斯诺登认可的“第四公民”黑客工具包

http://p7.qhimg.com/t0178f9da25ea5830d5.jpg

关于斯诺登的最新奥斯卡最佳纪录片奖中,最有趣的一点是在《第四公民》的结尾处,是他对各种安全软件的致谢。斯诺登两年前泄露的信息仍然影响着今天人们的生活,并且拉开了数据安全、个人隐私、匿名访问的更新序幕。以电影中金融的落幕为基础,我们已经将各方面信息汇总并制作出了一个可供重要安全软件和操作系统参考的指南。如果你想要更进一步去保护你个人信息的安全,却不知从那儿着手时,这篇文章将会指引你往正确的方向进行工作。

浏览器安全:Tor浏览器

Tor Security Bundle(Tor浏览器的前身)可能是我们今天将要讨论的软件产品中最著名的一款了。Tor浏览器的安装和启动都非常的简单;它基于火狐浏览器内核,内核版本号为31.5.0,但是如果当程序发出警告,仅仅使用Tor浏览器并不足以保证你网上冲浪的安全。如果你想在Tor网络中保持匿名访问,你将还需要做以下几件事:

·无种子流下载(除非你有一个VPN账户可以支持你做种,并且设置好种子客户端的各项参数)。

·不要安装或启用浏览器的插件。

·只要情况允许,请使用HTTPS的网站协议。

·当处于联网状态时,不要下载或打开下载下来的文档(本文稍后将会介绍更多怎样去避免那些会威胁到安全性行为的信息)。

·如果你想要掩盖你正在使用Tor或者隐藏你网络通信的信息,你可以考虑使用网桥中继设备。

配置Tor浏览器十分的简单。一旦你启动了安装程序,程序将会让你选择你是否想要直接链接到Tor或者通过网桥中继来链接,如下图所示:

t01ac30b925961c65e3.png

点击你需要选择的选项,然后系统会完成安装,看起来就和火狐浏览器的标准版本中一些自定义配置和设置选项差不多。

t015ba224db7e5a005e.png

使用Tor浏览器进行匿名浏览时候会出现一个警告:程序外观将会与你使用标准链接连入网络时有所不同。Tor浏览器使用的是多级加密技术来隐藏目的主机的IP地址,并且通过随机路由选择来在它内部网络中传输数据以躲避监听。这种机制有利于防止普通的报文跟踪,但是它同样会有一些潜在的弊端。

事实上,Tor的随机路由选择使得浏览器性能的评估变得比较麻烦,但是我们可以通过加载一系列的网页来测试它。把这些当作一个球场来对待,而不是-只从一个角度看。标准版本的火狐浏览器(36.0.1)和基于火狐内核(31.5.0)的Tor浏览器的页面缓存将会在加载测试页面之前被清理干净。

t01d2f1e9857c242002.png

正如你所见,Tor浏览器的页面加载时间是其他浏览器页面加载时间的三到四倍。这就是你匿名浏览的代价。

替代品:事实上,的确没有什么VPN代理可以提供与Tor浏览器提供给用户的相同的安全保护,甚至连达到相同等级的都没有。

Tails

Tails(Amnesiac Incognito实时系统)是Linux的发行版,它可以实现Tor中用户匿名访问的功能并且可以保证个人隐私的安全,并且在操作系统的层面上实现了这个功能。Tails可以在USB记忆棒,DVD或SD卡中运行并且可以独立于计算机中原有的操作系统而启动。所有提到的软件都使用了Tor-并且证实了Tor已经提供的安全保护。

t01b705fe767c7d2b0f.jpg

Tor的一个局限性在于它不能对离开Tor网络并且到达目的主机的通信数据进行加密。Tails的设计初衷就是鼓励使用功能强大的加密方法。Tails的介绍文档中明确的提到:操作系统能做的和不能做的,这个含有大量安全配置选项的发行版操作系统都已经默认集成了。Pidgin(一种通讯客户端)预先就设置好了不保存信息记录了。操作系统的镜像中也包含看许多有实用性套件,例如OpenOffice。

t01dc2ba646b278f4d1.png

Tails的目的和Tor其实是一样的-它可以在用户在连入网络的同时尽最大的努力去保护用户的匿名性和隐私。通过使用一个动态密钥或者磁盘,操作系统可以避免在本地留下任何数据,包括加密套件提供的额外的安全功能层。Tails因其实用性已经在互联网领域获得了很高的评价,尤其是当你想要通过不安全的无线网络链接至互联网时,你更会需要它。

