读捍卫隐私08智能出行

读捍卫隐私08智能出行

1. 互联网电话

1.1. 和打印机一样,VoIP电话的系统更新也可以被伪造和接受

1.2. 大多数VoIP电话都有一个免提选项,让你可以在你的隔间或办公室中将某人的通话用扬声器播放

  • 1.2.1. 意味着在电话听筒之外不仅有一个扬声器,还有一个麦克风

1.3. 可以通过互联网接收恶意代码的打印机不一样,VoIP电话需要单独地通过手动方式“更新”​

1.4. 补丁只是存在,并不意味着会被使用

  • 1.4.1. 办公室、酒店和医院里可能仍有一些未打补丁的电话

1.5. 将你的手机放在你的计算机旁边能让远程的第三方窃听你的谈话

  • 1.5.1. 这需要在你的移动设备上植入恶意软件才能办到

1.6. 手机中的陀螺仪就会敏感到足以感知轻微的振动了

  • 1.6.1. 该恶意软件可以收集细微的空气振动,包括由人类说话引起的振动

  • 1.6.2. 安卓操作系统可以读取传感器在200 Hz频率下的运动情况

  • 1.6.3. 大多数人类语音的频率范围是80~250 Hz

  • 1.6.3.1. 意味着该传感器可以拾取这些声音中的很大一部分

  • 1.6.3.2. 进一步拦截80~250 Hz的信号而设计构建了一个定制语音识别程序

1.7. funtenna

  • 1.7.1. 基本上就是潜在攻击者的游乐场

  • 1.7.2. 现在任何嵌入式设备中都有的任意微芯片上伸出的精细引脚都可以被控制,以特定的序列振动,从而通过射频传出数据

1.8. 安装了恶意软件的普通手机可以被用于接收来自计算机的二进制数据

1.9. 手机传感器可以截听无线键盘电信号发射的声音

  • 1.9.1. 你在办公室中输入、查看或使用的一切都能被某个远程第三方以这样或那样的方式窃听

1.10. 假设你使用的是一个无线键盘

  • 1.10.1. 那么该键盘发送给笔记本电脑或台式电脑的无线电信号可能会被截听

  • 1.10.2. KeySweeper

  • 1.10.2.1. 是一种伪装的USB充电器,可以以无线和被动的方式寻找、解密、记录和报告(通过GSM)附近任何微软无线键盘的所有按键情况

2. 蜂窝热点

2.1. 你办公室里的某个人可能会设置一个热点,而你的设备可能会自动与之连接

  • 2.1.1. IT部门通常会扫描这样的设备,但有时候也不会

2.2. 现在这个时代,带自己的热点上班就等于是带上你自己的蜂窝连接

  • 2.2.1. 你的移动运营商就会提供飞蜂窝这种小型设备

  • 2.2.2. 它们是为增强蜂窝连接而设计的,可用在家庭或办公室等信号可能很弱的地方

  • 2.2.3. 也不是没有隐私风险的

  • 2.2.3.1. 飞蜂窝是蜂窝通信的基站,所以你的移动设备常常会连接到它们,而不会通知你

2.3. StingRay

  • 2.3.1. 称为IMSI捕获器,是一种手机基站模拟器

  • 2.3.2. 还有TriggerFish、Wolfpack、Gossamer和swamp box

  • 2.3.3. 目的是收集你的蜂窝电话的国际移动用户识别码,即IMSI

  • 2.3.4. IMSI捕获器可以在大型社会抗议活动上使用,从而帮助执法部门识别参加集会的人的身份

  • 2.3.4.1. 活动组织者的手机会一直开启,以便协调活动

2.4. 笔式记录器一直都被用于获取手机号码,即手机的拨号记录

2.5. 诱捕和追踪技术则被用于收集关于接听的电话的信息

2.6. 有搜查令的执法部门还能合法地取得通话的语音记录或电子邮件的文本

2.7. 你的手机会在你不知情的情况下连接到一个飞蜂窝

  • 2.7.1. 这和Wi-Fi不一样,你没有选择

2.8. Pwnie Express公司生产了一种名叫Pwn Pulse的能够识别飞蜂窝的设备,该设备甚至还能识别StingRay等IMSI捕获器

  • 2.8.1. 它让公司能监控其周围的蜂窝网络

  • 2.8.2. 这种类型的工具可以检测存在潜在蜂窝威胁的整个频谱

3. 会议系统

3.1. Skype使用起来对用户很友好,但当涉及隐私时,就没那么友好了

  • 3.1.1. 微软与NSA进行了合作,以确保Skype交谈可以被拦截和监控

