「书评」《捍卫隐私》:世界头号黑客教你如何保护隐私

发布时间:2019-09-12 23:20:00   来源:东方头条   点击:
作者:[美] 凯文·米特尼克(Kevin Mitnick),米特尼克安全咨询公司创始人,被称为世界“头号电脑黑客”。出版

作者:[美] 凯文·米特尼克(Kevin Mitnick),米特尼克安全咨询公司创始人,被称为世界“头号电脑黑客”。

出版社:湛庐文化/浙江人民出版社

出版时间:2019年9月

经过前一段时间的发酵,一夜爆红的换脸APP“ZAO”已经被推到了舆论的风口浪尖,在娱乐的同时,涉及的技术问题、隐私问题、安全问题备受关注。现在我们冷静下来重新审视我们的隐私问题。

8月30日晚间,一个名为“ZAO”的APP一夜爆红,有的人尝鲜乐此不疲、有的人则对其中涉及到的隐私问题忧心忡忡。到了第二天,这个APP已经被推到了舆论的风口浪尖。目前,ZAO的微信分享链接显示已停止访问,页面显示“网页存在安全风险,被多人投诉,为维护绿色上网环境,已停止访问”。

ZAO是做什么的?

“仅需一张照片,出演天下好戏”,正如这句广告语,ZAO其实是一个换脸APP。用户只需上传一张面部照片,再选一个自己喜欢的影片片段和角色,就可以把这些角色的面孔换成自己的模样,简直是不费吹灰之力过了一把“明星”瘾。

ZAO所引起的争议,更多的是对人工智能以及网络技术与个人隐私遭受侵犯的讨论。对于这种建立在人脸识别技术基础上的应用软件来说,我们更关心的是在这个每点一次鼠标就有可能泄漏隐私的时代,有哪些保护隐私安全的方法?在人工智能技术高度发达的未来,我们又该如何保护隐私?

《捍卫隐私》的作者凯文·米特尼克和罗伯特·瓦摩西从个人角度出发,并运用生活中真实的故事和生动的案例,描绘出与隐私最为相关的6大未来场景,教你防止隐私泄漏的安全之道。

一、无痕浏览,你的一切踪迹都将消失

如果你无法防止别人监视你的电子邮件、电话和即时消息,无法合法地删除你的浏览器历史记录,你还能怎么办?也许你可以从一开始就避开对这些历史记录的收集。

Mozilla 的火狐、谷歌的 Chrome、苹果的 Safari、微软的Internet Explorer 和Edge等浏览器全都提供了内置的匿名搜索选择,不管你想使用什么设备,传统个人电脑还是移动设备,无论哪种搭配,浏览器都会开启一个新窗口,并且不会记录你在此会话开启期间搜索的内容或浏览的互联网位置,关闭隐私浏览窗口,你访问过的所有地址痕迹都将从你的个人电脑或其他移动设备上消失。

为了隐私,你也要付出一些代价:除非你在隐私浏览时为网站保存了书签,否则你将无法返回;因为没有历史记录——至少你的机器上没有。

使用火狐浏览器上的隐私浏览窗口或Chrome浏览器上的无痕模式,你可能就感觉自己牢不可破了,但你的隐私网站访问请求(比如你的电子邮件)仍然必须经过你的ISP(Internet service provider),即互联网服务提供商,也就是你花钱购买互联网服务或蜂窝服务的公司— 而你的提供商可以截取其中传递的任何未加密的信息。如果你访问的网站使用了加密,那么 ISP仍能获取访问的元数据,即某天某时你在某地访问了某网站。

不管是在传统的个人电脑上还是在移动设备上,当互联网浏览器连接到一个网站时,它首先会确定是否存在加密,如果存在加密,又是哪一种加密。用于万维网通信的协议被称为 http。这个协议是在地址之前指定的,也就是说,一个典型的URL 11可能看起来是这样的:http://www. mitnicksecurity.com,即使其中的“www”在某些情况下是多余的。

当你连接的网站使用了加密时,协议会稍有变化,不再是“http”了,你会看到“https”。所以这个URL就变成了 https://www.mitnicksecurity.com,这种 https 连接更加安全。其中一个原因是它是点对点的,但只有你直接连接到网站本身才会这样。

