真的安全吗?那么他们是怎么抓人的?——洋葱头会让谁流泪(三)

(泡泡特约)简单的加密已经远远不够。2016年,美国宾夕法尼亚大学和法国洛林大学的研究人员发表了一篇论文,报告了一种通过植入“陷阱门素数”被动解密加密通信的方法。

这项技术引人注目之处在于他们是向 Diffie-Hellman 密钥交换协议使用的1024位密钥中植入陷阱门。

陷阱门是加密学中的后门,构建陷阱门可以让因式分解变得更简单。NSA或类似机构如果能让主流加密规格采用一个或多个陷阱门素数,那么它们就能够轻松的监视数以百万计的加密通信

Edward Snowden 泄漏的文件曾披露 NSA 能够大规模的监听加密通信

NIST早在2010年就推荐将密钥长度从1024位增加到2048位,但1024位密钥仍然被广泛使用,调查发现,Top 200,000 HTTPS 网站中有22%使用1024位密钥去执行密钥交换。Java 8 不支持长度超过1024位的密钥……

近期的消息显示,又一项参议院法案即将到来,旨在管理私人设备中的加密功能。也就是将监听加密的行为合法化、便捷化。参议院司法委员会的官员近几个月来一直在与美国大型科技公司的代表进行对话,以征询未来可能立法的反馈意见。
据称这一过程是特朗普政府内部解决所谓的“黑暗”问题的更大推动力。“黑暗”是指执法机构无法绕过的设备加密(当权者想看到一切,只要看不到的地方都被称为“黑暗”)。EFF 和隐私倡导团体批评官员绕过加密的努力:
加密没有什么“解决方案”,不应该削弱设备的安全性。

纽约时报最近报道说,联邦调查局官员一直在与学术界专家讨论技术选择,这可能会说服美国科技公司为执法机构获取客户数据创建秘密数字渠道!

这件事是近期隐私安全/密码学界关注的重点。

情报部门为偷窥创造了一个可笑的新词,叫“安全加密”,指的就是能让这些情报机构顺利进出 随便溜达,并且用户还以为自己在使用“加密”。这是在羞辱技术,藐视隐私权。如下图,中国政府也追求这种可笑的东西。

从加密技术出现至今,这场战争一直在持续,甚至不可能停止。

尽可能说句公道话

可以说 Tor 网最充分地反映了数据保护者和安全局之间的斗争。随着不明就里的媒体宣传、情报部门的抹黑、和技术门外汉们的紧张,争议已经变得越来越强烈。

一方面匿名性可用于掩饰犯罪行为,这是侦查机构面对的难题;另方面,保持匿名是基本公民权利,不容侵犯(我很奇怪为什么很多中国人对实名制尤其崇拜,如果你曾经加入过一些中文社交网络群组就一定能碰到这种情况,群创建者要求“所有人实名标注群名片”,违者会被驱逐。完全无视基本人权。甚至可以说,把暴露隐私当成了“人权”,真是太惊人了)

Tor 就像 Robin Hood 小说“Sherwood Forest”那样,这里面藏着罪犯、自由捍卫者、反抗勇士、间谍和追求正义的人。现在的问题是:假设这里藏满了罪犯,而其中一个人会对社会作出非常积极的贡献,那么如果你推到整片森林 -- 杀死所有人,要付出什么代价?

更不用说,Tor 有自己的专业技术管理员,他们会负责关照“丝绸之路”、儿童色情等犯罪行为,服务器并不愿意为这些人提供庇护。在很多大型案件的侦查工作上都可能与 Tor 服务方建立合作。(这里是 Tor 的行为守则)

再换个角度想想看,很多支持禁止 Tor 网的人认为“可怕的内容”貌似就出自匿名网络。但要知道,那些视频并不是互联网制造的, 而是在现实世界中某个角落拍摄的,真正应该遏制的是这些拍摄地点吧。

