05 关闭同步,伪造你的一切踪迹
2013年4月,来自马萨诸塞州昆西市、曾是一名出租车司机的22岁的海鲁尔罗桑·马塔诺夫(Khairullozhon Matanov)与两个朋友(实际上是一对兄弟)一起去吃晚餐。他们3人谈论的话题包括那天早些时候在波士顿马拉松终点线附近发生的事件,有人在那里安装了一个装满钉子和火药的高压锅及一个计时器。其导致的爆炸造成3人丧生,超过200人受伤。与马塔诺夫同桌的这对兄弟塔梅尔兰·察尔纳耶夫(Tamerlan Tsarnaev)和焦哈尔·察尔纳耶夫(Dzhokhar Tsarnaev)之后被认定为主要嫌疑人。
尽管马塔诺夫说自己事先对这起爆炸事件并不知情,但据说爆炸发生后不久,他在与执法人员进行会谈时离开了现场,并从自己的笔记本电脑上迅速删除了浏览器历史记录。清除笔记本电脑的浏览器历史记录这个简单的动作,让他遭到了起诉。1
删除浏览器历史记录也是对大卫·科纳尔的指控之一,也就是那个入侵了萨拉·佩林的电子邮箱账号的大学生。不过好在当科纳尔清理自己的浏览器、运行磁盘碎片整理程序并删除了他下载的佩林的照片时,他还没有遭到调查。这里要传递的信息是:在美国,你不被允许清除你在自己计算机上做的任何事。检察官想查看你所有的浏览记录。
针对马塔诺夫和科纳尔的诉讼基于一项已存在近15年之久的法律——《上市公司会计改革和投资者保护法案》(参议院的说法)或《公司和审计问责制和责任法案》(众议院的说法),更常用的说法则是2002年的《萨班斯-奥克斯利法案》。这项法律的出现是由安然(Enron)公司的企业管理失当直接导致的。这家天然气公司之后被发现一直在欺骗投资者和美国政府。安然公司一案的调查者发现,调查一开始就有大量数据被删除了,这妨碍了检察机关了解该公司内部发生的确切情况。因此,参议员保罗·萨班斯(Paul Sarbanes)和众议员迈克尔·G.奥克斯利(Michael G. Oxley)发起了一项立法提案,为数据保存增加一系列强制要求,其中之一就是浏览器历史记录必须保留。
据大陪审团的一份起诉书称,马塔诺夫有选择地删除了他的谷歌Chrome浏览器历史记录,而留下了2013年4月15日那一周某几天的活动。他受到了两项正式起诉:“销毁、修改和伪造联邦调查中的记录、文件和实体对象,以及在涉及国际和国内恐怖主义的联邦调查中做出重大虚假、伪造和欺诈性的陈述。”他被判处了30个月的监禁。
在那之前,不管是针对企业还是个人,援引《萨班斯-奥克斯利法案》中浏览器历史记录条款的情况都很罕见。然而,马塔诺夫案确实是一个特殊案件,一个备受瞩目的国家安全案件。所以在那之后,检察官知道了这一条款的潜力,开始愈加频繁地援引它。
无痕浏览,你的一切踪迹都将消失
如果你无法防止别人监视你的电子邮件、电话和即时消息,无法合法地删除你的浏览器历史记录,你还能怎么办?也许你可以从一开始就避开对这些历史记录的收集。
Mozilla的火狐、谷歌的Chrome、苹果的Safari、微软的Internet Explorer和Edge等浏览器全都提供了内置的匿名搜索选择,不管你想使用什么设备,传统个人电脑还是移动设备。无论哪种搭配,浏览器都会开启一个新窗口,并且不会记录你在此会话开启期间搜索的内容或浏览的互联网位置。关闭隐私浏览窗口,你访问过的地址的所有痕迹都将从你的个人电脑或其他移动设备上消失。为了隐私,你也要付出一些代价:除非你在隐私浏览时为网站保存了书签,否则你将无法返回;因为没有历史记录——至少你的机器上没有。
使用火狐浏览器上的隐私浏览窗口或Chrome浏览器上的无痕模式,你可能就感觉自己牢不可破了,但你的隐私网站访问请求(比如你的电子邮件)仍然必须经过你的ISP(Internet service provider),即互联网服务提供商,也就是你花钱购买互联网服务或蜂窝服务的公司——而你的提供商可以截取其中传递的任何未加密的信息。如果你访问的网站使用...