网上还有大量内容分发网络(Content Delivery Network,简称 CDN)为它们的客户缓存页面,不管你在世界任何地方, CDN 都能实现更快速的分发,因此这就可能出现在你和目标网站之间。

还要记住,如果你登录了你的谷歌、雅虎或微软账号,这些账号可能也会记录你的个人电脑或移动设备上的网络流量——也许会用来构建你的网络行为个人档案,以便这些公司能更好地定位你看到的广告。有一种方法可以避免这种情况,那就是在你用完谷歌、雅虎或微软账号后,记得退出账号,在下次你需要使用它们的时候再重新登录回来。

此外,你的移动设备上还有内置的默认浏览器。这些浏览器都不好,因为它们只是台式电脑或笔记本电脑浏览器的迷你版本,缺乏更稳健版本所具有的一些安全和隐私保护。比如说,iPhone预装了Safari、更新版本的安卓系统默认预装了Chrome,但你可能需要考虑在应用商店下载移动版的Chrome或火狐,这些浏览器是专为移动环境设计的,至少所有的移动浏览器都支持隐私浏览。

如果你使用的是Kindle Fire,那么你无法通过亚马逊下载火狐或Chrome。你就不得不使用一些手动操作,通过亚马逊的Silk浏览器来安装Mozilla的火狐或 Chrome。要在 Kindle Fire上安装火狐,打开Silk浏览器并访问Mozilla FTP网站,选择“Go”,然后选择以扩展名“.apk” 结尾的文件。

二、卸载工具栏

想跟踪你的网络活动情况的不只有网站和移动运营商。一个不再只是社交媒体的平台 — Facebook已经变得无处不在。你可以在登录Facebook之后使用同一个账号登录或注册各种其他应用。

这种做法有多普遍?有不止一份营销报告发现,88%的美国消费者都曾使用过来自 Facebook、Twitter和Google Plus等社交网络的已有数字身份登录其他网站或移动应用。

这种方便有利有弊。这种做法被称为OAuth,即使在不输入密码的情况下,它也能让网络信任你的身份认证协议。

一方面,这很快捷,你可以使用已有的社交媒体密码访问新网站;另一方面,这让社交媒体能够收集关于你的信息以便构建营销档案。而且不只是单一的一个网站,它知道你使用其登录信息访问过的所有网站和所有品牌。使用OAuth时得到的便利让我们放弃了大量隐私。

Facebook可能是所有社交媒体平台中“黏性”最高的。登出 Facebook可能会取消你的浏览器访问Facebook及其网页应用的权限。此外, Facebook还添加了用于监控用户活动的跟踪器,这种跟踪器甚至在你登出之后还会继续工作,能够请求你的地理位置、你访问的网站、你在每个网站的点击情况和你的 Facebook 用户名等信息。隐私团体已经表达了担忧,称 Facebook 意图跟踪其用户正在访问的一些网站和应用的信息,以便展示更加个性化的广告。

这里要表达的是,Facebook和谷歌一样,想要关于你的数据。它们可能不会正大光明地索取,而是想方设法得到。如果你将你的Facebook账号和其他服务连接到一起,该平台就会获得你在其他服务或应用上的信息,或许你会使用 Facebook来访问你的银行账号— 如果你这样做了,它就会知道你使用的是哪家金融机构。

若仅使用一种授权认证,则意味着如果有人控制了你的Facebook账号,这个人就能访问与该账号连接的所有其他网站,甚至是你的银行账号。在安全业务中,最好永远不要出现我们所说的单点故障。尽管要多花点时间,但仅在你需要时登录 Facebook 并且单独注册你使用的每个应用是值得的。

此外,Facebook 还以“没有行业共识”为由,故意不遵守 Internet Explorer 发出的“请勿追踪”信号。Facebook 的跟踪器都是经典类型: cookie、JavaScript、单像素图像和 iframe。这能让目标广告商扫描并读取特定的浏览器 cookie 和跟踪器,从而在 Facebook 网站内和网站外提供产品、服务和广告。

