世界頂級(jí)黑客Kevin D.Mitnick教你如何在數(shù)字世界中真正隱形。對(duì)計(jì)算機(jī)歷史有一定了解的人,相信對(duì)kevin Mitnick一定不會(huì)陌生,可以說(shuō)他是黑客的代名詞。他的黑客生涯可謂充滿傳奇,已被翻拍成電影,并成為很多黑客的偶像。美國(guó)國(guó)防部、五角大樓、中央情報(bào)局、北美防空系統(tǒng)、美國(guó)國(guó)家稅務(wù)局、紐約花旗銀行、Sun、摩托羅拉,這些美國(guó)防守最嚴(yán)密的網(wǎng)絡(luò)系統(tǒng)都曾是他閑庭信步的地方。在他15歲時(shí)入侵北美空中防務(wù)指揮系統(tǒng),翻遍了美國(guó)指向前蘇聯(lián)及其盟國(guó)的所有核彈頭的數(shù)據(jù)資料。一個(gè)具有極度危險(xiǎn)性格特征的罪犯。由于竊取國(guó)家核心機(jī)密,因此受到美國(guó)聯(lián)邦調(diào)查局FBI的通緝,并于1995年被逮捕,受了五年牢獄之災(zāi),2000年重獲自由。它所推崇的“社會(huì)工程學(xué)”也成了后來(lái)黑客模仿的典范,無(wú)數(shù)的黑客書籍以敬畏的口吻崇拜著他。
如果你像kevin Mitnick一樣,習(xí)慣檢查你的電子郵件,你可能就會(huì)對(duì)郵件的隱私性產(chǎn)生很多關(guān)注,比如你可能會(huì)好奇除了你之外還有誰(shuí)讀過(guò)你的電子郵件,這并不是什么好笑的問題,因?yàn)槿绻闶褂没赪eb的電子郵件服務(wù),如Gmail或Outlook 365,則你的郵件應(yīng)該早已經(jīng)被無(wú)數(shù)人看過(guò)無(wú)數(shù)次了。
即使你在計(jì)算機(jī)或手機(jī)上把看完的電子郵件刪掉,也不一定會(huì)刪除掉其中的內(nèi)容。因?yàn)樵诰W(wǎng)絡(luò)世界中還有另一個(gè)存儲(chǔ)你郵件的地方。Web郵件是基于云的,因此為了能夠隨時(shí)隨地從任何設(shè)備上訪問你的郵件,必須有冗余副本。例如,如果你使用Gmail,那么通過(guò)你的Gmail帳戶發(fā)送和接收的每封電子郵件的副本都會(huì)保留在Google的服務(wù)器上。如果你使用由Yahoo, Apple, AT&T,Comcast,Microsoft或你們公司所提供的電子郵件系統(tǒng),道理也是如此。如果你們公司沒有自己的服務(wù)器的話,那你發(fā)送的任何電子郵件就會(huì)由托管公司隨時(shí)檢查,這些第三方雖然口口聲聲說(shuō)是為了過(guò)濾掉惡意軟件,但其實(shí),我們的電子郵件已經(jīng)毫無(wú)保密性可言了。
從加密開始
大多數(shù)基于Web的電子郵件服務(wù)在電子郵件傳輸時(shí)都會(huì)加密。但是,在有些時(shí)候,利用郵件傳輸代理(MTA)之間傳輸郵件時(shí),你的郵件不會(huì)被加密而是處于開放狀態(tài)。這時(shí),你就需要加密你的郵件了。
大多數(shù)電子郵件加密使用的是非對(duì)稱加密。這意味著你的郵件會(huì)生成兩個(gè)密鑰:一個(gè)私人密鑰和一個(gè)公共密鑰,私人密鑰只會(huì)留在你的設(shè)備上,而公共密鑰則會(huì)發(fā)布在互聯(lián)網(wǎng)上。
那么如何加密你的電子郵件的內(nèi)容呢?