但是执法者可不满足于 Tor 的正义感

2011年,Anonymous 发起了Operation Darknet行动,一项针对暗网的反儿童色情活动。由Freedom Hosting 托管的 LolitaCity 其中一个最大的网站被拒绝服务攻击(DDoS)。后来在SQL注入攻击后泄露了其成员列表,就像链接到它的The Hidden Wiki一样。

新闻报道将当时一个Firefox浏览器漏洞与美国联邦调查局(FBI)针对 Freedom Hosting 的所有者 Eric Eoin Marques 的行动联系起来。2013年8月,人们发现许多旧版本的Tor Browser Bundle 中的Firefox浏览器容易受到 JavaScript 攻击,因为默认情况下 NoScript 未启用。

这种攻击被利用来将用户的 MAC 和 IP 地址以及 Windows 计算机名称发送给攻击者。联邦调查局在2013年9月12日都柏林法庭上表示对这起袭击事件负责。

Snowden 泄露的培训演示进一步表明,该漏洞的代号是 EgotisticalGiraffe这里的超链接指向原文件在线版

今天看来这些已不再是新鲜事。监视者的技术一直在上升,Tor 的更新技术正在努力跟上这一速度。但正是这件事的影响之深远,引发了很多非技术用户对 Tor 本身的疑惑。

Tor 真的安全吗?那么情报机构是怎么抓人的?

“这一次调查过程中,国外同事成功进入 Tor 网,并侦查破获与今为止全球最大的团伙,涉及 25万恋童癖者及200万张儿童色情图片……联邦事警察局发现,网上儿童色情提供者利用 Tor 技术隐藏身份……” —— Jörg Ziercke(德国联邦刑事警察局局长)

好吧,大家都知道这是宣传,但听起来还是很可怕对吧?那就详细说说这件事。

Tor 网最大的匿名托管服务器 Freedom Hosing 被FBI控制、以及公司创始人 Eric Eoin Marques 被捕的消息在媒体中病毒式传播:这是在“丝绸之路”前,对隐藏服务不可攻击神话的第一击。

德联邦刑事警察局和FBI联手,据说还有其他美国情报机构,一起致力于打击 Tor 的托管服务器。尽管 Marques 声称一直以来只是为所有人提供储存空间,无须对内容做审查。

显然 Marques 认为暗网非常安全万无一失。隐藏服务至今都被视为不可触及,并能有效地保护服务器位置。Marques 在这里创建并运营着他的数字帝国,躲开了情报机构的天眼,直到黑客组织“匿名者”出现。

Anonymous 攻击了视频服务器 ——在僵尸网络中同时关闭了许多台向服务器发送请求的计算机,直到服务器负载不再可用。此次行动是向 Marques 发出警告:我们要把你赶出这里!

在 Tor 页面上,用户捍卫隐藏服务,他们指出:从原则上讲,技术本身是中立的,人们既不与 Marques 及其服务器产生任何关联,也不支持其从事的交易。Andrew Lewman 是 Tor 开发者团队的前核心领导人,他说,“我们与刑事侦查机构合作,是因为我们不想看到 Freedom Hosting 这样的服务器……我们有意愿和官方机构对话,向机构解释我们所做的,以及为什么要这样做,避免官方机构带着特警队去拜访中继服务器的运营者”。

被匿名者攻击后,Freedom Hosting 暂时下线,但同时它经由 Java-Skript 向所有想获得资料而点击网页的人传送恶意软件。该软件自动安装在浏览者的电脑中,自动收集IP信息和位置,最后将其发送到位于兰利的服务器——中情局总部。

他们利用就是“零日漏洞 Zero-Day_Exploit。这里指向更多详细介绍。

这还不是全部,一切取决于刑事侦查员的创造力。他们一直在绞尽脑汁研究这些玩意,其中主打的“绝招”之一就是“蜜罐 Honeypots”系统。有各种不同的蜜罐系统,可不完全是打击犯罪用的。电信局也会用蜜罐,查找谁在攻击网络,把握整体形势。

