下文源自Jean-Marc Manach为国家传播学院(INA)撰写的一篇文章,后经更新改动以Comment (ne pas) être (cyber)espionné ?(“如何避免(网络)窥伺”)为题重新发表在作者的博客里。原文撰写于2012年夏。在网络上,有些当时适用的内容往后可能会过时。这篇文章旨在为如何设置在线匿名窗口提供一些方法,但这些指导并非是详尽无遗的。读者在阅读时最好确认所涉及的网站和服务仍是否有效。
如何匿名在线一刻钟
作为记者,我从1999年起开始关注数据安全,也是从那个时候起我开始翻译和撰写不少应用手册指导网民如何保护在线资料安全。尽管我意识到非专业用户没有办法采取安全措施防止专业骇客侵入自己的电脑,但他们可以采取其他方法,比如创建隐私窗口,隐藏连接时间,学习如何以隐秘安全的方式在线交流以及如何在不透露自己所处位置的前提下交换文档。
克格勃和CIA都没办法阻止对方与各自的线人进行交流,正如FBI对丹尼尔•艾尔斯伯格公布五角大楼的机密文件感到没辙,或是美国国家安全局对维基解密那些为促进美国乃至世界民主透明性的解密活动束手无策一样。借用安迪·沃荷的十五分钟成名理论,今时今日,我们每个人都可以做到在线匿名一刻钟。这种匿名设置对于我们的职业安全和民主发展都至关重要,而且操作并没有想象中那么复杂。
不论使用的电脑、操作系统或软件为何种类型,我们都可以保护自己网络交流(包括数据来源)的安全性。下文将要介绍的技术和服务并没有使用GnuPG那般安全,但至少可以帮助我们创建匿名窗口或者保持匿名状态一刻钟。这些技术和服务的共同点就是在把数据发送到可以与指定对象共享的网站之前通过浏览器对数据进行加密。
不少信息安全的专家最近指出那些依托“零知识证明”(Zero-knowledge proof)(即一种交互式证明)概念而建立的系统所存在的短处,因为其安全尤其建立在网站或所使用的电脑没有被非法侵入为前提的基础上。鉴于维护电脑安全所需要的大量技术知识,一般网民需要的仅仅是可以保证在线交流(交流信息、临时密码、文字或文章、图像等)隐秘进行的一些服务而已。更好的方法是使用一台专门的电脑进行这类的交流(一台上网本也就200欧左右),如此就可以同自己其他的活动区隔开来,避免自己从事主要工作的电脑被植入木马病毒或其他恶意软件。
安全聊天
CryptoCat作为同类中最著名的服务网站,旨在帮助用户以安全的即时短信方式进行“聊天”或实时讨论,用户还可以传送不超过600K的文档、压缩包或者图片。为了应对引发的安全争议,软件程序员决定将CryptoCat以浏览器(谷歌Chrome和火狐)插件的形式向用户推荐安装,从而增强网络安全保护。
文档交换
您希望以匿名并且安全的形式发送(或接收)文档?
“草稿箱”技术通过使用在线邮件服务(webmail)实现。在至少两个人知道该邮箱的用户名和密码的前提下,信息交换可以通过草稿箱进行,而无需发送到对方的邮箱。
您也可以使用SpiderOak或Wuala这两个云存储平台,它们可以在数据发送前在浏览器阶段对其进行加密。您只需要创建一个账户并关联到一个安全的邮箱地址。
hushmail.com是一个以操作简便著称的免费邮件加密网站。目前大约有十几家服务商专门提供临时可废弃的邮箱地址,例如由著名的德国骇客组织Chaos Computer Club (CCC)创立的AnonBox,我们只需通过https或者Tor登陆即可。
RiseUp是一个由倡导网络安全的团体维护的邮件服务系统。该系统的原创性在于其不记录任何log因此也不会留下任何IP地址的行迹。RiseUp也可以以加密方式对信息进行整体性存储。
您也可以使用文档交换服务Hide My Ass,作为众多网络代理(匿名)工具里的一种,它可以帮助用户躲避网络审查或者以匿名方式浏览网络(关于此主题,可以浏览文章《如何躲避网络审查?》(Comment Contourner la Censure sur Internet ? )和《如何躲避网络监视?》(Comment contourner la cybersurveillance ?)。
机密信息
NoPlainText和PrivNote(可以通过https安全登陆)向用户推荐一种“阅后即毁”的小型数字便笺(PrivNote还可以在便笺被阅读后发出提示信),如此可以方便地传送密码(这些密码必须是临时的,您必须更改他人发送给您的密码,因为所有密码都不能和第三人共享)或其他机密信息,而无需借助GnuPG。但这种方法仍不能防止未授权的第三方在收信方接收前截留链接(包括所涉信息),但却可以帮助知晓所使用的沟通渠道是否被监视(用户只需先发送一个无关紧要的信息,然后看看是否是指定方收到这个信息,如此判断沟通渠道是否安全)。
