关于网络安全:政府和大公司是一伙的!


We Feel Safe in a Dangerous Place”(4)
                                                            ————政府和大公司是一伙的!

作者:

这篇科普中我会继续讲讲浏览器隐私问题。在开始之前,先骂一声:“共匪和他的GFW走狗都他妈不得好死!”因为我本打算下午就写出这篇文章来,但是花了超过一个小时的时间才重新在TOR+前置代理下翻墙成功,完全就是在浪费生命啊!

好了,正式开始吧!我在以前几篇科普里曾经提到过政府和商业公司都很爱追踪用户并收集用户信息,政府为什么这样大家都懂,尤其是共匪政府,巴不得给每个人都配备一个老大哥,给每个人身上都装上窃听器和摄像头。


了,顺便提一句,这几天共匪又出台了个什么《反间谍法》,里面的条款全都定义不清,摆明了这什么“间谍罪”就是是跟“寻衅滋事”一样的口袋罪,目的只有一
个:制造恐怖,随意打压异己,好继续压迫剥削奴役我等屁民。墙内所有的IT公司(说所有有点太绝对了,但像百度腾讯奇虎金山瑞星搜狗淘宝等大公司和所有的
ISP一定都是共匪走狗,他们一直在帮共匪删贴封号查水表,例子多的都不用说了,敏感词就是最好的证明)都是共匪走狗,共匪网警叫他们交出用户信息他们就
得交。

所以对于咱们天朝屁民而言,防共匪政府和防商业公司其实是一回事,得一起防。

欧美国家的公民们本来
比咱们的境遇要好上数百倍,不过去年棱镜事件一曝光,好几百倍变成好几十倍了,欧盟还好,美国佬不得不开始考虑躲避NSA的监视了。现在TOR官网和论坛
上有一群外国佬天天在讨论如何躲避NSA和与其合作(或者说有合作嫌疑的)的google微软等大公司的追踪和监视。

有些人可能会觉得躲
避共匪监视很辛苦,我想说的是看看人家躲避NSA的,要面对着比共匪技术牛逼N倍的NSA(去年斯诺登爆出来NSA已经具有暴力破解多数TOR中继加密算
法的能力,不过今年TOR中继都升级了,NSA又没办法了,而且这个世界上也只有NSA曾经具备过破解TOR流量的能力,咱们不用担心),要躲避FB推特
google微软等世界性大公司的追踪(咱们可不用躲,不过我个人其实怀疑FB(扎肯伯格最近不请自来,想要开拓天朝市场,没准会与共匪做什么肮脏交易,
建议大家的FB姓名不要与墙内社交网站上的真实姓名尤其是自己的真实姓名有任何联系,其他墙外平台也一样),微软的骨头也未必有多硬,不过暂时不用担心,
最近共匪禁止机关单位使用win8以及对微软做“反垄断调查”,刚好说明微软没有与共匪合作;至于google,2010年google因为不肯配合共匪
审查而愤而退出天朝市场(有空我会八卦一下这段历史),可以被咱们信任),VPN提供商也没几个能信任的(咱们还有墙外那么多VPN服务提供商可以选择,
他们基本上没得选,除了一些有着严格隐私保护法律的欧洲国家可以考虑),只能依赖于开源软件和服务(尤其是操作系统,躲避NSA就意味着自己的PC只能用
开源的GNU/Linux了,Linux可不是小白能够搞定的,而且从此只能与单机游戏说再见了(大部分著名单机都依赖于微软的DirectX图形接口,
这接口被微软垄断,也就是说只有windows能正常运行大部分单机游戏),很多常用软件也没有Linux版(墙内的IT破烂们基本上没有Linux版
本)),比咱们苦逼多了,你说咱们还有什么理由抱怨呢?

说到开源软件,我想强调一下:在信息安全领域有一句名言:“从来都没有100%的
安全,不管你怎么努力(这个你可以是个人,也可以是公司等团体)”。开源并不意味着软件一定是安全可靠的,一个小众的开源软件依旧有可能藏有后门而长期不
被发现(因为没有足够的人去检查代码),而且开源软件也有可能有恶性BUG,例如OPENSSL的“心脏出血”漏洞(今年四月份被发现的,波及了大部分依
赖于HTTPS的互联网服务(TOR比较特殊,没有受影响))。但总体上说开源软件的安全性要远好于闭源软件,尤其是当开源软件很有名并且拥有一个很大的
关于开发和测试的社区之后(例如TOR),可以认为安全性接近于100%,因为社区里的人可以及时审视代码,提出并解决BUG以及确保软件不会有后门。