最流行的電子郵件加密方法是Symantec的PGP,不過(guò)它不是免費(fèi)的,但是它的創(chuàng)建者Phil Zimmermann也開發(fā)了一個(gè)開源版本的OpenPGP,是免費(fèi)的。不過(guò),由Werner Koch創(chuàng)建的開源電子郵件加密軟件Gnu Privacy Guard(GPG)也是免費(fèi)的。無(wú)論你使用哪一個(gè),基本功能都是一樣的。
當(dāng)電影制作人Laura Poitras在拍攝紀(jì)錄片《Citizenfour》時(shí),Poitras是第一位與Snowden建立聯(lián)系的記者,他們?cè)卩]件聯(lián)系時(shí),就使用的是加密的交換,因?yàn)橹挥猩贁?shù)人知道Poitras的公鑰。
Snowden首先要獲得Poitras的公鑰,鑒于他們即將分享的秘密的重要性,Snowden和Poitras無(wú)法使用他們的常規(guī)電子郵件地址。因?yàn)樗麄兊膫€(gè)人電子郵件帳戶包含有自己的私密信息,如聯(lián)系人等,為了對(duì)郵件進(jìn)行保密,Snowden和Poitras創(chuàng)建了一個(gè)新的電子郵件地址。
然后他們雙方交換了新的電子郵件地址之后,Poitras與Snowden分享了她的新公鑰。現(xiàn)在,斯諾登可以就可以把他發(fā)給Poitras的郵件添加她公鑰之后發(fā)出去了。經(jīng)過(guò)這么一番加密后,你可能覺得電子郵件就非常安全了,但其實(shí)后面還有很多要做。
選擇加密服務(wù)
數(shù)學(xué)運(yùn)算的強(qiáng)度和加密密鑰的長(zhǎng)度決定了別人破解你郵件的難易程度。
目前使用的加密算法都是公共算法,很不安全,隨時(shí)又被破解的危險(xiǎn),每當(dāng)一個(gè)公共算法變?nèi)趸虮黄平獾臅r(shí)候,就會(huì)有許多使用它的應(yīng)用遭殃。就在本月的23號(hào),來(lái)自Google的研究人員宣布完成第一例SHA-1哈希碰撞。也就是說(shuō)使用SHA-1算法的消息摘要的唯一性就被破壞,這個(gè)算法也不再安全,同時(shí)Chrome瀏覽器就不再推薦SHA-1算法的瀏覽器證書了,微軟Edge瀏覽器、Firefox瀏覽器都在計(jì)劃逐步淘汰SHA-1算法。Google還建議大家切換到更安全的SHA-256和SHA-3算法。
另外,你的這些加密密鑰都需要你本人管理,如果你的加密密鑰,由公司保管,那可能公司就會(huì)迫于法院的強(qiáng)制命令與執(zhí)法部門或政府機(jī)構(gòu)共享你的密鑰。
如果你覺得使用端到端加密非常麻煩,可以使用Chrome和Firefox瀏覽器的PGP插件,例如Mailvelope是一款Chrome應(yīng)用,能很好地管理PGP的公共和私有加密密鑰,對(duì)目前各主流郵件服務(wù)中的信息進(jìn)行加密與解密。只需在Mailvelope中輸入一個(gè)密碼,就會(huì)生成公鑰和私鑰。然后,每當(dāng)你編寫基于Web的電子郵件時(shí),只需要選擇收件人,如果收件人具有可用的公鑰,則可以自動(dòng)選擇向該其發(fā)送加密郵件。
對(duì)電子郵件的元數(shù)據(jù)加密
即使你使用PGP加密了你的電子郵件,你的郵件的信息仍有可能被人讀取。根據(jù)Edward Snowden泄露的機(jī)密文件,英國(guó)情報(bào)機(jī)構(gòu)GCHQ及美情報(bào)機(jī)構(gòu)NSA大規(guī)模的收集英國(guó)所有議員電子郵件元數(shù)據(jù),包括發(fā)送者、接收者以及郵件標(biāo)題,這些信息對(duì)于了解郵件內(nèi)容已經(jīng)足夠了。
在數(shù)字世界中真正隱形,你需要做的不僅僅是加密你的消息。你將需要隱藏那些與你電子郵件相關(guān)的元數(shù)據(jù):
1.刪除你的真實(shí)IP地址:這是你的互聯(lián)網(wǎng)連接點(diǎn)相當(dāng)于你的指紋,它可以根據(jù)你的物理地址,顯示你在哪里出現(xiàn)過(guò)。
2.模糊你的硬件和軟件,當(dāng)你在線時(shí),你所使用的硬件和軟件的快照都可能會(huì)被網(wǎng)站收集。
3.保護(hù)你的匿名性。
你的IP地址會(huì)泄露你的位置信息,你使用的郵件供應(yīng)商等。所有這些信息都包含在電子郵件元數(shù)據(jù)中,只要把這些元數(shù)據(jù)收集齊了,就可以對(duì)你進(jìn)行唯一標(biāo)識(shí),以后不管你上網(wǎng)來(lái)做什么,也不管你在家中,公司或其他地方,都可以使用分配給你的路由器的內(nèi)部協(xié)議(IP)地址來(lái)識(shí)別定位你。
與其把郵件代理的控制權(quán)交給別人,還不如自己做一個(gè)呢?如何定制一個(gè)專門為發(fā)送匿名EMAIL而存在的郵件代理服務(wù)器呢?你可以使用稱為匿名remailer的服務(wù),匿名remailer在將郵件發(fā)送到其預(yù)期收件人之前,只是會(huì)更改發(fā)件人的電子郵件地址。收件人可以通過(guò)remailer進(jìn)行回復(fù)。
