还原你的购物模式,让你变身互联网
分类:科技

看到WPA2这个词,有些人会觉得很陌生,有些人觉得似曾相识,还有些人会想到在配置Wi-Fi路由器的时候好像见过。

再也别乱扔信用卡小票了。在1月30日的《科学》杂志上,来自麻省理工学院媒体实验室、丹麦奥尔胡斯大学和新泽西罗格斯大学的几名科学家发表了一篇论文,证明了仅需4组较精确的支付时间、支付商家和交易数额,就基本可以确定持卡人的所有消费记录,准确率可达90%;甚至仅仅有较模糊的支付数据,也很有可能泄露消费历史。[1]

(Jerrusalem/译)距去年6月的棱镜门事件已经过去一年了,密码学已然从计算机科学的角落一跃登上了舞台中央。用户隐私团体和日益壮大的加密技术企业开始向大众宣告,给一切事物——电子邮件、信息甚至极限运动的GIF图——进行加密,是有可能实现的。

Wi-Fi的方便之处在于不用拖着根线,只要在信号范围内,走到哪儿都能用——而无线电波给你带来的这种便利,攻击者也能享受到。为防止别人能这么方便地看到的你上网的数据,就需要对这些数据进行加密。WPA2是目前最常用的Wi-Fi加密协议。之前还有WPA,更早还有WEP。

研究者们取得了一个匿名信用卡消费数据集,其中包括了来自某个经合组织国家的110万人在1万个商家的消费记录。这份数据集很简单,只有用户ID、支付数额、精确到天的支付时间和精确到商家的地点,而没有明显的身份信息,没有电话号码,没有姓名,也没有住址。但是即便如此,通过对消费空间、时间和消费能力的对比,他们还是能够将消费记录和某个用户ID对应起来。

当然,我们仍需要一步一个台阶地来建立起真正的个人在线隐私系统,但至少我们现在正在靠近这个目标。仅仅依靠加密来隐藏信息内容,却将信息发布者暴露在外是不够的。相反,如果用匿名密码工具完全隐藏自己的身份,成为畅游于网络里的“黑影人”,那么监听者可能都不知道上哪儿去找你的交流信息,更别提偷看了。“在网络森林里隐藏好自己。”安全专家布鲁斯·施耐尔(Bruce Schneier)给出了躲避国家安全局的贴心小提示,“越隐蔽,越安全。”

WEP的全称是“Wired Equivalent Privacy”——“有线等效加密”。意思就是说:用了这个加密,能让无线网络和有线网络一样安全。所以WEP这个名字其实充分体现了设计者中二的大无畏的勇气。悲剧的是,WEP诞生后没几年就被证明是不安全的。即使以现在个人电脑CPU的运算能力,也分分钟就可以破解得到密码。

图片 1左图表示了用户ID为7abc1a23的持卡人按照时间顺序排列的消费行为。每笔消费的金额被归到不同的区间。图片来源:研究论文

如何化身“黑影人”?

Tor(The Onion Router)或许不是网络匿名访问的唯一手段,但毫无疑问它是目前最流行、最受开发者欢迎的。这个免费、开源的程序可以给网络流量进行三重加密,并将用户流量在世界各地的电脑终端里跳跃传递,这样就很难去追踪它的来源。大部分的Tor用户只把它作为一个匿名浏览网页的工具,不过实际上它潜力十足:Tor软件可以在操作系统后台运行,创建一个代理链接将用户连接到Tor网络。随着越来越多的软件甚至操作系统都开始允许用户选择通过Tor链接发送所有流量,这使得你几乎可以用任何类型的在线服务来掩盖自己的身份。

图片 2Tor的logo。由于Tor可以通过层层保护将用户信息包裹起来,因此被形象地比作洋葱。图片来源:torproject.org

有些用户甚至会尝试把Tor用在他们所有的通信中。“这就像素食主义,”隐私活动家、前开发者鲁纳·山德维克(Runa Sandvik)说道,“你只吃特定的食物,我只用Tor。我上网的时候不会被定位,也不会被追踪,我喜欢这主意。”那具体操作过程应该是什么样的呢?这儿给出了各种保护你在线生活的“黑影人斗篷”。

图片 3图片来源:CrowdStrike

这意味着,只要知道你的几次信用卡交易具体信息,就可以知道你的所有信用卡消费记录。这可能不是件新鲜事,毕竟信用卡数据早已用于个人信用评价、欺诈检测和购物模式分析了。实际上,信用卡公司可能比你还早就知道你的信用卡被盗用——每个人都有独特的购物模式。