业公司追踪用户的理由我在前几篇科普里也提过一些,主要目的是个性化投放广告以及掌握第一手市场信息。现在有两个IT概念被炒得很热:“云计算”和“大数
据”,其实这两者是一个概念,所谓云就是一个由服务器等工作站级别的计算机组成的运算网络和信息共享网络,开发者可以利用这一网络一起进行开发(例如
Google App
Engine,世界各地的开发者可以在上面一起开发一款软件,即时进行交流),公司或政府机构也可以用云平台进行数据处理(计算,存储等),除了
GAE,amazon和微软也有着自己的云平台,而且墙内不少公司(尤其是IT公司)都很依赖这些云平台。大数据是和云计算伴生的,商业公司通过对收集到
的用户数据进行处理,得出当前市场状况和某个具体用户的习惯(尤其是购物习惯)。

这么说吧,那些公司通过收集用户的个人特征(例如年龄,
性别)以及感兴趣的广告是哪一些(搞清楚用户感兴趣的广告的方法有第三方cookie以及记录用户点击了页面上的哪个广告或者鼠标曾在哪个广告上停留了。
注意很多网页上都有的社交网站按钮,例如flike或tweet,以及墙内抄袭他们的人人与微博,他们在追踪你,不管你点不点这个按钮,他们都会记录下你
的行为,然后再将相关数据传到服务器上。还有就是搜索引擎了,用户的搜索关键词和频率也是那些公司感兴趣的,这也可以个性化用户从而精确投放广告。搜索引
擎总是会把你给卖了,总是。)从而做到对用户们“看菜下饭。,用户的身份越清晰,个人爱好越明确,自己和身边人的状况越清楚,商业公司和政府们就越高兴。

广告还有一个危险:攻击者非常喜欢在网页广告上嵌上恶意代码,而广告投放者通常安全意识比较淡薄,反应迟钝,结果就是用户们大批中招。

有些政府和公司用“光明磊落”(nothing-to-hide)理论为自己的追踪行为辩解,认为一个用户只要不去犯罪,那么即使自己的隐私泄露了也没什么关系。


不说隐私泄露之后可能会落到不怀好意的人手里,方便策划犯罪,这种说法本身就是非常狗屁的。用户隐私是互联网基本人权之一,不管用户隐私重要与否,这些隐
私都理应被保护,用户自己的隐私让谁知道只有用户自己有权决定,这世上有哪个政府或公司收集用户信息之前问过用户意见了?没有,从来没有!当然共匪查水表
之前更不可能问过被查水表的人的意见。

互联网的另一个基本人权就是匿名权(准确来说应该是假名权,因为从技术上追踪一个没使用任何匿名手
段的用户可以说不费任何力气),不少国家的政府都试图限制假名上网,基本上失败了,除了天朝,人大(共匪大)通过上网实名制这一盖世太保提案那叫一个速
度。专制独裁政权永远都害怕匿名,害怕自由的互联网。

我曾经建议过诸位一定要禁用flash插件,除了flash插件安全性太差
之外还有一个原因:“超级cookie”,flash是有着自己的一套cookie系统,这与浏览器cookie不同(都储存在不同的地方),当你禁用第
三方cookie时,flashcookie并未受到任何影响;当你删除所有cookie时,fiashcookie依旧还在那里,而且flash插件很
多情况下还会自动忽略代理设置,直接与目标网站建立连接,这会暴露你的真实IP!

应对方法:技术上,一定要装上这几个扩展
(再说一遍用firefox或chrome,其他什么浏览器都不要考虑):NoScript(chrome是
ScriptSafe),Ghostery,AdBlock Plus,Disconnect,Disconnect
Search(进行不会被追踪的搜索),HTTPS Everywhere,Privacy Badger,User-Agent Switcher
(或者名字类似的,可以自定义User-Agent 的扩展),ModHeader(或者名字类似的,可以自定义HTTP Headers),Avira
Browser Safety(小红伞的扩展版,可以检测并阻止携带有恶意代码的网页加载,也可以阻止追踪)

装上扩展
的浏览器和没装扩展的浏览器技术上看上去是不一样的,有人担心这会增加浏览器指纹信息从而不利于匿名。这样做是会增加浏览器的独特性,但是比起多的那一点
指纹信息,很明显追着你不放的广告才是威胁最大的。除了User-Agent
,浏览器指纹还包括你的系统字体信息(禁用JAVA插件就可以隐藏字体信息)和你的屏幕分辨率(就那么几种,不用担心,但如果有人在虚拟机里上网就要注意
设置了,虚拟机的分辨率有可能是一个不常见的数值,这会增加独特性),不过User-Agent 信息量最大。

最后推荐两个信息安全网站:https://www.eff.org/(电子前哨基金会官网)和http://www.enisa.europa.eu/ (欧盟网络安全和信息安全局官网),里面有不少网络安全资料,当然了,都是英文。

最后照例附上其他科普文的链接集合:https://plus.google.com/u/0/109790703964908675921/about

参考资料:
Privacy considerations of online behavioural tracking
https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-considerations-of-online-behavioural-tracking/at_download/fullRepo

分享这篇文章到: