。開発が停止したため、 TorMessengerはリストから削除されていることに注意してください。
KeyBaseを使用すると、暗号化されたリアルタイムチャット、グループチャット、およびパブリックファイルとプライベートファイルの共有が可能になります。また、社会的IDを暗号で証明するための優れた機能がいくつかあり、PGPの署名、メッセージの暗号化、および復号化が簡単になります。ただし、 2020年にZoomに買収されて以来、定期的な更新は行われていません。
OpenPGPは、既存のチャットネットワーク(電子メールやメッセージボードなど)で使用できます。暗号化プライバシーと認証を提供し、PGPはメッセージの暗号化に使用されます。
注/PGPの問題 PGPは初心者にとって使いやすくなく、人為的ミスやミスが発生する可能性があります。これは、代替のより単純なシステムを使用した場合よりも全体的にはるかに悪化します。32ビットのキーIDは使用しないでください。短すぎて安全ではありません。EFAILで定義されているOpenPGPおよびS/MIMEにも脆弱性が見つかっているため、汎用用途では安全であると考えられていますが、汎用チャットでは、代わりに暗号化されたメッセージングまたは電子メールアプリを使用する方がよい場合があります。
警告の言葉
多くのメッセージングアプリは安全であると主張していますが、オープンソースでない場合、これを検証することはできません。信頼するべきではありません。これは、Telegram、Threema、Cypher、Wickr、Silent Phone、Viberなどに当てはまります。これらのアプリは、機密データの通信には使用しないでください。最近の買収により、ワイヤーも削除されました
P2Pメッセージング
ピアツーピアネットワークでは、中央サーバーがないため、レイド、シャットダウン、またはデータの引き渡しを強制できるものはありません。オープンソースで、E2E暗号化され、Torサービスを介してルーティングされ、完全に匿名で、メタデータの収集なしで動作するP2Pネットワークが利用可能です。
| プロバイダー | 説明 |
|---|---|
| マトリックス+要素クライアント | Matrixは、OlmとMegolmによるE2E暗号化を備えた、安全な通信のための分散型オープンネットワークです。Elementクライアントとともに、VOIP+ビデオ通話とIM+グループチャットをサポートします。Matrixにはオープン仕様とシンプルで実用的なRESTfulHTTP/ JSON APIがあるため、既存のサードパーティIDと簡単に統合してユーザーを認証および検出したり、その上にアプリを構築したりできます。 |
| セッション+ LokiNetクライアント | Lokiは、分散型の暗号化されたタマネギベースのネットワークを介して、ユーザーが匿名でプライベートに取引および通信できるようにするオープンソースのツールセットです。Sessionは、これらのプライベートルーティングプロトコルを使用してメッセージ、メディア、メタデータを保護するデスクトップおよびモバイルアプリです。 |
| ブライアー | P2P暗号化メッセージングおよびフォーラム用のTorベースのAndroidアプリ。コンテンツが(クラウドではなく)デバイスに安全に保存されている場所。また、インターネットにアクセスせずに(BluetoothまたはWiFiを使用して)、近くの連絡先に直接接続することもできます。 |
| リコシェリフレッシュ | デスクトップインスタントメッセンジャー。Torネットワークを使用して、ID、場所/ IP、またはメタデータを公開せずに連絡先とランデブーします。監視、検閲、またはハッキングするサーバーがないため、Ricochetは安全で、自動で、使いやすいです。 |
| ジャミ | クロスプラットフォームのGNUクライアントアプリを使用したP2P暗号化チャットネットワーク。Jamiは、音声通話とビデオ通話、画面共有、会議ホスティング、インスタントメッセージングをサポートしています。 |
| Tox + qToxクライアント | デスクトップおよびモバイル用のクライアントを備えたオープンソースの暗号化された分散チャットネットワーク-サポートされているクライアントを参照してください。明確に文書化されたコードと複数の言語バインディングにより、開発者はToxと簡単に統合できます。 |
その他の注目すべき言及
Cwtch、BitMessage、RetroShare、Tor Messenger (非推奨)、TorChat2 (非推奨)、Ricochet (非推奨)
暗号化された電子メール
電子メールは安全ではありません-あなたのメッセージは簡単に傍受されて読まれる可能性があります。企業はあなたのメールの内容をスキャンして、あなたのプロフィールを作成し、ターゲットを絞った広告を表示したり、サードパーティに販売したりします。Prism Programを通じて、政府はあなたの電子メールへの完全なアクセス権も持っています(エンドツーエンドで暗号化されていない場合)-これはGmail、Outlook Mail、Yahoo Mail、GMX、ZoHo、iCloud、AOLなどに適用されます。
以下の電子メールプロバイダーは、プライベートでエンドツーエンド暗号化(E2EE)であり、適度に安全です。これは、適切な電子メールプラクティスと組み合わせて使用する必要があります
| プロバイダー | 説明 |
|---|---|
| ProtonMail | オープンソースのエンドツーエンドの暗号化された匿名の電子メールサービス。ProtonMailには、最新の使いやすくカスタマイズ可能なUIと、高速で安全なネイティブモバイルアプリがあります。ProtonMailは、最新の電子メールサービスに期待されるすべての機能を備えており、セキュリティを犠牲にすることなくシンプルに基づいています。カスタムドメインを使用するための無料プランまたはプレミアムオプションがあります(月額5ドルから)。ProtonMailは、サインアップに個人を特定できる情報を必要とせず、Tor経由でアクセスするための.onionサーバーを備えており、匿名の支払い(BTCと現金(および通常のクレジットカードとPayPal))を受け入れます。 |
| ツタノタ | ドイツを拠点とする無料のオープンソースメールサービス。基本的な直感的なUI、安全なネイティブモバイルアプリ、匿名のサインアップ、および.onionサイトがあります。Tutonotaには、カスタムドメインを許可するビジネス向けのフル機能の無料プランまたはプレミアムサブスクリプションがあります(月額$ 12)。 Tutanotaは、ほとんどの暗号化メールプロバイダーのようにOpenPGPを使用しません。代わりに、対称アルゴリズムと非対称アルゴリズム(128ビットAESと2048ビットRSA)で構成される標準化されたハイブリッド方式を使用します。これにより、PGPを使用して連絡先と通信するときに互換性の問題が発生します。ただし、PGPメールプロバイダーでは不可能なヘッダーデータ(本文、添付ファイル、件名、送信者名など)をさらに暗号化できます。 |
| メールフェンス | MailfenceはOpenPGPをサポートしているため、Mailfenceサーバーとは独立して暗号化キーを手動で交換し、完全に制御できます。MailfenceはOutlookと同様のシンプルなUIを備えており、カレンダー、名簿、ファイルがバンドルされています。すべてのメール設定は高度にカスタマイズ可能ですが、それでも明確で使いやすいです。あなたの名前と事前のメールアドレスが必要なため、サインアップは匿名ではありません。フル機能の無料プランがあります。または、プレミアムを支払い、ビットコイン、ライトコイン、またはクレジットカードが受け入れられるカスタムドメイン($ 2.50 /月、または5つのドメインの場合は$ 7.50 /月)を使用できます。 |
| MailBox.org | ベルリンを拠点とする、環境に優しい安全なメールプロバイダー。無料プランはありません。標準サービスの料金は年間12ユーロです。キャッチオールエイリアスのオプションを使用して、独自のドメインを使用できます。これらは、OpenPGPを使用して、優れたアカウントセキュリティと電子メール暗号化、および暗号化されたストレージを提供します。専用のアプリはありませんが、SSLを使用する標準のメールクライアントで問題なく動作します。現在、匿名の支払いオプションもありません |
詳細については、 OpenTechFund-SecureEmailを参照してください。
比較またはプライベートEメールプロバイダーおよびEメールセキュリティチェックリストも参照してください。
その他の注目すべき言及
HushMail、Soverin、StartMail、Posteo、Lavabit。活動家やジャーナリストについては、Disroot、Autistici、CripText、RiseUpを参照してください。
警告の言葉
- OpenPGPのようなエンドツーエンドの暗号化技術を使用する場合、電子メールヘッダーの一部のメタデータは暗号化されません。
- OpenPGPは、Forward Secrecyもサポートしていません。つまり、あなたまたは受信者の秘密鍵が盗まれた場合、それで暗号化された以前のすべてのメッセージが公開されます。秘密鍵を安全に保つために細心の注意を払う必要があります。
セルフホストメール
メッセージで電子メールプロバイダーを信頼したくない場合は、独自のメールサーバーをホストできます。経験がなければ、特にセキュリティに関しては、これを正しく構成するのが難しいことで有名です。また、コスト、パフォーマンス、機能が魅力的でないオプションであることに気付くかもしれません。このルートを選択する場合、Mail-in-a-boxは、展開が簡単なオープンソースのメールサーバーです。これは、Webでの分散化、革新、プライバシーを促進することを目的としているだけでなく、自動化され、監査可能で、べき等のシステム構成を備えています。他のすぐに使えるセルフホストメールオプションには、MailuとMail Cowがあり、どちらもDockerコンテナです。
メールクライアント
電子メールクライアントは、メールサーバーと対話するために使用されるプログラムです。ホストされた電子メールの場合、通常、電子メールサービスによって提供されるWebクライアントとモバイルクライアントが適切であり、最も安全なオプションである可能性があります。セルフホストメールの場合、Web、デスクトップ、またはモバイル用のメールクライアントをインストールして構成する必要があります。IMAPクライアントを使用する利点は、すべての電子メールメッセージのオフラインバックアップを常に保持できることです(暗号化およびアーカイブできます)。多くのアプリケーションでは、便利なように複数のメールボックスを集約できます。デスクトップメールクライアントは、Webアプリのクライアントと同様に、一般的なブラウザ攻撃に対して脆弱ではありません。
| プロバイダー | 説明 |
|---|---|
| Mozilla Thunderbird(デスクトップ) | Mozillaによって開発および支援された無料のオープンソースの電子メールアプリケーション-それは安全で、プライベートで、簡単でカスタマイズ可能です。 |
| eM Client(デスクトップ) | WindowsおよびMacOS用の生産性ベースの電子メールクライアント。eM Clientは、すっきりとしたユーザーインターフェイス、きびきびとしたパフォーマンス、優れた互換性を備えています。有料版があり、受信メールのスヌーズ、特定のスレッドへの返信の監視、メッセージの翻訳、後で送信、組み込みのカレンダー、タスク、連絡先、メモなどの便利な機能があります。eM Clientは適切であり、オープンソースではないことに注意してください |
| RainLoop(Web) | シンプルでモダンな高速Webベースのメールクライアント |
| RoundCube(Web) | アプリケーションのようなユーザーインターフェイスを備えたブラウザベースの多言語IMAPクライアント。MIMEサポート、アドレスブック、フォルダ操作、メッセージ検索、スペルチェックなど、電子メールクライアントに期待されるすべての機能を提供します。 |
| FairEmail(Android) | Android用のオープンソースのフル機能の簡単なメールクライアント。統合された受信トレイのオプションを使用して、無制限のアカウントと電子メールアドレスをサポートします。ダークモードオプションを備えたクリーンなユーザーインターフェイスは、非常に軽量で、データ使用量も最小限に抑えられます。 |
| K-9メール(Android) | K-9はオープンソースであり、非常によくサポートされ、信頼されています-k9はAndroid自体とほぼ同じくらい長い間存在しています!複数のアカウント、検索、IMAPプッシュ型電子メール、マルチフォルダー同期、フラグ付け、ファイリング、署名、BCC自己、PGP/MIMEなどをサポートします。OpenPGPを使用して電子メールを暗号化/復号化するために、OpenKeychainを横にインストールします |
| p≡p(Android / iOS) | Pretty Easy Privacy(p≡p)クライアントは、「自動プライバシー」のための完全に分散化されたエンドツーエンドの暗号化メールクライアントです。いくつかの優れた機能がありますが、オープンソースではありません |
警告の言葉
メールクライアントの欠点の1つは、それらの多くが2FAをサポートしていないことです。そのため、デバイスを安全に保護し、暗号化しておくことが重要です。
匿名のメール転送
オンラインで実際のメールアドレスを公開すると、危険にさらされる可能性があります。電子メールのエイリアスを使用すると、メッセージを[anything] @ my-domain.comに送信しても、メインの受信トレイに届きます。これにより、実際のメールアドレスが公開されるのを防ぎます。エイリアスは、最初に使用されたときに自動的に生成されます。このアプローチにより、どのプロバイダーが電子メールアドレスを漏えいしたかを特定し、ワンクリックでエイリアスをブロックできます。
| プロバイダー | 説明 |
|---|---|
| アノナディ | オープンソースの匿名の電子メール転送サービス。無制限の電子メールエイリアスを作成できます。無料プランがあります。 |
| 33メール | 長年のエイリアシングサービス。33Mailを使用すると、受信だけでなく、転送されたアドレスに匿名で返信することもできます。無料プラン、およびカスタムドメインを使用する場合はプレミアムプラン($ 1 /月) |
| SimpleLogin | 多くの追加機能を備えた完全にオープンソース(GitHubで表示)のalliasサービス。自己ホスト型にすることも、マネージドバージョンに無料プランとカスタムドメインを使用するためのホスト型プレミアムオプション(月額$ 2.99)を用意することもできます |
| Firefoxプライベートリレー | Mozillaによって開発および管理されているRelayはFirefoxアドオンであり、ワンクリックで電子メールエイリアスを作成し、すべてのメッセージを個人の電子メールに転送できます。リレーは完全に無料で使用でき、経験の浅いユーザーにも非常にアクセスしやすく、オープンソースでもあり、高度な使用法のためにセルフホストすることができます |
| 前方のメール | シンプルなオープンソースのキャッチオールメール転送サービス。セルフホストが簡単(GitHubを参照)、またはホストされたバージョンには無料プランと($ 3 /月)プレミアムプランがあります |
| ProtonMail(プロフェッショナルプラン以上) | ProtonMailのProfessional(€8 /月)またはVisionary(€30 /月)パッケージを既にお持ちの場合、この機能の実装は、Catch-AllEmail機能を介して利用できます。 |
または、独自のキャッチオールメールサービスをホストすることもできます。Mailuは、ワイルドカードを受け入れるように構成できます。MicrosoftExchangeの場合は、exchange-catchallを参照してください。
注目すべき言及
mailhero.ioは小規模なサービスであり、暗号化が組み込まれていないため、PGPを使用する必要がありますが、無料です。
電子メールセキュリティツール
| プロバイダー | 説明 |
|---|---|
| Enigmail | メールクライアントアドオン。OpenPGPを使用して、電子メールを簡単に暗号化、復号化、検証、および署名できます。無料のオープンソースであるEnifmailは、Mozilla Thunderbird、Interlink Mail&News、Postboxと互換性があります。彼らのウェブサイトには、完全なドキュメントとクイックスタートガイドが含まれています。一度設定すると、非常に便利に使用できます。 |
| TorBirdy | 匿名性とセキュリティの追加レイヤーを提供するために、Torネットワーク経由で接続するように構成するThunderbird拡張機能 |
| メールプライバシーテスター | クイックツール。メールクライアントがメールを開く前にメールを「読み取る」かどうかをテストし、メールクライアントが送信者に送り返すことを許可する分析、受信受信、またはその他の追跡データを確認することもできます。このシステムはオープンソース(GitLab上)で、 Mike Cardwellによって開発され、信頼されていますが、実際のメールを使用したくない場合は、同じプロバイダーで2つ目のアカウントを作成すると、同じ結果が得られます。 |
| DKIMベリファイア | スプーフィングされた電子メール(彼らが主張するドメインからのものではない)を見つけるのを助けるために、DKIM署名を検証し、結果を電子メールヘッダーに表示します |
注目すべき言及
ProtonMailを使用している場合、ProtonMail Bridgeを使用すると、電子メールを独自のデスクトップメールクライアントに同期できます。Thunderbird、MicrosoftOutlookなどでうまく機能します
VOIPクライアント
| プロバイダー | 説明 |
|---|---|
| つぶやく | オープンソース、低遅延、高品質のボイスチャットソフトウェア。独自のサーバーをホストすることも、ホストされたインスタンスを使用することもできます。Windows、MacOS、Linux用のクライアントアプリケーションと、AndroidおよびiOS用のサードパーティアプリがあります。 |
| Linphone | E2E暗号化と組み込みメディアサーバーを備えたオープンソースのオーディオ、ビデオ、およびIMグループ。SIPベースのRCSへの進化。Android、iOS、Windows、GNU / Linux、MacOS用のネイティブアプリ |
注目すべき言及
SpoofCardを使用すると、匿名の電話とボイスメールを発信できますが、オープンソースではなく、セキュリティに関する情報が制限されます(安全な情報の送信は避けてください)。 MicroSipは、PJSIPスタックに基づくWindows用のオープンソースのポータブルSIPソフトフォンです。
仮想電話番号
| プロバイダー | 説明 |
|---|---|
| Silent.link | SMS、着信通話、4G/5Gインターネット+ワールドワイドローミングを送受信するための匿名eSIM。サインアップ時にデータは必要ありません。手頃な価格で、BTCで支払いと追加が受け入れられます。eSim互換デバイスが必要です |
| Crypton.sh | SMSメッセージを送受信するためのクラウド内の物理SIMカード。メッセージは、選択した秘密鍵を使用して暗号化されます。Webインターフェイスと、任意のデバイスからWebインターフェイスを操作するためのAPIが含まれています。価格は約€7.00/月で、支払いはBTC、XMR、またはクレジットカードで受け付けています |
| Jmp.chat | Sopraniから提供された着信および発信の通話とメッセージの電話番号。Jabber、Matrix、Snikket、XMPP、または任意のSIPクライアントで動作します。価格は月額$2.99からです。(2022年現在)サービスはまだベータ版であるため、米国とカナダでのみ利用可能です。 |
チームコラボレーションプラットフォーム
今ではこれまで以上に、チームのコラボレーションを支援するソフトウェアに依存しています。残念ながら、 Slack、Microsoft Teams、Google for Work、Discordなどの多くの人気のあるオプションには、プライバシーに深刻な影響があります。
チームコラボレーションソフトウェアの一般的な機能には、インスタントメッセージング、クローズドおよびオープングループメッセージング、音声およびビデオ電話会議、ファイル共有/ファイルドロップ、およびいくつかのレベルまたはスケジューリング機能が含まれます。
| プロバイダー | 説明 |
|---|---|
| Rocket.Chat | 安定した機能豊富なクロスプラットフォームクライアントアプリを備えた、展開が簡単なセルフホストのチームコラボレーションプラットフォーム。UIは高速で見栄えがよく、直感的であるため、プラットフォームのユーザーに必要な技術的経験はほとんどありません。Rocket.Chatの機能セットはSlackの機能セットに似ているため、データをより細かく制御したいチームの代わりになります。 |