幸运的是,有一些浏览器扩展可以屏蔽第三方网站上的 Facebook 服务,比如用于 Chrome的Facebook Disconnect和Adblock Plus 的 Facebook Privacy List(火狐和Chrome 都可用)。最终,这些插件工具的目标是让你能控制你在 Facebook 和其他任何社交网络上分享的内容,而不是迫使你坐在一个次要位置上,让你使用的服务主宰你的各种事物。

考虑到Facebook对其16.5亿用户的了解程度,这家公司的表现已经相当仁慈了— 到目前为止确实如此。它拥有海量数据,但就像谷歌一样,它选择不使用所有数据,但这并不意味着在未来也不会用。

三、移除cookie

cookie 危险吗?不危险——至少它本身并不危险。但是cookie能向第三方提供关于你的账号和特定偏好的信息,例如你在天气网站上最偏爱的城市或在旅行网站上的航空公司偏好。如果已经有了cookie,当你的浏览器下一次连接到该网站时,该网站就会记起你是谁,然后可能会说“你好,朋友”。而如果这是一家电商网站,它可能还记得你最近购买的一些东西。

cookie 并不会真正在你的传统个人电脑或移动设备上保存这些信息。就和使用 IMSI 作为代理的手机一样,cookie 包含位于网站后端的数据的代理,当你的浏览器加载了一个附带cookie的网页时,你还会收到专属于你的额外数据。

cookie不仅能保存你个人的网站偏好,还能为它所在的网站提供有价值的跟踪数据。比如,你是一家公司的潜在客户,并且之前为了获取一份白皮书输入过你的电子邮箱地址或其他信息,那么你的浏览器中很可能就会有一个cookie,它可以在后端将关于你的信息与某个客户记录管理(CRM)系统(比如 Salesforce或HubSpot)进行匹配。现在,每当你访问该公司的网站时,网站都可以通过cookie识别出你的身份,并且这次访问会被记录在CRM中。

cookie是分开使用的,也就是说,网站A没有必要查阅网站B的cookie的内容。也存在例外,但通常这些信息是分开的,并且相当安全。但从隐私的角度看,cookie的隐身效果并不好。

你只能存取同一个域中的cookie,域是指分配给特定人群的一组资源。广告代理商往往会将多个网站组成更大规模的网络,通过加载一个可以跟踪你在这些网站上的活动的 cookie而做到这一点。但一般而言,cookie不能访问其他网站的cookie。

你可以删除浏览器之外两种特定的超级cookie—来自Adobe的Flash和来自微软的 Silverlight。这两个超级cookie都不会过期,而且通常删除它们是安全的。

九个步骤, 成功实现匿名的实践指南

读完这些之后,你可能会思考以你的经验水平让自己在网上隐身会有多简单或多困难。或者你可能会问自己,你应该做到哪种程度,发布哪些内容才是安全的,以下9个匿名成功实现匿名的步骤提供给您。

匿名第一步:购买一台单独的笔记本电脑

匿名第二步:匿名购买一些礼品卡

匿名第三步:连接 Wi-Fi 时修改你的MAC地址

匿名第四步:匿名购买一个个人热点

匿名第五步:匿名创建电子邮箱

匿名第六步:将礼品卡换成比特币,并进行清洗

匿名第七步:如果匿名性受损,那就再匿名一次

匿名第八步:随机改变你的正常打字节奏

匿名第九步:时刻保持警惕

【钛媒体作者介绍:本文内容来源于《捍卫隐私》作者[美] 凯文·米特尼克(Kevin Mitnick),他是米特尼克安全咨询公司创始人,也是第一个被美国联邦调查局通缉的黑客,有评论称他为世界“头号电脑黑客”“地狱黑客”。曾凭借高超的黑客技术入侵北美空中防护指挥系统、美国太平洋电话公司系统,甚至入侵了联邦调查局的网络系统。】

《捍卫隐私》将会纳入钛媒体Pro版书库,敬请大家关注前沿书库的上新动态~每位Pro专业用户一年可以在书库中任意选择三本书,由钛媒体免费赠送哦~点击链接、登录,进入“前沿书库”选书:http://www.tmtpost.com/pro人工智能相关好书:http://www.tmtpost.com/3122712.html创业事项相关好书:http://www.tmtpost.com/2788508.html培养领导力相关好书:http://www.tmtpost.com/2678549.html

------分隔线----------------------------