URL:https://www.wired.com/2017/02/famed-hacker-kevin-mitnick-shows-go-invisible-online
关于作者
凯文·米特尼克( Kevin Mitnick )身兼安全顾问、演讲者和前黑客多重身份。他创办的米特尼克安全顾问有限责任公司承接了数十家财富500强公司和全球多个政府的安全顾问业务。他还著有《线上幽灵》、《入侵的艺术》和《欺骗的艺术》等书籍。
如果你像我一样,那你每天早晨醒来第一件事就是查看你的电子邮箱。如果你像我一样,那你一定还想知道都还有谁看过你的电子邮件。这可不是什么偏不偏执的问题。只要你使用基于网页的电子邮件服务,比如Gmail或 Outlook 365,那这问题的答案可就有点吓人了。
即便你在电脑或手机端看过邮件的当时就立即删除,该邮件内容却未必会被清除,其他地方仍然留有邮件副本。网页邮件是基于云的,所以为了能在任何时候任何位置用任意设备访问邮件,必须要有冗余的副本。比如说,假设你使用Gmail,你的Gmail邮箱发送和接收的每一封电子邮件都会在谷歌分布全球的服务器上留下一个副本。雅虎、苹果、AT&T、Comcast、微软,甚至你公司提供的电子邮件系统也这样。你发送的任何电子邮件也有可能在任何时候被邮件服务提供商检查。据说这是为了过滤恶意软件,但现实是:第三方能够,也确实出于其他更罪恶而自私的原因在访问你的电子邮件。
尽管我们大多数人能容忍电子邮件经受恶意软件检测扫描,或许某些人还能容忍出于广告目的的扫描,但第三方读取我们的往来信件并针对特定邮件中找到的特定内容做些动作,就太令人恐慌了。
你至少可以让他们在这么做的时候遭遇点麻烦。
从加密开始
绝大多数基于网页的电子邮件服务在邮件发送过程中都做了加密处理。然而,有些服务在邮件传输代理(MTA)之间发送邮件时,却可能没用加密,让你的邮件在此过程中处于不设防状态。想让自己的邮件不那么透明,你得自己给邮件消息加个密。
大多数电子邮件加密采用非对称加密体制。也就是要用到两个密钥:一个是自己生成的私钥,保存在自己的设备上,不共享;另一个是放在网上的公钥。两个密钥虽不相同,但数学相关。
举个例子:鲍勃想给爱丽丝发一封安全邮件。他在网上找到爱丽丝的公钥或者直接问爱丽丝要公钥,然后用该密钥加密邮件并发送。只有爱丽丝持有解锁私钥的口令,也只有爱丽丝能够解密该加密邮件。
那么,该怎么加密电子邮件内容呢?
最流行的电子邮件加密方法是PGP,意为“相当好的隐私( Pretty Good Privacy )”。这是赛门铁克公司的一款产品,并不免费。不过,其创造者菲尔·齐默曼( Phil Zimmermann )还编写了一个开源版——OpenPGP,这个是免费的。另外,沃纳·科赫( Werner Koch )创建的GPG( GNU Privacy Guard:GNU隐私卫士)也是个免费选项。最棒的一点是,这三者是相通的,无论你用哪个版本的PGP,基本功能别无二致。
斯诺登决定披露他从美国国家安全局(NSA)复制的敏感数据时,他需要散布世界各地的同道中人帮助。隐私倡导者劳拉·珀特阿斯( Laura Poitras )导演当时刚刚拍完一部反映内幕揭发者生活的纪录片。斯诺登想与珀特阿斯建立起加密通信渠道,但只有少数几个人知道这位女导演的公钥。
于是,斯诺登找上了电子前沿基金会的米迦·李( Micah Lee ),这个人的公钥是可以在网上找到的。而且,从泄密者网站 The Intercept 公布的账号看,李知道珀特阿斯的公钥。与珀特阿斯沟通之后,李将她的公钥共享给了斯诺登。
