北风专栏:你的电子信息是如何被泄漏的

今年年初,湖南长沙当局抄了网友“一木”的家,抄走了他近期拍摄的“长沙这些民间人士”的纪录片的资料与电脑主机,部分资料没有备份,前期工作全部白费,损失惨重。

2012年,作家吴仁华曾发推说,“最近电脑崩溃,最重要的八九六四资料虽已外存,但十多年搜集的资料实在太多,有的还是没有外存,包括最新版的逾五千张照片的《图说天安门事件》。沮丧多日。”

类似的事情,时有耳闻。不管是普通网友还是敏感人士,总是随时要面对因个人习惯、人为攻击、当局迫害等种种对信息、账户和资料安全所造成的威胁。

应泡泡网的要求,我将在这里撰写一系列的文章,给朋友们介绍关于网络监控的一些基本情况,提供一些网络安全的基本知识。希望朋友们在阅读完这一系列文章之后,极使在最极端的情况,还能够保证自己的资料、账户和人际关系的安全。

不过,我要强调的是,不管怎么做,都是有限度的防护,尽量通过管理的手段,将损失降到最底。2013年8月底,河北清河的赵某在贴吧内发了条信息:“听说娄庄发生命案了,有谁知道真相吗?”,被拘留了。这种恶劣的环境,大概做什么也没用,要不就想办法改变环境,要不就只能自求多福了。

个人信息安全管理(1)防不胜防
我多年来一直在从事与中国互联网自由相关的工作,包括推动翻墙问及、安全培训及利用新媒体推动社会运动。也许是与我从事的工作有关,近年来我遭到各种不同方式的攻击,包括钓鱼、垃圾轰炸等。我的Gmail邮箱几乎每天都会收到钓鱼邮件,稍不留意,就有可能被偷去密码。我的Gmail邮箱还曾经受到高达每小时5G的信息轰炸,Gmail提供给免费用户的总空间才8G,如果我不加以处理,用不到两小时,我的邮箱就会因被塞满而瘫痪。我的推特(Twitter)账号,最多一天被人发来59万个@(Mentions提示),导致我完全不知道谁回应了我或跟我说话。这么高强度的攻击,对我并没有造成实质的损害。前不久,我还同时因为意外丢失了我的手机和电脑,同样我也没有在资料、账户和人际关系有任何损害。如何做到?

 

在中国从事人权工作或民主转型工作的人,甚至是普通用户,总是有这样那样的担心。如,电脑一蓝屏,就觉得电脑是被他们入侵了;电脑的防火墙监测到很多扫描,就觉得自己成为了他们的监控目标;电脑使用一段时间变慢了,就觉得是被他们控制了电脑;最常见的,就是通话时有些背景噪声断线之类的异常,就会觉得自己被他们监听了。这些担心是不是事实呢?应该说,当一个政权想要从一个人那里获取到他们想要的东西,他们大致可以做到。他们拥有几乎无穷的资源——资金、技术及工作人员。

但实际上,他们并不容易做到。例如,当他们想黑入一台电脑的时候,从资金上,他们请得起全世界最顶尖的黑客为他们工作。但是他们却很难突破体制内层级结构的工资和待遇机制把顶尖黑客请回来工作,在体制内,一个小科员的工资不大可能比科长处长还高。对于技术高手来说,去商业机构要赚得更多的话,往往就没必要为他们工作了。当然,他们会把一些工程外包给商业机构,商业机构再从市场规则却决定有没有必要请顶尖人才回来。

他们的技术力量一般,用户如在自己的电脑上做足了安全措施,密码足够长,也安装了最先进的反病毒防木马软件,是不是就安全了?答案是不见得。

他们的惯常的做法往往不是从技术入手,而是一些意想不到的办法。例如,某异见作家发现家里的网络总是不正常,打电话去运营商要求修复,过没多久,穿着运营商服装的工作人员来了,作家打开电脑进入系统后,工作人员拿个优盘,插入电脑运行一个软件进行故障检测,不一会,网络恢复了。

这一切似乎都很正常,但存在另一种可能,他们已经在这个过程中完成了对该作家电脑的全面扫描和资料拷贝,甚至还植入了木马以便长期监控。他们先通通知运营商间歇性截断作家使用的网络,接获作家求助电话后,由他们的人扮演的“工作人员”便登门了。网络本来就没有故障,特工人员只是以这个借口使用特殊软件完成了工作。这成本可比聘请一个黑客高手入侵电脑小多了。至于要求运营商合作这种事,在中国这样的国家显然司空见惯。不通过运营商,在小区入户的宽带接口上动手脚也可以。

再比如,他们想知道一位博客作者的邮箱密码,钓鱼、木马、暴力破解这些黑客办法他们当然会用,但他们也会他们祖师父留下来的办法——在该作者经常坐在那个位置附近能看到键盘的地方装一个隐秘的摄像头。不管在电脑上输入什么样的密码,都会被拍摄下来。如果这位作者用的是台式电脑,他们也可能在键盘接口处加装一个记录接口,所有的键盘输入,都会被记录下来。这不需要太多的技术,他们只要趁该作者不在家的时候溜进去装好,过段时间后再溜进去把结果拿走。或是用无线传输的方式把资料发送。对于他们来说,开把锁显然要比黑入一部电脑要容易得多,也有把握得多。糟糕的是,不管这位作者在电脑里装了多先进的反病毒防木马软件,使用了多复杂的密码,都不管用。

他们是谁?他们关注哪些人?他们关注哪些内容?怎么办?后续的文章我会一一道来。大家会看到,要保障自己的资料、账户和人际关系的安全,技术只是很小的一个方面,“管理”才是最重要的。

评论

一些网站 真相 2字提交后,会自动变成 * * ,看来也是保护网民和网站啊

冒个泡吧!

Plain text

  • 不允许HTML标记。
  • 自动将网址与电子邮件地址转变为链接。
  • 自动断行和分段。
Type the characters you see in this picture. (使用语音验证)
填入上图所示的数字或者单词;如果你看不清,点击保存按钮,系统会为您重新生成您新的图片。不区分大小写。