网络隐私保护意识的薄弱与改进措施

本文最后更新于:5 个月前

注意⚠️

本文最开始为博主为班会准备的稿子,现做了一些修改后在博客发出。本文内容较为浅显且准备时间较短,故文中可能存在一些问题,欢迎批评指正。
当然,不欢迎杠精!

隐私的定义

“百度百科”上对于隐私的定义:

不愿公开的信息

“维基百科”上对于隐私权的定义:

隐私权,指个人人格上的利益不受不法僭用或侵害,个人与大众无合法关联的私事,亦不得妄予发布公开,而其私人活动,不得以可能造成一般人的精神痛苦或感觉羞辱之方式非法侵入的权利。是为众多法律系统所支持的一种人身基本权利。由于它的存在,政府民间团体的某些活动受到一定的限制。

隐私权是指个人或群体隔离自己或有关自己的信息的权利。在商业世界,人们可能会自愿提供个人详细信息,包括广告信息,以便获得某种利益。公众人物可能受制于公共规则。

中华人民共和国《民法典》对于隐私权的条例:

隐私权:自然人享有的对自己的个人隐私进行支配并排除他人非法干涉的人格权。任何组织或者个人不得以剌探、侵扰、泄露、公开等方式侵害他人的隐私权。

现代社会离不开网络,现代人也越来越习惯将隐私信息放在网络上。

事实上,许多人对隐私信息的定义仍然是模糊的。有人觉得照片是隐私,有人觉得手机号码是隐私,有人觉得凡是个人信息都是隐私。

不过”隐私”俩字的含义是只要是不想被人知道的信息都是隐私。以下内容都是根据我自己不想泄露的信息而给出的隐患和保护措施。

如果你不在意这些信息,请选择性忽略相关内容。

泄露的途径

直接泄露

在网络社会中,直接泄露隐私的危害性比从前更严重。

说不定只是不小心打出了自己的手机号和名字,于是就被他人记录了下来,然后卖给那些营销推广人员、诈骗犯们。

于是你接到一大堆知道你名字的骚扰电话。

这并非危言耸听:现在的服务器储存价格并不贵,机械硬盘几块钱几个T一个月,这对于大公司以及保存你的隐私信息并从中获利来说简直不值一提。

就像网络爬虫与端口扫描网站一样,它们每天都在网络上收集各种别人的隐私信息以卖给需要的人。
许多黑客动手前一步都是在某端口扫描网站[1]上搜索网站域名的真实IP以采用各种CC攻击或者其他提权漏洞攻击服务器。

所以各位中如果有通过CDN加速托管网站的同学一定要时时开启流量代理,不要暴露服务器IP。让CDN承受攻击

主动泄露

粗心大意

不经意间泄露自己的信息而忘了考虑泄露的后果

不重视

没有认识到隐私的重要性。当你认为自己的隐私泄露没有关系时,你并没有考虑到那些不怀好意的人:当歹徒知道你的经济情况与地址时,他可能就盯上你了;诈骗分子想方设法知道你的电话、姓名等信息以取得你的信任;你的照片可能被某个抠脚大汉套用以骗某个纯情男子;你的支付密码可以被用来登录你的账号以偷走资金……

被动泄露

有时候,即使你想方设法地保护你的隐私信息,但不知怎得,总会被泄露出去。那么这个时候,就要考虑”被泄露”的可能性了。

黑客攻击

这里我主要讲对于”连接“和“服务器”泄露的风险。关于通过漏洞获取信息的方式太多了,也不可能讲完。这里简单说说比较基础也比较常见的方法。

虽然现今各种”安全卫士“层出不穷,某360安全卫士更是在国内一家独大。很多人觉得只要安装了这种”安全卫士“就可以在互联网上畅行无阻了。这种观念是错误的。因为安全卫士只是保护了你的电脑不被木马和病毒入侵,却无法确保你的信息不被泄露出去。

网络通讯可以简单分为三个部分:客户端 连接端 远程端。这过程中,连接端和远程端都有可能泄露你的信息。有些经常上网的同学可能会发现Safari或者Chrome系浏览器有时候会在地址栏那里显示”不安全“的字样。这意味着你和这个服务器的连接处于http协议下,并没有被https保护,途径的一切服务器和ISP都能明文查询你和服务器的访问信息。

因为https协议是一个比较高深的话题,我在这里就不详细讲了。

不过即使启用了https协议依旧有两个风险:(MITM中间人攻击)