3.2. TOM-Skype是微软与中国公司TOM集团合作创建的中国版Skype

3.3. 非常高端的视频会议系统也可能会被中间人攻击攻陷

  • 3.3.1. 中间人攻击是指信号在到达你的终端之前先被引导通过了另一个地方

3.4. 几乎全都默认自动接听呼入的视频通话

3.5. 会议系统使用了独特的H.323协议

3.6. 会议系统的摄像头处在用户的控制之下,所以远程攻击者可以向上、向下、向左或向右地调整它

3.7. 很多会议系统的管理控制台都只有很少的内置的安全功能,也可能完全没有

3.8. 如果你的设备里有硬盘,你需要在将其卖掉或捐赠出去之前安全地清空里面的数据

3.9. 对于静态数据,Dropbox使用的是256位AES加密(这是相当强大的)​

3.10. Drive和iCloud为静态数据使用了相当弱的128位加密

3.11. OneDrive则根本没使用加密

3.12. SpiderOak

  • 3.12.1. 提供了云存储的全部优势和同步能力,同时还有百分之百的数据隐私

  • 3.12.2. 使用了双因素密码认证和256位AES加密来保护敏感的用户数据,这样可以保证这些文件和密码一直都是私密的

  • 3.12.3. 用户可以完全私密地存储和同步敏感信息,因为这个云服务对密码和数据绝对一无所知

3.13. 如果你的数据存储在某个桌子的抽屉里或者你的台式计算机上,它们就有《第四修正案》的保护

  • 3.13.1. 使用云时你的数据就没有这样的保护,这是关于使用云的一个重大问题

3.14. 真正的保护措施是,了解某个人可以访问你放在上面的一切并据此采取行动—先加密一切

4. 智能出行

4.1. 如果你不想让你的硬盘提供任何敏感信息

  • 4.1.1. 在旅行之前清空任何敏感数据,并且执行完整的备份

  • 4.1.2. 将数据留在那里,但使用一个强密码进行加密

  • 4.1.2.1. 尽管有些国家可能会强制你交出密钥或密码

  • 4.1.2.2. 不要把这个密码短语带在身上,也许可以将一半的密码短语交给一位美国之外的无法被强迫的朋友

  • 4.1.3. 将加密后的数据上传到某个云服务,然后根据需要下载和上传

  • 4.1.4. 使用VeraCrypt等免费产品在你的硬盘上创建一个隐藏的加密文件夹

  • 4.1.4.1. 如果某个外国政府发现了这个隐藏文件夹,可能还是会强迫你交出密码

  • 4.1.5. 不管什么时候,当你在你的设备上输入密码时,都要把自己和你的计算机遮盖起来以防止摄像头的监视,也许可以使用一件夹克或其他衣物

  • 4.1.6. 在联邦快递或其他特卫强包装中的笔记本电脑和其他设备都要密封并且在上面签字,然后将其放在酒店房间的保险箱中

  • 4.1.6.1. 酒店保险箱并不真正保险

  • 4.1.6.2. 应该考虑买一个可以放在该保险箱中的照相设备

  • 4.1.6.3. 当某人打开这个保险箱时,它就会拍摄一张照片,并通过蜂窝网络实时发送给你

  • 4.1.7. 最好的做法是不要冒任何风险

  • 4.1.7.1. 随时、随身携带你的设备,不要让它脱离你的视线

4.2. 无须任何可能联想到不法之事的原因,美国政府就可以扣留你的电子设备、搜查所有文件并将其保留下来,以待进一步审查

4.3. 清空(wipe)数据和删除(delete)数据不一样

  • 4.3.1. 删除数据只会改变文件的主引导记录条目

  • 4.3.1.1. 用于寻找文件在硬盘上各个部分的索引

  • 4.3.1.2. 这个文件(或它的一些部分)仍然会留在硬盘上,直到硬盘的这部分写入了新的数据

  • 4.3.1.3. 这就是数字取证专家可以重建被删除的数据的方式

  • 4.3.2. 清空数据则是使用随机数据安全地覆写这个文件的数据

  • 4.3.2.1. 在固态硬盘上,清空数据是非常困难的,所以带了一台具有标准硬盘的笔记本电脑,并且至少要执行35次清空流程

4.4. 常常在外接硬盘上创建我的设备的完全镜像备份并将其加密

4.5. 可以直接制作一个你的整部手机的iTunes备份,除非你之前设置了一个加密iTunes备份的密码

4.6. 如果执法部门想查看你用密码保护的iPhone上有什么内容,只需将你的手机连接到你的笔记本电脑上就能轻松实现,因为你的电脑里很可能有与该手机有效配对的证书

