构建防御直觉是生存的基本功:变得难以被追踪的简单方法(2)
【2020年3月18日存档】构建防御直觉需要一定程度的基础知识;幸运的是仅仅是基础知识就可以帮您有效地获得安全,您并不需要去理解技术深层的逻辑
本系列文章是给普通人的 —— 即 大众 —— 的防御策略,其中引用的所有文章都是重要的。简单说,这些知识应该且急需普及。
如果您还没有读过第一部分内容,在这里看到:《在不自由中创造自己的自由:变得难以被追踪的简单方法(1)》。
“变得难以被追踪” 就是要成为自己,而不是害怕成为自己。要安心地完成自己的心愿,而不必担惊受怕。
请不要误会任何关于匿名、分身术、角色扮演技巧中所强调的保护性措施 —— 它们都是为了保全您成为自己的自由。
因为没有任何人能在被监视的状态下成为自己 —— 只有您成功摆脱了监视状态,你才是你。
这里是关于在现实世界和在线环境中索回您的基本人权所需要的东西,您将学习如何控制哪些类型的信息、以及如何向他人显示可被观察和跟踪的信息量。
并不是说要您放弃所有技术,而只是放弃某些技术方面 —— 这些方面一直在监视、收集、窃取和出售您的个人信息,这些信息本来只属于您自己,而不是其他任何人。掌握它就是您的基本人权。
请记住,这是一个由富人控制的、并通过奴役普通人仅仅令富人受益的世界。获得自由的第一步就是摆脱它。
社会上贫富之间的鸿沟正在迅速加剧。富人控制着社会的几乎所有方面,但他们不想让您知道。他们与我们所有其他人所遵循的司法体系不同。
我们中很多人日复一日地挣扎以维持生计,为养活自己和家人,而富人生下来就继承了数百万美元甚至数十亿美元,他们以欺诈剥削穷人和中产阶级为生。他们的钱不是用来吃喝的,而是游戏政治,通过推进那些能令他们自己受益的立法以加固阶级地位。
富人有能力做出选择,不把自己的数据和注意力作为产品出售。穷人和中产阶级就没有同样的资源来实现这个目标。技术曾经是为富人服务的。而现在,富人正在付钱以避免技术。
《穷人的屏幕》
当无法避免的时候必需保持警惕
虽然大量用户会看到应用程序的使用对他们和其他人完全无害的一面,但是,政府及其情报机构将应用程序或应用程序商店视为为网络间谍工具 —— 将恶意代码注入应用程序的机会。
栏目《政府的间谍行为》
长期以来,随着新技术的不断出现,基本人权不断受到践踏;尽管如此,那些砖家给出的解决方案似乎非常简单—— “只是不要使用它”;但是,事实上并不是那么简单的。
例如,当雇主要求雇员在其智能手机上安装指定的多因素身份验证(MFA)应用程序以连接到公司的网络为提高数据安全性时,该雇员被迫做出决定是关于究竟是“交出”手机,还是放弃这份工作。
对于某些人来说,这就是放弃的理由。已经有大量的证据证明雇主在其提供的计算机系统上监视雇员的一举一动,你甚至无法打官司,因为法律认为这些情况通常不存在对个人隐私的合理期望 —— 因为你接受了雇主提供的电脑,因为你不得不养活自己。
MFA应用程序本身通常不是问题,因为大多数操作都是良性的,它们不侵犯隐私。但就像在智能手机上安装 Facebook App 一样,它收集来自其他 Apps 的数据、电话设备详细信息、以及网络浏览历史记录,以便与 Facebook 共享。
对于注重隐私的个人来说,这是一个主要问题。但对于其他可能不知道或无动于衷的人来说,也许不是。这完全取决于你对个人权利的关注程度。
这里的建议是请注意您在公司网络上访问的所有网站和应用程序。你的雇主极有可能正在监视此类活动,在某些极端情况下,它可能会被用来对您进行绩效评估,甚至成为终止雇佣合同的理由。