不管是在传统的个人电脑上还是在移动设备上,当互联网浏览器连接到一个网站时,它首先会确定是否存在加密,如果存在加密,又是哪一种加密。用于万维网通信的协议被称为http。这个协议是在地址之前指定的,也就是说,一个典型的URL(16)可能看起来是这样的:http://www.mitnicksecurity.com,即使其中的“www”在某些情况下是多余的。
当你连接的网站使用了加密时,协议会稍有变化,不再是“http”了,你会看到“https”。所以这个URL就变成了https://www.mitnicksecurity.com。这种https连接更加安全。其中一个原因是它是点对点的,但只有你直接连接到网站本身才会这样。网上还有大量内容分发网络(Content Delivery Network,简称CDN)为它们的客户缓存页面,不管你在世界任何地方,CDN都能实现更快速的分发,因此这就可能出现在你和目标网站之间。
还要记住,如果你登录了你的谷歌、雅虎或微软账号,这些账号可能也会记录你的个人电脑或移动设备上的网络流量——也许会用来构建你的网络行为个人档案,以便这些公司能更好地定位你看到的广告。有一种方法可以避免这种情况,那就是在你用完谷歌、雅虎或微软账号后,记得退出账号,在下次你需要使用它们的时候再重新登录回来。
此外,你的移动设备上还有内置的默认浏览器。这些浏览器都不好,因为它们只是台式电脑或笔记本电脑浏览器的迷你版本,缺乏更稳健版本所具有的一些安全和隐私保护。比如说,iPhone预装了Safari,但你可能需要考虑在应用商店下载移动版的Chrome或火狐,这些浏览器是专为移动环境设计的。更新版本的安卓系统默认预装了Chrome。至少所有的移动浏览器都支持隐私浏览。
如果你使用的是Kindle Fire,那么你无法通过亚马逊下载火狐或Chrome。你就不得不使用一些手动操作,通过亚马逊的Silk浏览器来安装Mozilla的火狐或Chrome。要在Kindle Fire上安装火狐,打开Silk浏览器并访问Mozilla FTP网站,选择“Go”,然后选择以扩展名“.apk”结尾的文件。
只相信互联网的安全证书
隐私浏览不会创建临时文件,因此不会在你的笔记本电脑或移动设备上保存你的浏览历史。那某个第三方是否仍能看到你与某个特定网站的交互呢?可以,除非这个交互事先就加密了。为了实现这一目标,电子前线基金会已经打造出一款名叫HTTPS Everywhere的浏览器插件。2这款插件可用于传统个人电脑上的火狐和Chrome浏览器以及安卓设备上的火狐浏览器。在本书写作时,它还没有用于iOS的版本。但HTTPS Everywhere能带来一个明显的优势:在连接的前几秒里首先考虑安全,浏览器和网站会协商要使用哪种安全策略。你希望拥有我在上一章讨论过的PFS,但并非所有网站都使用了PFS。而且就算提供了PFS,也并非所有协商都会以此告终。HTTPS Everywhere可以在任何可能的时候都强制使用https,即使没有使用PFS也一样。
安全连接还有另一个标准:每个网站都应该有一个证书,这是你在连接网站时得到的一种第三方的保证,比如,它可以确保你在连接美国银行网站时连接到的是真正的美国银行网站,而不是什么欺诈网站。现代浏览器与这些被称为“证书认证机构”(certificate authority)的第三方合作,保持列表更新。当你访问一个没有得到合适认证的网站时,你的浏览器会发出一个警告,询问你是否足够信任这个网站并且继续访问。你完全可以自己决定是否破例一次。一般而言,除非你了解这个网站,否则绝对不要破例。
