博客 / 詳情

返回

讀捍衞隱私04痕跡

讀捍衞隱私04痕跡

1. 痕跡

1.1. 要當心你在互聯網上搜索的東西

  • 1.1.1. 不只有搜索引擎會跟蹤你的上網習慣

  • 1.1.2. 你訪問的每一個網站都會這麼做

1.2. https並不是為隱藏你訪問網站的身份而設計的

1.3. DNS就像一個全球性的電話簿,可以實現主機名和你剛才請求的網站服務器的數字地址的交叉參照

2. 元數據

2.1. 幾乎每一種數字技術都會產生元數據

  • 2.1.1. 瀏覽器也沒有什麼不同

  • 2.1.2. 瀏覽器就會暴露你的計算機配置等相關信息

  • 2.1.3. 能暴露你的計算機硬件的細節,比如屏幕的分辨率和板載內存的容量

2.2. 營銷人員收集信息的目的是創建能讓網站贏利的廣告

  • 2.2.1. 營銷人員和黑客罪犯之類的人可以通過所謂的單像素圖像文件或網絡信標(web bug)來了解關於網站訪問者的信息

2.3. 要做到不起眼又不會被網絡竊聽,可以使用虛擬機(virtual machine,簡稱VM)​,它可以使Mac OSX等操作系統在你的Windows操作系統上作為訪客運行