并且不要使用公司电子设备做任何与私人有关的事,也不要把自己的手机连接到公司网络(在上面文章中看到详细自我保护建议)。
这就是防御直觉:当你看不到老大哥在哪的时候,你必须假定它无处不在,从而全方面的保持警惕。
在反加密战争中强调防御直觉
“鼓励互联网公司为其产品和服务建立合法的访问解决方案,包括加密的数据,以便执法部门和主管部门在数字证据被删除或托管在国外的IT服务器上或被加密的情况下,依旧能顺利访问……” — G7 France, 2019
反加密的战争在全球如火如荼,政府和执法机构为迫使 Big Tech 创建后门以破解加密想出来各种歪点子。以下只是仅举几例:
这是一场持续不断的战斗,在反抗者令其变得更好之前,它只会变得更糟。
澳大利亚政府官员通过了一项法律,要求公司为情报和执法机构提供加密后门,这绝对是对数字隐私的公然侵犯,并且完全表明缺乏对基本人权的尊重。
所有这一切恶行都以所谓的“国家安全”的名义进行。“国家安全”只是政权稳固的委婉说法,并且它暗示其中包含“人民的利益”,事实上哪里都没有人民的利益,人民只是必需付出的代价。
您可以打赌,全世界其他国家的政府都在密切关注这项法律,并将尝试通过类似的立法 —— 而不仅仅是中国。
当然,如果您住在第三世界国家/地区,那么无论如何加密、signal、telegram、和VPN都会被阻止。使用隐写术进行交流吧,它将成为您最好的朋友 —— 这是可行的出路。
在各方面保持警惕从来都没错
你不应该在看到刀子后才想到血,那就为时已晚了。正如本文的主题所强调的,在各方面保持一种警觉至关重要。
对富人的警觉、对寡头企业的警觉、对各种便利性诱惑的警觉,当立法没有听取并充分思考你的意见时,保持对法律的警觉。
到目前为止,苹果公司是大型科技公司中喊隐私喊得最响的一个,尽管单单这点并不足以让你想为他们的产品支付同类其他产品2至3倍的价格。
但是请不要忘了:
所有这些寡头技术公司都在不断地监视跟踪这不是秘密,这就是监视资本主义的本质。你必需自己保护自己,作为普通人,我们很难指望任何人。
香港的抗议活动是去年的全球热点,从某种意义上说,抗议者采取了多种预防措施来保护自己的真实身份,他们戴着口罩面罩、使用现金,并将其通信限制在可提供端到端加密的应用程序中。
这绝不仅仅是香港的故事,它应该是全球反抗者的基本须知,因为如今没有任何一个国家的政权不会采取这些监视迫害方式瞄准活动家。
以下是在您行动之前必须了解的:
显而易见,中国官员会使用社交媒体情报和监控录像加面部识别软件来揭示抗议者的真实身份。并将这些被识别出的个人添加到中国政府维护的“黑名单”中,并极有可能成为重点监视目标,从此再也没有安宁。
不必怀疑,所有政府都保留着类似的黑名单,尤其是政治异议、活动家、记者、边缘社区、人权维护者、人权律师 …… 在这里看到几个例子:
《什么是秘密行动》
当权者任何折腾他们不喜欢的人《What is “gang stalking?”》
你真的应该庆幸还有这些勇敢的香港抗议者与老大哥作斗争。
当使用 Match.com、OkCupid、PlentyOfFish 或 Tinder 等约会网站时,您正在与一些直接捏住你的人权的公司共享最私密的数据。
亲密的聊天消息、吸毒习惯、收入水平、性偏好、简历、宗教观点、社会偏好等,这些只是在这些约会网站上收集的数据类型的几个例子。
