博客 / 詳情

返回

讀捍衞隱私02追蹤設備

讀捍衞隱私02追蹤設備

1. 端到端加密

1.1. 某些機構無須看到你加密的電子郵件內容,就能知道你在和誰通信以及頻率如何

1.2. 加密的目的是編碼你的信息,這樣的話只有擁有正確密鑰的人才能解碼它

1.3. 加密的數學運算強度和密鑰長度共同決定了沒有密鑰的人破解你的代碼的難度

1.4. 公開算法一直在經受弱點檢查,也就是説,人們一直目的明確地想要攻破它們

  • 1.4.1. 每當一種公開的算法變弱或被攻破時,它就退休了,新的、更強的算法將取而代之

1.5. 如果你生成了一個加密密鑰,那麼除了你,沒有其他任何人會將這個密鑰存儲在你的設備中

  • 1.5.1. 如果你讓一家公司執行這種加密,比如在雲端加密,那麼該公司也可能在將密鑰分享給你之後繼續保留該密鑰

  • 1.5.2. 真正讓人擔憂的是,可能會有法院命令強制該公司將該密鑰分享給執法部門或某些機構—不管有沒有搜查令

  • 1.5.3. 你需要閲讀為加密使用的每種服務的隱私政策,並且瞭解這些密鑰的所有者是誰

1.6. 加密一條消息(電子郵件、短信或電話)時,你要使用端到端(end-to-end)加密

  • 1.6.1. 意味着你的消息在到達目標接收方之前一直都是無法讀取的

  • 1.6.2. 使用端到端加密,只有你和你的接收方具有解碼該消息的密鑰

1.7. Chrome和火狐瀏覽器都有PGP插件,可以讓加密變得更輕鬆簡單

1.8. 電子郵件元數據

  • 1.8.1. 它是發件人和收件人字段中的信息,以及在發件人和收件人之間處理電子郵件的各個服務器的IP地址

  • 1.8.2. 不管你使用哪種“風味”的PGP,都不會加密元數據

    • 1.8.2.1. 收件人和發件人字段、主題行和時間戳信息

  • 1.8.3. 不管你能否看見,這些數據都被保存為純文本格式

  • 1.8.4. 第三方仍然可以看到你的加密消息的元數據

    • 1.8.4.1. 它們會知道你在某個時間給某個人發送了一封電子郵件,而且兩天之後你又向同一個人發送了一封電子郵件

  • 1.8.5. 光是從電子郵件的傳遞路徑和頻率得到的信息就能多到讓你驚訝

1.9. 社會工程是通過操控、欺騙和影響某個人來使其遵從某個要求的黑客技術,通常用於騙取人們的敏感信息

1.10. 儘管記錄電子郵件的元數據不等同於獲取實際內容,但從隱私的角度看也仍然是侵入性的

1.11. NSA和其他機構正在收集人們的電子郵件、短信和電話的元數據

2. 洋葱路由器

2.1. 移除自己真實的IP地址

  • 2.1.1. 這是你與互聯網的連接點,你的指紋

  • 2.1.2. 能顯示出你的位置(具體到你的實際地址)和你使用的提供商

2.2. 掩飾你的硬件和軟件

  • 2.2.1. 當你連接到一個在線網站時,該網站可能會收集你使用的硬件和軟件的快照信息

  • 2.2.2. 可以使用一些技巧來確定你是否安裝了特定的軟件,比如AdobeFlash

  • 2.2.3. 你的瀏覽器軟件會告訴網站你使用的是什麼操作系統、你的操作系統是什麼版本,而且有時候還能顯示你的桌面上運行的其他軟

2.3. 保護你的匿名性

  • 2.3.1. 在網絡上確定歸屬是很困難的

  • 2.3.2. 要證明當一件事發生時你正在敲鍵盤也很困難

2.4. 匿名郵件轉發器(anonymous remailer)的服務,它會掩蓋你的電子郵件的IP地址

2.5. 三型(或稱Mixminion)郵件轉發器確實提供了一整套服務:回覆、轉發和加密

2.6. 掩蓋你的IP地址的一種方法是使用洋葱路由器(Tor)​,這也是斯諾登和珀特阿斯的做法

2.7. Tor開源程序

  • 2.7.1. 是由美國海軍研究實驗室在2004年開發的,以便軍事人員能在不暴露他們實際位置的前提下開展搜索

  • 2.7.2. Tor已經得到了擴展

  • 2.7.3. Tor可以用於幫人們避開大眾媒體和服務的審查,並防止任何人追蹤他們使用的搜索詞

  • 2.7.4. Tor一直是免費的,任何地方的任何人都可以使用

  • 2.7.5. 使用Tor時,你和你的目標網站之間的直接線路會被其他額外的節點掩蓋,而且每10秒鐘,連接你和你訪問的任何網站的節點鏈就會發生改變,但不會給你造成中斷

  • 2.7.6. 當你使用Tor時,你打開頁面的請求不會直接發送給目標服務器,而是會先發送給另一個Tor節點

  • 2.7.7. 始終要從Tor網站上尋找適合你操作系統的正規Tor瀏覽器,不要使用第三方的網站

  • 2.7.8. 儘管Tor使用了一個特殊的網絡,你仍然可以通過它訪問互聯網,但網頁的加載速度會慢得多

  • 2.7.9. 弱點

    • 2.7.9.1. 你無法控制出口節點,它們可能處於某些機構的控制之下

    • 2.7.9.2. 你仍然可以被分析並被識別出來

    • 2.7.9.3. Tor非常慢

2.8. 必須將你的匿名賬號和任何與你真實身份相關的東西完全隔離

3. 匿名電子郵箱

3.1. 創建匿名電子郵箱地址難度很大,但也是可以辦到的

3.2. 需要使用用後即拋的一次性手機

  • 3.2.1. 匿名購買一次性手機會很困難

3.3. 要保持這個賬號的匿名性,只能使用Tor來訪問這個賬號,這樣你的IP地址才永遠不會與之發生關聯

  • 3.3.1. 在登錄了這個匿名Gmail賬號之後,一定不要執行任何互聯網搜索,因為你可能會在無意中搜索與你的真實身份相關的事物

  • 3.3.2. 即使搜索天氣信息,也可能暴露你的位置

3.4. 端到端加密是非常重要的,也就是説,要讓你的消息在到達收件人之前一直都保持不可讀取的安全狀態,而不只是簡單的加密

4. 手機本質上就是一個追蹤設備

4.1. 移動設備使用的蜂窩服務是無線形式的,依賴於蜂窩塔,即基站

  • 4.1.1. 為了保持連接,手機會持續不斷地向離自己最近的一座或多座蜂窩塔發送微小的信標信號

  • 4.1.2. 執法機構已經制造出可以偽裝成蜂窩基站的設備

    • 4.1.2.1. 設備是為攔截語音和短信而設計的

4.2. IMSI

  • 4.2.1. 為了以某種方式保護用户的身份,手機的信標使用了所謂的國際移動用户識別碼(international mobile subscriber identity,簡稱IMSI)​,這是分配給SIM卡的一個獨特數字

  • 4.2.2. 最初誕生的時候,蜂窩網絡還需要知道你什麼時候連接到它們的塔上,什麼時候在漫遊(使用其他運營商的蜂窩塔)​

  • 4.2.3. IMSI碼的第一部分指明瞭特定的移動網絡運營商,其餘部分則向該網絡運營商標識了你的手機

4.3. 只要你的移動設備開機,它就會連接到一些蜂窩塔

  • 4.3.1. 離你最近的塔會實際地處理你的電話、短信或互聯網通話

  • 4.3.2. 當你移動時,你的手機會與最近的塔進行迴環應答(ping)​,如果有必要,你的通話也會從一座塔轉移到另一座塔,同時還能保持連貫性

  • 4.3.3. 所以任何人只要查閲一座特定塔的日誌,就可以看到在其全部區域內任意給定時間所有人的臨時移動用户識別碼(temporary mobile subscriber identity,簡稱TMSI)​,不管他們是否打過電話