| RetroShare | TorまたはI2Pを介して使用するオプションを備えた安全なグループ通信。オフラインの連絡先にメッセージを配信するためのメール機能を備えた、分散型チャットルームを使用したテキストおよびリッチメディアとの高速で直感的なグループおよび1対1のチャット。チャネル機能を使用すると、さまざまなチームのメンバーが互いに最新の状態を保ち、ファイルを共有できます。組み込みのフォーラム、リンクアグリゲーション、ファイル共有、音声通話とビデオ通話も含まれます。RetroShareは、他の方法よりも使用が少し複雑で、UIは非常にレトロであるため、技術者以外のチームには適さない場合があります。 |
| エレメント | Matrixプロトコルを使用したプライバシー重視のメッセンジャー。Elementクライアントでは、グループチャットルーム、メディア共有の音声およびビデオグループ通話が可能です。 |
| インターネットリレーチャット | IRCベースのソリューションは別のオプションです。分散化されているため、障害点がなく、セルフホストが簡単です。ただし、IRCインスタンスを構成する際はセキュリティを念頭に置き、チャネルが適切に暗号化されていることを確認することが重要です。IRCはオープン通信に適している傾向があります。選択できるクライアントはさまざまです。人気のあるオプションには、 Longe(Webベース)、HexChat(Linux)、Pidgin(Linux)、WeeChat(Linux、ターミナルベース)、IceChat(Windows)、XChat Aqua(MacOS)があります。 、Palaver(iOS)およびRevolution(Android) |
| 最も重要なのは | Mattermostには、セルフホスト可能なオープンソースエディションがあります。ネイティブデスクトップ、モバイル、ウェブアプリ、さまざまな統合機能を備えたSlackの優れた代替手段になります |
| ダイアログ | 企業の安全な共同メッセンジャー。クリーンなUIと、グループ、ファイル共有、音声/ビデオコール、検索、チャットボットなどのすべての基本機能 |
注目すべき言及
一部のチャットプラットフォームでは、クロスプラットフォームのグループチャット、音声およびビデオ会議が可能ですが、追加のコラボレーション機能はありません。たとえば、Tox、Session、Ricochet、Mumble、Jamiなどです。
会議の場合、OSEMはオープンソースのオールインワン会議管理ツールであり、登録、スケジュール、ライブおよび記録されたセッション、紙の提出、マーケティングページ、および管理を提供します。
ブラウザ拡張機能
次のブラウザアドオンを使用すると、ブラウジング中にロードおよび実行できるコンテンツをより適切に制御できます。
| プロバイダー | 説明 |
|---|---|
| プライバシーアナグマ | 広告主や他のサードパーティがあなたがどこに行き、どのページを見ているかを密かに追跡するのを防ぐために、目に見えないトラッカーをブロックします。ダウンロード:Chrome \ Firefox |
| HTTPS Everywhere | Webサイトとの通信を暗号化するために、サイトをHTTPSで強制的にロードし、ブラウジングをより安全にします(Smart HTTPSと同様)。この機能は現在、ほとんどの最新のブラウザにデフォルトで含まれていることに注意してください。ダウンロード:Chrome \ Firefox |
| uBlock Origin | 広告、トラッカー、マルウェアサイトをブロックします。ダウンロード:Chrome \ Firefox |
| ScriptSafe | 特定のスクリプトの実行をブロックできます。ダウンロード:Chrome \ Firefox |
| Firefoxマルチアカウントコンテナ | Firefoxマルチアカウントコンテナを使用すると、プライバシーを保護するために、オンライン生活の一部を色分けされたタブに分割できます。Cookieはコンテナで区切られているため、複数のIDまたはアカウントで同時にWebを使用できます。ダウンロード:Firefox |
| 一時的なコンテナ | この拡張機能をFirefoxマルチアカウントコンテナと組み合わせると、各WebサイトのCookieやその他のプライベートデータを分離できます。ダウンロード:Firefox |
| WebRTC-リーク防止 | WebRTCリークを防ぐために、ChromiumのWebRTCプライバシー設定をユーザーが制御できます。ダウンロード:Chrome。Firefoxユーザーの場合、ブラウザの設定からこれを行うことができます。browserleaks.com/webrtcを使用して、WebRTCリークをテストします |
| キャンバスフィンガープリントブロッカー | HTML5Canvas要素へのアクセスを削除せずに指紋をブロックします。キャンバスフィンガープリンティングは一般的に追跡に使用されます。この拡張機能は、ブラウザが真の一意のキーを生成することを禁止することでこれを軽減するのに役立ちます ダウンロード: Chrome \ Firefox \ Edge \ Source |
| ClearURLs | この拡張機能は、URLのGETパラメータからトラッキング要素を自動的に削除して、プライバシーを保護します。 ダウンロード:Chrome \ Firefox /ソース |
| CSSExfil保護 | Exfil攻撃から保護するために、データを盗むように設計されている可能性のあるCSSルールをサニタイズしてブロックします ダウンロード:Chrome \ Firefox \ Source |
| ファーストパーティの分離 | ファーストパーティの分離設定を有効にします(金魚鉢アイコンをクリックすると一時的に無効になります) ダウンロード:Firefox |
| プライバシー指向のオリジンポリシー | プライバシーを保護するために、Firefoxが必要となる可能性が最も低いときにOriginヘッダーを送信しないようにします。 ダウンロード:Firefox \ Source |
| LocalCDN | リモートフレームワーク(jQuery、Bootstrap、Angularなど)をエミュレートし、ローカルリソースとして配信します。CDNを追跡するための不要なサードパーティのリクエストを防止します ダウンロード:Firefox |
| Decentraleyes | LocalCDNと同様に、サードパーティのCDNを呼び出す代わりに、一般的なスクリプトのローカルバージョンを提供します。プライバシーと読み込み時間を改善します。すぐに使用でき、通常のコンテンツブロッカーとうまく連携します。ダウンロード:Chrome \ Firefox \ Opera \ Pale Moon \ Source |
| バニラクッキーマネージャー | 不要なCookieを自動的に削除することで、プライバシーを保護するのに役立つホワイトリストマネージャー。ダウンロード:Chrome |
| プライバシーの要点 | 各サイトのセキュリティを評価するDuckDuckGoによる単純な拡張。ダウンロード:Chrome \ Firefox |
| 自己破壊型Cookie | 一意のCookieを保存することにより、Webサイトがあなたを追跡するのを防ぎます(指紋は追跡にもよく使用されることに注意してください)。セッションを終了するたびに、関連するすべてのCookieが削除されます。ダウンロード:Chrome \ Firefox \ Opera \ソース |
| プライバシーリダイレクト | Twitter、YouTube、Instagram、Googleマップのリクエストをプライバシーに配慮した代替手段にリダイレクトするシンプルなウェブ拡張機能 ダウンロード:Firefox / Chrome |
| サイトブリーチャー | Cookie、ローカルストレージ、IndexedDB、およびService Workerを自動的に削除します ダウンロード:Firefox \ Chrome \ Source |
| ユーザーエージェントスイッチャー | ブラウザのUser-Agent文字列をスプーフィングし、実際に使用しているものとは異なるデバイス、ブラウザ、バージョンを使用しているように見せます。これだけではプライバシーにほとんど影響しませんが、他のツールと組み合わせると、指紋を変更し続け、あなたを追跡しているサイトに偽の情報を送ることができます。一部のWebサイトでは、ユーザーエージェントに応じて異なるコンテンツが表示されます。 ダウンロード:Chrome \ Fireforx \ Edge \ Opera \ Source |
| PrivacySpy | PrivacySpy.orgのcompanian拡張機能-プライバシーポリシーの評価、注釈付け、アーカイブを行うオープンプロジェクト。拡張機能は、現在のWebサイトのプライバシーポリシーのスコアを示します。 ダウンロード:Chrome \ Fireforx |
| HTTPZ | Firefox用の簡略化されたHTTPSアップグレード(HTTPSの軽量代替-どこでも) ダウンロード:Firefox |
| リダイレクトをスキップ | 一部のWebページは、最終ページにリダイレクトする前に中間ページを使用します。このアドオンは、中間URLから最終的なURLを抽出しようとし、成功した場合はすぐにそこに移動します ダウンロード:Firefox \ Source |
| Webアーカイブ | Wayback Machine、Archive.is、Googleなどの10以上の検索エンジンでアーカイブおよびキャッシュされたバージョンのWebページを表示するWebサイトの正当性を確認し、変更ログを表示するのに便利です ダウンロード:Firefox \ Chrome \ Edge \ Source |
| Flagfox | 現在のウェブサイトのサーバーの場所を示す国旗を表示します。これは一目でわかると便利です。サイトの安全性チェック、whois、検証などのその他のツールについては、アイコンをクリックしてください ダウンロード:Firefox |
| ライトビーム | インターネットサーフィンをしているときに接続しているサーバーを詳細に視覚化します。Gary Kovacs(Mozillaの前CEO)によって作成され、彼のTEDトークで発表されました。ダウンロード:Firefox \ソース |
| 追跡しない | ホワイトペーパーで概説されている無意味なノイズと難読化を作成することにより、監視とデータプロファイリングからWeb検索者を保護するのに役立ちます。これが良いアプローチであるかどうかについて物議を醸すダウンロード:Chrome \ Firefox \ソース |
| AmIUniqueタイムライン | ブラウザのフィンガープリントの進化をよりよく理解できるようにします(これは、Webサイトがユーザーを一意に識別および追跡するために使用するものです)。ダウンロード:Chrome \ Firefox |
| Netcraft拡張機能 | 既知または潜在的なフィッシングサイトにアクセスしたときに通知し、疑わしいJavaScript(スキマーやマイナーを含む)を検出します。また、特定のサイトの正当性とセキュリティに対する簡単な評価も提供します。あまり技術的でないユーザーに最適です。Netcraftには、便利なオンラインツールもあります。特定のWebサイトが実行されているものを確認するためのサイトレポートです。ダウンロード:Chrome \ Firefox \ Opera \ Edge |
注目すべき言及
拡張機能ソースビューアは、別のブラウザ拡張機能のソースコードを表示するための便利な拡張機能です。これは、コードが指示どおりに機能することを確認するための便利なツールです。
警告の言葉
- 多くの拡張機能をインストールすると、エントロピーが上昇し、指紋がより一意になり、追跡が容易になります。
- 上記のアドオンの機能の多くは、ブラウザの設定を自分で構成することにより、何もインストールせずに適用できます。Firefoxの場合、これはuser.jsで行われます。
- なじみのないブラウザアドオンをインストールするときは注意してください。セキュリティとプライバシーを危険にさらす可能性があるためです。これを書いている時点では、上記のリストはすべてオープンソースで検証済みの「安全な」拡張機能でした。
- ほとんどの場合、上記の拡張機能のいくつかを組み合わせて必要になります。
- 多くの人気のある拡張機能の陳腐化と無意味さ、および非常に限られたセットしか必要としない理由の詳細については、 arkenfoxwikiを参照してください。
ブラウザと検索のセキュリティチェックリストも参照してください
モバイルアプリ
| プロバイダー | 説明 |
|---|---|
| Orbot | 複数のノードを介した接続を暗号化するシステム全体のTorプロキシ。Tor Browserと一緒に使用して、.onionサイトにアクセスすることもできます。 |
| NetGuard | ルートを必要としないAndroid用ファイアウォールアプリ。NetGuardは、インターネットへのアクセスをブロックするためのシンプルで高度な方法を提供します。この方法では、アプリケーションとアドレスを個別にWi-Fiやモバイル接続へのアクセスを許可または拒否できます。 |
| 小島 | サンドボックス環境。選択したアプリのクローンを作成して分離されたボックスで実行し、個人データやデバイス情報にアクセスできないようにします。 |
| [島] | 追加の機能強化を備えた、アクティブに保守されているデッドアイランドプロジェクトのフォーク |
| 出エジプト記 | インストールされている各アプリが使用しているトラッカーを表示するため、データがどのように収集されているかをよりよく理解できます。スキャンされたAPKのExodusデータベースからのデータを使用します。 |
| バウンサー | たとえば、カメラを使用してプロフィール写真を撮ることができるように、一時的に権限を付与する機能を提供しますが、特定のアプリを閉じると、それらの権限は取り消されます |
| XPrivacyLua | Android用の使いやすいプライバシーマネージャー。アプリが親密な権限を要求したときに、アプリに偽のデータをフィードできます。権限を取り消すときにアプリが誤動作することによって引き起こされる問題を解決し、偽の情報のみを共有することで実際のデータを保護します。通話履歴、カレンダー、SMSメッセージ、場所、インストール済みアプリ、写真、クリップボード、ネットワークデータなどを非表示にできます。また、カメラ、マイク、テレメトリ、GPS、その他のセンサーへのアクセスを防ぎます |
| SuperFreezZ | アプリごとにすべてのバックグラウンドアクティビティを完全にフリーズすることができます。目的は、携帯電話の速度を上げ、バッテリーの寿命を延ばすことですが、このアプリは、特定のアプリがバックグラウンドで実行しているときにデータを収集してアクションを追跡するのを防ぐための優れたユーティリティでもあります |
| ヘブン | セキュリティを損なうことなく、自分自身、個人的なスペース、所有物を保護できます。デバイスセンサーを活用して近くのスペースを監視するHavenは、EdwardSnowdenと共同でTheGuardianProjectによって開発されました。 |
| XUMIセキュリティ | 既知のセキュリティの脆弱性をチェックして解決します。特定のアプリやデバイスの設定がセキュリティやプライバシーを危険にさらしていないことを確認するのに役立ちます |
| ダイダロス | ルート不要のAndroidDNS修飾子とhosts/DNSMasqリゾルバーは、VPNトンネルを作成してDNS設定を変更することで機能します。リゾルバーをより安全でプライベートなプロバイダーに変更する場合、またはDNSoverHTTPSを使用する場合に便利です |
| 安全なタスク | ログイン試行の複数回の失敗やモニター設定の変更など、特定のセキュリティ条件が満たされた場合にアクションをトリガーします。Taskerが必要であり、ADBでセットアップする必要があり、デバイスをルート化する必要はありません |
| Cryptomator | クラウドストレージ(Googleドライブ、One Drive、Dropboxなど)にアップロードする前に、クライアント側でファイルとフォルダーを暗号化します。つまり、個人用ドキュメントがデバイスからプレーンテキストのままになることはありません。 |
| 1.1.1.1 | CloudFlaresを高速かつ安全に1.1.1.1DNSで使用し、DNS over HTTPSを使用できます。また、CloudFlares WARP+VPNを有効にするオプションもあります。 |
| Fingアプリ | WiFiネットワークの監視と保護に役立つネットワークスキャナー。アプリは完全に無料ですが、高度なコントロールを使用するには、 Fingボックスが必要になります |
| FlutterHole | PiHoleインスタンスの簡単な監視と制御。Pi Holeは、セキュリティ、プライバシー、スピードに最適です |
| DPIトンネル | 一部のサイトをブロックするために使用されるDPI(ディープパケットインスペクション)システムをバイパスするためにさまざまな手法を使用するAndroid用アプリケーション(Playストアでは利用できません) |
| 封鎖 | このアプリケーションは、広告とトラッカーをブロックし、rootを必要とせず、Androidスマートフォンのすべてのアプリで機能します。ここでどのように機能するかを確認してください。 |
| SnoopSnitch | モバイル無線データを収集および分析して、モバイルネットワークのセキュリティを認識し、偽の基地局(IMSIキャッチャー)、ユーザートラッキング、無線更新などの脅威について警告します。 |
| TrackerControl | ユーザーの行動/追跡に関するモバイルアプリの非表示データ収集を監視および制御する |
| Greentooth | Bluetoothを自動無効にすると、使用されなくなります。バッテリーを節約し、いくつかのセキュリティリスクを防ぎます |
| PrivateLock | 移動力/加速度に基づいて携帯電話を自動ロック |
| CamWings | バックグラウンドプロセスがデバイスのカメラに不正にアクセスするのを防ぎます。さらに良いことに、ウェブカメラのステッカーを使用してください |
| ScreenWings | 機密データを公開する可能性のある、許可されていないスクリーンショットを撮るバックグラウンドプロセスを防止します |
| AFWall + | Android Firewall +(AFWall +)は、ルート化されたAndroidデバイス用の高度なiptablesエディター(GUI)であり、ネットワークへのアクセスを許可するAndroidアプリを非常にきめ細かく制御できます。 |
| Man-in-the-Middleをキャッチ | デバイスから見たSSL証明書と外部ネットワークから見た証明書のSHA-1フィンガープリントを比較するシンプルなツール。それらが一致しない場合、これは中間者の変更要求を示している可能性があります |
| DNS+ファイアウォールを再考する | Android 6以降用のオープンソースの広告ブロッカーおよびファイアウォールアプリ(rootは必要ありません) |
| F-Droid | F-Droidは、Android用のFOSSアプリケーションのインストール可能なカタログです。クライアントを使用すると、デバイスの更新を参照、インストール、および追跡できます。 |
警告の言葉
インストールされているアプリが多すぎると、攻撃対象領域が増加します-必要なアプリケーションのみをインストールしてください
その他の注目すべき言及
よりオープンソースのセキュリティおよびプライバシーアプリについては、次のパブリッシャーをチェックしてください:The Guardian Project、The Tor Project、Oasis Feng、Marcel Bokhorst、SECUSO Research Group、Simple Mobile Tools-これらはすべて、信頼できる開発者または組織であり、すばらしい成果を上げています。仕事。
攻撃的および防御的なセキュリティについては、アプリのKaliNethunterカタログを参照してください。
上級ユーザーの場合、次のツールを使用して、デバイスとネットワークを綿密に監視し、異常なアクティビティを検出できます。ネットワーク分析用のPortDroid 、ネットワークトラフィックを監視するためのPacket Capture、システムログを表示するためのSysLog 、インストールされたアプリの.dexまたは.apkファイルを読み取るためのDexplorer 、デバイスハードウェアのステータスと詳細を確認するためのCheckandTest。
モバイルセキュリティチェックリストも参照してください
オンラインツール
チェック、テスト、保護するための無料のオンラインツールとユーティリティの選択