2.4. 可以通過指示你的瀏覽器不允許彈窗出現來避免這些問題(而且還能消除那些煩人的廣告)​

3. 插件

3.1. Mozilla的火狐瀏覽器可以通過NoScript插件提供應對第三方跟蹤的最佳防禦

3.2. 屏蔽網頁上可能有害(而且肯定會侵犯隱私)的元素將保護你的計算機不被廣告生成的惡意軟件攻陷

3.3. NoScript和ScriptBlock雖好,但並不能屏蔽一切

3.4. 要得到讓瀏覽器免受威脅的完全保護,你可能需要安裝Adblock Plus

  • 3.4.1. Adblock會記錄所有東西:這又是一個會跟蹤你的瀏覽歷史的公司,就算你使用了隱私瀏覽也一樣

3.5. Ghostery也是一個有用的插件,而且在Chrome和火狐上都可以使用

  • 3.5.1. 可以識別網站用來跟蹤你的活動的所有網絡流量跟蹤器(DoubleClick和Google AdSense)​

  • 3.5.2. 和NoScript一樣,Ghostery也能讓你精準控制你想在每個頁面上允許的跟蹤器

  • 3.5.3. 屏蔽跟蹤器將能阻止它們在你的瀏覽器中運行,這有助於控制你的行為數據被跟蹤的方式

  • 3.5.4. 安裝Ghostery之後,有的網站將無法工作

    • 3.5.4.1. 可以根據網站來選擇禁用它

4. cookie

4.1. 與只擁有一個可識別的地址相比,擁有多個網絡個人檔案對隱私的影響會小得多

  • 4.1.1. 會讓任何人都更難以構建出你的網絡檔案

4.2. 最安全的措施往往也有很大的好處:你會發現,如果不使用你的個人電子郵箱地址進行網絡購物,你就不會收到大量的垃圾郵件

4.3. cookie並不會真正在你的傳統個人電腦或移動設備上保存這些信息

4.4. cookie不僅能保存你個人的網站偏好,還能為它所在的網站提供有價值的跟蹤數據

4.5. cookie是分開使用的,也就是説,網站A沒有必要查閲網站B的cookie的內容

4.6. 廣告代理商往往會將多個網站組成更大規模的網絡,加載一個可以跟蹤你在這些網站上的活動的cookie

  • 4.6.1. 有些廣告商會使用cookie跟蹤你在它們投放了廣告的網站上停留的時間

4.7. 如果你一直使用常規瀏覽模式,你可能時不時需要手動移除過去幾年累積的一些或全部cookie

4.8. 超級cookie

  • 4.8.1. 有一些cookie不會受到你在瀏覽上做的任何決定的影響

  • 4.8.2. 它們存儲在你的計算機上,但在瀏覽器之外

  • 4.8.3. 超級cookie可以在你使用任何瀏覽器(今天用Chrome,明天用火狐)時存取網站偏好並跟蹤數據

  • 4.8.4. 應該刪除瀏覽器中的超級cookie,否則你的傳統個人電腦會在你的瀏覽器再次訪問該網站時試圖從存儲器中重建http cooki

  • 4.8.5. 應該刪除瀏覽器中的超級cookie,否則你的傳統個人電腦會在你的瀏覽器再次訪問該網站時試圖從存儲器中重建http cookie

    • 4.8.5.1. 來自Adobe的Flash和來自微軟的Silverlight

    • 4.8.5.2. 兩個超級cookie都不會過期

    • 4.8.5.3. 通常刪除它們是安全的

4.9. Evercookie

  • 4.9.1. 將cookie數據保存在Windows操作系統上儘可能多的瀏覽器存儲系統中,從而實現了這種頑固性

5. 社交網站中的陷阱

5.1. 手機也躲不開企業的跟蹤

5.2. 附加代碼的問題在於用户未被告知相關情況

5.3. 卸載工具欄

  • 5.3.1. Facebook和谷歌一樣,想要關於你的數據

    • 5.3.1.1. 可能不會正大光明地索取,而是想方設法得到

  • 5.3.2. Facebook還以“沒有行業共識”為由,故意不遵守Internet Explorer發出的“請勿追蹤”信號

  • 5.3.3. Facebook的跟蹤器都是經典類型:cookie、JavaScript、單像素圖像和iframe

    • 5.3.3.1. 能讓目標廣告商掃描並讀取特定的瀏覽器cookie和跟蹤器,從而在Facebook網站內和網站外提供產品、服務和廣告

  • 5.3.4. Chrome的Facebook Disconnect和Adblock Plus的Facebook Privacy List

    • 5.3.4.1. 插件工具的目標是讓你能控制你在Facebook和其他任何社交網絡上分享的內容,而不是迫使你坐在一個次要位置上,讓你使用的服務主宰你的各種事物