  • 4.3.4. 如果只查看一座信號塔的日誌,其數據可能僅僅表明某個人正在經過,而且他的設備連接到了一座待命的特定信號塔

  • 4.3.5. 如果其間有通話或數據交換,那還會有關於那次通話和持續時間的記錄

  • 4.3.6. 來自多座信號塔的日誌可被用於精確定位一個用户的地理位置

    • 4.3.6.1. 大多數移動設備每次會與3座或更多的塔進行迴環應答

    • 4.3.6.2. 使用來自這些信號塔的日誌,某人可以基於這些迴環應答的相對強度,通過三角定位來確定該手機用户的一個相對準確的位置

    • 4.3.6.3. 你每天帶着到處走動的手機本質上就是一台追蹤設備

4.4. 避免被追蹤

  • 4.4.1. 一次性手機看上去是個不錯的選擇

    • 4.4.1.1. 一個人的匿名性取決於他獲得一次性手機的方式

  • 4.4.2. 預付費手機服務仍然有用户賬號,所以也會有分配給它的IMSI

5. 信令系統

5.1. 每一代手機技術都有新功能,主要目的是更高效地傳輸更多數據

5.2. 20世紀80年代的第一代手機(1G)讓人們用上了移動通信技術

  • 5.2.1. 早期的1G網絡和手持設備都是基於模擬技術的,而且它們使用的是現在已經停用的各種移動標準

5.3. 1991年,第二代(2G)數字網絡推出

  • 5.3.1. 兩個標準:全球移動通信系統(GSM)和碼分多址(CDMA)。

  • 5.3.2. 推出了短消息服務(SMS)​、非結構化補充數據業務(USSD)以及其他今天仍在使用的簡單通信協議

5.4. 信令系統(signaling system)​

  • 5.4.1. 信令系統協議(目前是第7版)及其他事物能幫助你在高速公路上馳騁,並且在從一座信號塔到切換到另一座信號塔時保持移動通話的順暢連接

  • 5.4.2. 可被用於監視

5.5. 7號信令系統(signaling system 7,簡稱SS7)基本上能夠完成路由通話所必需的一切

  • 5.5.1. 為通話設置一個新連接

  • 5.5.2. 當通話結束時中斷連接

  • 5.5.3. 正確地為通話計費

  • 5.5.4. 管理呼叫轉移、主叫方名稱及號碼顯示、三方通話和其他智能網絡(IN)服務等額外功能

  • 5.5.5. 免費電話和長途電話

  • 5.5.6. 無線服務,包括用户身份識別、運營商和移動漫遊

5.6. SS7可以處理呼叫建立、計費、路由和信息交換功能的整個過程

  • 5.6.1. 這意味着如果你滲透進SS7,你就可以操縱通話

  • 5.6.2. 在安全領域,你的安全程度取決於你最薄弱的環節

6. 通話的私密性

6.1. 彩虹表(rainbow table)—一種由預先算出的密鑰或密碼組成的表

6.2. 竊聽通常不只與電話有關

  • 6.2.1. 有線電話是你家或公司裏面用實際的線纜連接起來的電話,而竊聽也真正涉及切入真實的線纜中

  • 6.2.2. 電話公司有一些特殊的裝置,而其框架技術可以將這些裝置連接到中央辦公室中主機上的目標電話號碼

6.3. 數字電話的發展沒有讓監控行為變得更難,反而使其更簡單了

6.4. 沃達豐(Vodafone)

  • 6.4.1. 在希臘舉辦了2004年夏季奧運會之後不久,沃達豐(Vodafone)旗下的Vodafone-Panafon的工程師從公司的蜂窩網絡中移除了一些流氓軟件,這些軟件被發現時已經在那裏運行了一年多了

  • 6.4.2. 在希臘發現的這些流氓軟件進入了沃達豐的RES,也就意味着在正規執法部門之外,還有其他人一直在竊聽經由其蜂窩網絡進行的通話

  • 6.4.3. 沃達豐事件是一個讓人不安的警示,提醒着我們要攔截我們的手機是多麼容易

7. 端到端加密移動VoIP

7.1. 基於網絡協議傳輸的語音(Voice over Internet Protocol,簡稱VoIP)的技術,這是一種通過互聯網打電話的技術,通常與你家裏或辦公室裏的有線電視或互聯網服務綁定在一起

7.2. 有線電話需要銅線

7.3. 移動電話使用信號塔

7.4. VoIP適用於任何本身不帶電話功能的無線設備

  • 7.4.1. VoIP通過互聯網傳輸你的語音—不管使用有線還是無線的互聯網服務

  • 7.4.2. VoIP也適用於移動設備,如筆記本電腦和平板電腦,無論它們是否具有蜂窩服務

7.5. PFS

  • 7.5.1. 這種系統為每一次通話都使用了稍有不同的加密密鑰,所以就算真的有人拿到你加密的電話通話及用於解碼該通話的密鑰,你的其他通話仍然是安全的

  • 7.5.2. 所有PFS密鑰都基於單個的原始密鑰,重要的是,即使有人拿到了一個密鑰,也並不意味着你的潛在敵人能夠進一步讀取你的通信

7.6. Signal

  • 7.6.1. 來自Open Whisper Systems的Signal是一個免費的開源的手機VoIP系統,可為iPhone和安卓提供真正的端到端加密

  • 7.6.2. Signal的主要優勢是其密鑰管理僅在通話雙方之間處理,不會通過任何第三方

  • 7.6.3. 開發了Signal的非營利性組織Open Whisper Systems也沒有這些密鑰,所以授權令也無法使用

  • 7.6.4. 除了使用端到端加密,Signal還使用了完全正向保密(perfect forward secrecy,簡稱PFS)

網絡安全
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.