  1. 服务端泄露私钥导致连接被解密

  2. 客户端被安装恶意证书解密。

第一个风险相当与你和服务端的密码被别人知道了,于是别人就可以通过这个密码访问你到这个服务端的信息,包括密码等一切隐私信息。

第二个风险意味着你发送向外界的一切信息全部被解密,恶意证书的所有者将知道这个设备对外界的一切访问。只要服务端没有单独的加密协议,那么这些信息都将公开被知晓。所以千万千万千万小心,不要随意安装证书(iOS上称其为描述文件),除非你对这个证书知根知底。

恶意读取

现今操作系统中,除了严格限制读取权限以及使用沙盒机制外的苹果系列系统,以及对于系统有极端掌控欲的Linux高玩,所有其他系统都面临着文件读取、写入权限管理混乱的问题。即使Google在上个月(2022.2)发布了安卓将引入沙盒机制的消息,大家对此依旧充满担忧:Google从不作恶已经成为笑话,权限管理做的不如几款第三方软件,会不会被国内OS加入还是一个问号,这真的会给安卓系用户带来福音嘛?

他人泄露

“他人”不只指人,还包括那些服务提供商。就像网站泄露注册信息,学校泄露家长电话,CDN泄露IP等情况太多了。

一个很简单的例子:我们至今不知道某度网盘会不会泄露数据。明明只是一份简单的视频文件,却被替换成只有十几秒的视频。[2]

这种情况都会发生,我们还有什么理由相信某度网盘[2]会加密我们的数据?

这些服务商泄露数据也不是一天两天的事儿了。真正能顶住压力的商家终究是少数。除了从一开始就主打端对端加密的MEGA网盘外,连最硬气、力扛FBI坚决不解锁iPhone的Apple都在iCloud端对端加密服务这方面低下了头颅,FBI坚决不会允许拥有如此庞大用户群体的iCloud云盘被完全加密,现阶段没有丝毫解密的可能性的服务被提供。这使得Apple只能在部分安全敏感信息上采用绝对加密,例如健康数据、iCloud钥匙串和iPhone相关信息。

间接泄露

尽管有些人很重视隐私保护,但总是发现自己的隐私被他人知道。许多人总是不经意间泄露隐私出去。明明只是发了个挡住眼睛的自拍,却能够被知道位置在哪儿。

这是个很简单的事情,凭借搜图工具,亦或者其他照片上较为明显的标志,都能很轻松的找到这个照片的关联信息,从而使你的隐私泄露。

关注方面、兴趣爱好、性格等隐私也是各大公司重点关注的方面。下面我讲两个较为常见的间接泄露隐私的渠道。

综合侧写

事实上,在2021.11.1没有执行《中华人民共和国个人信息保护法》前,各大公司对于数据收集简直是可以以“猖狂”二字来形容。

举个例子,某音作为全球下载量最高的软件,它无疑是具有极高的人气的。而是它如此迷人的原因,正在于它对用户信息大分析与定向推送。

它的推荐算法是个黑盒,但运行机制大致如下:审核人员对视频打上初步分类,在第一档推荐池内进行初步标签,接着通过用户行为筛选出优良视频,然后推送至第二档及之后的推荐池不断优化视频tag,最后面向整个某音拥有视频相关tag的用户。

体现在用户上,就是用户们觉得某音视频推荐的极其符合胃口,特别吸引人。

当然,真正的算法没那么简单,某音绝对具有一个优秀的机制来保证流量。

在这个过程中,某音收集了以下数据:用户姓名、头像、手机号码、视频观看时长、点赞对象、关注等信息。

而这些信息通过对你每次观看的数据再次优化,最终生成一份用户侧写,囊括你的喜好、兴趣、性格等隐私信息。

而这些信息,又会被某音共享给其他公司,例如某宝。

于是,当你在某音上盯着一款手机的参数看了很久后,某宝就会不断给你弹出手机的优惠,听起来就细思极恐对吧?这些技术还有个名字:大数据分析。

其实这些东西给那些大公司也没什么问题,毕竟人家需要提供优质的服务嘛。

可是,这些信息并没办法被完全妥善的保管,一旦被有心人得到,可能被针对性的会有无论是诈骗还是针对,甚至对人身安全产生威胁的行为发生。

近年来,这种提供“个性化服务”的行为越来越普遍,它也从一种优质的服务变味了。因为你提供的所有信息都来自于你过往的数据。这也就意味着,你没有办法跳出舒适圈获取新的内容,这便是“信息茧房”,也可以说是“回音室效应”。

