著名的黑客Kevin Mitnick向您展示如何在线隐藏
如果您像我一样,那么早上要做的第一件事就是检查电子邮件。而且,如果您像我一样,还想知道还有谁看过您的电子邮件。这不是一个偏执的问题。如果您使用基于Web的电子邮件服务(例如Gmail或Outlook 365),答案是显而易见的,令人恐惧。
即使您在计算机或手机上阅读电子邮件后立即将其删除,也不一定会删除其中的内容。某处仍然有它的副本。 Web邮件是基于云的,因此为了能够随时随地从任何设备访问它,必须有冗余副本。例如,如果您使用Gmail,则通过Gmail帐户发送和接收的每封电子邮件的副本都会保留在Google在全球的各种服务器上。如果您使用Yahoo,Apple,AT&T,Comcast,Microsoft甚至您的工作场所提供的电子邮件系统,则也是如此。托管公司也可以随时检查您发送的任何电子邮件。据说这是为了过滤掉恶意软件,但事实是,第三方可以并且确实出于其他更险恶和自私的原因访问我们的电子邮件。
尽管我们大多数人可以容忍对电子邮件进行恶意软件扫描,也许我们中的一些人容忍出于广告目的进行扫描,但是第三方读取我们的信件并根据特定电子邮件中的特定内容采取行动的想法令人非常不安。
您至少可以做的是使他们这样做更加困难。
电子邮件传输过程中,大多数基于Web的电子邮件服务都使用加密。但是,当某些服务在邮件传输代理(MTA)之间传输邮件时,它们可能未使用加密,因此您的邮件处于公开状态。要变得不可见,您将需要加密您的消息。
大多数电子邮件加密使用所谓的非对称加密。这意味着我生成了两个密钥:一个驻留在我的设备上的私有密钥(我从未共享过)和一个我在互联网上自由发布的公共密钥。这两个键不同,但在数学上相关。
例如:Bob想要向Alice发送安全电子邮件。他可以在互联网上找到爱丽丝的公钥,也可以直接从爱丽丝那里获得公钥,并且当向她发送消息时,会使用她的密钥对消息进行加密。该消息将保持加密状态,直到Alice(并且仅Alice)使用密码短语解锁其私钥并解锁加密的消息。
电子邮件加密最流行的方法是PGP,它表示“相当不错的隐私”。它不是免费的。它是赛门铁克公司的产品。但是它的创建者Phil Zimmermann还编写了一个开源版本OpenPGP,它是免费的。 Werner Koch创建的第三个选项GPG(GNU Privacy Guard)也免费。好消息是这三个都是互操作的。这意味着无论您使用哪个版本的PGP,基本功能都是相同的。
当爱德华·斯诺登(Edward Snowden)首次决定披露他从国家安全局(NSA)复制的敏感数据时,他需要分散在世界各地志同道合的人的帮助。隐私权倡导者和电影制片人劳拉·珀特拉斯(Laura Poitras)最近完成了一部有关举报人生活的纪录片。斯诺登(Snowden)希望与Poitras建立加密交易所,但只有少数人知道她的公钥。
斯诺登与电子前沿基金会的Micah Lee取得了联系。 Lee的公开密钥可以在线获取,根据Intercept上发布的帐户,他拥有Poitras的公开密钥。 Lee检查了Poitras是否允许他分享它。她会。
凯文·米特尼克(@kevinmitnick)是一名安全顾问,公开演讲者和前黑客。他创立的公司Mitnick Security Consulting LLC,其客户包括《财富》 500强企业和世界各国政府。他是《连线中的幽灵》,《入侵的艺术》和《欺骗的艺术》的作者。
考虑到他们将要共享的秘密的重要性,Snowden和Poitras无法使用其常规电子邮件地址。为什么不?他们的个人电子邮件帐户包含唯一的关联-例如特定兴趣,联系人列表-可以识别每个人。相反,斯诺登和Poitras决定创建新的电子邮件地址。