蜜罐是在 Java 中加入破坏脚本,并立刻在 Tor 主页上出现安全警告。同时,不同的计算机和技术媒介会报告,网络有安全漏洞,因此网络不再是不受破坏的。

可以想像,这样的情况会像流言一样传播开来,因为每当网络有一个小漏洞时都会引发更多的猜想,人们会怀疑存在各种安全漏洞。

但对Tor来说漏洞不是问题,他们会很快修补,没有哪个软件比Tor的更新频率更高了吧。

毫无疑问情报机构也用蜜罐系统。就像 Glenn 最初想用 Snowden 的文件时所证明的那样,国家安全局和英国情报机构政府通信总部(GCHO)不仅监控互联网,他们还参与网上活动。

能读取信息的人,同样也能写信息!正因为这样,监控构成对民主的最基本威胁当权者会利用在网上推送邮件、图片和视频,有目的地进行个人诽谤。

某情报机构内部展示的报告中,有10页详细介绍了如何利用伪装或蜜罐系统。Glenn 主编的独立媒体 The Intercept 专门介绍了这些监控者有目的地篡改博客评论、或者Facebook消息,就是抹黑,为了将目标人物“排除出组织”。

这些信息出现在展示给“Five Eyes”五眼情报联盟的幻灯片中。该文件称,“蜜罐是一个极佳的选择和方法”、“它是一个伟大的系统”……

不管你对Anonymous、“黑客行为主义者”还是其他人持什么样的看法,你都无法否认,秘密的政府机构能够瞄准任何他们想要的个人,这种事是多么的危险——这些监视者从来没有被指控过,更不用说被定罪了 —— 他们都采用了这种基于欺诈的在线诱捕手段来污蔑和破坏声誉。

以下图片来自 The Intercept:推荐这篇 JTRIG 文件:“The Art of Deception: Training for Online Covert Operations.”这是一个52页的文件,尤其是中国异议,应该学习下这些经验和教训

肮脏的手段

蜜罐攻击针对的不仅是政治、人权和社会活动家、或者当局的任何一种眼中钉,还包括公司:这些公司会被“通过有针对性的攻击搞垮”——“通过终止正在进行的或已达成的交易”——这是英国情报机构政府通信总部在其报告中介绍的。

此外这种手段还会假装记者的头像和邮箱,利用他们的可信身份与其现有的好友和粉丝联系。有目的地影响政治性网页和网上舆论,通过主动参与 —— 而从不暴露这一切行为背后操纵者的身份!

通过连接互联网核心的光纤电缆,英国情报机构政府通信总部成功对 Wikileaks 用户的IP地址进行了实时监控。情报机构将监控系统命名为 ANRUCRISIS GIRL。美国军队在2008年宣布“Wikileaks 是美国人民的敌人”——完全无视众多美国人民在支持独立媒体 Wikileaks 的出版,和中国政府的全面代表人民没有本质区别了。更为可怕的是,美国情报机构直接截屏并展示了他们是如何追踪全球范围内登录 Wikileaks 网页的人的IP,这就是他们说的所谓“摧毁网页背后的用户网络”。

需要警惕的是,从Tor网用户以及Tor的公共表现来看,监控系统的持续有效性已经不容否定。尽管长久以来大部分安全漏洞都被排除,而像匿名者的攻击行为仍然会被再次利用。对于依赖网络匿名性的用户来说,每一次对 Tor 的攻击都是敏感的,这在于事件的自然属性。

但恶化的结果是,互联网很多用户开始趋向妥协、放弃和恐惧。而这恰恰是监控者最期待的结果 —— 和恐怖主义行为的逻辑一样,其目的并不是袭击本身,而是通过袭击扩散并加深恐惧感,直至所有人的心理被袭击者控制住。

污蔑从未停止,反抗也是

Freedom Hosting 的遭遇和“丝绸之路”网站的遭遇让一些人开始沮丧,进而怀疑技术本身。非法卖家陆续离开深网,而持不同政见者和反对派有联络人,他们与Tor出口节点运营商保持联系,运营商会告诉你不要相信报纸上的东西,技术是安全的,新闻是当权者的宣传战术。