这次的演讲是关于隐私的,就不细讲了。感兴趣的同学可以在网络上搜搜,自己看看。

跟踪信息

在上一个部分中说到了某音和某宝共享信息。事实上这并不是特例,各大公司为了实现利益最大化,都进行了数据共享。

但利益牵扯永远是复杂的,所以这种信息共享在最后变成由平台负责。

这种平台一般叫做“xx分析”、“xx analytics”。

国内,提供这种跟踪服务的公司叫“百度分析”,而国外叫“Google Analyics”。

了解Apple的同学可能知道iOS 15推出了“拒绝跟踪”的功能。

国内百度不怎么敢和Apple较量,且百度盈利并不怎么靠这种跟踪,所以没怎么在意。

但谷歌的90%多的盈利都靠广告。所以iOS这项服务推出后,许多人猜测两家公司会打起来。

结果谷歌反而是最支持苹果的。因为国外谷歌搜索几乎把握所有流量,完全不需要靠这个分析,而是直接通过搜索记录分析,于是戏剧性的一幕发生了:“Apple禁止跟踪”被全球最大跟踪器Google分析支持。

除了这些自动跟踪,有些无良公司还嵌入了便于主动跟踪的代码。这个技术很常见,例如绝大多数打印机都具有这个技术,方便追踪文档泄密者与伪造钞票者。豆瓣之前就被曝光在网页使用追踪代码,滴滴在应用中嵌入对比度代码。[3]这只是一些比较明显,可以被轻松察觉的。那些不容易察觉的跟踪代码通常被使用于应用之中:通过网页字体、屏幕大小、间距、时间、ip等多重信息生成跟踪代码。这些信息看似很常见,但事实上,几百万人中都不会出现完全一模一样的跟踪代码。

保护措施

看了那么多的隐患,是不是感觉自身已经被扒光,什么隐私都不剩了?别慌,密码学家与算法工程师、白帽黑客、SRC[4]每天也在想着怎么保护你的隐私。下面我们看看哪些保护措施可以实施。

增强隐私保护意识

警惕套取信息

钓鱼网站和诈骗网站便是为”套取信息“而服务。所以遇到那些不明链接千万别傻乎乎点进去。因为对于网站所有者而言,只要你点进去,它就赢了。网站可以根据你的访问得知你的访问IP、语言、设备、Cookie、追踪信息…千万别看到个链接就去随便点!同学们可以进入看看whoer.net仅仅根据DNS查询信息就可以知道什么。

当然,除了这种套取信息外,也要警惕那些”卖茶小姐姐“,”纯情小哥哥“们的骚扰,诈骗犯们可是”专业“的。说不定这些人背后都是抠脚大汉呢。

不使用有隐私泄露风险的软件

有隐私泄露风险的软件太多了,例如微信(bushi

2021年6月,工信部对天涯社区、大麦、途牛旅游、VIP陪练、脉脉等90款侵害用户权益的App进行了下架处理。

所以使用软件是一定要注意使用被信任的软件。如果开源就更好了,因为开源意味着全网程序员都在审查,防止app存在隐患。我推荐几个安全保护Max的软件:Telegram,Tor,MEGA,Cryptomator…它们都使用了End-To-End端对端加密技术,并基本开源。

有些人觉得Telegram不安全,这个不用和我杠,因为Telegram只有开启”加密聊天“才是完全体,这种状态下的Telegram除非是实现了量子霸权的量子计算机才能短时间内破解.有人算过,用2015年全球能源去喂养Antminer R4矿机来穷举破解AES-256加密需要6.3619305×1053 s。[5]

密码等高风险信息妥善保管

密码这种风险过高的隐私信息一定要妥善保管。一般来讲,我们现在创建的密码都太多了,一般人根本记不住,而保存在那些文本应用里又担心泄露风险,那么你可以使用密码管理器。

我推荐几个比较安全的:

  1. KeePass(开源)
  2. BitWarden(开源,可自行部署)
  3. 1Password(闭源,付费)

2FA双重验证

  • SMS验证码

  • TOTP验证码

  • 安全密钥

  • Recovery Code

SMS验证码就是普通手机短信验证码。

TOTP验证码就是微软Authenticator、Steam手机令牌、Apple双重验证使用的技术。Apple Keychain和1Password、Bitwarden现已支持TOTP验证码。