替代品:选择相当多,这取决于你想要什么。有些Linux的发行版强调在虚拟机中运行软件,当其他人设计出Ubuntu去对抗Debian时,有些则设计为从一个虚拟机到另一个虚拟机中,混淆传输信息路径的系统(例如Whonix系统)。LifehackerTechradar网站上各种版本linux的比较文档。

SecureDrop

SecureDrop的设计初衷是允许记者不用做出任何让步和妥协就可以获得共享的资源和信息。Aaron Swartz和Kevin Poulson创建了SecureDrop的第一个版本,并且将其在Swartz自我毁灭之后继续发展下去。这个应用程序是奥巴马严惩告密者和泄密人员的情形下创造出来的,自从奥巴马执政以来,政府已经在“间谍行动”中对七名政府官员提起了诉讼。虽然自从1917年到现在,“间谍行动”中只有11项起诉通过了审核。不同于之前的案件,DOJ并不在泄密者是否有间谍行为上进行辩解,反而认为将所说的话发表出来这个行为本身就有损美国国家安全的利益。在2015年,与纽约时报的交流明显等同于在第一次世界大战时将团队动向和战争计划告诉Kaiser Wilhelm。

t011bbb54ac3d501f89.png

SecureDrop公司的观点则是在信息资源与记者之间建立一个无法被追踪的通信连接。在SecureDrop的网站上访问资源将会得到一个随机生成的代码(在其他的工程项目中,SecureDrop基于Tor的技术支持)。资源将会通过SD网站提交文档或信息,Tor服务将会对链接进行隐藏。

记者使用之前生成的Gnu隐私保护密钥来获取信息。记者必须从他们自己的工作站中使用Tails操作系统来登录SecureDrop的网站从而获得资源信息,然后在一个基于空气间隙技术的安全查询站点来查看所获得的信息。这就意味着所有从互联网上下载下来的文件都必须被拷贝到USB密钥中并且人工地将文件移动到其他位置以便查看。

SecureDrop公司是我们现在所涉及到的最专业的应用,而且大概也是最难安装和使用的了-但是如果你需要去共享一些机密或秘密文档而不必下半辈子都亡命天涯的话,你还是用这样的方法去做吧。

替代品:没有任何选择的余地,但是SecureDrop已经被著名的安全研究专家Bruce Schneier审核通过了。它已经足够的安全了,而且各种公司已经开始逐渐将其融入进自家的产品中。

GnuPG

Gnu隐私卫士是被设计用于保护个人数据通信安全的。Gnu隐私卫士是一个是开源软件PGP标准版中的一个可选安装项。它最基本的功能是通过独立的客户端加密和保障电子邮件通信的安全,例如Outlook和Claws Mail。理论上它也可以被用在网页邮箱上。它是由Werner Koch制作的,同时也可以在Windows系统上工作,GPG4Win-我们在年初曾详细报道了Koch在创建GPG4Win时的困难(捐赠最终解决了这个问题)。

尝试安装配置Gnu隐私卫士真的很吓人,尤其是当你对命令行选项不熟悉时。幸运的是,像GPG4Win这种程序为配置过程内置了用户图形界面接口和额外的软件,并且提供应有尽有的工具来帮助第一次使用这个软件的用户来度过安装系统的难关。

Gnu隐私卫士和GPG4Win的工作原理是:你作为一个终端用户,会生成一副密钥对-一个公钥和一个私钥。你可以分享和公开你的公钥,而私钥你得自己保留,最好对其进行加密保存。当某些人想要给你发送一封加密的安全邮件时,他们使用你的公钥对邮件进行加密。

使用你的公钥进行加密的数据只有使用你自己的私钥才可以解密。直到你输入了密钥,你收到的信息将会原样展示在你面前。

t01d1361e820382e629.png

使用任何一款邮件加密软件的一条注意事项是,安全性高的软件需要双方通讯终端的传输信道要有很高的性能。如果与你通信的人使用一个类似于“Cat”的密码或者把他们的密码写在了别人可以轻易找到的地方,那么世界上没有什么加密算法可以拯救你了。尽管如此,如果你可以信任与你通信的另一端并且有很好的通讯性能,端到端的加密邮件也是你可以选择的方法。

替代品:这将会有些令人困惑,基于PGP的Gnu隐私卫士本身就是OpenPGP的一个可选安装项。使用了OpenGPG的应用程序应当可以与其他程序交叉兼容。与其他形式的隐私保护一样,上文提到的邮件加密技术离完美的安全性保护还差很远。

硬件驱动加密

我最后想要讨论的话题是硬件驱动器加密。直到去年,TrueCrypt才在免费加密软件领域中占据主导地位-成为Windows 7 和 Windows 8中自带BitLocker的替代品。在没有任何预兆的情况下,TrueCrypt公司关闭了所有的服务,仅仅留下了一个耐人寻味的提示(致歉)和一个简洁的签名。