  • 5.3.5. 移除工具欄的最佳方法是卸載它,就像在你的傳統個人電腦上卸載任何程序一樣

    • 5.3.5.1. 有些最頑固的工具欄可能會要求你下載一個移除工具,而且這個卸載流程往往會留下很多信息,足以讓相關的廣告代理商重新安裝它

  • 5.3.6. 安裝新軟件或更新已有的軟件時,要注意所有的勾選框

    • 5.3.6.1. 如果你一開始就不同意安裝這些工具欄,就能避免很多麻煩

5.4. 會泄露你永遠不打算公開分享的關鍵個人信息的往往是一些小事物

  • 5.4.1. 在這裏或那裏發佈的奇怪評論

  • 5.4.2. 一張照片中你身後架子上的小擺設

  • 5.4.3. 你曾經參加過的一個營地活動的T恤衫

6. 指紋跟蹤

6.1. canvas指紋跟蹤

  • 6.1.1. 一種讓人毛骨悚然的網絡跟蹤工具

  • 6.1.2. 跟蹤會使用HTML5 canvas元素來繪製簡單圖像

  • 6.1.3. 圖像的這種繪製過程發生在瀏覽器內部,你沒法看到,但發出請求的網站可以看到繪製的結果

  • 6.1.4. 當你的硬件和軟件結合,組成瀏覽器所使用的資源時,它將以特有的方式對圖像進行渲染

    • 6.1.4.1. 圖像可能是一系列各種各樣的彩色圖像,渲染之後會被轉換成一個獨特的數字,大致就像密碼一樣

    • 6.1.4.2. 這個數字會被用於與互聯網中其他網站上看到的該數字的先前案例進行匹配

  • 6.1.5. 數字就是canvas指紋,它可以在返回任意請求它的特定網站時被用於識別你的瀏覽器

    • 6.1.5.1. 即使你已經移除了所有cookie或屏蔽了未來的cookie安裝也無濟於事,因為這使用了HTML5本身內置的元素

6.2. canvas指紋跟蹤是一種伴隨式的過程

  • 6.2.1. 它不需要你點擊或做任何事,只需看一個網頁,它就會自動完成

6.3. 屏蔽它的瀏覽器插件

  • 6.3.1. 火狐瀏覽器有CanvasBlocker,谷歌Chrome有CanvasFingerprintBlock

6.4. Drawbridge、Tapad及甲骨文旗下的Crosswise這類公司將網絡跟蹤向前推進了一步

  • 6.4.1. 宣稱擁有可以跨多台設備跟蹤你的興趣愛好的技術,能夠跟蹤你僅在手機和平板電腦上訪問過的網站

  • 6.4.2. 不同設備之間的匹配越好,意味着越有可能是同一個人在同時使用這兩台設備

  • 6.4.3. Drawbridge、Crosswise和Tapad則沒有把禁用和刪除過程做得那麼明顯,或者可能乾脆就沒有

7. 信用卡

7.1. 信用卡公司肯定會在網上跟蹤我們

7.2. 有一種方法可以避免使用Tor時的這種麻煩,即安裝torrec配置文件,以使用位於你本國的出口節點

  • 7.2.1. 能讓信用卡公司滿意

  • 7.2.2. 一直使用同一個出口節點可能最終會暴露你的身份

  • 7.2.3. 有一些嚴肅的猜測表明,某些機構可能控制着一些出口節點,所以使用不同的出口節點是合理的

7.3. 另一種不留痕跡地進行支付的方式是使用比特幣,這是一種虛擬貨幣

8. 比特幣

8.1. 比特幣是一種算法,讓人們可以創造他們自己的貨幣—用比特幣的術語來説是挖礦

8.2. 在任何一天裏,比特幣的數量都是有限的,而這是消費者信心之外又一個影響其價值的因素

8.3. 每個比特幣都有一個加密的簽名,可用於確認它是原始的且獨特的

8.4. 你可以與人面對面地購買比特幣,也可以使用預付費禮品卡在網上匿名購買,或者找一個沒有監控攝像頭的比特幣ATM購買

8.5. 可以將這些比特幣放入所謂的混桶(tumbler)中

  • 8.5.1. 混桶會從你、我和隨機選擇的其他人那裏各取一些比特幣,將它們混合在一起

  • 8.5.2. 能留下這些幣減去混合手續費之後的部分

  • 8.5.3. 與其他人的幣混合後,每個幣的加密簽名可能不一樣了

    • 8.5.3.1. 這樣就在一定程度上實現了該系統的匿名化

8.6. 交易將在被稱為區塊鏈的公共賬本中進行驗證,並通過IP地址進行確認

8.7. 和信用卡不一樣的是,比特幣不允許退款或賠付

8.8. 比特幣現在已經變成了互聯網上標準的匿名貨幣

9. 硬件

9.1. 硬件方面的內容既可以用於在互聯網上找到你,也可以用於在互聯網上隱藏你

9.2. 最重要的是要下載最新的固件(安裝在硬件設備中的軟件)​

9.3. 所有無線路由器都會默認廣播所謂的服務集標識符(SSID)​

  • 9.3.1. 向世界廣播默認的SSID也許可以掩蓋該Wi-Fi信號實際上來自某個特定家庭的事實,但也會讓街上的人知道你擁有的路由器的確切品牌和型號

  • 9.3.2. 可以選擇完全隱藏你的SSID

    • 9.3.2.1. 其他人就沒法在無線網絡連接列表中輕易看到它了

9.4. 訪問路由器很容易,用你的互聯網瀏覽器就可以

  • 9.4.1. 互聯網上也發佈了一個默認登錄信息的列表

9.5. 關閉路由器上的WPS功能

  • 9.5.1. 為了能輕鬆地將任意新設備連接到家庭路由器,旨在傳播Wi-Fi技術應用的組織Wi-Fi聯盟(Wi-Fi Alliance)創造了Wi-Fi保護設置(Wi-Fi protected setup,簡稱WPS)​