| プロバイダー | 説明 |
|---|---|
| ';-私はpwnされましたか? | クレデンシャル(電子メールアドレスまたはパスワード)がデータ侵害で侵害されていないかどうかを確認します。Firefoxモニターも参照してください |
| εxodus | Androidアプリのトラッカーの数とトラッカーを確認します。特定のAPKをインストールする前にデータがどのように収集されているかを理解するのに役立ちます。また、アプリが要求する権限も表示されます。 |
| 私はユニークですか? | デバイス情報に基づいて指紋を生成することにより、インターネット上で自分がどの程度識別可能であるかを示します。これは(Cookieが有効になっていない場合でも)あなたを追跡するWebサイトの数であるため、目的は一意ではないことです |
| Panopticlick | ブラウザが追跡に対して安全かどうかを確認してください。ブラウザとアドオンがオンライン追跡技術からあなたをどの程度保護しているか、そしてシステムが一意に構成されているかどうか、つまり識別可能かどうかを分析します |
| Phish.ly | 電子メールを分析し、URLを確認し、VirusTotalへのリンクを含む添付ファイルのSHA256およびMD5ハッシュを作成します。このサービスを使用するには、悪意のある、または疑わしい可能性のある電子メールをscan@phish.lyに転送するだけで、自動返信に結果が含まれます。彼らは、分析後にすべての電子メールデータが削除されると主張していますが、機密情報を含めず、転送先アドレスを使用するのが賢明です。 |
| ブラウザリークテスト | どの個人IDデータがブラウザから漏洩しているかを表示するため、指紋から身を守ることができます。 |
| IPリークテスト | IPアドレス、およびその他の関連する詳細(場所、ISP、WebRTCチェック、DNSなど)を表示します |
| EXIF削除 | アップロードされた写真またはドキュメントからメタおよびEXIFデータを表示および削除します |
| リダイレクト探偵 | 疑わしいURLがどこにリダイレクトされるかを確認します(クリックする必要はありません)。アドウェア/追跡サイトを介してリダイレクトされないことで追跡されないようにしたり、短縮されたリンクが実際に正当なサイトを解決するかどうかを確認したり、リンクがアフィリエイト広告であるかどうかを確認したりできます |
| Blocked.org | 特定のWebサイトが、モバイルおよびブロードバンドインターネットサービスプロバイダー(ISP)によって適用されたフィルターによってブロックされているかどうかを確認します |
| VirusTotal | 疑わしい可能性のあるWebリソースを(URL、IP、ドメイン、またはファイルハッシュで)分析して、マルウェアの種類を検出します(注:ファイルは公開スキャンされます) |
| 硬化する | Webサイトをスキャンし、HTTPS、ドメイン情報、電子メールデータ、wwwプロトコルなどの要素に関連するセキュリティの概要を表示します |
| 合法ですか? | 何かを購入する前に、ウェブサイトやビジネスが詐欺であるかどうかを確認します |
| Deseat Me | オンラインプレゼンスをクリーンアップするのに役立つツール-すべてのアカウントのリストを即座に取得し、使用していないアカウントを削除します |
| 削除する必要がありますか? | Windows PCからプログラムをアンインストールしていて、何かわからないことがありますか?削除する必要がありますそれはWindowsソフトウェアのデータベースであり、それが不可欠であるか、無害であるか、危険であるかを詳しく説明しています。 |
| 10分のメール | あなたの本当の詳細を与えることを避けるために、一時的な使い捨ての電子メールアドレスを生成します |
| MXToolBoxメールヘッダー | 電子メールヘッダーを分析するためのツール。メッセージの信頼性を確認したり、送信メッセージでどの情報を公開しているかを知るのに役立ちます。 |
| 私はFloCedですか? | Googleは、Federated Learning of Cohorts(別名「FLoC」)と呼ばれる新しい追跡機能をテストしています。現在、Chromeユーザーの0.5%に影響を与えています。EFFによって開発されたこのツールは、影響を受けているかどうかを検出し、保護を維持する方法に関する追加情報を提供します |
| サイトレポート | Netcraftのツールで、特定のWebサイトが実行されているもの、その場所、ホスト、レジストラ、IPおよびSSL証明書に関する情報を分析します。 |
警告の言葉
ブラウザは本質的に安全ではありません。アップロードしたり、個人情報を入力したりするときは注意してください。
仮想プライベートネットワーク
VPNは、検閲を回避し、パブリックWiFiの保護を強化し、IPアドレスを隠し、ISPがログに記録できるデータを減らすのに適しています。ただし、匿名性を最大限に高めるには、Torを使用する必要があります。VPNは、あなたが魔法のように保護されている、または匿名であることを意味するものではありません(以下を参照)。
| プロバイダー | 説明 |
|---|---|
| マルバッド | Mullvadはプライバシーに最適なものの1つであり、完全に匿名のサインアッププロセスがあり、詳細を提供する必要はありません。匿名で支払うこともできます(Monero、BTC、または現金で) |
| アジレ | AzireはスウェーデンのVPNプロバイダーであり、物理的に削除されたストレージとノーログポリシーを備えた独自のハードウェアを所有しています。価格は月額3.25ユーロからで、暗号通貨(XMRを含む)がサポートされています。それらはまだ監査されておらず、クライアントアプリケーションはオープンソースではないことに注意してください。詳細については、#140を参照してください。 |
| IVPN | 匿名のサインアップ、ログ、クラウドまたは顧客データの保存、オープンソースアプリおよびWebサイトを備えた独立したセキュリティ監査済みVPN。強い倫理:追跡者、虚偽の約束、監視広告はありません。crypotcurrenciesを含むさまざまな支払い方法を受け入れます。 |
| ProtonVPN | ProtonMailの作成者から、ProtonVPNは確かな評判を持っています。彼らは、ユーザーフレンドリーなネイティブモバイルおよびデスクトップアプリの完全なスーツを持っています。ProtonVPNは、無料プランも提供する数少ない「信頼できる」プロバイダーの1つです。 |
| OVPN | WireguardとOpenVPNのサポート、およびオプションの広告ブロックをサポートする、法廷で証明されたVPNサービス。ハードドライブなしで、専用ハードウェアで実行 |
警告の言葉
- VPNはあなたを匿名にするのではなく、あなたのパブリックIPアドレスをISPではなくVPNプロバイダーのアドレスに変更するだけです。ブラウジングセッションは、システムの詳細(ユーザーエージェント、画面解像度、入力パターンなど)、Cookie /セッションストレージ、または入力した識別可能なデータのいずれかを介して、実際のIDにリンクすることができます。フィンガープリントについてもっと読む
- ロギング-ISPが完全な閲覧履歴をロギングすることに同意しないためにVPNを使用することを選択した場合、VPNプロバイダーがすべてのトラフィックを表示(および混乱)できることを覚えておくことが重要です。多くのVPNはログを保持しないと主張していますが、これを確信することはできません(VPNリーク)。詳細については、この記事を参照してください
- IPリーク-正しく構成されていない場合、DNSリークによってIPが公開される可能性があります。これは通常、システムが匿名ネットワークまたはVPNによって割り当てられた匿名DNSサーバーではなく、デフォルトのDNSサーバーに無意識のうちにアクセスしている場合に発生します。続きを読む:DNSリークとは、DNSリークテスト、 DNSリークを修正する方法
- ステルス-VPNを使用していることは敵に見えますが(通常はIPアドレスから)、他のシステムやブラウザのデータでも、あなたとあなたのデバイスに関する情報(ローカルタイムゾーンなど、あなたが操作している地域)
- 多くのレビューが後援されているため、偏っています。独自の調査を行うか、上記のオプションのいずれかを使用してください
- Tor(または別のミックスネットワーク)を使用することは、匿名性のためのより良いオプションかもしれません
考慮事項
VPNを選択するときは、次のことを考慮してください。ログポリシー(ログが悪い)、管轄区域(5つ目を避ける)、サーバーの数、可用性、および平均負荷。支払い方法(BTC、Monero、現金などの匿名の方法が優れています)、リーク保護(ファーストパーティのDNSサーバー=良好、IPv6がサポートされているかどうかを確認)、プロトコル(OpenVPNおよびWireGuard =良好)。最後に、アプリの使いやすさ、ユーザーレビュー、ダウンロード速度。
セルフホストVPN
VPNプロバイダーがログを保持しないことを信頼していない場合は、独自のVPNをセルフホストすることができます。これにより、完全に制御できますが、匿名性が犠牲になります(クラウドプロバイダーが請求情報を必要とするため)。詳細については、 Streisandを参照して、VPNの実行を開始してください。 Digital Oceanは、柔軟で安全かつ簡単なLinux VM($0.007/時間または$5/月から)を提供します。このガイドでは、 CentOS7またはUbuntu18.4+でVPNをセットアップする方法について説明します。OpenVPNまたはIKEv2の設定の詳細をご覧ください。または、CarlFriessによるDigitalOceanのワンクリックインストールスクリプトを次に示します。
独自のVPNを実行するための最近配布されたセルフホストソリューションの人気が高まっており、Outlineなどのサービスを使用すると、独自のインスタンスを起動して友人や家族と共有できます。配布されているため、ブロックに対して非常に耐性があり、無料でオープンなインターネットへの世界中のアクセスを提供します。また、サーバーを完全に制御できるため、ログ記録や監視が行われていないことを確信できます。ただし、特にインスタンスを使用しているのがあなただけの場合は、匿名性が犠牲になります。
セルフホストネットワークセキュリティ
RaspberryPiやその他の低電力コンピューターで実行できる楽しい小さなプロジェクト。脅威の検出と防止を支援するために、ネットワークを監視し、コンテンツをフィルタリングします
| プロバイダー | 説明 |
|---|---|
| パイホール | DNSシンクホールとして機能するネットワークレベルの広告およびインターネットトラッカーブロッキングアプリケーション。Pi-Holeは、インターネットを大幅に高速化し、広告を削除し、マルウェアをブロックします。優れたウェブインターフェースと監視機能を備えたモバイルアプリが付属しています。オープンソースで、インストールが簡単で、非常に広く使用されています。 |
| テクニティウム | ソースでプライバシーを侵害するコンテンツをブロックするための別のDNSサーバー。Technitiumは多くのセットアップを必要とせず、基本的に箱から出してすぐに機能し、幅広いシステムをサポートします(また、Windows上でポータブルアプリとして実行することもできます)。これにより、特定のDNSレコードを使用してローカルDNSアドレスやゾーンを追加するなど、いくつかの追加タスクを実行できます。Pi-Holeと比較すると、Technitiumは非常に軽量ですが、Pi-Holeが提供する深い洞察が不足しており、その背後にあるコミュニティは非常に小さくなっています。 |
| IPFire | Linuxをベースにした、強化された、用途の広い、最先端のオープンソースファイアウォール。その使いやすさ、高性能、拡張性により、誰でも使用できます |
| PiVPN | 任意のDebianサーバーにホームVPNをセットアップする簡単な方法。最大512ビットの楕円曲線暗号化キーでOpenVPNとWireGuardをサポートします。複数のDNSプロバイダーとカスタムDNSプロバイダーをサポートします-PiHoleと一緒にうまく機能します |
| E2guardian | 強力なオープンソースのWebコンテンツフィルター |
| SquidGuard | ユーザーがアクセスできるWebサイトのコンテンツ制御に使用できるURLリダイレクトソフトウェア。Squidのプラグインとして記述されており、ブラックリストを使用して、アクセスがリダイレクトされるサイトを定義します。 |
| PFセンス | 広く使用されているオープンソースのファイアウォール/ルーター |
| ジーク | ネットワーク上にマルウェアに感染したコンピューターがあるかどうかを検出し、強力なネットワーク分析フレームワークと監視 |
| ファイアゾーン | WireGuard®上に構築されたオープンソースのセルフホストVPNとファイアウォール。 |
構築したくないですか?参照:事前設定されたセキュリティボックス
ミックスネットワーク
ミックスネットワークはルーティングプロトコルであり、一連のノードを介してトラフィックを暗号化およびルーティングすることにより、追跡が困難な通信を作成します。彼らはあなたをオンラインで匿名に保つのを助けます、そしてVPNとは異なり-ログはありません
| プロバイダー | 説明 |
|---|---|
| Tor | Torは強力な匿名性を提供し、監視を防ぎ、検閲を回避し、追跡を減らすことができます。トラッカーをブロックし、フィンガープリントに抵抗し、デフォルトで多層暗号化を実装します。つまり、自由に閲覧できます。TorはOnionLandへのアクセスも許可します:隠されたサービス |
| I2P | I2Pは優れた汎用トランスポートを提供し、隠れたサービスへのアクセスに適しています。また、Torに比べていくつかの技術的な利点があります。P2Pは単方向の短命トンネルに対応し、TCPおよびUDPで(回線交換ではなく)パケット交換されます。 、および継続的にピアをプロファイリングして、最もパフォーマンスの高いピアを選択します。 I2Pは成熟度は低くなりますが、完全に分散され、自己組織化されます。サイズが小さいということは、まだブロックされていないか、DOS化されていないことを意味します。 |
| フリーネット | Freenetはセットアップが簡単で、I2Pと比較して優れた友達間共有を提供し、コンテンツを匿名で公開するのに最適です。サイズが非常に大きく、非常に遅いため、カジュアルなブラウジングには最適ではありません。 |
Tor、I2P、Freenetはすべて匿名ネットワークですが、動作は大きく異なり、それぞれが特定の目的に適しています。したがって、適切で実行可能な解決策は、さまざまなタスクにそれらすべてを使用することです。 I2PとTorの比較について詳しくは、こちらをご覧ください。
注目すべき言及
参照:GNUnet、IPFS、ZeroNet、Panoramix、およびNym
警告の言葉
低遅延のブラウジングを提供するために、Torはパケットを混合したりカバートラフィックを生成したりしません。攻撃者が十分に強力である場合、理論的には、ネットワーク全体を監視することも、被害者の入口ノードと出口ノードのみを監視することもできます。ISPはあなたが何をしているかを見ることができなくても、あなたがミックスネットを使用していると判断して、これを隠すことができることを言及する価値があります-VPNも使用できます。当局が以前にTorネットワークを通じて犯罪者を追跡し、逮捕したことがあるため、危険にさらされる可能性のあることをしている場合は、優れたOpSecが不可欠です。。Torに誤った安心感を与えないでください。DNS、他のプログラム、または人為的エラーによる情報漏えいに注意してください。Torでサポートされているブラウザは、アップストリームフォークに遅れをとる可能性があり、悪用可能なパッチが適用されていない問題が含まれている可能性があります。#19を参照
注:Torネットワークはコミュニティによって運営されています。あなたがそれを使用することから利益を得て、すべての人のために無修正のインターネットアクセスを維持するのを手伝いたいなら、Torリレーを実行することを検討してください
プロキシ
プロキシは、ユーザーとインターネット間のゲートウェイとして機能し、ファイアウォールまたはWebフィルターとして機能し、プライバシーを向上させ、共有ネットワーク接続を提供し、データをキャッシュして一般的な要求を高速化するために使用できます。無料のプロキシは絶対に使用しないでください。
| プロバイダー | 説明 |
|---|---|
| ShadowSocks | インターネットトラフィックを保護するように設計された安全なsocks5プロキシ。オープンソース、超高速、クロスプラットフォーム、簡単にデプロイできます。GitHubリポジトリをご覧ください。 |
| Privoxy | プライバシーの強化、WebページデータとHTTPヘッダーの変更、アクセスの制御、広告やその他の不快なインターネットジャンクの削除のための高度なフィルタリング機能を備えた非キャッシュWebプロキシ |
注目すべき言及
V2ray-coreは、ネットワークの制限を回避してプライバシーを保護するためのプロキシを構築するためのプラットフォームです。もっと見る
警告の言葉
悪意のあるプロキシはすべてあまりにも一般的です。常にオープンソースソフトウェアを使用するか、自分でホストするか、評判の良いクラウドサービスにお金を払ってください。無料のプロキシは絶対に使用しないでください。接続を監視し、Cookieを盗み、マルウェアを封じ込めることができます。VPNはより良いオプションですが、それでもなお良いです-Torネットワークを使用してください。
DNS
安全でプライバシー中心のDNSを使用しなくても、すべてのWebリクエストを平文で見ることができます。プライバシーを尊重し、DNS-over-TLS、DNS-over-HTTPS、またはDNSCryptをサポートするサービスによって管理されるようにDNSクエリを構成する必要があります。
| プロバイダー | 説明 |
|---|---|
| CloudFlare | 最もパフォーマンスの高いオプションの1つであるCloudflareのDNSは、DoHとDoTをサポートし、Torを実装して、世界クラスの保護を提供します。セットアップが簡単な、ネイティブのクロスプラットフォームアプリがあります。 |
| AdGuard | 広告、トラッカー、悪意のあるドメインのブロックを専門とするオープンソースのDNSプロバイダー。それらは独立して監査されており、ログを保持していません |
| SecureDNS | 組み込みの広告ブロックと追加のプライバシー機能を備えたオープンソースのDNSプロバイダー。DoH、DoT、DNSCryptをサポートします。一部の大手プレーヤーほどパフォーマンスは良くありませんが、セキュリティの観点からは優れたオプションです。 |
| NextDNS | 広告をブロックし、プライバシーを保護し、検閲をバイパスするDNS。分析機能、および子供をアダルトコンテンツから保護する機能も付属しています |
このパブリックDoHサーバーの完全なリストも参照してください。その後、 DNSPerfを使用して選択したサーバーのパフォーマンスを確認できます。AwesomeSelf-Hostedにも良いリストがあります。安全なDNSサーバーの選択の詳細については、この記事とこの記事を参照してください。
注目すべき言及
- Quad9は、プライバシーとセキュリティに重点を置き、セットアップが簡単な、資金が豊富でパフォーマンスの高いDNSですが、一部の財政支援者の動機について疑問が投げかけられています。
- BlahDNS(日本、フィンランド、またはドイツ)は、セキュリティに重点を置いた優れたDNSです。
- OpenNIC, NixNet DNS and UncensoredDNS are open source and democratic, privacy-focused DNS
- Unbound is a validating, recursive, caching DNS resolver, designed to be fast and lean. Incorporates modern features and based on open standards
- Clean Browsing, is a good option for protecting kids, they offer comprehensive DNS-based Content Filtering
- Mullvad Mullvads public DNS with QNAME minimization and basic ad blocking. It has been audited by the security experts at Assured. You can use this privacy-enhancing service even if you don’t use Mullvad.