鉴于他们要公开的秘密的重要性,斯诺登和珀特阿斯不能使用他们惯常的电子邮箱。为什么呢?因为他们的个人电子邮件账户含有独特的关联信息,比如特定的关注点、联系人列表等等,这些都有可能暴露出他们的真实身份。所以斯诺登和珀特阿斯决定创建新的电子邮件账户。
那么问题来了:他们怎么知道对方的新邮件地址?换句话说,如果双方都完全匿名,他们怎么识别对方身份,怎么判断能信任谁?比如说,斯诺登怎么排除NSA或其他人假冒珀特阿斯新邮件账户的可能性?公钥很长,用安全电话一个一个字符念给对方听写下来的做法肯定不可取。你需要安全的邮箱交换方式。
斯诺登和珀特阿斯再次拜托李施以援手,充当他们新匿名邮箱账户交换的信任基石。珀特阿斯将自己的新公钥告诉李,李用该密钥形成40个字符的消息摘要(或者说指纹)并发布到推特上。
预先取之必先予之。有时候为了隐身你还得先露点儿出来。
现在斯诺登便可以匿名浏览李的推特,在收到邮件时比对该密钥摘要。如果不匹配,斯诺登就知道不能信任该邮件。该邮件可能被篡改过。又或者他可能是在跟NSA交流。很幸运,斯诺登那时收到的邮件是真正的珀特阿斯发来的,密钥摘要匹配。
斯诺登最终向珀特阿斯发送了一封加密电子邮件,自称“第四公民(Citizenfour)”。该签名后来被珀特阿斯用作反映斯诺登隐私权抗争行动的纪录片片名。该片还斩获多项电影奖。
事情进行到这一步似乎就完结了——他们可以通过加密电子邮件安全通信了。但事实并非如此,这还仅仅是个开始。
挑选加密服务
加密算法强度和密钥长度共同决定了无密钥破解的难度。
目前在用的加密算法都是公开的。这是件好事。公开算法经受众人的审查,也就是说人们一直在有意尝试破解这些算法。一旦某公开算法因算力倍增而强度变弱或被破解,该算法就会被新的更强的算法所淘汰。
密钥(或多或少)掌握在用户手中,于是可以想见,密钥管理就十分重要了。如果你自己生成一个加密密钥,那必须是你自己将密钥存储在自己的设备上。如果你委托一家公司执行加密,比如说在云端加密,那么那家公司可能会在发给你密钥之后还继续保留该密钥,并有可能被法院下令共享给司法机构或被政府机构强行索取。
用端到端加密方式加密消息,无论加密内容是电子邮件、短信还是电话,都意味着你的消息在抵达既定收家之前是不可读的。只有你和你的收件人握有解密消息的密钥,电信运营商、网站经营者、App开发者等司法或政府机构可能要求交出信息的各方都不知道你用的密钥。搜一下“端到端加密语音通话”,如果App或服务没采用端到端加密,另选一种。
上述内容看起来有些复杂,因为确实就是这么复杂。但现在Chrome和Firefox浏览器都有PGP插件,可以让加密更容易进行。其中一个插件名为Mailvelope,可以顺畅处理PGP公钥和私钥问题。只需输入一个口令,就能产生公钥和私钥。撰写网页电子邮件的时候,所选收件人如果有可用公钥,你便可以选择向其发送加密邮件。
加密之外:元数据
即便用PGP加密了电子邮件,邮件仍有一小块信息丰富的区域是任何人可读的。面对斯诺登爆料的负面影响,美国政府反复声明自己不会获取公民电子邮件的实际内容——也就是可以用PGP加密的部分,只收集电子邮件的元数据。
仅仅电子邮件路径和频度揭示的信息都够令人惊讶的。
电子邮件元数据是什么?就是邮件头中的“To”和“From”字段,以及邮件从原始发家抵达收件人途中流经的各个服务器的IP地址。元数据还包括邮件主题栏,有时候主题也能暴露出相当一部分被加密内容。元数据是互联网早期遗留至今的东西,每封电子邮件都包含有元数据,但现代电子邮件阅读器不显示这些东西。