  • 9.5.2. WPS的形式通常是路由器上一個可以按壓的按鈕

  • 9.5.3. 其他方法包括使用PIN碼和近場通信(NFC)​

  • 9.5.4. 只要你激活了WPS功能,它就能與你家裏或辦公室的任何新設備通信,還會自動同步這些設備以使用你的Wi-Fi網絡

  • 9.5.5. 即使沒有實際接觸,網絡攻擊者也可以通過暴力破解猜測你的WPS PIN碼

  • 9.5.6. 被稱為Pixie Dust的WPS攻擊方法

    • 9.5.6.1. 一種離線攻擊,而且只對幾家芯片製造商的產品有效,其中包括雷凌(Ralink)​、瑞昱(Realtek)和博通(Broadcom)​

    • 9.5.6.2. Pixie Dust可以幫助黑客獲取無線路由器的密碼

  • 9.5.7. 應該關閉WPS,你仍然可以通過輸入你設置的用於接入的密碼,來將每台新的移動設備連接到你的網絡

9.6. 在你的網絡攝像頭上貼上膠帶

  • 9.6.1. 惡意軟件可以很輕鬆地在用户不知情的情況下激活傳統個人電腦上的網絡攝像頭和麥克風,在移動設備上也是如此

9.7. 不只是你的筆記本電腦會受害,電子郵件觸發的攻擊也可以作用於越獄的iPhone或安卓設備

10. 無線加密

10.1. 在默認情況下,它們通常沒有被啓用

  • 10.1.1. 並非所有無線加密都是平等創建的,也不是所有設備都支持這種形式

10.2. 最基本的無線加密形式是有線等效保密(WEP)

  • 10.2.1. WEP多年前就已被破解

10.3. Wi-Fi保護接入,即WPA

  • 10.3.1. WPA2還要更加安全

10.4. 啓用WPA2意味着當你連接到你的筆記本電腦或移動設備時,你也需要將它們設置成WPA2

10.5. 更進一步,僅允許你指定的設備連接到Wi-Fi

  • 10.5.1. 白名單

  • 10.5.2. 通過這種方式,你可以讓一些設備有訪問權限,並禁止其他設備接入(設置黑名單)​

10.6. 每台設備的MAC地址都不同

  • 10.6.1. 一款名叫aircrack-ng的黑客工具可以顯示當前連接用户的授權MAC地址,攻擊者可以偽造這個MAC地址來連接這個無線路由器

  • 10.6.2. 和隱藏的無線SSID一樣,繞過MAC地址過濾是一件輕而易舉的事情

11. 欺詐

11.1. 和隱私一樣,欺詐是難以量化的,標準因人而異

  • 11.1.1. 我們並不總是能識別出欺詐,即使它就發生在我們眼前

11.2. 廣告商可以使用這種網絡信標收集關於收件人的信息,並因此得到檔案

  • 11.2.1. 攻擊者則可將其用於獲取他們設計下次攻擊所需的技術細節,其中會包含一種進入你的計算機的方法

11.3. 魚叉式網絡釣魚

  • 11.3.1. 專門針對特定個人設計的

  • 11.3.2. 網絡釣魚是一種試圖獲取用户名、密碼和信用卡或銀行信息等高度機密信息的犯罪欺詐過程

  • 11.3.3. 更讓人擔憂的網絡釣魚攻擊是欺騙目標執行某個動作,這個動作會直接利用他的計算機,從而讓攻擊者獲得完全的控制權

  • 11.3.4. 另一種流行的攻擊方式是憑證採集(credential harvesting)​,其目標是獲取一個人的用户名和密碼,但魚叉式網絡釣魚的真正危險是取得目標計算機系統或網絡的權限

11.4. 極光行動(Operation Aurora)

  • 11.4.1. 可能是最著名的網絡釣魚案例之一了

  • 11.4.2. 在這一事件中,谷歌公司的一位中國僱員收到了一封網絡釣魚電子郵件

  • 11.4.3. 目的是感染谷歌在中國的機器,從而進入其位於加利福尼亞州芒廷維尤的全球總部的內網

  • 11.4.4. 這件事讓攻擊者與谷歌搜索引擎源代碼的接近到了非常危險的程度

  • 11.4.5. 谷歌並不是唯一的受害者

    • 11.4.5.1. Adobe等公司也報告了類似的入侵

11.5. 不要回應任何想要你個人信息的請求,即使它們看起來值得信任

  • 11.5.1. 應該用另一個電子郵箱(如果你有其地址)或短信(如果你有其手機號碼)聯繫該請求者

12. 勒索軟件

12.1. Cryptowall就是其中一例,它會加密你的整個硬盤,將你鎖在你的每個文件之外

12.2. 偷渡式(drive-by)攻擊,因為你實際上並沒有點擊這個廣告

12.3. 加密非常強,破解它需要非常強大的計算機和很多時間,這超出了大多數人的能力範圍

網絡安全
user avatar
0 位用戶收藏了這個故事!

發佈 評論

Some HTML is okay.