安全密钥即为Face ID、Windows Hello、Touch ID等FODI验证方法。

Recovery Code就是恢复密钥,创建TOTP验证码时自动生成,唯一恢复TOTP的方法。

减少信任对象

有人说“只要我没有可以花钱的对象,贫穷就不会找上我”(笑

这其中透露的”奥卡姆剃刀原理”,也叫”简单性原则”十分清晰。

如无必要,勿增实体

尽可能减少信任的对象,由信任对象进行管理是一个不错的措施。比如你信任微信,那么就尽可能减少其他即时聊天软件的使用。比如你信任Apple keychain,那么就不要信任其他密码管理软件。这样可以有效减少泄密源,以免出现全局崩盘的局面。

技术层面阻断

拒绝追踪器

各大浏览器都有自己的“拒绝追踪器”的方法,一般在设置里有。如果没有,可以安装Duckducgo的隐私拓展,阻断追踪器。

Apple设备中,未成年人自动禁止所有追踪及启用强隐私保护服务且不可更改。你也可以在设置里自行启用。

定期清除cookie

可以简单将其理解为清除浏览数据。Cookie数据是网站保存在电脑本地的数据,一般用于判断登陆情况。如果不定期清除,遇到了XSS跨域脚本攻击,那么你的登录密钥有可能被窃取。不过这个登录Cookie通常是会自动销毁的,B站是30天。

文件加密

对文件进行加密是不错的保护选项。

Veracrypt和Cryptomator都是开源文件加密软件的极佳选项。两者各有优劣。Cryptomator是分布式网盘同步加密软件,Veracrypt更多适用于本地。更多信息可自行搜索使用

高级措施

使用VPN服务或代理

emm,VPN这个在国内不是很好使,因为流量特征过于明显,容易被GFW不分青红皂白地阻断。

使用DoH

DoH全名是“DNS over HTTPS”,意味着你的DNS查询收到https协议保护。

普通的DNS查询并未受到保护,那么就有可能出现DNS劫持的情况,他人也可以通过DNS服务器知道你访问了什么网站,使用了什么服务。只要不被代理转发,那么ISP可以很轻松地get到所有公开信息。

国内较好的DoH有阿里DoH、腾讯DoH、DNSpod。当然因为国内特殊网络环境,它们均从源头上收到污染。如果想要不受污染的,那么推荐IQDNS。

Apple设备可以通过安装描述文件来快速更改DNS。地址:IQDNSGithub DoH Config项目(可自行下载安装)

WARP等动态ip及动态线路

使用全球良心CDN——Cloudflare提供的WARP服务来动态更换IP及获得全球网络服务访问与全隐私保护。

本站有相关教程

Tor暗网浏览器

下载安装Tor浏览器进行浏览。Tor可以访问暗网,所以在所有浏览器中,它的安全系数最高。

Gpg端对端加密认证

GPG端对端加密需要一个根证书以搭建你自己的信任网络。GPG可以和Git联合起来进行加密Commit提交,能够实现文件签名、信任、加密操作。

不过相对而言,门槛较高,建议同学们以后在考虑这种加密方式。

(不过它的安全系数是最高的)

小结

现今社会,隐私可谓是公民最重要的东西之一。

一个人对我们了解得越多,就越能控制我们

如果个人数据落到坏人手中,则可能会给我们带来巨大的伤害,财产、人身或精神各方面。

个人数据可能会被用来影响我们的决定,塑造我们的行为,甚至作为一种工具来控制我们。

对于他人隐私的不尊重,在某种意义上,意思是:“我关心我的利益,但我不关心你的。”

自由的标志之一是拥有自主和对我们生活的控制,而如果这么多关于我们的重要决定是在我们没有意识或参与的情况下秘密做出的,我们就无法拥有生而为人的自主权。

保护隐私不仅意味着保护人格的健全与自主权,更意味着一种尊严、一种精神。

希望同学们能重视对隐私的保护,保护自己的信息,保护自己的人格!

注释
  1. censys.io类网站
  2. “某度”并不特指百度,特此说明
  3. 可以通过webarchive回溯豆瓣小组的页面找到
  4. 即漏洞应急响应平台,国内知名的有补天、腾讯、360等
  5. 数据由写本文时在V2EX搜索到的数据,如有错误欢迎批评指正。

网络隐私保护意识的薄弱与改进措施
https://www.morax-xyc.com/post/48d380d2/
作者
Morax-xyc
发布于
2022年5月14日
更新于
2022年5月14日
许可协议