他们将如何知道彼此的新电子邮件地址?换句话说,如果双方都是完全匿名的,他们将如何知道谁是谁以及可以信任谁?例如,斯诺登(Snowden)如何排除NSA或其他人不冒充Poitras的新电子邮件帐户的可能性?公钥很长,因此您不能随便拿起安全的电话并向其他人读出字符。您需要安全的电子邮件交换。
通过再次征募Lee,Snowden和Poitras可以在建立新的匿名电子邮件帐户时巩固对某人的信任。 Poitras首先与Lee共享了她的新公钥。 Lee并未使用实际密钥,而是使用了Poitras公钥的40个字符的缩写(或指纹)。他将此发布到公共站点--- Twitter。
现在,斯诺登可以匿名查看Lee的推文,并将缩短的密钥与他收到的消息进行比较。如果两者不匹配,斯诺登将不信任该电子邮件。该消息可能已被破坏。否则,他可能正在与国家安全局交谈。在这种情况下,两者匹配。
斯诺登终于向Poitras发送了一封加密电子邮件,仅将自己标识为“ Citizenfour”。该签名成为她获得奥斯卡奖的有关他的隐私权运动的纪录片的标题。
看起来似乎已经结束了-现在他们可以通过加密的电子邮件安全地进行通信了-但是事实并非如此。这仅仅是开始。
数学运算的强度和加密密钥的长度都决定了没有密钥的人破解代码的难易程度。
今天使用的加密算法是公开的。你想要那个。公开算法已针对弱点进行了审查-意味着人们一直在故意破坏它们。只要任何一种公共算法变弱或被破解,它就会被淘汰,而使用更新的,更强大的算法。
密钥(或多或少)在您的控制之下,因此,您可能会猜到,密钥的管理非常重要。如果您生成一个加密密钥,则您-并且没有其他人--会将密钥存储在设备上。如果您让公司在云中执行加密,那么该公司可能会在他或她与您共享密钥后保留该密钥,也可能会被法院命令强迫与执法机构或政府机构共享密钥,无论是否带有手令。
在加密消息(电子邮件,文本或电话)时,请使用端到端加密。这意味着您的消息在到达预定的收件人之前将保持不可读状态。使用端到端加密,只有您和您的收件人才具有解密消息的密钥。并非电信运营商,网站所有者或应用开发者-执法部门或政府将要求交出有关您的信息的各方。在Google上搜索“端到端加密语音通话”。如果该应用或服务未使用端到端加密,请选择另一个。
如果这听起来很复杂,那是因为。但是,Chrome和Firefox Internet浏览器有PGP插件可以使加密更加容易。一个是Mailvelope,它可以巧妙地处理PGP的公共和私有加密密钥。只需键入一个密码短语,该密码短语将用于生成公用密钥和专用密钥。然后,每当您编写基于Web的电子邮件时,都选择一个收件人,并且如果该收件人具有可用的公钥,则可以选择向该人发送加密消息。
即使您使用PGP加密电子邮件,消息的一小部分但信息丰富的部分仍然几乎可以被任何人读取。为了抵御斯诺登的启示,美国政府一再声明说,它无法捕获我们电子邮件的实际内容,在这种情况下,使用PGP加密是无法读取的。相反,政府表示只收集电子邮件的元数据。
您会惊讶于从电子邮件路径和仅电子邮件频率中学到的知识。
什么是电子邮件元数据?它是“收件人”和“发件人”字段中的信息,以及处理从发件人到收件人的电子邮件的各种服务器的IP地址。它还包括主题行,有时可能会很明显地显示出邮件的加密内容。元数据是Internet早期的遗产,仍然包含在发送和接收的每封电子邮件中,但是现代电子邮件阅读器会将这些信息隐藏起来。
这听起来不错,因为第三方实际上并未阅读内容,并且您可能并不在乎这些电子邮件的传输方式-各种服务器地址和时间戳-但您会惊讶于从电子邮件路径和单独的电子邮件频率中学到了多少。