自从软件终于通过了部分审核,EEF协会继续推荐使用TrueCrypt 7.1a,但是诞生了一个从TrueCrypt代码库中衍生出来的新的产品-VeraCrypt。VeraCrypt声称已经修复了一个TrueCrypt公司最后一个公开版的安全漏洞。这款软件在TC停止之前就已经产生多个分支了,但是从才它的前身消亡之后它变得流行起来。

t01f119aa0f5b45c559.png

VeraCrypt并不是TrueCrypt的唯一存活分支–CipherShed是另一个流行的变种版本。完整的磁盘加密的关键是保证用户的数据不被窥视。它不同于我们上文讨论的大多数解决方法–不明确的保护数据流入互联网。相反,如果你在使用传统硬盘去存储信息时磁盘加密会保证其安全,你可以完全信赖它的安全性。

VeraCrypt基于TrueCrypt的代码,TrueCrypt在项目被正式关闭之后仍然在进行安全审计。VeraCrypt 也在计划一个它自身独立的安全审计。

替代品:可以代替TrueCrypt和VeraCrypt的产品有很多很多,尽管有些可能会提供更多的限制功能。苹果公司在它的OS X操作系统上有它自己的磁盘加密功能,而且我们也已经提到过BitLocker了。同时还有大量的Linux加密套件存在。大多数人已经习惯使用了TrueCrypt了,因为既然至今还没有发现安全方面的设计缺陷,那么它就仍然是绝对安全的。法律层面的磁盘加密仍然在激烈的讨论当中

安全开支

关于本文章呈现的数据安全性概况,存在有两种不同的观点。一种观点认为这些应用程序和安全性措施的存在实在是太棒了。了解各种不同的方式去保护你自己的隐私是很有用的,有很多操作系统被设计来帮助用户去实现安全性能的最佳实践。并且通过合并这些应用程序和软件套件,你可以极大的减少你的电子信息足迹。

另一方面,现在保护你自己的个人信息只能通过把你的电脑变成一个强化仓,这实在是彻头彻尾的令人沮丧。安全性一直都是方便敌人的。但是在信息计算中并不仅仅意味着带着一个隐含的额外的密钥,亦或在你的前门上挂个门栓–它意味着阻止浏览器的插件,尤其需要注意那些社会媒体。当你使用各种不同的操作系统,在某些情况下,会要求与你通信的人去配置邮件加密,这样你大量的信息才不会在信息通过谷歌服务器时被广告关键字扫描出来。

隐私和安全一直都是个人的职责,但是代价往往并不高。美国国家安全局已经明确提出:它只用一个基本的密钥就可以从任何人解锁在任何地方的通信。任何人,在任何时间,都在常规通信法规的监督之下。人们常常谈论的个人职责通常是非常浅薄的,当你意识到经常会发生公司企业违反法规泄露客户数据而造成灾难性的破坏、公司企业自己的代码没能通过审核,或者直接歪曲他们的产品–往往不用对任何结果负责。

让人们重视个人隐私和安全往往是困难的,尤其是当人们已经习惯于现状了。在20000字的最终用户许可协议下,很多公司都被允许给他们自己令人无法想象的权限。提供服务的行为被认为是收集用户数据的行为,在这个真实的世界里,当地的政府部门和警察局部署车牌追踪器并且认为他们有全力永久持有这些信息,尽管这些系统只有0.2%的成功率。从Facebook关于犯罪案件的共享政策中,企业和政府已经投入了大量的资源去增加了信息获取的难度,你很难了解到你那些信息被追踪了、被共享了、被收集了,或者被卖到了竞价最高的人手里。

类似于无追踪的标准初衷也许是好的,但是创立者站在公司自身利益的角度,没有公司会支持一个可能有一天会伤害到自身利益的隐私协议标准。这也难怪,这种行为的确保护了你自己的信息并且想要构造一个匿名系统是非常困难的。如果隐私和匿名性被标准化了,那么将会有大大小小的规则包含在产品、运营平台和应用程序中,而这些组成了万维网。

我很欣慰有这些软件和应用程序的存在。但是我不会仅仅挥挥手,点个头,或者眨眨眼睛,我忍不住想要知道如果用户隐私、安全和匿名性在公司层面上真的有价值时,网络会是什么样子。既然我们没有生活在那样的情形下,这样的应用程序仍然对记者报道政府和公司腐败的能力至关重要,而对于个人而言,就是去保护他们个人的数据。我们很少会有人需要用到这些先进的方法–但并不意味着这些人的信息毫无价值。

 

此条目发表在未分类分类目录。将固定链接加入收藏夹。