Word of Warning
Using an encrypted DNS resolver will not make you anonymous, it just makes it harder for third-partied to discover your domain history. If you are using a VPN, take a DNS leak test, to ensure that some requests are not being exposed.
DNS Protocols
DNS-over-TLS was proposed in RTC-7858 by the IETF, then 2 years later, the DNS-over-HTTPS specification was outlined in RFC8484 in October '18. DNSCrypt, is a protocol that authenticates communications between a DNS client and a DNS resolver. It prevents DNS spoofing, through using cryptographic signatures to verify that responses originate from the chosen DNS resolver, and haven’t been tampered with. DNSCrypt is a well battle-tested protocol, that has been in use since 2013, and is still widely used.
DNS Clients
| Provider | Description |
|---|---|
|
DNScrypt-proxy 2 (Desktop - BSD, Linux, Solaris, Windows, MacOS & Android) |
A flexible DNS proxy, with support for modern encrypted DNS protocols including DNSCrypt V2, DNS-over-HTTPS and Anonymized DNSCrypt. Also allows for advanced monitoring, filtering, caching and client IP protection through Tor, SOCKS proxies or Anonymized DNS relays. |
|
Unbound (Desktop - BSD, Linux, Windows & MacOS) |
Validating, recursive, caching DNS resolve with support for DNS-over-TLS. Designed to be fast, lean, and secure Unbound incorporates modern features based on open standards. It's fully open source, and recently audited. (For an in-depth tutorial, see this article by DNSWatch.) |
|
Nebulo (Android) |
Non-root, small-sized DNS changer utilizing DNS-over-HTTPS and DNS-over-TLS. (Note, since this uses Android's VPN API, it is not possible to run a VPN while using Nebulo) |
|
RethinkDNS + Firewall (Android) |
Free and open source DNS changer with support for DNS-over-HTTPS, DNS-over-Tor, and DNSCrypt v3 with Anonymized Relays. (Note, since this uses Android's VPN API, it is not possible to run a VPN while using RethinkDNS + Firewall) |
|
DNS Cloak (iOS) |
Simple all that allows for the use for dnscrypt-proxy 2 on an iPhone. |
|
Stubby (Desktop - Linux, Mac, OpenWrt & Windows) |
Acts as a local DNS Privacy stub resolver (using DNS-over-TLS). Stubby encrypts DNS queries sent from a client machine (desktop or laptop) to a DNS Privacy resolver increasing end user privacy. Stubby can be used in combination with Unbound - Unbound provides a local cache and Stubby manages the upstream TLS connections (since Unbound cannot yet re-use TCP/TLS connections), see example configuration |
Firewalls
A firewall is a program which monitors the incoming and outgoing traffic on your network, and blocks requests based on rules set during its configuration. Properly configured, a firewall can help protect against attempts to remotely access your computer, as well as control which applications can access which IPs.
| Provider | Description |
|---|---|
|
NetGuard (Android) |
Provides simple and advanced ways to block access to the internet. Applications and addresses can individually be allowed or denied access to Wi-Fi and/or mobile connection |
|
NoRoot Firewall (Android) |
Notifies you when an app is trying to access the Internet, so all you need to do is just Allow or Deny. Allows you to create filter rules based on IP address, host name or domain name, and you can allow or deny only specific connections of an app |
|
AFWall+ (Android - Rooted) |
Android Firewall+ (AFWall+) is an advanced iptables editor (GUI) for rooted Android devices, which provides very fine-grained control over which Android apps are allowed to access the network |
|
RethinkDNS + Firewall (Android) |
An open-source ad-blocker and firewall app for Android 6+ (does not require root) |
|
Lockdown (iOS) |
Firewall app for iPhone, allowing you to block any connection to any domain |
|
SimpleWall (Windows) |
Tool to control Windows Filtering Platform (WFP), in order to configure detailed network activity on your PC |
|
LuLu (Mac OS) |
Free, open source macOS firewall. It aims to block unknown outgoing connections, unless explicitly approved by the user |
|
Little Snitch (Mac OS) |
A very polished application firewall, allowing you to easily manage internet connections on a per-app basis |
|
OpenSnitch (Linux) |
Makes internet connections from all apps visible, allowing you to block or manage traffic on a per-app basis. GNU/Linux port of the Little Snitch application firewall |
|
Gufw (Linux) |
Open source GUI firewall for Linux, allowing you to block internet access for certain applications. Supports both simple and advanced mode, GUI and CLI options, very easy to use, lightweight/ low-overhead, under active maintenance and backed by a strong community. Installable through most package managers, or compile from source |
|
Uncomplicated Firewall (Linux) |
The ufw (Uncomplicated Firewall) is a GUI application and CLI, that allows you to configure a firewall using iptablesmuch more easily |
|
IPFire (hardware) |
IPFire is a hardened, versatile, state-of-the-art Open Source firewall based on Linux. Easy to install on a raspberry Pi, since it is lightweight and heavily customizable |
|
Shorewall (hardware) |
An open source firewall tool for Linux that builds upon the Netfilter system built into the Linux kernel, making it easier to manage more complex configuration schemes with iptables |
|
OpenSense (hardware) |
Enterprise firewall and router for protecting networks, built on the FreeBSD system |
Word of Warning
There are different types of firewalls, that are used in different circumstances. This does not omit the need to configure your operating systems defences. Follow these instructions to enable your firewall in Windows, Mac OS, Ubuntu and other Linux distros. Even when properly configured, having a firewall enabled does not guarantee bad network traffic can not get through and especially during boot if you don't have root privileges.
Ad Blockers
There are a few different ways to block ads - browser-based ad-blockers, router-based / device blockers or VPN ad-blockers. Typically they work by taking a maintained list of hosts, and filtering each domain/ IP through it. Some also have other methods to detect certain content based on pattern matching
| Provider | Description |
|---|---|
| Pi-Hole (Server/ VM/ Pi) | Incredibly powerful, network-wide ad-blocker. Works out-of-the-box, light-weight with an intuitive web interface, but still allows for a lot of advanced configuration for power users. As well as blocking ads and trackers, Pi-Hole speeds up your network speeds quite significantly. The dashboard has detailed statistics, and makes it easy to pause/ resume Pi-Hole if needed. |
| Diversion (Router) | A shell script application to manage ad-blocking, Dnsmasq logging, Entware and pixelserv-tls installations and more on supported routers running Asuswrt-Merlin firmware, including its forks |
| DN66 (Android) | DNS-based host and ad blocker for Android. Easy to configure, but the default config uses several widely-respected host files. aimed at stopping ads, malware, and other weird stuff |
| BlockParty (iOS/ MacOS) | Native Apple (Swift) apps, for system-wide ad-blocking. Can be customized with custom host lists, primarily aimed for just ad-blocking |
| hBlock (Unix) | A POSIX-compliant shell script, designed for Unix-like systems, that gets a list of domains that serve ads, tracking scripts and malware from multiple sources and creates a hosts file (alternative formats are also supported) that prevents your system from connecting to them. Aimed at improving security and privacy through blocking advert, tracking and malware associated domains |
| Blokada (Android/ iOS) | Open source mobile ad-blocker that acts like a firewall. Since it's device-wide, once connected all apps will have ads/ trackers blocked, and the blacklist can be edited. The app is free, but there is a premium option, which has a built-in VPN |
| RethinkDNS + Firewall (Android) | Free and open source ad-blocker and a firewall for Android 6+ (no root required) |
| Ad Block Radio (Sound) | Python script that uses machine learning to block adverts in live audio streams, such as Radio, Podcasts, Audio Books, and music platforms such as Spotify. See live demo |
| uBlock Origin (Browser) | Light-weight, fast browser extension for Firefox and Chromium (Chrome, Edge, Brave Opera etc), that blocks tracking, ads and known malware. uBlock is easy-to-use out-of-the-box, but also has a highly customisable advanced mode, with a point-and-click firewall which can be configured on a per-site basis |
| uMatrix (Browser) | uMatrix is no longer being actively maintained. Another light-weight browser extension, for Chromium and Firefox browsers. uMatrix acts more like a firewall, giving you the option for super fine-grained control over every aspect of resource blocking. It is possible to use both uBlock (for simple/ cosmetic ad blocking) and uMatrix (for detailed JavaScript blocking) at the same time |
Notable Mentions
AdGuardHome is a cross-platform DNS Ad Blocker, similar to Pi Hole, but with some additional features, like parental controls, per-device configuration and the option to force safe search. This may be a good solution for families with young children.
Some VPNs have ad-tracking blocking features, such as TrackStop with PerfectPrivacy. Private Internet Access, CyberGhost, PureVPN, and NordVPN also have ad-block features.
Host Block Lists
| Provider | Description |
|---|---|
| SomeoneWhoCares/ Hosts | An up-to-date host list, maintained by Dan Pollock - to make the internet not suck (as much) |
| Hosts by StevenBlack | Open source, community-maintained consolidated and extending hosts files from several well-curated sources. You can optionally pick extensions to block p0rn, Social Media, gambling, fake news and other categories |
| No Google | Totally block all direct and indirect content from Google, Amazon, Facebook, Apple and Microsoft (or just some) |
| EasyList | Comprehensive list of domains for blocking tracking, social scripts, bad cookies and annoying stuff |
| iBlockList | Variety of lists (free and paid-for) for blocking content based on certain topics, inducing: spam, abuse, political, illegal, hijacked, bad peers and more |
| Energized | A variety of well-maintained lists, available in all common formats, with millions of hosts included |
Router Firmware
Installing a custom firmware on your Wi-Fi router gives you greater control over security, privacy and performance
| Provider | Description |
|---|---|
| OpenWRT | Plenty of scope for customization and a ton of supported addons. Stateful firewall, NAT, and dynamically-configured port forwarding protocols (UPnP, NAT-PMP + upnpd, etc), Load balancing, IP tunneling, IPv4 & IPv6 support |
| DD-WRT | Easy and powerful user interface. Great access control, bandwidth monitoring and quality of service. IPTables is built-in for firewall, and there's great VPN support as well as additional plug-and-play and wake-on-lan features |
Notable Mentions
Tomato, Gargoyle, LibreCMC and DebWRT
Word of Warning
Flashing custom firmware may void your warranty. If power is interrupted mid-way through a firmware install/ upgrade it is possible for your device to become bricked. So long as you follow a guide, and use a well supported system, on a supported router, than it should be safe
Network Analysis
Whether you live in a country behind a firewall, or accessing the internet through a proxy - these tools will help you better understand the extent of blocking, deep packet inspection and what data is being analysed
| Provider | Description |
|---|---|
| OONI | Open Observatory of Network Interference - A free tool and global observation network, for detecting censorship, surveillance and traffic manipulation on the internet. Developed by The Tor Project, and available for Android, iOS and Linux |
| Mongol | A Python script, to pinpoint the IP address of machines working for the The Great Firewall of China. See also gfwlist which is the Chinese ban list, and gfw_whitelist. For a list of Russian government IP addresses, see antizapret |
| Goodbye DPI | Passive Deep Packet Inspection blocker and Active DPI circumvention utility, for Windows |
| DPITunnel | An Android app to bypass deep packet inspection |
| Proxy Checker | You can quickly check if a given IP is using a proxy, this can also be done through the command line |
Intrusion Detection
An IDS is an application that monitors a network or computer system for malicious activity or policy violations, and notifies you of any unusual or unexpected events. If you are running a server, then it's essential to know about an incident as soon as possible, in order to minimize damage.
| Provider | Description |
|---|---|
| Zeek | Zeek (formally Bro) Passively monitors network traffic and looks for suspicious activity |
| OSSEC | OSSEC is an Open Source host-based intrusion detection system, that performs log analysis, integrity checking, monitoring, rootkit detection, real-time alerting and active response |
| Kismet | An 802.11 layer2 wireless network detector, sniffer, and intrusion detection system |
| Snare | SNARE (System iNtrusion Analysis and Reporting Environment) is a series of log collection agents that facilitate centralized analysis of audit log data. Logs from the OS are collected and audited. Full remote access, through a web interface easy to use manually, or by an automated process |
| picosnitch | picosnitch helps protect your security and privacy by "snitching" on anything that connects to the internet, letting you know when, how much data was transferred, and to where. It uses BPF to monitor network traffic per application, and per parent to cover those that just call others. It also hashes every executable, and will complain if some mischievous program is giving it trouble. |
Cloud Hosting
Whether you are hosting a website and want to keep your users data safe, or if you are hosting your own file backup, cloud productivity suit or VP - then choosing a provider that respects your privacy and allows you to sign up anonymously, and will keep your files and data safe is be important.
| Provider | Description |
|---|---|
| Njalla | Njalla is a privacy and security-focused domain registrar and VPN hosting provider. They own and manage all their own servers, which are based in Sweden. They accept crypto, for anonymous payments, and allow you to sign up with OTR XMPP if you do not want to provide an email address. Both VPS and domain name pricing is reasonable, with packages starting at $15/ month |
| Vindo | Provides anonymous shared hosting, semi-managed virtual private servers and domain registration |
| Private Layer | Offers enterprise-grade, high-speed offshore dedicated servers, they own their own data centres, have a solid privacy policy and accept anonymous payment |
| Servers Guru | Servers Guru provides affordable and anonymous VPS and cloud servers with dedicated cpu resources. They accept crypto-currencies (Bitcoin, Monero, Ethereum etc..) and don't require any personal informations. They resell from reliable main actors in the industry and provide multiple hosting locations across europe. Their VPS offers starts at 4.99€/ month |
Notable Mentions
See also: 1984 based in Iceland. Shinjiru, which offers off-shore dedicated servers. Orange Website specialises in protecting online privacy and free speech, hosted in Iceland. RackBone (previously DataCell) provides secure and ethical hosting, based in Switzerland. And Bahnhof offers high-security and ethical hosting, with their data centres locates in Sweden. Finally Simafri has a range of packages, that support Tor out of the box
Word of Warning
The country that your data is hosted in, will be subject to local laws and regulations. It is therefore important to avoid a jurisdiction that is part of the 5 eyes (Australia, Canada, New Zealand, US and UK) and other international cooperatives who have legal right to view your data.
Domain Registrars
| Provider | Description |
|---|---|
| Njal.la | Privacy-aware domain service with anonymous sign-up and accepts crypto currency |
| Orange Website | Anonymous domain registration, with low online censorship since they are based outside the 14-eyes jurisdiction (in Iceland) |
DNS Hosting
| Provider | Description |
|---|---|
| deSEC | Free DNS hosting provider designed with security in mind, and running on purely open source software. deSEC is backed and funded by SSE. |
Pre-Configured Mail-Servers
| Provider | Description |
|---|---|
| Mail-in-a-box | Easy-to-deploy fully-featured and pre-configured SMTP mail server. It includes everything from webmail, to spam filtering and backups |
| Docker Mailserver | A full-stack but simple mailserver (smtp, imap, antispam, antivirus, ssl...) using Docker. Very complete, with everything you will need, customizable and very easy to deploy with docker |
Word of Warning
Self-hosting your own mail server is not recommended for everyone, it can be time consuming to setup and maintain and securing it correctly is critical
Digital Notes
| Provider | Description |
|---|---|
| Cryptee | Private & encrypted rich-text documents. Cryptee has encryption and anonymity at its core, it also has a beautiful and minimalistic UI. You can use Cryptee from the browser, or download native Windows, Mac OS, Linux, Android and iOS apps. Comes with many additional features, such as support for photo albums and file storage. The disadvantage is that only the frontend is open source. Pricing is free for starter plan, $3/ month for 10GB, additional plans go up-to 2TB |
| Standard Notes | S.Notes is a free, open-source, and completely encrypted private notes app. It has a simple UI, yet packs in a lot of features, thanks to the Extensions Store, allowing for: To-Do lists, Spreadsheets, Rich Text, Markdown, Math Editor, Code Editor and many more. You can choose between a number of themes (yay, dark mode!), and it features built-in secure file store, tags/ folders, fast search and more. There is a web app as well as native Windows, Mac OS, Linux, Android and iOS apps. Standard Notes is actively developed, and fully open-source, so you can host it yourself, or use their hosted version: free without using plug-ins or $3/ month for access to all features |
| Turtle | A secure, collaborative notebook. Self-host it yourself (see repo), or use their hosted plan (free edition or $3/ month for premium) |
| Joplin | Cross-platform desktop and mobile note-taking and todo app. Easy organisation into notebooks and sections, revision history and a simple UI. Allows for easy import and export of notes to or from other services. Supports synchronisation with cloud services, implemented with E2EE - however it is only the backed up data that is encrypted |
| Notable | Markdown-based note editor for desktop, with a simple, yet feature-rich UI. All notes are saved individually as .md files, making them easy to manage. No mobile app, or built-in cloud-sync or encryption |
| Logseq | Privacy-first, open-source knowledge base that works on top of local plain-text Markdown and Org-mode files |
Notable Mentions
If you are already tied into Evernote, One Note etc, then SafeRoom is a utility that encrypts your entire notebook, before it is uploaded to the cloud.
Org Mode is a mode for GNU Emacs dedicated to working with the Org markup format. Org can be thought of as a more featureful Markdown alternative, with support for keeping notes, maintaining todo lists, planning projects, managing spreadsheets, and authoring documents -all in plaintext.
For a simple plain text note taking app, with strong encryption, see Protected Text, which works well with the Safe Notes Android app. Laverna is a cross-platform secure notes app, where all entries are formatted with markdown.
Cloud Productivity Suits
| Provider | Description |
|---|---|
| CryptPad | A zero knowledge cloud productivity suit. Provides Rich Text, Presentations, Spreadsheets, Kanban, Paint a code editor and file drive. All notes and user content, are encrypted by default, and can only be accessed with specific URL. The main disadvantage, is a lack of Android, iOS and desktop apps - CryptPad is entirely web-based. You can use their web service, or you can host your own instance (see CryptPad GitHub repo). Price for hosted: free for 50mb or $5/ month for premium |
| NextCloud | A complete self-hosted productivity platform, with a strong community and growing app store. NextCloud is similar to (but arguably more complete than) Google Drive, Office 365 and Dropbox, originally it was a fork from OwnCloud, but since have diverged. Clear UI and stable native apps across all platforms, and also supports file sync. Supports encrypted files, but you need to configure this yourself. Fully open source, so you can self-host it yourself (or use a hosted solution, starting from $5/ month) |
| Disroot | A platform providing online services based on principles of freedom, privacy, federation and decentralization. It is an implementation of NextCloud, with strong encryption configured - it is widely used by journalists, activists and whistle-blowers. It is fre to use, but there have been reported reliability issues of the cloud services |
| Sandstorm | An open source platform for self-hosting web apps. Once you've set it up, you can install items from the Sandstorm App Market with -click, similar to NextCloud in terms of flexibility |
| Vikunja | Vikunja is an open-source to-do application. It is suitable for a wide variety of projects, supporting List, Gantt, Table and Kanban views to visualize all tasks in different contexts. For collaboration, it has sharing support via private teams or public links. It can be self-hosted or used as a managed service for a small fee. |
Backup and Sync
| Provider | Description |
|---|---|
| SeaFile | An open source cloud storage and sync solution. Files are grouped into Libraries, which can be individually encrypted, shared of synced. Docker image available for easy deployment, and native clients for Windows, Mac, Linux, Android and iOS |
| Syncthing | Continuous file synchronization between 2 or more clients. It is simple, yet powerful, and fully-encrypted and private. Syncthing can be deployed with Docker, and there are native clients for Windows, Mac, Linux, BSD and Android |
| NextCloud | Feature-rich productivity platform, that can be used to backup and selectively sync encrypted files and folders between 1 or more clients. See setting up sync. A key benefit the wide range of plug-ins in the NextCloud App Store, maintained by the community. NextCloud was a hard fork off OwnCloud. |
Notable Mentions
Alternatively, consider a headless utility such as Duplicacy or Duplicity. Both of offer an encrypted and efficient sync between 2 or more locations, using the rsync algorithm.
SpiderOak, Tresorit and Resilio are good enterprise solutions, all with solid encryption baked-in
FileRun and Pydio are self-hosted file explorers, with cross-platform sync capabilities.
Word of Warning
You should always ensure that any data stored in the cloud is encrypted. If you are hosting your own server, then take the necessary precautions to secure the server. For hosted solutions - use a strong password, keep your credentials safe and enable 2FA.
Encrypted Cloud Storage
Backing up important files is essential, and keeping an off-site copy is recommended. But many free providers do not respect your privacy, and are not secure enough for sensitive documents. Avoid free mainstream providers, such as Google Drive, cloud, Microsoft Overdrive, Dropbox.
It is recommended to encrypt files on your client machine, before syncing to the cloud. Cryptomator is a cross-platform, open source encryption app, designed for just this.
| Provider | Description |
|---|---|
| Tresorit | End-to-end encrypted zero knowledge file storage, syncing and sharing provider, based in Switzerland. The app is cross-platform, user-friendly client and with all expected features. £6.49/month for 500 GB |
| IceDrive | Very affordable encrypted storage provider, with cross-platform apps. Starts as £1.50/month for 150 GB or £3.33/month for 1 TB |
| Sync.com | Secure file sync, sharing, collaboration and backup for individuals, small businesses and sole practitioners. Starts at $8/month for 2 TB |
| pCloud | Secure and simple to use cloud storage, with cross-platform client apps. £3.99/month for 500 GB |
| Peergos | A peer-to-peer end-to-end encrypted global filesystem with fine grained access control. Provides a secure and private space online where you can store, share and view your photos, videos, music and documents. Also includes a calendar, news feed, task lists, chat and email client. Fully open source and self-hostable (or use hosted solution, £5/month for 50 GB) |
| Internxt | Store your files in total privacy. Internxt Drive is a zero-knowledge cloud storage service based on best-in-class privacy and security. Made in Spain. Open-source mobile and desktop apps. 10GB FREE and Paid plans starting from €0.99/month for 20GB. |
| FileN | Zero knowledge end-to-end encrypted affordable cloud storage made in Germany. Open-source mobile and desktop apps. 10GB FREE with paid plans starting at €0.92/month for 100GB. |
Notable Mentions
An alternative option, is to use a cloud computing provider, and implement the syncing functionality yourself, and encrypt data locally before uploading it - this may work out cheaper in some situations. You could also run a local server that you physically own at a secondary location, that would mitigate the need to trust a third party cloud provider. Note that some knowledge in securing networks is required.
See Also:
File Drop
| Provider | Description |
|---|---|
| FilePizza | Peer-to-peer based file transfer from the browser, using Web Torrent. It's quick and easy to use, and doesn't require any software to be installed. Can also be self-hosted: repo |
| FileSend | Simple, encrypted file sharing, with a 500mb limit and 5-day retention. Files are secured with client-side AES-256 encryption and no IP address or device info is logged. Files are permanently deleted after download or after specified duration. Developed by StandardNotes, and has built-in integration with the SN app. |
| OnionShare | An open source tool that lets you securely and anonymously share a file of any size, via Tor servers. OnionShare does require installing (compatible with Windows, Mac OS and Linux), but the benefit is that your files are transferred directly to the recipient, without needing to be hosted on an interim server. The host needs to remain connected for the duration of the transfer, but once it is complete, the process will be terminated. Source code: repo |
Notable Suggestions
Instant.io, is another peer-to-peer based solution, using Web Torrent. For specifically transferring images, Up1 is a good self-hosted option, with client-side encryption. Finally PsiTransfer is a feature-rich, self-hosted file drop, using streams.
Browser Sync
It is not advised to sign into your browser, since it allows for more of your browsing data to be exposed, and can tie anonymous identities to your real account. If you require your bookmarks to be synced across devices or browsers then these tools can help, without you having to rely on an untrustworthy third-party.
| Provider | Description |
|---|---|
| Floccus | Simple and efficient bookmark syncing using either NextCloud Bookmarks, a WebDAV server (local or remote) or just a local folder through LoFloccus. Browser extensions available for extensions for Chrome, Firefox and Edge |
| XBrowserSync | Secure, anonymous and free browser and bookmark syncing. Easy to setup, and no sign up is required, you can either use a community-run sync server, or host your own with their docker image. Extensions are available for Chrome, Firefox and on Android |
| Unmark | A web application which acts as a todo app for bookmarks. You can either self-host it, or use their managed service which has a free and paid-for tier |
| Reminiscence | A self-hosted bookmark and archive manager. Reminiscence is more geared towards archiving useful web pages either for offline viewing or to preserve a copy. It is a web application, that can be installed with Docker on either a local or remote server, although it has a comprehensive and well-documented REST API, there is currently no browser extension |
| Geekmarks | An API-driven, quick-to-use bookmark manager with powerful organisation features. Geekmarks is thoroughly documented, but a little more technical than other options, extension is currently only available for Chromium-based browsers |
| Shiori | Simple bookmark manager written in Go, intended to be a clone of Pocket, it has both a simple and clean web interface as well as a CLI. Shiori has easy import/ export, is portable and has webpage archiving features |
Notable Mentions
Ymarks is a C-based self-hosted bookmark synchronization server and Chrome extension. syncmarx uses your cloud storage to sync bookmarks (Chrome and Firefox). NextCloud Bookmarks has several community browser extensions, inducing FreedomMarks (Firefox) and OwnCloud Bookmarks (Chrome). Finally, Turtl Notes has excellent link saving functionality built-in
RainDrop is a fully-featured all-in-1 bookmarking and web-snip suit. It has a beautiful UI, good data controls and some very handy integrations and features. Available on desktop, mobile, web and through a browser extension. The catch is that it is not open source, there is a free and premium plan, but no option for self-hosting.
Word of Warning
Strip out unneeded GET parameters if they reveal any device or referrer information, so as to not inadvertently allow a website to link your devices. ClearURLs may help with this.
Video Conference Calls
With the many, many security issues with Zoom, and other mainstream options, it becomes clear that a better, more private and secure alternative is required. As with other categories, the "best video calling app" will be different for each of us, depending on the ratio of performance + features to security + privacy required in your situation.
| Provider | Description |
|---|---|
| Jami | A free and open source, distributed video, calling and screenshare platform with a focus on security. Jami is completely completely peer-to-peer, and has full end-to-end encryption with perfect forward secrecy for all communications, complying with the X.509 standard. Supported nativity on Windows, macOS, iOS, GNU/Linux, Android and Android TV. Video quality is quite good, but very dependent on network speeds, some of the apps are lacking in features |
| Jitsi | Encrypted, free and open source video calling app, which does not require creating an account/ providing any personal details. Availible as a web app, and native app for Windows, MacOS, Linux, Android and iOS. You can use the public Jitsi instance, self-host your own, or use a community hosted instance |
Notable Mentions
Apache OpenMeetings provides self-hosted video-conferencing, chat rooms, file server and tools for meetings. together.brave.com is Brave's Jitsi Fork. For remote learning, BigBlueButton is self-hosted conference call software, aimed specifically at schools and Universities. It allows for the host/ teacher to have full control over the session, and provides high-quality video streaming, multi-user whiteboards, breakout rooms, and instant chat. For 1-to-1 mobile video calls, see Encrypted Messaging, and for P2P single and group calls, see P2P Messaging.
PGP Managers
Tools for signing, verifying, encrypting and decrypting text and files using GnuPG standard
| Provider | Description |
|---|---|
| SeaHorse (Linux/ GNOME) | Application for managing encryption keys and passwords, integrated with the GNOME Keyring |
| Kleopatra (Linux/ KDE) | Certificate manager and a universal crypto GUI. It supports managing X.509 and OpenPGP certificates in the GpgSM keybox and retrieving certificates from LDAP server |
| GPG4Win (Windows) | Kleopatra ported to Windows |
| GPG Suite (MacOS) | Successor of MacGPG. Note: no longer free |
| OpenKeychain (Android) | Android app for managing keys, and encrypting messages. Works both stand-alone, and as integrated into other apps, including k9-Mail |
| PGP Everywhere (iOS) | iOS app for encrypting/ decrypting text. Has native keyboard integration, which makes it quick to use. Note: Not open source |
| FlowCrypt (Browser) | Browser extension for using PGP within Gmail, for Chrome and Firefox. Mobile version supported on Android and iOS |
| EnigMail (Thunderbird) | OpenPGP extension for Thunderbird and PostBox, integrates natively within mail app |
| p≡p | Easy-to-use decentralied PGP encryption for Android, iOS, Thunderbird, Enigmail, and Outlook. Popular solution for enterprises |
| Mailvelope (Email) | Mailvelope is an addon for email applications, that makes using PGP very easy for beginners. You can use the hosted version for free, or opt to host your own instance. It has good compatibility with all common mail applications, both on desktop and mobile |
| PGP4USB (Portable) | A portable desktop app, that can be run directly off a USB, useful for when you need to use without installing |
Metadata Removal Tools
Exif/ Metadata is "data about data", this additional information attached to files can lead us to share significantly more information than we intended to. For example, if you upload an image of a sunset to the internet, but don't remove the metadata, it may reveal the location (GPS lat + long) of where it was taken, the device is was taken on, precise camera data, details about modifications and the picture source + author. Social networks that remove metadata from your photos, often collect and store it, for their own use. This could obviously pose a security risk, and that is why it is recommended to strip out this data from a file before sharing.
| Provider | Description |
|---|---|
| ExifCleaner | Cross-platform, open source, performant EXIF meta data removal tool. This GUI tool makes cleaning media files really easy, and has great batch process support. Created by @szTheory, and uses ExifTool |
| ExifTool (CLI) | Platform-independent open source Perl library & CLI app, for reading, writing and editing meta data. Built by Phill Harvey. Very good performance, and supports all common metadata formats (including EXIF, GPS, IPTC, XMP, JFIF, GeoTIFF, ICC Profile, Photoshop IRB, FlashPix, AFCP and ID3). An official GUI application is available for Windows, implemented by Bogdan Hrastnik. |
| ImageOptim (MacOS) | Native MacOS app, with drag 'n drop image optimization and meta data removal |
Notable Mentions
It's possible (but slower) to do this without a third-party tool. For Windows, right click on a file, and go to:
Properties --> Details --> Remove Properties --> Remove from this File --> Select All --> OK.
Alternatively, with ImageMagic installed, just run
convert -strip path/to/image.pngto remove all metadata. If you have GIMP installed, then just go to
File --> Export As --> Export --> Advanced Options --> Uncheck the "Save EXIF data" option.
Often you need to perform meta data removal programmatically, as part of a script or automation process.
GoLang: go-exif by @dsoprea | JS: exifr by @MikeKovarik | Python: Piexif by @hMatoba | Ruby: Exif by @tonytonyjan | PHP: Pel by @mgeisler.
Data Erasers
Simply deleting data, does not remove it from the disk, and recovering deleted files is a simple task. Therefore, to protect your privacy, you should erase/ overwrite data from the disk, before you destroy, sell or give away a hard drive.
| Provider | Description |
|---|---|
| Eraser (Windows) | Allows you to completely remove sensitive data from your hard drive by overwriting it several times with carefully selected patterns |
| Hard Disk Scrubber (Windows) | Easy to use, but with some advanced features, including custom wipe patterns. Data Sanitation Methods: AFSSI-5020, DoD 5220.22-M, and Random Data |
| SDelete (Windows) | Microsoft Secure Delete is a CLI utility, uses DoD 5220.22-M |
| OW Shredder (Windows) | File, folder and drive portable eraser for Windows. Bundled with other tools to scan, analyze, and wipe, and other traces that were left behind. Includes context menu item, recycle bin integration |
| DBAN (bootable) | Darik's Boot and Nuke ("DBAN") is a self-contained boot disk that securely wipes the hard disks of most computers. DBAN will automatically and completely delete the contents of any hard disk that it can detect, which makes it an appropriate utility for bulk or emergency data destruction. DBAN is the free edition of Blanco, which is an enterprise tool designed for legal compliance. |
| nwipe (Cross-platform) | C-based secure light-weight disk eraser, operated through the easy-to-use CLI or a GUI interface |
| shred (Unix) | A CLI utility that can be used to securely delete files and devices, to make them extremely difficult to recover. See also, wipe for erasing files from magnetic media |
| Secure Remove (Unix) | CLI utility for securely removing files, directories and whole disks, works on Linux, BSD and MacOS |
| Mr. Phone (Android/ iOS) | Propriety, closed-source suit of forensic data tools for mobile. The data eraser allows for both Android and iOS to be fully wiped, through connecting them to a PC. |
Notable Mentions
There's no need to use a third-party tool. You can boot into a UNIX-based system, mount the disk you need to erase, and use a command to write it with arbitrary data. For best results, this process should be repeated several times. This is a good way to wipe a disk, before selling or destroying it, to protect your data.
Such as the dd
command, is a tool to convert and copy files, but running
sudo dd if=/dev/zero of=/dev/sdX bs=1Mwill quickly overwrite the whole disk with zeros. Or badblocks which is intended to search for all bad blocks, but can also be used to write zeros to a disk, by running
sudo badblocks -wsv /dev/sdd. An effective method of erasing an SSD, it to use hdparm to issue a secure erase command, to your target storage device, for this, see step-by-step instructions via: wiki.kernel.org. Finally,
[srm](https://www.systutorials.com/docs/linux/man/1-srm/)can be use to securely remove files or directories, just run
srm -zsv /path/to/filefor a single pass over.
Virtual Machines
A virtual machine (VM) is a sandboxed operating system, running within your current system. Useful for compartmentalisation and safely testing software, or handling potentially malicious files
| Provider | Description |
|---|---|
| VirtualBox | Open source, powerful, feature-rich virtualization product, supporting x86 and AMD64/Intel64 architectures. Available for Windows, MacOS, Linux and BSD, and free for both personal and enterprise use. VirtualBox is backed by a strong community, and has been under active development since 2007. |
| Xen Project (Servers) | Open source virtual machine monitor intended to serve as a type-1 hyperviser for multiple operating systems using the same hardware - very useful for servers, as it allows for fully independent virtual Linux machines |
| UTM | Open source, feature rich, powerful type 2 hypervisor for Mac, can emulate x86-64 OSes on Apple Silicon Macs |
Notable Mentions
QEMU is a virtual hardware emulation tool, meaning it is less appropriate for creating fully independant sandboxes, but performance is considerable better than that of a traditional virtual machine.
VMWare is popular in the enterprise world, it is not open source, and although there is a free version, a license is required to access all features. VMWare performs very well when running on a server, with hundreds of hosts and users. For Mac users, Parallels is a popular option which performs really well, but again is not open source. For Windows users, there's Hyper-V, which is a native Windows product, developed by Microsoft.
Social Networks
Over the past decade, social networks have revolutionized the way we communicate and bought the world closer together - but it came at the cost of our privacy. Social networks are built on the principle of sharing - but you, the user should be able to choose with whom you share what, and that is what the following sites aim to do.
| Provider | Description |
|---|---|
| Aether | Self-governing communities with auditable moderation - a similar concept to Reddit, but more privacy-sensitive, democratic and transparent. Aether is open source and peer-to-peer, it runs on Windows, Mac and Linux |
| Discourse | A 100% open source and self-hostable discussion platform you can use as a mailing list, discussion forum or long-form chat room. |
| Mastodon | A shameless Twitter clone, but open-source, distributed across independent servers, and with no algorithms that mess with users timelines |
| Minds | A social media site, which aims to bring people together and support open conversations. Get paid for creating content |
| Vero | (closed-source) A mobile-based social network, whose USP is that they have "No Ads. No Data Mining. No Algorithms." Since Vero is not open source, it is not possible to verify the validity of these claims |
Other Notable Mentions
- diaspora*, Pleroma and Friendica - distributed, decentralized social networks, built on open protocols
- Tildes, Lemmy and notabug.io - bulletin boards and news aggregators (similar to Reddit)
- Pixelfed - A free, ethical, federated photo sharing platform (FOSS alternative to Instagram)
Main-stream networks
The content on many of these smaller sites tends to be more niche. To continue using Twitter, there are a couple of tweaks, that will improve security. For Reddit, use a privacy-respecting client - such as Reditr. Other main-stream social networking sites do not respect your privacy, so should be avoided, but if you choose to keep using them see this guide for tips on protecting your privacy
Video Platforms
| Provider | Description |
|---|---|
| PeerTube | Free and open-source federated video platform that uses peer-to-peer technology to reduce load on individual servers when viewing videos. You can self-host, or find an instance, and then watch videos from any PeerTube server |
| DTube | A decentralized and ad-free video platform with little to no moderation that uses cryptocurrency and blockchain technology to pay its users. |
| BitTube | A peer-to-peer, decentralized, censorship-free, ad-free video sharing and live streaming platform based on IPFS and blockchain technology |
| BitChute | A video hosting platform, that was founded in 2017 to allow uploaders to avoid content rules enforced on other platforms, such as YouTube |
Word of Warning
Without moderation, some of these platforms accommodate video creators whose content may not be appropriate for all audiences
YouTube Proxies
The content on many of the smaller video sites, often just doesn't compare to YouTube. So another alternative, is to access YouTube through a proxy client, which reduces what Google can track).
- Good options are: Invidious (web), Piped (web), FreeTube (Windows, Mac OS, Linux), NewPipe (Android), YouTube++ (iOS)
- Or download videos with youtube-dl (cli) or youtube-dl-gui (gui). For just audio, there is PodSync
Video Search Engines
Petey Vid is a non-biased video search engine. Unlike normal search engines it indexes videos from a lot of sources, including Twitter, Veoh, Instagram, Twitch, MetaCafe, Minds, BitChute, Brighteon, D-Tube, PeerTube, and many others.
Blogging Platforms
| Provider | Description |
|---|---|
| Write Freely | Free and open source software with a clean UI, for creating a minimalist, federated blog. For premium or enterprise hosted plans, see Write.as, or to host your own, check out the repo on GitHub |
| Telegraph | Created by Telegram, Telegraph is fast, anonymous and simple |
| Mataroa | Naked blogging platform, for minimalists. Open source and privacy-conscious. |
| Bear Blog | A privacy-first, no-nonsense, super-fast blogging platform. Repo on GitHub. |
Notable Mentions
If you use Standard Notes, then Listed.to is a public blogging platform with strong privacy features. It lets you publish posts directly through the Standard Notes app or web interface. Other minimalistic platforms include Notepin.co and Pen.io.
Want to write a simple text post and promote it yourself? Check out telegra.ph, txt.fyi and NotePin. For seriously anonymous platforms, aimed at activists, see noblogs and autistici. It is also possible to host a normal WordPress site, without it being linked to your real identity, although WP does not have the best reputation when it comes to privacy.
Of course you could also host your blog on your own server, using a standard open source blog platform, such as Ghost and configure it to disable all trackers, ads and analytics.
News Readers and Aggregation
| Provider | Description |
|---|---|
| Tiny RSS | A free and open source web-based news feed (RSS/Atom) reader and aggregator |
| RSSOwl | A desktop-based RSS reader, with powerful organisation features |
| Feedly | A more premium option. Feedly displays news from your selected sources in an easy-to-digest clean and modern interface. It works with more than just RSS feeds, since it is well integrated with many major news outlets. It does not manipulate the stories you see, and is mostly open source |
Notable Mentions
For iPhone users in the US, Tonic is a great little app that provides you with a selection of personalized new stories and articles daily. It is possible to use Reddit anonymously too - you can use throwaway accounts for posting.
Word of Warning
News reader apps don't have a good reputation when it comes to protecting users privacy, and often display biased content. Many have revenue models based on making recommendations, with the aim of trying to get you to click on sponsored articles - and for that a lot of data needs to have been collected about you, your habits, interests and routines.
Proxy Sites
These are websites that enable you to access existing social media platforms, without using their primary website - with the aim of improving privacy & security and providing better user experience. The below options are open source (so can be self-hosted, if you wish), and they do not display ads or tracking (unless otherwise stated).
| Provider | Description |
|---|---|
| Nitter (Twitter) | Nitter is a free and open source alternative Twitter front-end focused on privacy, it prevents Twitter from tracking your IP or browser fingerprint. It does not include any JavaScript, and all requests go through the backend, so the client never talks directly to Twitter. It's written in Nim, is super lightweight, with multiple themes and a responsive mobile version available, as well as customizable RSS feeds. Uses an unofficial API, with no rate limits or and no developer account required. |
| Invidious (YouTube) | Privacy-focused, open source alternative frontend for YouTube. It prevents/ reduces Google tracking, and adds additional features, including an audio-only mode, Reddit comment feed, advanced video playback settings. It's super lightweight, and does not require JavaScript to be enabled, and you can import/ export your subscriptions list, and customize your feed. See list of Invidious Public Instances. |
| Bibliogram (Instagram) | Enables you to view Instagram profiles through their proxy without any tracking, great for anonymity. Bibliogram also has several other benefits over using the official Instagram website - Pages also load much faster, it gives you downloadable images, eliminates ads, generates RSS feeds, and doesn't urge you to sign up. It can also easily be self-hosted. However, there is no functionality to create posts via this service. |
| Libreddit (Reddit) | Private front-end for Reddit written in Rust. Massively faster than Reddit by not including ads, trackers or bloat. Libreddit can be deployed and selfhosted through cargo, Docker and Repl.it and proxies all requests through the back-end. Libreddit currently implements most of Reddit's functionalities that don't require users to be signed in. |
| WebProxy | Free proxy service, with Tor mode (which is recommended to enable). Designed to be used to evade censorship and access geo-blocked content. The service is maintained by DevroLabs, who also run the OnionSite web proxy, they claim to that all traffic is 256-bit SSL-encrypted, but this cannot be verified - never enter any potentially personally identifiable information, and use it purely for consuming content. |
Notable Mentions
- NewPipe is an open source, privacy-respecting YouTube client for Android.
- FreeTube an open source YouTube client for Windows, MacOS and Linux, providing a more private experience, with a native-feel desktop app. It is built upon the Invidious API.
Word of Warning
When proxies are involved - only use reputable services, and never enter any personal information
Cryptocurrencies
| Provider | Description |
|---|---|
| Monero | One of the most private cryptocurrencies, since no meta data is available (not even the transaction amount). It uses complex on-chain cryptographic methods such as Ring signatures, RingCT, Kovri, and Stealth addresses all of which help protect the privacy of users |
| ZCash | Uses zero-knowledge proofs to protect privacy cryptographic technique, that allows two users to transact without ever revealing their true identity or address. The Zcash blockchain uses two types of addresses and transactions, Z transactions and addresses are private and T transactions and addresses are transparent like Bitcoin. |
It is still possible to use currencies that have a public ledger 'privately', but you will need to take great care not to cause any transactions to be linked with your identity or activity. For example, avoid exchanges that require KYC, and consider using a service such as Local Bitcoins. If you use a Bitcoin ATM, then take care to not be physically tracked (CCTV, phone location, card payments etc)
Notable Mentions
Other privacy-focused cryptocurrencies include: PIVX, Bitcoin Private, Verge, and Piratechain.
Word of Warning
Not all cryptocurrencies are anonymous, and without using a privacy-focused coin, a record of your transaction will live on a publicly available distributed ledger, forever. If you send of receive multiple payments, ensure you switch up addresses or use a mixer, to make it harder for anyone trying to trace your transactions. Cryptocurrencies that allow private and public transactions may reveal meta data about your transactions and balances when funds are moving from private to public addresses which can compromise your privacy with methods similar to a knapsack problem. Store private keys somewhere safe, but offline and preferably cold.
Note: Cryptocurrency prices can go down. Storing any wealth in crypto may result in losses. If you are new to digital currencies - do your research first, don't invest more than you can afford, and be very weary of scams and cryptocurrency-related malware.
Crypto Wallets
| Provider | Description |
|---|---|
| Wasabi Wallet (Bitcoin) | An open source, native desktop wallet for Windows, Linux and MacOS. Wasabi implements trustless CoinJoins over the Tor network. Neither an observer nor the participants can determine which output belongs to which input. This makes it difficult for outside parties to trace where a particular coin originated from and where it was sent to, which greatly improves privacy. Since it's trustless, the CoinJoin coordinator cannot breach the privacy of the participants. Wasabi is compatible with cold storage, and hardware wallets, including OpenCard and Trezor. |
|
Trezor (All Coins) |
Open source, cross-platform, offline, crypto wallet, compatible with 1000+ coins. Your private key is generated on the device, and never leaves it, all transactions are signed by the Trezor, which ensures your wallet is safe from theft. There are native apps for Windows, Linux, MacOS, Android and iOS, but Trezor is also compatible with other wallets, such as Wasabi. You can back the Trezor up, either by writing down the seed, or by duplicating it to another device. It is simple and intuitive to use, but also incredible customisable with a large range of advanced features. |
| ColdCard (Bitcoin) | An easy-to-use, super secure Bitcoin hardware wallet, which can be used independently as an air-gapped wallet. ColdCard is based on partially signed Bitcoin transactions following the BIP174 standard. Built specifically for Bitcoin, and with a variety of unique security features, ColdCard is secure, trustless, private and easy-to-use. Companion products for the ColdCard include: BlockClock, SeedPlate and ColdPower |
| Electrum (Bitcoin) | Long-standing Python-based Bitcoin wallet with good security features. Private keys are encrypted and do not touch the internet and balance is checked with a watch-only wallet. Compatible with other wallets, so there is no tie-in, and funds can be recovered with your secret seed. It supports proof-checking to verify transactions using SPV, multi-sig and add-ons for compatibility with hardware wallets. A decentralized server indexes ledger transactions, meaning it's fast and doesn't require much disk space. The potential security issue here would not be with the wallet, but rather your PC - you must ensure your computer is secure and your wallet has a long, strong passphrase to encrypt it with. |
| Samourai Wallet (Bitcoin) | An open-source, Bitcoin-only privacy-focused wallet, with some innovative features. Samourai Wallet works under any network conditions, with a full offline mode, useful for cold storage. It also supports a comprehensive range of privacy features including: STONEWALL that helps guard against address clustering deanonymization attacks, PayNym which allows you to receive funds without revealing your public address for all to see, Stealth Mode which hides Samourai from your devices launcher, Remote SMS Commands to wipe or recover your wallet if device is seized or stolen, and Whirlpool which is similar to a coin mixer, and OpenDime is also supported for offline USB hardware wallets. |
| Sparrow Wallet (Bitcoin) | Sparrow is a Bitcoin wallet for those who value financial self sovereignty. Sparrow’s emphasis is on security, privacy and usability. Sparrow does not hide information from you - on the contrary it attempts to provide as much detail as possible about your transactions and UTXOs, but in a way that is manageable and usable. |
| Atomic Wallet (All Coins) | Atomic is an open source desktop and mobile based wallet, where you're private keys are stored on your local device, and do not touch the internet. Atomic has great feature sets, and supports swapping, staking and lending directly from the app. However, most of Atomic's features require an active internet connection, and Atomic does not support hardware wallets yet. Therefor, it may only be a good choice as a secondary wallet, for storing small amounts of your actively used currency |
|
CryptoSteel (All Coins) |
A steel plate, with engraved letters which can be permanently screwed - CryptoSteel is a good fire-proof, shock-proof, water-proof and stainless cryptocurrency backup solution. |
| BitBox02 (Bitcoin or Ethereum & ERC-20 tokens) | Open source hardware wallet, supporting secure multisig with the option for making encrypted backups on a MicroSD card. |
| ColdCard (Bitcoin) | Secure, open source Bitcoin cold storage wallet, with the option for making encrypted backups on a MicroSD card. |
Word of Warning
Avoid using any online/ hot-wallet, as you will have no control over the security of your private keys. Offline paper wallets are very secure, but ensure you store it properly - to keep it safe from theft, loss or damage.
Notable Mentions
Metamask (Ethereum and ERC20 tokens) is a bridge that allows you to visit and interact with distributed web apps in your browser. Metamask has good hardware wallet support, so you can use it to swap, stake, sign, lend and interact with dapps without you're private key ever leaving your device. However the very nature of being a browser-based app means that you need to stay vigilant with what services you give access to.
Crypto Exchanges
| Provider | Description |
|---|---|
| Bisq | An open-source, peer-to-peer application that allows you to buy and sell cryptocurrencies in exchange for national currencies. Fully decentralized, and no registration required. |
| LocalBitcoins | Person-to-person exchange, find people local to your area, and trade directly with them, to avoid going through any central organisation. Primarily focused on Bitcoin, Ethereum, Ripple and LiteCoin, as it gets harder to find people near you selling niche alt-coins |
| AtomicDEX | Person-to-person cryptocurrency exchange with no KYC or registration required and uses atomic swaps to perform trustless trades. The orderbook uses a modified libp2p protocol to prevent censorship and maintain decentralization. Fiat currencies are not supported, but hundreds of alt-coins and major cryptocurrencies are supported. |
| RoboSats | RoboSats is an easy way to privately exchange Bitcoin for national currencies It simplifies the peer-to-peer experience and makes use lightning hold invoices to minimize custody and trust requirements. The deterministically generated avatars help users stick to best privacy practices. |
Notable Mentions
For traders, BaseFEX doesn't require ID and has a good privacy policy. BitMex has more advanced trading features, but ID verification is required for higher value trades involving Fiat currency. For buying and selling alt-coins, Binance has a wide range of currencies, and ID verification is not needed for small-value trades.
Virtual Credit Cards
Virtual cards generated provide an extra layer of security, improve privacy and help protect from fraud. Most providers have additional features, such as single-use cards (that cannot be charged more than once), card limits (so you can be sure you won't be charged more than you expected) and other security controls.
| Provider | Description |
|---|---|
| Privacy.com | Privacy.com has a good reputation, and is the largest virtual card provider in the US. Unlike other providers, it is free for personal use (up to 12 cards per month) with no fees, apps and support is good. There is a premium is plan for $10/month, with 1% cashback 36 cards/ month |
| Revolut Premium | Revolut is more of a digital bank account, and identity checks are required to sign up. Virtual cards only availible on Premium/ Metal accounts, which start at $7/month. |
| MySudo | Much more than just virtual cards, MySudo is a platform for creating compartmentalised identities, each with their own virtual cards, virtual phone numbers, virtual email addresses, messaging, private browsing and more. There is a free plan for up to 3 identities, and premium plans start at $0.99/ month |
| Blur | Blur by Abine has virtual card functinality, |
PayLasso, JoinToken, EntroPay are now discontinued
Other Payment Methods
| Provider | Description |
|---|---|
| Cash | Actual physical cash is still the most private option, with no chance of leaving any transactional records |
| Gift Cards | Gift cards can be purchased for cash in many convenience stores, and redeemed online for goods or services. Try to avoid CCTV as best as possible. |
| Pre-paid Cards | Similarly to gift cards, buying a pre-paid card for cash, can enable you to purchase goods and services in stores that only accept card payments. |
Paying for goods and services is a good example of where privacy and security conflict; the most secure option would be to pay with credit card, since most providers include comprehensive fraud protection, whereas the most private option would be to pay using crypto currency or cash, since neither can be easily tied back to your identity.
Word of Warning
Note that credit card providers heavily track transaction metadata, which build up a detailed picture of each persons spending habits. This is done both to provide improved fraud alerts, but also because the data is extremely valuable and is often 'anonymized' and sold to 3rd parties. Hence your privacy is degraded if these cards are used for daily transactions
Budgeting Tools
| Provider | Description |
|---|---|
| Firefly III (Self-hosted) | A free and open source personal finance manager. Firefly III has all essential features, a clean and clear UI and is easy to set up and use (see live demo). It's backed by a strong community, and is regularly updated with new features, improvements and fixes. There is also a hass.io addon, and it works nicely with Home Assistant. Note: Since it is self-hosted, you will need to ensure that your server (either local or remote) is correctly configured for security. |
| EasyBudget (Android) | Clean and easy-to-use app open source budgeting app. It doesn't have all the features that alternatives offer, but it does simple budget management and planning very effectively |
| HomeBank (Desktop) | Desktop personal financial management option. Great for generating charts, dynamic reports and visualising transactions. HomeBank makes it easy to import financial data from other software (Quick Books, Microsoft Money etc) and bank accounts (in OFX/QFX, QIF, CSV format), and has all the essential features you'd expect. Available on Linux and Windows (and a 3rd-party port for Mac OS) |
| GnuCash (Desktop) | Full-featured cross-platform accounting application, which works well for both personal and small business finance. First released in 1998, GnuCash is long standing and very stable, and despite a slightly dated UI, it's still a very popular option. Originally developed for Linux, GnuCash is now available for Windows, Mac and Linux and also has a well rated official Android app |
| Plain Text Accounting | Plain text accounting is a way of doing bookkeeping / accounting with plain text files and scriptable, command-line-friendly software, such as Ledger](https://www.ledger-cli.org), hledger, Beancount and more. Unlike other tools, you have full control over your data, and are not tied to a particular vendor |
Notable Mentions
Spreadsheets remain a popular choice for managing budgets and financial planning. Collabora or OnlyOffice (on NextCloud), Libre Office and EtherCalc are popular open source spread sheet applications. Mintable allows you to auto-populate your spreadsheets from your financial data, using publicly accessible API - mitigating the requirement for a dedicated budgeting application.