另外,互联网上的证书也不止一种,证书还分很多级别。最常见的证书,也是你一直会看到的证书,仅仅用来确认域名属于请求该证书的人,这个使用电子邮件认证即可。操作的人可以是任何人,但这并不重要——这个网站有了一个可以被你的浏览器识别的证书。第二类证书也是一样,即组织证书(organizational certificate)。这意味着该网站与连接到同一域名的其他网站共享自己的证书。换句话说,mitnicksecurity.com上的所有子域名都共享同样的证书。
最严格的证书认证是所谓的扩展认证证书(extended verification certificate)。在所有浏览器上,当一个URL有一个扩展认证证书时,该URL的某些部分会变成绿色(一般是灰色的,就像该URL的其余部分一样)。在地址https://www.mitnicksecurity.com上进行点击,你应该就能看到关于证书及其所有者的额外详情,通常是提供该网站的服务器所在的城市和州。这种物理世界的确认表明,持有该URL的公司是合规的,并且已经得到了一个可信的第三方证书认证机构的确认。
关闭或伪造你的位置
你可能会想到移动设备上的浏览器能追踪你的位置,但你会惊讶于传统个人电脑上的浏览器也能做同样的事。确实如此,但这是怎么做到的?
还记得前面我解释了电子邮件元数据包含一路上为你递送电子邮件的所有服务器的IP地址吗?没错,情况一样,来自你的浏览器的IP地址可以确认你使用的ISP,然后就能缩小你可能所在的地理区域的范围。
当你第一次访问特定要求你的位置数据的网站(比如一家天气网站)时,你的浏览器应该会询问你是否要向该网站分享你的位置。这种分享的好处是,该网站可以为你定制自己的列表。比如说,你可能会在washingtonpost.com上看到你所居住的城市中相关事物的广告,而不是华盛顿哥伦比亚特区的广告。
不能确定你过去是否回答过这个浏览器问题?那就试试这个测试页面吧:http://benwerd.com/lab/geo.php。很多测试网站都能显示你的浏览器是否正在报告你的位置,这只是其中一个。如果它确实正在报告而你又想隐身,那就禁用这个功能吧。幸运的是,你可以关闭浏览器位置跟踪。在火狐浏览器中,在地址栏输入“about: config”,滚动到“geo”并将其设定改为“disable”,保存你的修改。在Chrome中,进入“选项>高级>内容设置>位置”,这里有一个“不允许任何网站跟踪我的物理位置”选项,可以禁用Chrome的地理定位。其他浏览器也有类似的配置选项。
你可能也想伪造你的位置——就算只是为了玩。要想在火狐中发送错误的坐标(比如白宫),你可以安装一个名叫Geolocator的浏览器插件。在谷歌Chrome中,可以勾选该插件内置的“模拟地理位置坐标”设置。另外,在Chrome界面中,在Windows系统上点击Ctrl Shift I或在Mac上点击Cmd Option I可以打开Chrome开发者工具。其中的Console窗口会打开,你可以点击Console右上角的3个竖点,然后选择“More tools>Sensors”。一个传感器窗口将会打开,这让你可以设定你想分享的确切的纬度和经度。你可以使用某个著名地标的位置或选择某海洋之中的一个位置。不管用哪种方式,网站都无法知道你到底在哪里。
当你在上网时,你不仅可以掩盖你的物理位置,还能隐藏你的IP地址。之前我提到过Tor,它可以让你访问的网站看到的IP地址是随机的。但并非所有网站都接受Tor流量。对于那些不接受Tor连接的网站,你可以使用代理。
开放代理(open proxy)是一种位于你和互联网之间的服务器。在第2章中我解释说,代理就像是外语翻译器——你对翻译器说话,然后这个翻译器对说外语的人说话,其中的信息仍然是完全一样的。我使用“代理”这个词描述了某个来自敌对国家、试图假装成友好伙伴国家的人给你发送电子邮件的方式。
你也可以使用代理来访问地理上受限的网站——如果你生活在一个谷歌搜索访问受限的国家。或者也许你需要隐藏自己的身份,以便通过某些网站下载盗版的内容。