基于同一原理,ZeroBin还可以设置在一定时间后销毁信息(比如十分钟、一个小时、一天、一个月、一年后或者永不销毁)以及对信息进行评注。CryptoBin则通过增加密码保护信息,虽然增强了安全性但您却不得不和第三方共享密码……即使是使用CryptoCat ,PrivNote时。为了尽可能增强安全性,我们还可以采用匿名登陆方式,比如采用Tor等。
电话安全的困难性
目前仍没有切实可行的办法可以保证手机联络的机密性。据此,请绝对不要使用自己的手机去拨打自己意图保护的另一方的手机(参阅法国电话清单事件 “l'affaire des fadettes”)。实在不行,请使用远离您办公室的公用电话亭,或者与您没有任何接触的某人的手机或固话拨打另一方的手机,或者最好拨打到与另一方没有任何关系的某个固定电话上。您还可以借助前几段介绍的方法。我们也紧密关注软件Whisper Systems的发展(这个软件还无法在所有手机型号上运行,且目前只有Beta版)。
为了通话安全,用户还应当尽量避免使用普及度越来越高的Skype软件。2012年七月,一则法新社采访叙利亚分裂分子的通讯引发Skype丑闻:自从法国相关部门从2005年反对使用Skype起,这款自称十足安全的软件已经多次被抓住尾巴——人们发现它不仅帮助当局或者咨询机构监听某些用户,还故意发布一些钓鱼版本来辨明用户身份。
您希望通过网络电话联系您的线人?没有问题,您可以使用Jitsi,一款称为“自由Skype”的软件,由Tor骇客程序员以及维基解密的关键人物Jacob Appelbaum吐血推荐,因其身份在数据保护问题上具有特别的影响力。您还可以使用Mumble,这款软件主要用来配合电脑游戏,但其对电信沟通进行默认的加密保护。因帮助保护“阿拉伯之春”中的网民和独立分子电信交流安全而一举成名的Telecomix骇客组织就通过Mumble开放了两个安全服务器进行沟通。
IRL真人会面
信息安全任重道远。如果您不是这方面的专家,请记住以下两点:您不仅可以被监视——甚至已经被监视(网络提供商可以保留您连接网络乃至您在网上所作所为的所有行迹,电话运营商则可以在电话清单中保留您所有的来去电号码),也可以很简单地被他人刺探窥伺。鉴于任何电话或邮件都有可能被截取,我们在此推荐一种IRL会面模式(即“真人会面”,如同二十世纪的间谍那样在公共场所或者咖啡馆后厅见面)。在高新科技连接全球的今天,我们在保护信息来源和职业秘密时竟然想不出新方法,这无疑是有点讽刺的……纸质信件往往比电话或网络通讯更少被监视或截取。
想要了解更多
-
对一切加密!(Chiffrez tout ! )信息安全软件年刊
-
如何加密您的邮件?(Comment crypter vos mails ? )隐私保护B-A-BA
-
使用Thunderbird和PGP保证邮件的机密性(Assurer la confidentialité de ses emails avec Thunderbird et PGP)
-
Free.korben.info 网站,自由互联网的维基百科
-
数字化自我防御指导(Guide d’autodéfense numérique)一本可以单人或多人反复阅读并实践的手册,可以自己探索或与他人分享……学习如何在危机重重的网络世界安全遨游
-
电脑 & 网络安全和隐私(Ordinateur & Sécurité Internet Vie Privée)匿名与其他
-
线索信息初级防护(Protection élémentaire des sources) #JHack,记者、激进分子和骇客间的讲座、会议及面谈。
-
保护隐私(Protéger sa vie privée)电子前哨基金会(EFF)为保护网路隐私提出的十二点建议
-
信息安全工具箱(Security in-a-box)数字安全的相关工具及技巧
-
必不可少(L’indispensable)面向所有使用Windows上网的用户
关于本文作者
作为记者以及一名捍卫自由、人权和个人隐私的斗士,Jean-Marc Manach 差不多从十年起就开始关注日益增强的“社会监控”现象。他同时也参与以下活动:
-
Big Brother Awards颁奖典礼,旨在每年向那些践踏个人隐私的机构颁发Orwell奖,
-
bugbrother.com网站(学习如何保护交流以及个人隐私安全),
-
renseignementsgeneraux.net网站(如何就警方档案维护自己的权利),
-
vie-privee.org网站(信息及自由杂志revue de presse。