Other notable open source budgeting applications include: Smart Wallet (iOS), My-Budget (Desktop), MoneyManager EX, Skrooge, kMyMoney
See Also: Cryptocurrencies, Virtual Credit Cards and Other Payment Methods
See Also: Personal Finance Security Tips
Mobile Operating Systems
If you are an Android user, your device has Google built-in at its core. Google tracks you, collecting a wealth of information, and logging your every move. A custom ROM, is an open source, usually Google-free mobile OS that can be flashed to your device.
| Provider | Description |
|---|---|
| GrapheneOS | GrapheneOS is an open source privacy and security focused mobile OS with Android app compatibility. Developed by Daniel Micay. GrapheneOS is a young project, and currently only supports Pixel devices, partially due to their strong hardware security. |
| CalyxOS | CalyxOS is an free and open source Android mobile operating system that puts privacy and security into the hands of everyday users. Plus, proactive security recommendations and automatic updates take the guesswork out of keeping your personal data personal. Also currently only supports Pixel devices and Xiaomi Mi A2 with Fairphone 4, OnePlus 8T, OnePlus 9 test builds available. Developed by the Calyx Foundation. |
| DivestOS | DivestOS is a vastly diverged unofficial more secure and private soft fork of LineageOS. DivestOS primary goal is prolonging the life-span of discontinued devices, enhancing user privacy, and providing a modest increase of security where/when possible. Project is developed and maintained solely by Tad (SkewedZeppelin) since 2014. |
| LineageOS | A free and open-source operating system for various devices, based on the Android mobile platform - Lineage is light-weight, well maintained, supports a wide range of devices, and comes bundled with Privacy Guard |
Other Notable Mentions
Replicant OS is a fully-featured distro, with an emphasis on freedom, privacy and security. MmniRom, Recursion Remix, and Paranoid Android are also popular options. Alternatively, Ubuntu Touch is a Linux (Ubuntu)- based OS. It is secure by design and runs on almost any device, - but it does fall short when it comes to the app store.
To install apps on the Play Store without using the Play Store app see Aurora Store. For Google Play Service see MicroG
Word of Warning
It is not recommended to root, or flash your device with a custom ROM if you are not an advanced user. There are risks involved
- Although the above ROMs omit Google, they do open up other security issues: Without DM-verity on the system partition, the file system could be tampered with, and no verified boot stack, the kernel/initramfs also could be edited. You should understand the risks, before proceeding to flash a custom ROM to your device
- You will need to rely on updates from the community, which could be slower to be released - this may be an issue for a time-urgent, security-critical patch
- It is also possible to brick your device, through interrupted install or bad software
- Finally, rooting and flashing your device, will void your warranty
Desktop Operating Systems
Windows 10 has many features that violate your privacy. Microsoft and Apple are able to collect all your data (including, but not limited to: keystrokes, searches and mic input, calendar data, music, photos, credit card information and purchases, identity, passwords, contacts, conversations and location data). Microsoft Windows is also more susceptible to malware and viruses, than alternative systems.
Switching to Linux is a great choice in terms of security and privacy - you don't need necessarily need to use a security distro, any well-maintained stable distro is going to be considerably better than a propriety OS
| Provider | Description |
|---|---|
| Qubes OS (containerized apps) | Open-source security-oriented operating system for single-user desktop computing. It uses virtualisation, to run each application in its own compartment to avoid data being leaked. It features Split GPG, U2F Proxy, and Whonix integration. Qubes makes is easy to create disposable VMs which are spawned quickly and destroyed when closed. Qubes is recommended by Edward Snowden |
| Whonix (VM) | Whonix is an anonymous operating system, which can run in a VM, inside your current OS. It is the best way to use Tor, and provides very strong protection for your IP address. It comes bundled with other features too: Keystroke Anonymization, Time Attack Defences, Stream Isolation, Kernel Self Protection Settings and an Advanced Firewall. Open source, well audited, and with a strong community - Whonix is based on Debian, KickSecure and Tor |
| Tails (live) | Tails is a live operating system (so you boot into it from a USB, instead of installing). It preserves your privacy and anonymity through having no persistent memory/ leaving no trace on the computer. Tails has Tor built-in system-wide, and uses state-of-the-art cryptographic tools to encrypt your files, emails and instant messaging. Open source, and built on top of Debian. Tails is simple to stop, configure and use |
| Parrot (security) | Parrot Linux, is a full Debian-based operating system, that is geared towards security, privacy and development. It is fully-featured yet light-weight, very open. There are 3 editions: General Purpose, Security and Forensic. The Secure distribution includes its own sandbox system obtained with the combination of Firejail and AppArmor with custom security profiles. While the Forensics Edition is bundled with a comprehensive suit of security/ pen-testing tools, similar to Kali and Black Arch |
| Discreete Linux (offline) | Aimed at journalists, activists and whistle-blowers, Discreete Linux is similar to Tails, in that it is booted live from external media, and leaves no/ minimal trace on the system. The aim of the project, was to provide all required cryptographic tools offline, to protect against Trojan-based surveillance |
| Alpine Linux | Alpine is a security-oriented, lightweight distro based on musl libc and busybox. It compiles all user-space binaries as position-independent executables with stack-smashing protection. Install and setup may be quite complex for some new users |
Notable Mentions
Septor is a Debian-based distro with the KDE Plasma desktop environment, and Tor baked-in. Designed for surfing the web anonymously, and completing other internet-based activities (with Thunderbird, Ricochet IM, HexChat, QuiteRSS, OnionShare). Septor is light-weight, but comes bundled with all the essential privacy + security utilities (including: Gufw, Ark, Sweeper, KGpg, Kleopatra, KWallet, VeraCrypt, Metadata Anonymisation Toolkit and more).
Subgraph OS is designed to be an adversary resistant computing platform, it includes strong system-wide attack mitigations, and all key applications run in sandbox environments. Subgraph is still in beta (at the time of writing), but still is well tested, and has some nice anonymization features
For defensive security, see Kali and BlackArch, both are bundled with hundreds of security tools, ready for pretty much any job.
Other security-focused distros include: TENS OS, Fedora CoreOS, Kodachi and IprediaOS. (Avoid systems that are not being actively maintained)
General Purpose Linux Distros
If you do not want to use a specalist security-based distro, or you are new to Unix - then just switching to any well-maintained Linux distro, is going to be significantly more secure and private than Windows or Mac OS. Since it is open source, major distros are constantly being audited by members of the community. Linux does not give users admin rights by default - this makes is much less likely that your system could become infected with malware. And of course, there is no proprietary Microsoft or Apple software constantly monitoring everything you do.
Some good distros to consider would be: Fedora, Debian, or Arch- all of which have a large community behind them. Manjaro (based of Arch) is a good option, with a simple install process, used by new comers, and expers alike. POP_OS and PureOS are reasonably new general purpose Linux, with a strong focus on privacy, but also very user-friendly with an intuitive interfac and install process. See Simple Comparison or Detailed Comparison.
BSD
BSD systems arguably have far superior network stacks. OpenBSD is designed for maximum security — not just with its features, but with its implementation practices. It’s a commonly used OS by banks and critical systems. FreeBSD is more popular, and aims for high performance and ease of use.
Windows
Two alternative options for Windows users are Windows 10 AME (ameliorated) project and the LTSC stream. Windows 10 AME AME project aims at delivering a stable, non-intrusive yet fully functional build of Windows 10 to anyone, who requires the Windows operating system natively. Core applications, such as the included Edge web-browser, Windows Media Player, Cortana, as well as any appx applications (appx apps will no longer work), have also been successfully eliminated. The total size of removed files is about 2 GB. Comes as a pre-built ISO or option to build from scratch with de-bloat scripts. Strong, supportive community on Telegram. Windows 10 LTSC LTSC provides several security benefits over a standard Win 10 Installation. LTSC or Long Term Servicing Channel is a lightweight, low-cost Windows 10 version, that is intended for specialized systems, and receives less regular feature updates. What makes it appealing, is that it doesn't come with any bloatware or non-essential applications, and needs to be configured from the ground up by the user. This gives you much better control over what is running on your system, ultimately improving security and privacy. It also includes several enterprise-grade security features, which are not available in a standard Windows 10 instance. It does require some technical knowledge to get started with, but once setup should perform just as any other Windows 10 system. Note that you should only download the LTSC ISO from the Microsoft's official page
Improve the Security and Privacy of your current OS
After installing your new operating system, or if you have chosen to stick with your current OS, there are a couple of things you can do to improve security. See: Windows 10 security guide, Mac OS security guide or Linux security guide.
Linux Defences
| Provider | Description |
|---|---|
| Firejail | Firejail is a SUID sandbox program that reduces the risk of security breaches by restricting the running environment of untrusted applications using Linux namespaces and seccomp-bpf. Written in C, virtually no dependencies, runs on any modern Linux system, with no daemon running in the background, no complicated configuration, and it's super lightweight and super secure, since all actions are implemented by the kernel. It includes security profiles for over 800 common Linux applications. FireJail is recommended for running any app that may potential pose some kind of risk, such as torrenting through Transmission, browsing the web, opening downloaded attachments |
| Gufw (Linux) | Open source GUI firewall for Linux, allowing you to block internet access for certain applications. Supports both simple and advanced mode, GUI and CLI options, very easy to use, lightweight/ low-overhead, under active maintenance and backed by a strong community. Installable through most package managers, or compile from source Other popular firewalls are OpenSnitch and Uncomplicated Firewall, see more firewalls |
| ClamTk | ClamTk is basically a graphical front-end for ClamAV, making it an easy to use, light-weight, on-demand virus scanner for Linux systems |
| chkrootkit | Locally checks for signs of a rootkit |
| Snort | open source intrusion prevention system capable of real-time traffic analysis and packet |
| BleachBit | Clears cache and deletes temporary files very effectively. This frees up disk space, improves performance, but most importantly helps to protect privacy |
Notable Mentions
SecTools.org is a directory or popular Unix security tools.
Windows Defences
| Provider | Description |
|---|---|
| Windows Spy Blocker | Capture and interprets network traffic based on a set of rules, and depending on the interactions certain assignments are blocked. Open source, written in Go and delivered as a single executable |
| HardenTools | A utility that disables a number of risky Windows features. These "features" are exposed by the OS and primary consumer applications, and very commonly abused by attackers, to execute malicious code on a victim's computer. So this tool just reduces the attack surface by disabling the low-hanging fruit |
| ShutUp10 | A portable app that lets you disable core Windows features (such as Cortana, Edge) and control which data is passed to Microsoft. (Note: Free, but not open source) |
| WPD | Portable app with a GUI, that makes it really easy to safely block key telemetry features, from sending data to Microsoft and other third parties (It uses the Windows API to interact with key features of Local Group Police, Services, Tasks Scheduler, etc) |
| GhostPress | Anti low-level keylogger: Provides full system-wide key press protection, and target window screenshot protection |
| KeyScrambler | Provides protection against software keyloggers. Encrypts keypresses at driver level, and decrypts at application level, to protect against common keyloggers - read more about how it works. Developed by Qian Wang |
| SafeKeys V3.0 | Portable virtual keyboard. Useful for protecting from keyloggers when using a public computer, as it can run of a USB with no administrative permissions |
| RKill | Useful utility, that attempts to terminate known malware processes, so that your normal security software can then run and clean your computer of infections |
| IIS Crypto | A utility for configuring encryption protocols, cyphers, hashing methods, and key exchanges for Windows components. Useful for sysadmins on Windows Server |
| NetLimiter | Internet traffic control and monitoring tool |
| Sticky-Keys-Slayer | Scans for accessibility tools backdoors via RDP |
| SigCheck | A CLI utility that shows file version number, timestamp information, and digital signature details. It's useful to audit a Windows host's root certificate store against Microsoft's Certificate Trust List (CTL), and lets you perform VirusTotal lookups |
| BleachBit | Clears cache and deletes temporary files very effectively. This frees up disk space, improves performance, but most importantly helps to protect privacy |
| Windows Secure Baseline | Group Policy objects, compliance checks, and configuration tools that provide an automated and flexible approach for securely deploying and maintaining the latest releases of Windows 10 |
| USBFix | Detects infected USB removable devices |
| GMER | Rootkit detection and removal utility |
| ScreenWings | Blocks malicious background applications from taking screenshots |
| CamWings | Blocks unauthorized webcam access |
| SpyDish | Open source GUI app built upon PowerShell, allowing you to perform a quick and easy privacy check, on Windows 10 systems. Highlights many serious issues, and provides assistance with fixing |
| SharpApp | Open source GUI app built upon PowerShell, for disabling telemetry functions in Windows 10, uninstalling preinstalled apps, installing software packages and automating Windows tasks with integrated PowerShell scripting |
| Debotnet | Light-weight, portable app for controlling the many privacy-related settings within Windows 10- with the aim of helping to keep private data, private |
| PrivaZer | Good alternative to CCleaner, for deleting unnecessary data - logs, cache, history, etc |
Word of Warning
(The above software was last tested on 01/05/20). Many of the above tools are not necessary or suitable for beginners, and can cause your system to break - only use software that you need, according to your threat model. Take care to only download from an official/ legitimate source, verify the executable before proceeding, and check reviews/ forums. Create a system restore point, before making any significant changes to your OS (such as disabling core features). From a security and privacy perspective, Linux may be a better option.
See Also
- github.com/Awesome-Windows/Awesome#security
- github.com/PaulSec/awesome-windows-domain-hardening
- github.com/meitar/awesome-cybersecurity-blueteam#windows-based-defenses
Mac OS Defences
| Provider | Description |
|---|---|
| LuLu | Free, open source macOS firewall. It aims to block unknown outgoing connections, unless explicitly approved by the user |
| Stronghold | Easily configure macOS security settings from the terminal |
| Fortress | Kernel-level, OS-level, and client-level security for macOS. With a Firewall, Blackhole, and Privatizing Proxy for Trackers, Attackers, Malware, Adware, and Spammers; with On-Demand and On-Access Anti-Virus Scanning |
Anti-Malware
Cross-platform, open source malware detection and virus prevention tools
| Provider | Description |
|---|---|
| ClamAV | An open source cross-platform antivirus engine for detecting viruses, malware & other malicious threats. It is versatile, performant and very effective |
| VirusTotal | Web-based malware scanner, that inspects files and URLs with over 70 antivirus scanners, URL/domain services, and other tools to extract signals and determine the legitimacy |
| Armadito | Open source signature-based anti-virus and malware detection for Windows and Linux. Supports both ClamAV signatures and YARA rules. Has a user-friendly interface, and includes a web-based admin panel for remote access. |
Notable Mentions
For 1-off malware scans on Windows, MalwareBytes is portable and very effective, but not open source
Word of Warning
For Microsoft Windows, Windows Defender provides totally adequate virus protection in most cases. These tools are intended for single-use in detecting/ removing threats on an infected machine, and are not recommended to be left running in the background, use portable editions where available.
Many anti virus products have a history of introducing vulnerabilities themselves, and several of them seriously degrade the performance of your computer, as well as decrease your privacy. Never use a free anti-virus, and never trust the companies that offer free solutions, even if you pay for the premium package. This includes (but not limited to) Avast, AVG, McAfee and Kasperky. For AV to be effective, it needs intermate access to all areas of your PC, so it is important to go with a trusted vendor, and monitor its activity closely.
Home Automation
If you have smart devices within your home, you should consider running the automation locally, rather than using a cloud service. This will reduce the amount of exploits you could potentially be vulnerable to. It is also important to have network monitoring and firewalls enabled, to ensure suspicious activity is flagged or blocked. The following projects will make controlling and monitoring IoT devices within your home easier, safer and more private.
| Provider | Description |
|---|---|
| Home Assistant | Open source home automation that puts local control and privacy first - 1500+ integrations. Runs well on a Raspberry Pi, accessible though a web interface and CLI, as well as several controller apps (such as HassKit and the official Home Assistant App) |
| OpenHAB | A vendor and technology agnostic open source automation software for your home, with 2000+ supported devices and addons. Works well on a Raspberry Pi, or low-powered home server, and again there are some great apps for, such as the official OpenHabb App and the HomeHabit wall dashboard |
| Domoticz | Another home automation system, Domoticz is more geared towards connecting and monitoring sensors within your space. Allows you to monitor your environment without anyone but you having access to the data |
| Node-RED | Node-RED is a programming tool for wiring together hardware devices, APIs and online services, it provides a browser-based editor that makes it easy to build flows with a wide range of supported nodes, and it is easy to deploy locally in your network |
Notable Mentions
For creating dashboard from IoT devices, see ThingsBoard. Another home automation tool is FHEM, which has been around for a while and needs a bit more work to get up and running, but is still a popular option.
Word of Warning
IoT smart home devices can open you up to many security risks and exploits. It is really important that you configure them correctly, setting strong unique passwords, turn off data sharing, and if possible restrict internet access so devices can only communicate within your local network. See Smart Home Security Checklist for more tips.
Code Hosting
| Provider | Description |
|---|---|
| SourceHut | Git and mercurial code hosting, task management, mailing lists, wiki hosting and Alpine-based build pipelines. Can be self-hosted, or used through the managed instance at sr.ht |
| CodeBerg | A fully-managed instance of Gitea |
| GitLab | Fully-featured git, CI and project management platform. Managed instance available, but can also be self-hosted |
| Gitea | Lightweight self-hosted git platform, written in Go |
| Gogs | Lightweight self-hosted git platform, written in Go |
AI Voice Assistants
Google Assistant, Alexa and Siri don't have the best reputation when it comes to protecting consumers privacy, there have been many recent breaches. For that reason it is recommended not to have these devices in your house. The following are open source AI voice assistants, that aim to provide a human voice interface while also protecting your privacy and security
| Provider | Description |
|---|---|
| Mycroft | An open source privacy-respecting AI platform, that runs on many platforms (Raspberry Pi, desktop, or dedicated Mycroft device). It is in active development, with thorough documentation and a broad range of available skills, but also Mycroft makes it really easy to develop new skills |
| Kalliope | An open source, modular always-on voice controlled personal assistant designed for home automation. It runs well on Raspberry Pi, Debian or Ubuntu and is easy to program with simple YAML-based skills, but does not have a wide library of pre-built add-ons |
Notable Mentions
If you choose to continue using Google Home/ Alexa, then check out Project Alias. It's a small app that runs on a Pi, and gives you more control over your smart assistants, for both customisation and privacy.