但是,代理并非刀枪不入。使用代理时要记住,每个浏览器都必须手动配置,以指向代理服务器。而且就算是最好的代理网站也承认,聪明的Flash或JavaScript技巧仍然可以检测到你的底层IP地址,即你一开始用于连接代理的IP地址。通过阻止或限制浏览器使用Flash或JavaScript,你能限制这些技巧的效果。但防止JavaScript监控你的最好方式是使用HTTPS Everywhere插件。
商业代理服务有很多。一定要阅读你注册的任何服务的隐私政策。你要关注该服务处理运动中的数据的方式,以及它是否遵守执法部门和政府对提供信息的要求。
也有一些免费代理,但为了使用这些服务,你必须应付毫无用处的广告流。我的建议是要小心提防免费代理。在DEF CON(17) 20的一场演讲中,我的朋友、安全专家切马·阿隆索(Chema Alonso)做了一个实验,他设置了一个代理,并且想吸引坏人去使用这个代理,所以他在xroxy.com上公告了这个代理的IP地址。几天之后,就有超过5 000人在使用他的免费“匿名”代理了。然而,其中大多数人都在使用它来进行诈骗。
但是另一方面,阿隆索可以使用这个免费代理轻松地向这些坏蛋的浏览器推送恶意软件,然后监视对方的活动。他也确实这么做了。为此他使用了一种名叫BeEF钩子的浏览器利用框架,还使用了终端用户证书许可(EULA),这样人们就不得不接受他做的事——读取经由该代理发送的电子邮件并确定它是否正在处理与犯罪活动有关的流量。这个故事的教训是:免费的东西都是有代价的。
如果你使用的代理使用了https协议,那么执法部门或某些机构就只能看到代理的IP地址,而看不到你在访问的网站上的活动——这个信息是加密的。正如我前面提到的,普通的http互联网流量没有加密,因此你必须使用HTTPS Everywhere(没错,这就是我对大多数浏览器隐身难题给出的答案)。
你要确保敏感信息没有自动同步
为了方便,人们常常会在不同的设备上同步他们的浏览器设置。比如说,当你登录了Chrome浏览器或一台Chromebook时,你的书签、标签、历史记录和其他浏览器偏好设置都会通过你的谷歌账号同步。不管是在传统的个人电脑还是移动设备上,这些设置在你每次使用Chrome时都会自动加载。要选择应该将哪些信息同步到你的账号,请访问你的Chrome浏览器的设置页面。谷歌的控制盘给了你完全的控制权限,你可以选择移除哪些信息的同步,要确保敏感信息没有自动同步。Mozilla的火狐也有同步选项。
同步的缺点是,攻击者只需要引诱你登录Chrome或火狐浏览器上的账号就行了,然后你的所有搜索历史都会被加载到他们的设备上。想象一下,如果你的朋友使用了你的电脑并选择登录到浏览器,你朋友的历史记录、书签等都会同步过来。这就意味着现在可以在你的计算机上查看你朋友的浏览历史等各种信息。另外,如果你使用一台公共终端登录了一个同步的浏览器账号而忘记登出,那么下一位用户将能看到你的浏览器书签和历史。如果你登录了谷歌Chrome,那么甚至你的谷歌日历、YouTube和谷歌账号的其他细节都将暴露。如果你必须使用公共终端,一定要注意在离开前退出账号。
同步的另一个缺点是,所有互连的设备都将显示同样的内容。如果你独自生活,那倒还好。但如果你共享了一个iCloud账号,就可能会引发不好的事情。例如,允许孩子使用家庭iPad的家长可能会无意中让他们看到成人内容。3
在科罗拉多州丹佛市的一家苹果零售店里,当地一位客户经理艾略特·罗德里格斯(Elliot Rodriguez)使用他已有的iCloud账号注册他的新iPad。他的照片、短信、音乐和视频下载立刻就可以通过这台新iPad获取了。这样的便利节省了他很多时间:他无须为多台设备复制和保存所有的材料了。而且这让他无论选择使用什么设备都能访问这些项目。