屏蔽IP地址的另外一種方法就是使用洋蔥路由器(Tor),這就是Snowden和Poitras所使用的隱藏方法。
Tor是如何工作的呢?它顛覆了網(wǎng)站訪問的通常模式。當(dāng)你使用Tor時(shí),你和目標(biāo)網(wǎng)站之間的直接線路會(huì)被其他節(jié)點(diǎn)遮擋,每10秒鐘一次,你正在查看的任何站點(diǎn)的節(jié)點(diǎn)鏈接就會(huì)更改。將你連接到網(wǎng)站的各個(gè)節(jié)點(diǎn)就像洋蔥一樣保護(hù)起來(lái)。換句話說(shuō),如果有人從目的地網(wǎng)站回溯,并試圖找到你,因?yàn)槁窂降牟粩嘧兓麄兪遣粫?huì)找到你的。除非你的入口點(diǎn)和你的退出點(diǎn)以某種方式關(guān)聯(lián),否則你的連接被就是是匿名的。
Tor瀏覽器是基于Firefox ESR版,其95%的代碼來(lái)自Firefox,建議大家不要使用第三方網(wǎng)站。對(duì)于Android操作系統(tǒng)來(lái)說(shuō),Orbot是來(lái)自Google Play合法免費(fèi)的Tor應(yīng)用程序,它會(huì)加密流量并隱藏你的IP地址。在iOS設(shè)備(iPad,iPhone)上,安裝Onion Browser,這是iTunes應(yīng)用商店中的合法應(yīng)用。
除此之外,Tor允許你訪問暗網(wǎng)。這些網(wǎng)站不會(huì)解析為常用名稱(例如Google.com),而是以.onion擴(kuò)充名結(jié)尾。這些隱藏的網(wǎng)站會(huì)提供,銷售非法的項(xiàng)目和服務(wù)。
然而,應(yīng)當(dāng)注意,Tor有幾個(gè)缺點(diǎn):你不能控制可能受政府或執(zhí)法機(jī)構(gòu)控制的退出節(jié)點(diǎn);你仍然可以被剖析及確定;用 Tor上網(wǎng)是非常緩慢。
所以kevin Mitnick建議,如果你仍然決定使用Tor,建議不要在同一個(gè)物理設(shè)備使用。換句話說(shuō),當(dāng)你用一臺(tái)筆記本電腦瀏覽網(wǎng)頁(yè)時(shí)要單獨(dú)使用一個(gè)運(yùn)行Tor軟件的設(shè)備。在這種情況下,即使有人要竊取你的瀏覽數(shù)據(jù),因?yàn)門or運(yùn)行在一個(gè)單獨(dú)的物理設(shè)備上,他們?nèi)匀徊荒軇冸x你的Tor傳輸層。
創(chuàng)建新的匿名帳戶
傳統(tǒng)電子郵件帳戶可能會(huì)以各種方式聯(lián)系到你生活中的其他信息比如和你的朋友圈連接,與你的工作聯(lián)系人連接。要對(duì)這些相關(guān)聯(lián)的信息進(jìn)行保密通信,你就需要使用Tor創(chuàng)建新的電子郵件帳戶,以便設(shè)置帳戶的IP地址不會(huì)以任何方式與你的真實(shí)身份相關(guān)聯(lián)。
創(chuàng)建匿名電子郵件地址具有挑戰(zhàn)性但也是可能的。因?yàn)槿绻闶褂贸S盟饺穗娮余]件工作時(shí),你將留下使用痕跡,Gmail,Microsoft,Yahoo和其他要求你提供電話號(hào)碼以驗(yàn)證身份的服務(wù)商都會(huì)留存你的真實(shí)個(gè)人信息。顯然,你不能使用你的真正的手機(jī)號(hào)碼,因?yàn)樗赡苓B接到你的真實(shí)姓名和真實(shí)地址。你可以設(shè)置一個(gè)Skype電話號(hào)碼,它支持語(yǔ)音認(rèn)證,而不是文本信息認(rèn)證。
有些人認(rèn)為只有恐怖分子,皮條客和毒販才會(huì)使用burner phones(一種一次性手機(jī)),但burner phones完全有有很多完全合法的用途,比如為需要保密的人提供語(yǔ)音,文本和電子郵件服務(wù)。
使用Tor隨機(jī)化你的IP地址后,會(huì)創(chuàng)建與你的實(shí)際電話號(hào)碼無(wú)關(guān)的Gmail帳戶,這時(shí)Google會(huì)向你的電話發(fā)送驗(yàn)證碼或語(yǔ)音電話,現(xiàn)在你的Gmail帳戶就幾乎無(wú)法追蹤了。
這時(shí)我們就可以生成相當(dāng)安全的電子郵件了,不過(guò)郵件的接受者也要在Tor中進(jìn)行查收,以便你的IP地址永遠(yuǎn)不會(huì)與其關(guān)聯(lián)。此外,為了保證隱秘性,你不應(yīng)在登錄到匿名Gmail帳戶時(shí)執(zhí)行任何的其他的互聯(lián)網(wǎng)搜索,因?yàn)檫@些操作可能會(huì)暴露你的真實(shí)地址。
kevin Mitnick所展示的這四種方法一樣,我們以前或多或少都接觸過(guò),不過(guò)我們沒有把它們整理成一套完整而詳細(xì)的方法,所以應(yīng)對(duì)互聯(lián)網(wǎng)的隱私問題需要我們一直不斷地更新自己的思維,緊跟時(shí)代發(fā)展的步伐。另外從這四種方法中我們也看到了,維護(hù)匿名是一件很辛苦的事情,我們要時(shí)刻謹(jǐn)記這些預(yù)防措施,用好它們。