更有很多人开始就此污蔑匿名技术,尤其是那些被审查者洗脑的人,他们和审查者说着同样的话,认为“匿名是违法的来源”。这是胡扯。

互联网给予每个人同样的规则和空间,我们都在这个空间内活动,做为数字通讯的参与者。这些规矩中自然也包括掩饰身份的途径和方法,如Tor或VPN。但并不是每个利用这些方法掩盖身份的人都会做坏事。

使用Tor的用户中也有很多在各自国家中不能登录真正的互联网、或不能自由发表观点的人,有了Tor网他们就不会再受到压制。如果他们被当权者追踪到,很有可能被捕甚至面临死亡危险。

很明显的一点是,虽然虚拟犯罪在数量上远不及传统犯罪,但它有极强的政治轰动性,因为无论是普通网民还是事件受害者,都不知道该如何有效地保护自己不受网络攻击。大多数人对此表现虚弱无力。

就像你一般会想,在自动提款机前要各种小心,输入密码时要用手挡住键盘,不过多年前就有了一种针孔摄像机,可以安装在密码键盘下方进行拍摄,对于这样的手段,银行终端机的键盘罩和防窥膜是起不到任何保护作用的……人们面对网络攻击时的心情也差不多。不过还是有很多小的举措能发挥真正的保护作用,比如谨慎浏览、不要轻易泄漏个人信息、花点时间仔细看看应用的隐私条款等等。(这个超链接指向针对隐私条款的具体分析)

我们需要匿名,只有真正的匿名才能摆脱国家肆无忌惮的监控,才能保护言论自由。这种追求本身就是对人权的捍卫,不容置疑。从政治角度上讲,全部领域都需要像Tor这样的匿名服务器。

任何事情都不可能只有优点或只有缺点,就像很多人现在一提Tor就只会想到暗网,一说暗网就只能想到犯罪,这是非常偏执的。Tor 网的薄弱之处在于公共设施,如果对每一个用户都开放使用,那么就可能会遇到恶意的用户,或滥用匿名权做非法的事,或是出于破坏匿名服务的目的。这是对Tor的“一个挑战”,不是对你的。

在德国,储备信息存储遵循明确的规定和严格的控制,与美国国安局之所为完全没有可比性,刑事侦查机构绝不会肆意收集信息和监控公民。Snowden 之后被讨论最多的就是那些做得太过分的情报机构,还有一些私营公司。

对 Tor 的争议终究是一个政治问题:自由和安全权利的界限在哪儿?—— 做为公民你我应该享有自由,这种追求是正确且合理的,就像在现实生活中谁也不想把身份证挂在脖子上让所有人围观。

并且,完全匿名操作本身的难度已经自动控制了犯罪人数,很多罪犯缺乏技术能力和知识,再加上必然受限的网速也会让一些犯罪分子失去兴趣。

人们不该对Tor存在偏见,即便没有Tor,犯罪依然会存在,网络犯罪分子也依然会行动。但另一方面,加密和匿名性也的确帮助掩饰了痕迹。但你不能说犯罪者会首选匿名技术,并在匿名网络中找到安全港。