For a desktop-based assistant, see Dragonfire for Ubuntu, and Jarvis for MacOS. LinTO, Jovo and Snips are private-by-design voice assistant frameworks that can be built on by developers, or used by enterprises. Jasper, Stephanie and Hey Athena are Python-based voice assistant, but neither is under active development anymore. See also OpenAssistant.
Word of Warning
If you are building your own assistant, you may want to consider a hardware-switch for disabling the microphone. Keep tabs on issues and check the code, to ensure you are happy with how it works, from a privacy perspective.
Bonus #1 - Alternatives to Google
Moving away from Google, and using multiple alternative apps will mean there is no single source of tracking. Open source and privacy-focused software is best
- Academic: RefSeek, Microsoft Academic, More Academic Search Engines
- Analytics: Matomo, Privalytics, Plausible, Fathom, GoatCounter, ShyNet, Pirsch
- Assistant: Mycroft, Kalliope, Project-Alias (for Google Home/ Alexa)
- Authenticator: Aegis (Android), AndOTP (Android), Authenticator (ios)
- Blogging: Write Freely, Telegraph, Mataroa, Bear Blog, Ghost (Self-Hosted)
- Browsers: Brave, Firefox (with some tweaks), Vivaldi
- Calendar: EteSync, ProtonCalendar, NextCloud Calendar (self-hosted), Radicale (self-hosted, also supports contact lists)
- Cloud: Njalla, Vindo, Private Layer
- DNS: Cloudflare, Quad9
- Docs: NextCloud, CryptPad
- Finance: Wallmine, MarketWatch, Nasdaq Lookup
- Flights: SkyScanner, Kayak (Note: Beware of tracking, use Tor)
- Location Tracker: Private Kit
- Mail: ProtonMail, Tutanota, MailFence, HushMail
- Maps: OpenStreetMaps (web), OsmAnd (Android + iOS)
- Messaging: Signal (Mobile Number Required), KeyBase, Session (beta)
- Mobile OS: LineageOS, GrapheneOS, Ubuntu Touch
- Notes: Cryptee, Joplin, Standard Notes, Joplin
- Passwords: BitWarden, 1Password, KeePassXC, LessPass
- Pay (Currencies): Monero, ZCash
- Pay (Virtual Cards): Privacy.com, Revolut (disposable virtual credit cards)
- Play Store: F-Droid, APK Mirror
- Search: DuckDuckGo, Searx (self-hosted), Qwant
- Sync: SeaFile, Syncthing, NextCloud, Duplicacy
- Translate: Apertium
- Weather: Geometric Weather (Android), Open Weather Map (Web)
- Workspace / Group Messaging: Riot (Through Matrix), Jami
- Video Platforms: PeerTube, BitChute (Caution: Not moderated), Invidio (YouTube Proxy)
Bonus #2 - Open Source Media Applications
Community-maintained media software can help you migrate away from providers that may not respect privacy. The following creative software packages are open source, cross-platform and free.
- Graphics: GIMP, Scribus, SwatchBooker, InkScape, Krita
- Audio: Audacity, Mixxx, MusicBrainz, Qtractor
- Video: Shortcut, OpenShot, kdenlive
- Video Transcoders: HandBreak
- Media Players: VLC Player
- Media Servers: Kodi, Plex, Subsonic, Emby, Gerbera, OpenELEC, OpenFlixr 2, OCMC
- 3D Rendering: Blender, Wings3D
- Game Engines: GoDot, SpringEngine, Panda3D, Cocos
- Rendering Engines: LuxCoreRender, AppleSeed
Bonus #3 - Self-Hosted Services
- Analytics: Matomo, Privalytics, Plausible, Fathom, GoatCounter, ShyNet
- Blogging: Hexo, Noddity, Plume, Ghost, Write.as
- Bookmarks: Shiori, Geek Marks, Ymarks, xBrowserSync, reminiscence, unmark
- Chat Networks: Gotify, GNU:net, Centrifugo, Mumble, Tox, Matrix + Riot, Retroshare
- CMS: Strapi (headless), ApostropheCMS, Plone, Publify, Pico
- Conference: Jami, Jitsu, BigBlueButton (Academic Institutions), OpenMeetings
- Document Management: Paperless
- E-Commerce: Qor, Magento, Grandnode
- Email Clients: Rainloop, RoundCube
- Email Setup: Mailu, MailCow, Mail-in-a-Box
- File Drop: PsiTransfer, Up1, FilePizza
- File Explorer: FileRun, Pydio
- Groupware: SoGo, SuitCRM
- News Letters: LewsNetter, PHP List, Dada Mail
- Office Suits: CryptPad, LibreOffice, onlyoffice, NextCloud
- Paste Bins: Snibox, PrivateBin, 0bin, Stikked
- Search Engine: Searx
- Social Networks: Mastodon, Pixelfed, diaspora
- Ticketing: Zammad, osTicket, Helpy
- URL Shortners: Shlink, Polr, Istu, Linkr
- WiKi/ Knowledge Sharing: Gollum, Outline, Wiki JS, Gitit, TidyWiki5, Cowyo
- XMPP: Server: ejabberd, MongooseIM, OpenFire, Prosody. Clients: Converse, JavaScript XMPP Client, XMPP web
Bonus #4 - Self-Hosted Sysadmin
- Ad-Block (network-wide): PiHole
- Content Filter: E2Guardian, Squid Guard
- Cron Jobs: HealthChecks
- Dashboards: Homer, Heimdall, SWMP, Uchiwa (for Sensu), Linux Dash
- DNS: CoreDNS, KnotDNS, Bind 9, PowerDNS
- Domain Control: DomainMod, OctoDNS, DNSControl
- Firewall: IPFire, PFSense, OpenSense, ShoreWall
- Log Management: GoAccess
- Monitoring: Alerta, Cabot, Cadvisor, CheckMK, Linux Dash. NetData, PS Dash
- Proxy: ShaddowSocks, Privoxy
- Server Status: Statup, BotoX / ServerStatus, Mojeda / ServerStatus, Statusfy, Cachet
- SSH Tools: RTop (sts stats), Fiche (cli pastepin)
- Storage DB: OpenTSBD, KairosDB, InfluxData
- VPN: OpenVPN, Pritunl
- Web Servers: NGINX, Caddy, Light TPD
Bonus #5 - Self-Hosted Development Tools
- API Management: Kong, Krakend, tyk, Hasura
- Browser-based IDE: Code Server (VS Code), Che (Eclipse), ICEcoder, ml-workspace (for Data science and ML), r-studio (for R programming)
- Code Reviews: Phabricator. See also: Git Servers, most of which have CR features
- Containers: Docker, LXC, OpenVZ
- Continuous Integration: Drone, Concourse, BuildBot, Strider, Jenkins
- Deployment Automation: Capustrano, Fabric, Mina, Munki, Rocketeer, Sup
- Doc Generators: FlatDoc, Docsify, Sphinx, ReadTheDocs, Docusarus, mkdocs
- Git Server: GitBucket, GitTea, GitLab, Gogs
- Localization: Weblate, Translate/ Pootle, Accent
- Serverless: OpenFaas, IronFunctions, LocalStack, fx
- Static Site Gen: See StaticGen.com
- UI Testing: Selenoid, Zalenium, Selenium
- More Tools:
- Request Bin - Inspect HTTP requests and Debug webhooks
- Regexr - Web tool for for creating, testing, and learning about Regular Expressions
- JS Bin - Collaborative JavaScript Debugging App, create, test, run and send web code snippets
- Koding - A development platform to orchestrates your project-specific dev environment
- Judge0 - A web compiler accessed through either an API of web-IDE, for executing trusted or untrusted code
- SourceGraph - Self-hosted universal code search and navigation engine
Bonus #6 - Security Testing Tools
This list is intended to aid you in auditing the security of your own systems, and help detect and eliminate vulnerabilities. It is intended for advanced users and sysadmins. For penetration testing, see enaqx/awesome-pentest GitHub list instead
- Amass - In-depth Attack Surface Mapping and Asset Discovery, to help you identify issues and secure your network
- CloudFail - Ensure there are no misconfigured DNS and old database records, accessible by bypassing CloudFlare network
- CrackMapExec - A CLI tool for pen testing all areas of your local and remote networks, to ensure their integrity
- DNSdumpster - A domain research tool that can discover hosts related to a domain. It can be used to test and ensure there are no visible hosts that a hacker could exploit
- DNSTracer - Scan your domain, to show which records are publicly visible and need to be obfuscated
- dnstwist - Domain name permutation engine for detecting typo squatting, phishing and corporate espionage, to protect those on your network
- GRR - incident response framework focused on remote live forensics
- Impacket - A collection of Python classes for working with network protocols, focused on providing low-level programmatic access to the packets and for the protocol implementation themselves
- Kali Linux - A Debian-based distro for security testing, bundled with 1000's of powerful packages and scripts. Saves a lot of time configuring sys-admin tools and drivers
- Lynis - A security tool that performs an extensive health scan of your systems to support system hardening and compliance testing
- Masscan - TCP port scanner, that checks packets asynchronously, configure it to check only your IP ranges and it completes in milliseconds
- Metasploit - Popular and powerful penetration testing framework, for exploitation and vulnerability validation - bundled with a full suit of tools, it makes it easy to divide your penetration testing workflow into manageable sections. Very useful for testing your entire network E2E
- Moloch - Full packet capture, indexing, and database system. The elastic search backend makes searching through pcaps fast, and the frontend displays captured data clearly with good support for protocol decoding
- Nikto2 - Well-established web server testing tool, useful for firing at your web server to find known vulnerable scripts, configuration mistakes and related security problems
- Nmap - Powerful utility for network discovery and security auditing. Useful for your network inventory, managing service upgrade schedules, and monitoring host or service uptime
- OpenAudit - An application to tell you exactly what is on your network, how it is configured and when it changes
- OpenVAS - Fully-featured security vulnerability management system, with web-based dashboards. Useful for fast and easy scans of your network
- OSQuery - SQL powered operating system instrumentation, monitoring, and analytics. Very performant cross-platform tool, useful for monitoring a host for changes and providing endpoint visibility
- OSSEC HIDS - A host based intrusion detection system that is easy to setup and configure, which performs log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting and active response
- Otseca - Search and dump your system configuration + generate HTML reports
- RouterSploit: An exploitation framework for checking the security of local embedded devices, to ensure they are safe
- Security Onion - Linux distro for intrusion detection, enterprise security monitoring, and log management. It includes a suit of security testing tools. Useful for collecting, storing and managing a variety of system data, for use on your networks
- Snort - Intrusion detection system aimed at real time traffic analysis and packet logging tool
- SPARTA - GUI tool that makes pen testing your network infrastructure easier
- Wireshark - Popular, powerful feature-rich network protocol analyser. Lets you analyse everything that is going on in your network in great detail
- Zeek - Powerful intrusion detection system and network security monitoring, that (rather than focusing on signatures) decodes protocols and looks for anomalies within the traffic
Bonus #7 - Raspberry Pi/ IoT Security Software
- OnionPi - Create an Anonymizing Tor Proxy using a Raspberry Pi
- CIRCLean - A Pi-based USB Sanitizer, plug an untrusted USB in, and get clean files out
- Pi Hole - A network-wide ad-block, that improves network performance as well as privacy
- Project Alias - Gives you full-control, and better privacy of your Google Home or Alexa
- Raspiblitz - Build your own Bitcoin & Lightning Node on a Pi, see also Trezor wallet
- PiVPN - Simple low-cost yet secure VPN, for the Raspberry Pi (or set up manually, as outlined in this guide)
- DeauthDetector - Detect deauthentication frames using an ESP8266, useful to be aware of ongoing wireless attacks
- IPFire - Hardened open source firewall to prevent common attacks on your network. Capable of running on a Pi
- SquidGuard - Fast and free URL redirector, which can work well as a home caching server
- E2guardian - Comprehensive content filtering, with powerful configuration options
USB-based projects include:
- DBAN - Bootable hard drive erasers for destroying data
- Syncthing - Create automated backups to an external medium
- KeePass Portable - Portable password manager. For hardware-encrypted password manager, see HardPass 2.0
- VeraCrypt - Full drive encryption for USB devices
See more hardware-based security solutions
More Awesome Software Lists
This list was focused on privacy-respecting software. Below are other awesome lists, maintained by the community of open source software, categorised by operating system.
- Windows: awesome-windows-apps by 'many'
- MacOS: awesome-macOS-apps by @iCHAIT
- Linux: awesome-linux-software by @luong-komorebi
- iOS: open-source-ios-apps by @dkhamsing
- Android: open-source-android-apps by @pcqpcq
- Server: awesome-selfhosted by 'many'
- More GitHub Awesome Lists →
News & Updates
A custom Reddit feed covering news and updates for privacy-respecting apps, software & services can be found here
Final Notes
Conclusion
Many corporations put profit before people, collecting data and exploiting privacy. They claim to be secure but without being open source it can't be verified, until there's been a breach and it's too late. Switching to privacy-respecting open source software will drastically help improving your security, privacy and anonymity online.
However, that's not all you need to do. It is also important to : use strong and unique passwords, 2-factor authentication, adopt good networking practices and be mindful of data that are collected when browsing the web. You can see the full personal security checklist for more tips to stay safe.
Important Considerations
Compartmentalise, Update and Be Ready
No piece of software is truly secure or private. Further to this, software can only as secure as the system it is running on. Vulnerabilities are being discovered and patched all the time, so you much keep your system up-to-date. Breaches occur regularly, so compartmentalise your data to minimise damage. It's not just about choosing secure software, you must also follow good security practices.
Attack Surface
It is a good idea to keep your trusted software base small, to reduce potential attack surface. At the same time trusting a single application for too many tasks or too much personal data could be a weakness in your system. So you will need to judge the situation according to your threat model, and carefully plan which software and applications you trust with each segment of your data.
Convenience Vs Security
There is often a trade-off between convenience and security. Construct a threat model, and choose a balance that is right for you. In a similar way in some situations there is privacy and security conflict (e.g. Find My Phone is great for security, but terrible for privacy, and anonymous payments may be good for privacy but less secure than insured fiat currency). Again it is about assessing your situation, understanding the risks and making an informed decision.
Hosted Vs Self-Hosted Considerations
When using a hosted or managed application that is open-source software - there is often no easy way to tell if the version running is the same as that of the published source code (even published signatures can be faked). There is always the possibility that additional backdoors may have been knowingly or unknowingly implemented in the running instance. One way round this is to self-host software yourself. When self-hosting you will then know for sure which code is running, however you will also be responsible for the managing security of the server, and so may not be recommended for beginners.
オープンソースソフトウェアに関する考慮事項
オープンソースソフトウェアは、クローズドソースソフトウェアよりも安全であるという評判が長い間ありました。バグは透過的に発生し、迅速に修正されるため、コミュニティの専門家がコードをチェックでき、通常、データの収集や分析はほとんどまたはまったくありません。そうは言っても、完全にバグがなく、したがって真に安全でプライベートなソフトウェアはありません。オープンソースであることは、何かが安全であることを保証するものではありません。インターネット上で、不十分に書かれた、時代遅れの、または時には有害なオープンソースプロジェクトが不足することはありません。一部のオープンソースアプリ、またはその中にバンドルされている依存関係は、単なる悪意のあるものです(たとえば、ColouramaがPyPIリポジトリで見つかったときなど) 。
プロプライエタリソフトウェアに関する考慮事項
ホスト型またはプロプライエタリソリューションを使用する場合は、常にプライバシーポリシーを確認し、組織の評判を調査し、信頼できるデータにうんざりしてください。可能であれば、セキュリティが重要な状況ではオープンソースソフトウェアを選択するのが最善の場合があります。
メンテナンス
新しいアプリケーションを選択するときは、それがまだ定期的にメンテナンスされていることを確認してください。これにより、最近発見されたセキュリティの問題に対処できるようになります。アルファ段階またはベータ段階のソフトウェアは、バグがあり、機能が不足している可能性がありますが、さらに重要なのは、重大な脆弱性が悪用される可能性があることです。同様に、アクティブに保守されなくなったアプリケーションは、パッチが適用されていないため、セキュリティリスクをもたらす可能性があります。フォークされたアプリケーション、またはアップストリームコードベースに基づくソフトウェアを使用する場合、元のアプリケーションよりも少し遅れてセキュリティクリティカルなパッチや更新を受け取る可能性があることに注意してください。
このリスト:免責事項
このリストには、エントリーレベルから上級レベルまでのパッケージが含まれています。ここにあるソフトウェアの多くは、すべての対象者に適しているわけではありません。これは決して安全なアプリケーションの決定的なリストではなく、ガイド、私や他の寄稿者が使用したソフトウェアとサービスのコレクションであり、推奨することだけを目的としています。発見または導入された新しい脆弱性、バグやセキュリティクリティカルな不具合、悪意のある攻撃者、不適切に構成されたシステムが常に存在します。調査を行い、脅威モデルを作成し、データをどこでどのように管理するかを決定するのはあなた次第です。
このリストで、安全またはプライベートと見なされなくなったもの、または警告メモを添付する必要があるものを見つけた場合は、問題を提起してください。同様に、足りないものを知っている場合、または編集したい場合は、プルリクエストを歓迎します。
貢献
ご覧いただきありがとうございます!提案がある場合は、問題を開くか、PRを送信します。以下を参照してくださいCONTRIBUTING.md
。貢献は大歓迎です、そしていつも大いに感謝します
ライセンス
クリエイティブ・コモンズ、CC BY 4.0、© AliciaSykes2022の下でライセンス供与
ありがとうございました
このプロジェクトをチェックしていただきありがとうございます-あなたがそれがいくらか有用であると思ったことを願っています
このリストは当初、コミュニティからの多くの支援を受けて、 Alicia Sykes / 
@Lissy93によって編集されました。
更新やその他のプロジェクトについては、GitHubでフォローしてください。
このプロジェクトが役に立ったと思ったら、私たちにスターを付けて、ネットワークと共有することを検討してください。