这不仅仅是被收集的问题。就像 Ashley Madison(成人网站)在2015年遭到黑客入侵,被泄露的数据类型是高度个人化的,非常危险。之所以被泄漏正是因为一直不断的收集。
约会网站只是一个例子而已,在这点上,任何网站和应用程序都一样。
没有人会喜欢这样的事发生在自己身上。防止这种情况发生的唯一方法是尽力限制您在网上发布的信息。
这不是一个完美的策略,但由于缺乏有效的数字隐私法,我们在此问题上始终无法发表意见。
在现实中保持防御直觉
也许是时候考虑不再使用 Airbnb 了,而只是预订酒店房间。有些人很扭曲,而且社会无能为力。
如上的提示,每一次住店都要这样做;因为秘密监视是如此的普遍,防御直觉必须假定任何时候都有可能存在危险。
如今信息技术世界中普遍使用的电子产品或硬件使普通消费者对任何一种技术的工作方式都难以了解。人们可能知道他们购买的设备中芯片装在哪,但是,如果将它们拆开,绝大多数人将无法从中挑出不应该存在的东西。
有时,后门隐藏在设备的固件代码中,这可以使监视者远程监视设备。在过去十年左右的时间里,信息安全社区已经看到了越来越多的硬件后门植入示例,通常被称为供应链攻击。
如果没有正确的技能和知识来检查固件代码以及主板或芯片组的外观,这种类型的威胁将是巨大的,而且几乎是无法阻止的。
民族国家多年来一直使用供应链攻击在手机、计算机和所有类型的电子设备中植入后门。芯片级恶意软件可以更改操作系统(OS)而不会留下痕迹,就像在视频游戏中打开“上帝模式”一样。
这类间谍活动有一整个地下市场,其逻辑就像灰帽子向政府出售零日漏洞以获取巨额资金那样。这种事一直都在发生,人们只是不知道它的程度如何罢了。
《可怜正义没有钱》
如今已经在芯片组中发现了多个引人注目的漏洞,例如 Meltdown、Spectre和 ZombieLoad 等等,利用这些漏洞,攻击者就可以获得对系统的root级访问权限。
可怕的是,其中一些芯片缺陷是无法修补的,这意味着它们将存在相当长的一段时间,直到最终被新硬件取代。
保护您的电子设备免受此类缺陷影响的唯一方法是定期检查制造商的网站,以获取需要应用于该设备的补丁程序更新。
否则设备可能会面临各种攻击,如果设备连接到互联网,则可以远程执行这些攻击。
另外,请谨慎购买某些类型的电子产品。大多数物联网(IoT)设备在安全性和隐私控制方面的设计都非常差。
物联网的危害《你家冰箱如何作为呈堂证供?》
在栏目中看到更多《关于智能[间谍]家居/城市》
购买之前需要考虑的因素包括数据应用、安全设计和安全硬件、以及制造过程中的透明度和可见性 —— 而不是制造商宣传的有多大的内存、几个摄像头、拍照效果多牛逼 ,他们只是想让你掏钱并转移你的注意力远离最重要的事。
采取对抗性心态避免受害
在现代社会中,几乎经常是温柔而正义的人不断成为狡猾的掠食者、骗子和罪犯所设置的陷阱的受害者。
并不是说要你放弃温柔正义,而是说,你需要将自己的精神思想和身体变成坚不可摧的堡垒。
走这条路永远不会太迟,但是无疑,你将需要迎接各种考验。
必须知道每个人都有缺陷,也就是弱点,这是坏人的主要目标。就像一只烫手的烧水壶,你要把它拿起来、控制住它,就需要抓住壶的把手 —— 目标人固有的弱点对于操纵者来说就是那个把手。
相反,如果你想要防御各种侵害,就需要让自己的“把手”不可见。中文里“小辫子”一词在此格外形象。
就像窃贼那样,网络掠食者会充分搜集并分析您的一切在线行为,并观察可公开获得的关于你的每个细节,以确定他们是否可以利用您的任何漏洞。