之后的某个时候,罗德里格斯把自己的旧iPad交给了8岁的女儿,他认为这样很不错。事实上,让女儿连接到他的设备在短时间内确实是很不错的。罗德里格斯在他的iPad上会注意到女儿偶尔下载到旧iPad上的新应用。有时候他们甚至会分享家庭照片。然后,罗德里格斯去了一趟纽约——他常常去那里出差。
罗德里格斯没有多想就拿出他的iPhone,记录了一些他与纽约情妇的美好瞬间,其中一些相当私密。他的iPhone上的这些图片自动同步到了科罗拉多州家中他女儿的iPad上。而且他女儿当然要问她母亲这个和爸爸在一起的女人是谁。无须多言,罗德里格斯回家时得好好解释一番了。
还有生日礼物的问题。如果你分享了设备或同步的账号,那么你对网站的访问可能会让收礼物的人察觉到自己在生日那天会收到的礼物。或者更糟糕的是,他们可能已经有这东西了。这是共享家庭个人电脑或平板电脑会带来隐私问题的又一个原因。
避免发生这种事的一个方法是设置不同的用户,这在Windows上是一个相对简单的步骤。你自己要保留管理员权限,这样你就可以给系统添加软件以及设置额外的家庭成员,让他们有各自的账号。所有的用户都只能用他们自己的密码登录,并且只能访问自己的内容、自己的浏览器书签及历史记录。
苹果公司允许在其OSX操作系统中进行类似的划分。但是并没有多少人会记得划分他们的iCloud空间。而且有时候,我们自己似乎并没有过错,只是科技背叛了我们。
在和好几个女人谈了几年恋爱之后,洛杉矶的一位电视制片人迪伦·门罗(Dylan Monroe)终于找到了“真爱”,并决定安定下来。他的未婚妻住进了他家,作为他们新生活的一部分,他毫无警觉地让未来的妻子连接到了他的iCloud账号。
当你想组建一个家庭时,将每个人都连接到同一个账号是合情合理的。这样就能让你和你所爱的人分享你们全部的视频、文本和音乐——除非这些东西都是现在的。对于你用数字存储的过去又该怎么办呢?
有时候,使用一个像iCloud这样的自动云备份服务意味着我们会积累很多年的照片、文本和音乐,我们往往会忘记其中一些,就像我们会忘记阁楼上旧盒子里的东西一样。
照片是离我们的记忆最近的东西。是的,你的配偶现在已经看过装满旧信件的鞋盒和几代人的照片了。但数字媒体让你无须太过费力就能获取数以千计的高清照片,这会带来新的问题。忽然之间,门罗的回忆(其中一些确实非常私密)就以照片的形式回来作祟了——这些照片现在出现在了他未婚妻的iPhone和iPad上。
有一些家具必须要搬出房子,因为有其他女人在沙发、桌子或床上和他做过亲密的事。他的未婚妻也拒绝去某些餐厅,因为她看见过其他女人和他一起坐在靠窗那桌或角落雅座的照片。
门罗充满爱意地满足了未婚妻的请求,即使未婚妻还要求他做出最后的牺牲:一旦两人结婚,就卖掉他的房子。所有这些,都是因为他将自己的iPhone和她的iPhone连接到了一起。
你今天搜索过的东西在明天可能会变成你的麻烦
云还带来了另一个有趣的问题。即使你删除了你的台式机、笔记本电脑或移动设备上的浏览历史,云中仍然保留了你的搜索历史记录副本。你的历史记录存储在搜索引擎公司的服务器上,很难删除,要做到一开始就不被存储就更难了。这里给出了一个例子,说明了如果隐秘的数据收集没有合适的语境,那么在之后的某个日期和时间,这些数据就可以被轻易地误解。我们很容易就能看到,一些无害的搜索集合在一起可能会带来麻烦。
2013年夏末的一个早晨,在波士顿马拉松爆炸案发生仅仅几周之后,米歇尔·卡塔拉诺(Michele Catalano)的丈夫看见两辆黑色SUV停在了他位于长岛的房子前面。当他出门向这些官员打招呼时,他们要求确认他的身份并请他允许搜查这个房子。尽管米歇尔的丈夫不确定他们为什么要来这里搜查,但因为没什么需要隐瞒的,他就同意让他们进门了。在对房间进行粗略检查过后,这些联邦特工才进入正题。
“这个房子里面有人搜索过关于高压锅的信息吗?”