带有元数据似乎也没什么,因为第三方并没有真正读取邮件内容,你也不关心电子邮件流转的机制——各个服务器地址和时间戳,但电子邮件路径和频度本身揭示的信息量都够你大吃一惊的。
斯诺登称,电子邮件、短信和通话元数据被NSA及其他机构收集。但政府也不是每个人的元数据都收,技术上就做不到。不过,自2001年起,“合法”收集行为骤增。
想在数字世界真正隐身,光靠加密消息是不够的。你还得:
去掉真实IP地址:这是你的互联网接入点,相当于你的指纹,可以显示出你的地理位置和你使用的互联网服务提供商。
模糊掉所用硬件和软件:访问网站的时候,你用的硬件和软件快照可能会被网站收集。
捍卫匿名性:网络溯源很难。证明网络事件发生时你就是那个在键盘上操控一切的人并不容易。但如果你在上网前被星巴克吧台的摄像头拍到,或者用信用卡买了杯拿铁,这些举动可能在几个月后都能被关联到你的网络行踪上。
首先,你的IP地址揭示你的地理位置、所用网络提供商,以及为该互联网服务付费的人的身份(可能是你本人也可能不是)。所有这些信息在电子邮件元数据中都有显示,可用于事后追溯你的身份。任何通信,无论是不是以电子邮件的形式进行,都能被用于追踪溯源,你在家、公司或朋友家上网时用的路由器总会有个IP地址,这是跑不掉的。
电子邮件中的IP地址显然可以伪造。用个代理地址就能让邮件看起来像是从别的地方发送的。代理类似于外语翻译:你说给翻译听,翻译说给外国人听,内容不变,路线变了。其中关键在于,可以用其他国家的代理来逃避检测。比如,朝鲜黑客可以用俄罗斯甚至德国的代理来发邮件,绕过封锁、躲过检测、伪装身份什么的。
你可以使用所谓的匿名邮件重发服务,不用托管自己的代理。该服务会在将邮件发送至既定收件人前修改发家的电子邮件地址。收件人可以通过重发服务回复邮件。这是最简单的版本。
屏蔽自身IP地址的常用方法之一是使用洋葱头路由器(Tor),斯诺登和珀特阿斯就是这么干的。Tor是为生活在严厉管制之下的人们设计的,可用于规避流行媒体及服务的审查,防止自身搜索用语被跟踪记录。任何地方的任何人都可以免费使用Tor。
Tor的工作机制是怎样的呢?该工具颠覆了访问网站的常用模式。使用Tor的时候,你和目标网站之间的直接连线会被额外的节点给模糊掉,且每10秒钟这些额外节点组成的连接链条就会换一次,更换过程对浏览体验毫无影响。你与目标网站之间的各个节点就好像洋葱头那拨开一层又一层的皮,想从目的地址反向追踪几乎不可能,因为连接路径不仅层层阻隔,还总是在变。除非你的入口点和出口点被关联,否则你的连接就是匿名的。
想要使用Tor,你得从Tor网站(torproject.org)下载修改过的Firefox浏览器。最好是用从Tor项目官网下载的合法Tor浏览器,别用不可信第三方来源。安卓系统可以从谷歌应用商店下载免费合法Tor应用Orbot,该应用既加密流量也模糊IP地址。iOS系统可以从iTunes应用商店安装合法Onion浏览器。
除了可被搜索到的表面网络,Tor还能带你在暗网上冲浪。这些站点的域名不是常见的.com、.net之类,而是带有.onion扩展,提供或售卖的物品和服务也基本是非法的,但有一些站点是身处专制国家的人运营的合法网站。
不过,必须要声明的是,Tor也存在几个弱点:你控制不了出口节点,而这些节点可能处在政府或司法机构的掌控之中;你的身份依然有可能被分析识别出来;用了Tor以后浏览速度会变得很慢。
话虽如此,如果你仍决定使用Tor,你就不应该在用来浏览的同一台机器上运行Tor。换句话说,用一台笔记本电脑浏览网页,再用另一台设备运行Tor,比如树莓派微电脑。这样一来,即便有人黑了你的笔记本电脑,他们也没办法剥去你的Tor传输层,因为Tor是在另外一台电脑上运行的。
创建一个新(不可见)账户
旧有电子邮件账户可能会与你生活中的其他部分关联在一起,比如你的朋友、兴趣爱好、工作等。想要秘密通信,你得用Tor创建新的电子邮件账户,断开你真实身份与所创建账户的IP地址之间的联系。
创建匿名电子邮件账户有点难,但不是不可能。
私人电子邮件服务的付费过程可能会留下痕迹,所以使用免费Web邮件服务可能会是更好的选择。就是有点小麻烦:Gmail、微软、雅虎等电子邮件服务会让你提供手机号以验证你的身份。身份证实名注册的手机号明显不能填进去。如果支持语音身份验证而不是短信验证的话,倒是可以设个Skype号糊弄过去;但你依然需要现有电子邮件账户和预付费礼品卡来设置这个Skype号。
有些人觉得恐怖分子、皮条客和毒贩才会用预付费的一次性手机,但其实这种设备也有很多合法用户。一次性手机主要提供语音、短信和电子邮件服务,对某些人来说这就是使用手机的全部需求了。
不过,想要匿名购买一部预付费一次性手机还有点麻烦。你或许会觉得奇怪,跑去沃尔玛花个几百块现金买部带100分钟通话时间的一次性手机,谁会知道是我买的?好吧,还真是挺多人会知道。
首先,你怎么去的沃尔玛?优步/滴滴?打出租车?这些记录都能作为传唤你的证据。自己开车去?但是执法部门在大型开放停车场使用自动牌照识别技术(ALPR)查找报失车辆和通缉犯。ALPR记录也能把你拎到法庭上。
创建匿名电子邮件地址虽然有点难,但不是不可能。
就算你走路去的沃尔玛,一走进商场,你的脸就会被多个安全摄像头拍到,录像视频也能成为法院向你发来传票的证据。
或者,你真的非常小心谨慎,压根儿面都不露,随机雇个陌生人走到商场帮你用现金买下手机和几张数据充值卡,再到离商场有些距离的地方交货,假设就雇个流浪汉吧。这倒是能一定程度上掩去你跟该一次性手机购买交易之间的直接联系。
激活预付费手机需要致电移动运营商的客户服务,或者通过提供商的网站进行。为避免因“质量保证”而被记录,通过网络激活更安全些。修改MAC地址后在开放无线网络上使用Tor是最基本的防护。你应编造出输入激活网页的所有订阅信息。地址可以随便谷歌个主流酒店的。编个生日和PIN码并记录下来以防之后需要联系客户服务。
用Tor随机化IP地址并用与自身真实手机号完全无关的信息创建了Gmail账户后,谷歌会向你的手机发送验证码或语音呼叫。然后你就拥有了基本上无法追踪的Gmail账户,能够发出相当安全的电子邮件了——IP地址被Tor模糊掉(虽然无法控制出口节点),内容经PGP加密,不会被既定收件人之外的人读取。
为保持该账户的匿名性,你只能通过Tor来访问,以便你的IP地址不会被关联上。而且,在登录到该匿名Gmail账户时不要做任何互联网搜索操作——你有可能不小心搜索某些与你真实身份相关的东西。即便只是搜个天气预报都有可能暴露你的位置。
如你所见,想在网上隐身需要极大的自制力和长期的辛勤努力。但这都是值得的。最重要的是:首先,注意所有可能导致你身份暴露的方法,即便你做到了上述一些但不是全部的预防措施。如果你确实采取了上述所有预防措施,也请在每次使用匿名账户时做好尽职审查。没有例外,是每一次。