由于公开的已经太多了,对于您隐藏的或不公开的内容,他们完全可以推断出大概。这就是为什么说每个人都必须时刻意识到自己放在互联网上的都是些什么 —— 这就是防御直觉。
我们在 “社交工程” 栏目中、开 “开源情报调查” 栏目中所演示的诸多追踪、胁迫、操纵和身份盗取的操作,都是为提醒您的防御直觉 —— 只有在您深刻理解恶意行为者的操作模式时,才能最有效地防御。
您必须做到隐藏那个烧水壶的把手 —— 您的小辫子,也就是我们强调的 “大清洗”,尽可能去除一切容易被恶意者利用的东西。
似乎依旧有很多人不甚了解 **究竟什么东西是危险的** —— 了解这点是防御的关键。我们来举个例子:
一个人在社交网络发布了一张照片,显示为某个当日举行的会议/活动的现场,并随附 “今天天气真好,是和家人一起出行的好日子”。
大多数人会认为这样的信息 “不敏感”;但是人们没能通过恶意行为者的视角来观察它。
你没干过坏事我知道,正因此你可能感觉很难使用坏人的思考方式来检查自己的漏洞,但只有这样做才能真正有效地防御。
这需要练习。
现在我们就来试试看,通过上面这条内容你能知道什么?
此目标人正在全家外出中,所以TA家中很可能没有人;
迅速查找目标人的其他社交媒体平台账户,以搜寻此人可能的住址;
通过简单的搜索立刻能知道,目标人提及的会议/活动的召开和结束时间;
通过该活动的性质你能知道目标人的偏好;
通过照片中阴影的角度你能知道拍摄的大致时间,以对比发布时间判断同步程度;如果拍摄时间和发布时间之间间隔多小时,这将说明更多细节;
仔细看照片,其中有哪些特征:有电子设备吗?能看出品牌型号吗?有徽标/胸牌吗?能否判断其他参与者的身份?胸牌是门禁卡吗?这意味着安全设施方面的信息;其中多数人穿的是什么样的衣服?这可以判断其阶层和品味偏好 …… 所有这一切都是实施社交工程攻击和黑客入侵的关键信息。
还可以有更多。
也许作为你,和家人一起出行参加活动是一件乐事,但是,对于攻击者来说,您的愉快假日已经变成了明确的攻击入口。
类似的状况几乎铺天盖地,这就是为什么我们要强调 —— 不要通过互联网讲述关于你自己和家人朋友的任何信息。是 **任何**。
最基本的《你不应该在社交媒体上说的话》
您需要防备的不只是警察和政府间谍,恶意行为者在社会上到处都是,他们能干出任何你可能想都想不到的事。因为他们整天都在琢磨这些东西。
只要恶意者能发现您的PII,例如 您的全名、卡号、出生日期、手机号和家庭住址,那么他们就能窃取您的身份,并以您的名义开放信用额度,劫持你的SIM,不要等钱没了时再表示惊讶。
人类最大的弱点就是总会下意识地认为最糟糕的事不会发生在自己身上,这是一种心理防御机制,是你的大脑在试图把问题简化从而避免紧张焦虑的自然能力。
但是,它可能很有危害性,正是它导致人们在看到他人的教训时将自己放在旁观者的角度上,错过了吸取教训的机会。也正因此,一模一样的恶行手段会不断重演,而且每次都能有效。
学校和真实生活之间的一个重要区别在于:学校先教你知识然后考试,生活则是先考试再教你知识。你不需要亲自被考糊了才能学到东西,要知道一直不断有人被考糊,他们的教训应该成为更多人的知识。
并不是说要你草木皆兵地生活,防御直觉指的是:您需要了解当前每个领域有可能发生哪些恶行,并随时为最糟糕的状况做好准备。
你准备得越好,最糟糕的状况就越不容易发生。
在这里看到有关防御直觉的更多介绍:
—— 未完待续 ——