据斯诺登说,美国国家安全局和其他机构正在收集我们的电子邮件,文本和电话元数据。但是政府不能从每个人那里收集元数据,或者可以吗?从技术上讲,没有。但是,自2001年以来,“合法”收藏急剧增加。
为了在数字世界中真正变得隐形,您需要做的不仅仅是加密消息。您将需要:
删除您的真实IP地址:这是您连接到互联网的起点,即指纹。它可以显示您的位置(直到您的实际地址)以及您使用的提供商。使您的硬件和软件晦涩难懂:当您在线连接到网站时,该网站可能会收集您正在使用的硬件和软件的快照。捍卫您的匿名性:在线归因很难。很难证明事件发生时您正在键盘上。但是,如果您在星巴克上线之前先走在镜头前,或者只是用信用卡在星巴克买了一杯拿铁,这些动作可以在片刻后链接到您的在线状态。
首先,您的IP地址会显示您在世界上的位置,使用的提供商以及支付互联网服务的人的身份(可能是您,也可能不是您)。所有这些信息都包含在电子邮件元数据中,以后可用于唯一标识您。无论您是在家中,在工作中还是在朋友家中,无论是否使用电子邮件,任何通信都可以根据分配给您使用的路由器的内部协议(IP)地址来识别您。
电子邮件中的IP地址当然可以伪造。某人可能会使用代理地址(不是他或她的真实IP地址,而是其他人的地址)来表示电子邮件似乎是从另一个位置发出的。代理就像是外语翻译-您与译者交谈,而译者与外语发言者交谈-只是消息保持完全相同。这里的重点是,有人可能会使用来自中国甚至德国的代理来逃避对真正来自朝鲜的电子邮件的检测。
您可以使用称为匿名转发器的服务来代替托管自己的代理,该服务将为您屏蔽电子邮件的IP地址。匿名重发邮件者只需在将邮件发送给其预期的收件人之前更改发件人的电子邮件地址。收件人可以通过转寄邮件进行回复。那是最简单的版本。
屏蔽IP地址的一种方法是使用洋葱路由器(Tor),这是Snowden和Poitras所做的。 Tor旨在供生活在严酷环境中的人们使用,以避免对大众媒体和服务进行审查,并防止任何人跟踪他们使用的搜索字词。 Tor保持免费,任何人都可以使用-即使您也可以使用。
Tor如何工作?它颠覆了访问网站的常用模型。当您使用Tor时,您和目标网站之间的直线会被其他节点遮盖,并且每十秒钟,将您连接到您正在查看的任何站点的节点链都会更改而不会中断您。将您连接到站点的各个节点就像洋葱中的图层。换句话说,如果有人要从目标网站回溯并试图找到您,那么他们将无法做到,因为路径会不断变化。除非您的入口点和出口点以某种方式关联,否则您的连接将被视为匿名。
要使用Tor,您需要从Tor网站(torproject.org)修改后的Firefox浏览器。始终从Tor项目网站上为您的操作系统寻找合法的Tor浏览器。不要使用第三方站点。对于Android操作系统,Orbot是Google Play上的免费合法Tor软件,可加密您的流量并掩盖您的IP地址。在iOS设备(iPad,iPhone)上,安装Onion Browser,这是iTunes应用商店中的合法应用。
除了允许您浏览可搜索的Internet之外,Tor还使您可以访问世界范围内通常无法搜索的网站-所谓的“暗网”。这些网站无法解析为通用名称,例如Google.com,而是以.onion扩展名结尾。这些隐藏网站中有一些提供,出售或提供可能是非法的物品和服务。其中一些是世界上受压迫地区人们维护的合法站点。
但是,应该指出的是,Tor有几个缺点:您无法控制出口节点,而出口节点可能受政府或执法部门的控制;您仍然可以被概要分析并可能被识别;而且Tor很慢