“这个房子里面有人搜索过关于背包的信息吗?”
显然,这家人通过谷歌进行的网络搜索触发了国土安全局先发制人式的调查。我们不清楚对卡塔拉诺一家调查的确切性质,但可以想见,在波士顿马拉松爆炸案发生后的几周时间里,一些特定的搜索组合在一起可能就预示着潜在的违法活动,因此会被标记出来。在2个小时之内,卡塔拉诺一家的清白就得到了证明,他们没有做任何潜在的不法之事。之后米歇尔将这段经历写在了Medium上,但愿它能作为一个警示:你今天搜索过的东西可能会在明天变成你的麻烦。
米歇尔的这篇文章指出,调查者可能无视了她的“我到底能用藜麦做什么”和“A-Rod被停赛了吗”搜索。她说她搜索高压锅不过是想知道如何煮藜麦。而那个关于背包的查询呢?也只是因为她丈夫想要一个背包而已。
至少谷歌这家搜索引擎公司已经打造出一些能让你指定分享的信息内容的隐私工具。比如说,你可以关闭个性化广告跟踪,这样你在搜索巴塔哥尼亚(南美洲一个地区)时就不会看见关于南美洲旅行的广告。你也可以完全关闭你的搜索历史记录,或者在进行网络搜索时不登录Gmail、YouTube等任何谷歌账号。
即使你没有登录你的微软、雅虎或谷歌账号,你的IP地址仍然和你每次的搜索引擎查询绑定在一起。要避免这种一对一匹配,可以使用谷歌代理startpage.com或搜索引擎DuckDuckGo。
DuckDuckGo已经是火狐和Safari的一个默认选项了。和谷歌、雅虎、微软不一样,DuckDuckGo没有任何用户账号的规定,而且该公司表示默认情况下不会记录用户的IP地址。该公司还维护着自己的Tor出口中继(18),也就是说,你无须遭受太多性能滞后就能使用Tor在DuckDuckGo上进行搜索。4
因为DuckDuckGo并不追踪用户的使用情况,所以你的搜索结果不会根据你的搜索历史被过滤。大多数人没有意识到,过去在谷歌、雅虎和必应上搜索过的一切会过滤眼前看到的结果。比如说,如果搜索引擎看见你正在搜索与健康问题相关的网站,那么它将开始过滤搜索结果,并将与健康问题相关的结果推到非常靠前的位置。为什么要这么做?因为很少有人会麻烦地查阅搜索结果的第2页。有个互联网笑话说,如果你想知道埋葬尸体的最佳位置,试试第2页的搜索结果。
一些人可能喜欢略过那些看似无关的结果的便利性,但与此同时,这相当于把自己可能对什么感兴趣、对什么不感兴趣的决定权交给了搜索引擎。从很多指标上看,这都是审查。DuckDuckGo确实会倾向有关联的搜索结果,但它的过滤方式是根据主题,而不是你的历史记录。
下一章将讨论网站让你难以对它们隐身的特定方法,以及为了匿名上网你可以怎么做。
,