浏览器

Tor浏览器是非盈利性质的Tor项目开发的一款免费应用。它是火狐浏览器的安全强化版,可以把你所有的网络流量都通过Tor的匿名网络加密。得益于三重加密系统和让流量在全球的电脑上传递,Tor浏览器可能是最接近真正的网络匿名的工具。

不过,坏消息是,它会很慢。

“浏览器的速度正在变快。”隐私专家米加·李(Micah Lee)说。在过去的一个多月里,除了浏览需要flash或者其他插件的网页,李已经将Tor当成了主要的浏览器。

在开始尝试一星期后,李表示换一个浏览器还没什么感觉。“虽然并非完全必须,不过也没什么不方便。”他说,“而且确实对我的个人隐私保护有好处。只要在网上,任何人在任何地方都会被追踪到,但你可以选择隐藏好自己。”

所以后来人们又设计了WPA,全称是“Wi-Fi Protected Access”——“Wi-Fi保护访问”,这名字就收敛多了。有了WEP的教训,设计者们在WPA中使用了更健壮的加密算法、更长的密钥等一系列加强的安全设计。所以使用WPA的Wi-Fi网络就没那么容易被破解了,除非你设置了非常简单的密码,或者在路由器上启用了WPS功能——是的,启用WPS虽然方便,但也会让Wi-Fi更容易被破解。

但这项研究揭示了一种新的危险——我们往往认为在一大批匿名数据中,很难将特定用户与ID对应起来,但这项研究则证实并非如此。个人消费的独特性比我们以直觉得出的结论要高得多。

电子邮件

想发送匿名邮件?最简单的方法是使用Tor浏览器的电子邮件服务。不过首先你需要在Tor Mail申请一个新邮箱(该服务已于2013年8月10日下线)。不同于其他需要提供手机号码才能申请的邮箱(比如Gmail),申请Tor邮箱无需提供任何个人信息。

山德维克同时推荐了一款一次性的电子邮件服务:Guerrilla Mail。只需轻轻一点,你就可以建立一个新的、随机生成的邮箱。如果和Tor浏览器结合使用则效果拔群:没人(包括Guerrilla Mail本身)能通过这个临时邮箱追踪到你的IP地址。

然而对电子邮件进行信息加密可不是件容易的事儿。用户通常需要通过复制和粘贴来把信息弄进文本框,然后还要使用PGP(Pretty Good Privacy,一个隐私保护程序)来加密和解密。为了避免这一麻烦,李建议使用有隐私保护的邮件服务商,比如Riseup.net,或者使用 Mozilla开发的邮件程序Thunderbird、隐私插件Enigmail或者可以通过Tor发送信息的插件TorBirdy。

图片 4《名侦探柯南》中的“黑影人”一直是全剧中最神秘莫测(误)的角色。现在Tor技术可以让你在网上也做一个“黑影人”。图片来源:cswomen.cn

而WPA2是在WPA的基础上,用了两种更安全的加密算法,所以理论上更加安全。不过在信息安全领域,完美的设计不一定被完美地实现,金钟罩被找到容易捏碎的关键部位的例子从来都不罕见。比利时鲁汶大学的研究者Mathy Vanhoef刚刚公开了一项关于WPA2/WPA安全性的研究[1],声称该协议存在很大安全问题。

值得注意的是,女性用户比男性用户更容易识别,高收入用户也比中低收入用户更容易被识别。这份数据集还算全面,因此也可以认为在真实世界中,我们的消费记录也并不安全——这份数据集中,24%用户为女性,76%用户为男性;39%用户收入水平低于收入中值,35%用户收入水平在中值和2.5倍中值之间,还有22%高于2.5倍中值。

即时通讯工具

Adium和Pidgin是Mac以及Windows上最常用的支持加密协议OTR的即时通讯客户端,Tor也同样支持该软件。不过Tor现在正在打造一款更安全的匿名即时通信软件,Instant Bird。该软件预计将于在七月中旬面世。

本文由奥门金沙网址发布于科技,转载请注明出处:还原你的购物模式,让你变身互联网

上一篇:怎么着是数额分析做不了的,用公家WiFi上网会损 下一篇:没有了
猜你喜欢
热门排行
精彩图文