话虽如此,如果您仍然决定使用Tor,则不应在用于浏览的同一物理设备上运行它。换句话说,有一台用于浏览网页的笔记本电脑和一台用于Tor的单独设备(例如,运行Tor软件的Raspberry Pi小型计算机)。这里的想法是,如果有人能够破坏您的笔记本电脑,他们仍然无法剥离Tor传输层,因为它在单独的物理盒子上运行。
旧版电子邮件帐户可能以各种方式连接到生活的其他部分-朋友,爱好和工作。为了保密通信,您将需要使用Tor创建新的电子邮件帐户,以使设置该帐户的IP地址不会以任何方式与您的真实身份相关联。
如果您要为私人电子邮件服务付费,那么您将不计其数,因此,实际上,使用免费的网络服务会更好。有个小麻烦:Gmail,Microsoft,Yahoo和其他要求您提供电话号码以验证您的身份。显然,您无法使用真实的手机号码,因为它可能与您的真实姓名和真实地址相关联。如果Skype电话号码支持语音身份验证而不是SMS身份验证,则可以设置它。但是,您仍然需要一个现有的电子邮件帐户和一个预付的礼品卡来进行设置。
有些人将刻录机电话视为仅被恐怖分子,皮条客和毒贩使用的设备,但是它们有很多完全合法的用途。刻录机电话主要提供语音,文本和电子邮件服务,而这几乎是某些人需要的。
但是,匿名购买刻录机电话将非常棘手。当然,我可以走进沃尔玛,付现金购买刻录机电话和一百分钟的通话时间。谁知道好吧,很多人会。
首先,我如何到达沃尔玛?我坐过优步车吗?我打车了吗?这些记录都可以被传唤。我可以自己开车,但是执法部门在大型公共停车场使用自动车牌识别技术(ALPR)来寻找失踪和被盗的车辆以及拥有出色手令的人员。可以传唤ALPR记录。
即使我走到沃尔玛,一旦进入商店,我的脸也将在商店内的多个安全摄像头上可见,并且该视频可以被传唤。
好吧,比方说,我派一个陌生人去商店-也许是我当场雇用的无家可归者。该人走进去,用现金购买电话和几张数据充值卡。也许您稍后安排在商店外遇到这个人。这将帮助您与实际交易保持物理距离。
要激活预付费电话,需要致电移动运营商的客户服务部门或在提供商的网站上激活它。为了避免被记录为“质量保证”,更安全地通过网络激活它。更改MAC地址后,在开放的无线网络上使用Tor应当是最小的保护措施。您应该组成您在网站上输入的所有订户信息。对于您的地址,只需Google一家主要酒店的地址即可使用。记下您要记住的生日和PIN,以备日后需要联系客户服务时使用。
使用Tor随机分配您的IP地址,并创建与真实电话号码无关的Gmail帐户后,Google会向您的电话发送验证码或语音电话。现在,您有了一个几乎无法追踪的Gmail帐户。我们可以生产相当安全的电子邮件,其IP地址(感谢Tor)是匿名的(尽管您无法控制出口节点),并且由于PGP的原因,其内容只能被预期的人读取,接受者。
为了使该帐户保持匿名,您只能从Tor内访问该帐户,这样您的IP地址将永远不会与之关联。此外,登录到该匿名Gmail帐户时,切勿执行任何互联网搜索;您可能会无意中搜索与您的真实身份有关的东西。即使搜索天气信息也可以显示您的位置。
如您所见,变得隐身并保持隐身需要巨大的纪律和永恒的勤奋。但这是值得的。最重要的要点是:首先,即使您采取了我所描述的部分预防措施,但也并非全部,都应注意别人可以识别您的所有方式。并且,如果您确实采取了所有这些预防措施,请知道每次使用匿名帐户时都需要进行尽职调查。没有例外。
摘录自《看不见的艺术:世界上最着名的黑客在大哥大数据时代教你如何安全》,版权所有©2017,Kevin D. Mitnick和Robert Vamosi。未经纽约Little,Brown and Company许可使用。版权所有。