—— 未完待续 ——

评论

<a href="http://sildenafilnoednorx.com/buy/sildenafil-citrate-online-pharmacy.htm... sildenafil</a> <a href="http://diflucan.joburg/med/diflucan-50mg.html">diflucan prices</a> <a href="http://diflucan.joburg/med/order-diflucan.html">diflucan</a> <a href="http://buytadalafil.network/1/best-price-generic-tadalafil.html">tadalafil online canada</a> <a href="http://prednisone2020.com/order/20-mg-prednisone.html">20 mg prednisone</a> <a href="http://diflucan.joburg/med/diflucan-online.html">fluconazole without script</a> <a href="http://buynexium.network/nexium-medication/nexium-cheap.html">nexium 40</a> <a href="http://diflucan.joburg/med/buy-diflucan-prescription-med.html">buy diflucan yeast infection</a> <a href="http://buynexium.network/nexium-medication/nexium-20mg.html">nexium over counter</a> <a href="http://diflucan.joburg/med/diflucan-400-mg.html">diflucan online</a> <a href="http://buyfurosemide.network/buy/furosemide-40mg.html">furosemide 20 mg tablets</a> <a href="http://diflucan.joburg/med/buy-diflucan-cheap.html">buy cheap diflucan</a> <a href="http://lexaprofastdelivery.com/pharmacy/lexapro-medication.html">lexapro medicine</a> <a href="http://lexaprofastdelivery.com/pharmacy/cheap-lexapro-online.html">cheap lexapro online</a> <a href="http://diflucan.joburg/med/diflucan-50-mg.html">buy diflucan medicarions</a> <a href="http://buyfurosemide.network/buy/furosemide-40-mg-diuretic.html">furosemide 40 mg diuretic</a> <a href="http://diflucan.joburg/med/diflucan-no-prescription.html">buy diflucan cheap</a> <a href="http://atenolol.irish/shop/tenormin-50mg.html">atenolol 50mg</a>

<a href="http://buyalbuterolonlinenorx.us.com/">proair albuterol sulfate online</a>

<a href="http://ordervaltrexonline.us.com/">buy real valtrex online</a> <a href="http://clonidine.international/">clonidine hcl 0.2mg</a> <a href="http://buyxenical.network/">xenical</a> <a href="http://buydiflucan.network/">buy diflucan</a> <a href="http://benicar.network/">generic for benicar 20 mg</a> <a href="http://bupropion.recipes/">bupropion sr 150 mg tablets</a>

<a href="http://sildenafilnoednorx.com/buy/sildenafil-citrate-100-mg.html">silden... citrate 100 mg</a> <a href="http://atenolol.irish/shop/atenolol-price.html">atenolol no prescription</a> <a href="http://buyfurosemide.network/buy/furosemide-tab-40mg.html">furosemide tab 40mg</a> <a href="http://avalide.network/avalide/generic-avalide.html">avalide 150 12.5</a> <a href="http://vardenafil.capetown/antabuse/antabuse-no-prescription.html">antabuse no prescription</a> <a href="http://sildenafilnoednorx.com/buy/citrate-sildenafil.html">sildenafil products</a> <a href="http://diflucan.joburg/med/buy-diflucan-150mg.html">buy diflucan online without prescription</a> <a href="http://lexaprofastdelivery.com/pharmacy/cipralex-usa.html">cipralex usa</a> <a href="http://atarax.wtf/3/atarax-tablets.html">found it</a> <a href="http://lexaprofastdelivery.com/pharmacy/cost-of-lexapro.html">lexapro cost</a> <a href="http://buycafergotonlinenorx.us.com/index/cafergot-pills.html">cafergot generic</a> <a href="http://vardenafil.capetown/cialis/buy-online-cialis.html">buy cialis generic</a> <a href="http://atenolol.irish/shop/atenolol-tenormin.html">tenormin atenolol</a> <a href="http://buykamagraonlinenorx.us.com/buy-online/kamagra-for-sale.html">kam... for sale</a> <a href="http://lexaprofastdelivery.com/pharmacy/medicine-lexapro.html">medicine lexapro</a> <a href="http://antabuse.capetown/2/disulfiram-antabuse.html">disulfiram antabuse</a> <a href="http://prednisone2020.com/order/20mg-prednisone.html">20mg prednisone</a> <a href="http://lexaprofastdelivery.com/pharmacy/lexapro-escitalopram.html">no prescription cipralex</a> <a href="http://lexaprofastdelivery.com/pharmacy/lexapro-online.html">lexapro online</a> <a href="http://lexaprofastdelivery.com/pharmacy/how-much-does-cipralex-cost.html... much does cipralex cost</a>

<a href="http://levitranoed.com/">buy levitra vardenafil</a>

<a href="http://diflucan.joburg/">buy fluconazole</a>

页面

冒个泡吧!

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。