  • 4.6.1. 永远不要“信任这台计算机”​,除非它是你的个人系统

4.7. 如果你需要给你的手机充电,那就将闪电(lightning)数据线插入你的系统或电源插座,不要插入别人的计算机

  • 4.7.1. 购买一个USB安全套(USB condom)​,这能让你安全地接入任何USB充电器或计算机

4.8. 法院可以强制你提供解锁该设备的指纹

  • 4.8.1. 重启你的手机

  • 4.8.1.1. 这样你的指纹就不会被启用,而且你也不必交出你的密码

4.9. 不要让自己成为受环境支配的受害者

4.10. 不管我们在家享受着怎样的隐私保护,那都不一定适用于在美国边境的旅行者

4.11. 搜查我们的硬盘和移动设备可能会暴露电子邮件、健康信息甚至财务记录

4.12. 很多公司在员工出国出差时,都会提供一次性手机和借用的笔记本电脑

4.13. 不要带着存有敏感信息的电子设备一起走,除非你不得不这么做

  • 4.13.1. 最好带上一部无锁的一次性手机,并在你访问的国家购买一张SIM卡

4.14. 即使是存有非常少量数据的硬盘,也会带有一些数据

  • 4.14.1. 以为Windows使用WinMagic,或为OSX使用FileVault 2

4.15. 如果必须将我的笔记本电脑放在一边,那我也永远不会让它处于休眠模式

  • 4.15.1. 我会将其关机

  • 4.15.2. 如果我没有这样做,攻击者就可能会转存内存并获得我的PGP全磁盘加密密钥

5. 所有的软件都有漏洞

5.1. 最常见的操作系统(Windows、iOS、安卓以及Linux)都带有漏洞

5.2. 所有的软件都有漏洞

5.3. 一旦你关机,操作系统就不再具有该加密密钥了

  • 5.3.1. 它直接从内存中移除了密钥,这样就无法再访问硬盘上的数据了

5.4. Tails是一款可以在任何现代计算机上启动的操作系统,能避免在硬盘上留下任何可以通过取证方式恢复的数据,这个硬盘最好还能设置写保护

5.5. 免费的TrueCrypt,这个软件虽然还能用,但不提供全磁盘加密

5.6. VeraCrypt是TrueCrypt 7.1a的一种替代,它是TrueCrypt项目的延续

5.7. 可信平台模块(trusted platform module,简称TPM)

  • 5.7.1. 功能是,在确认你的引导加载程序未被修改之后,解锁你的加密密钥

  • 5.7.2. 针对“邪恶女仆”​(evil maid)攻击的完美防御手段

5.8. BitLocker

  • 5.8.1. 用的是名为Dual_EC_DRBG的伪随机数生成器,这是“dual elliptic curve deterministic random bit generator”​(双椭圆曲线确定性随机比特生成器)的缩写,其中可能包含了NSA的一个后门

  • 5.8.2. 私有的,这就意味着“它是有效的且没有给NSA提供任何后门”的说法只是微软的一家之言—开源软件可能就不会出现这种情况

  • 5.8.3. 除非你用250美元购买了密钥,否则你就必须与微软共享密钥

  • 5.8.4. 不花钱购买的话,执法部门可能就会让微软交出密钥

5.9. 商业选择是来自赛门铁克的PGP全磁盘加密

  • 5.9.1. PGP全磁盘加密是由菲尔·齐默尔曼创造的,就是那个为电子邮件创造了PGP加密的男人

  • 5.9.2. PGP现在也支持TPM芯片,以便在你启动你的个人电脑时提供额外的身份验证

  • 5.9.3. 一个永久许可的售价约为200美元

5.10. WinMagic

  • 5.10.1. 少有的几个需要双因素认证而不只是一个密码的选择之一

  • 5.10.2. WinMagic也不依赖于某个主密码

  • 5.10.3. 用它加密的文件是分组的,而且每一组都有一个密码

  • 5.10.4. 会让密码恢复更加困难,所以它可能并不适合每个人使用

5.11. 苹果则有FileVault 2

  • 5.11.1. 在安装之后,你可以打开系统偏好设置,点击“安全和隐私”图表,然后切换FileVault选项卡来启用FileVault 2

5.12. 在所有这些全磁盘加密程序中,总有存在后门的可能性

  • 5.12.1. 意味着任何知道这个密钥的位置的人都可以解锁这些被用户加密的数据

5.13. 尽管加密往往足以防止一般的窃贼访问你的数据,但对目的明确的执法部门来说,这可能算不上什么大难题

posted @ 2025-12-16 18:19  躺柒  阅读(6)  评论(0)    收藏  举报