02 匿名电子邮箱,逃离监控之网
如果你和我一样,那么你早上一起来就要查看电子邮件。而且如果你真的和我一样,那么你也想知道还有谁在读你的电子邮件。这可不是什么妄想症。如果你使用的是Gmail或Outlook 365这样的基于网页的电子邮件服务,那么答案显然会很可怕。
即使你在计算机或手机上阅读完电子邮件后将其删除,那也不一定会真正删除其内容。某个地方还会有它的副本。网页电子邮箱是基于云的,所以为了能在任何时间从任何地方的任何设备访问它,它必须保存冗余的副本。比如,如果你使用Gmail,通过你的Gmail邮箱发送和接收的每一封电子邮件的副本都会被保存在谷歌位于世界各地的多个服务器上。如果你使用的是雅虎、苹果、AT&T、Comcast、微软,甚至你工作的地方提供的电子邮箱,情况也是一样。你发送的任何电子邮件都可以被托管公司随时检查。它们会说这是为了过滤恶意软件,但事实上,第三方也可以出于其他目的访问我们的电子邮件,而这些目的更加险恶,并且是为它们自己服务的。
原则上,大部分人都不愿意让其他任何人阅读自己的邮件,除了我们期望的收件人外。现在有法律保护通过美国邮政服务递送的纸质邮件,也有法律保护电子邮件这种存储的内容。但在实际操作中,我们通常知道,而且可能也接受了为电子邮箱提供的通信便捷性而牺牲一些东西。我们知道雅虎(还有其他公司)提供了免费的网页电子邮件服务,也知道雅虎的大部分收入来自广告。也许我们没有意识到这两件事可能存在关联,以及这会给我们的隐私带来怎样的影响。
有一天,加利福尼亚州北部的居民斯图尔特·戴蒙德(Stuart Diamond)意识到了这一点。他发现自己在雅虎邮箱客户端右上角看到的广告并不是随机的,而是基于他过去发送和接收的电子邮件的内容。比如说,我在一封电子邮件中提到了即将去迪拜做演讲,那么我可能会在我的电子邮箱中看到推荐航空公司、酒店和我在阿拉伯联合酋长国可以做的事情的广告。
这种做法可能在服务条款中有详细的说明,但大多数人可能读都没读就同意了。没人愿意看到和自己毫不相关的广告,对吧?而且只要电子邮件的收发方都是雅虎账号的持有者,那么似乎该公司就有合理的理由扫描这些电子邮件的内容,以便给我们提供定向广告并屏蔽恶意软件和垃圾邮件。
但是,戴蒙德和同样来自加利福尼亚州北部的戴维·萨顿(David Sutton)开始注意到,发送到和接收自非雅虎邮箱的电子邮件内容也会影响呈现给他们的广告。这说明该公司会截取和阅读用户所有的电子邮件,而不只是发送到或接收自雅虎自己服务器的那些。
基于他们观察到的模式,两人在2012年代表2.75亿账号持有人发起了针对雅虎的集体诉讼,并引证说明该公司的行为本质上就相当于非法窃听。
这终结了这种偷窥行为吗?并没有。
在一次集体诉讼中,诉辩双方都有一段取证和回应的时间。案件的初始阶段持续了3年时间。到2015年6月,加利福尼亚州圣何塞的一位法官裁定,这两个男人有充分的理由推进他们的集体诉讼,而且他们提出最初的要求后,自2011年10月2日起发送或接收过雅虎邮件的人都可以根据《存储通信法案》(Stored Communications Act)加入这一诉讼。另外,居住在加利福尼亚州的一些非雅虎邮箱账号持有人也可以根据该州的《侵犯隐私法案》(Invasion of Privacy Act)进行起诉。这个案件仍然悬而未决。
2014年年初,又有人对谷歌发起了一项关于电子邮件扫描的诉讼。在一次听证会上,谷歌不小心公开了关于其电子邮件扫描流程的信息,然后还试图快速撤回或移除这些信息,但是失败了。这个案件涉及的问题是,谷歌究竟扫描或阅读了哪些信息。该案件的原告是几家大型媒体公司,包括《今日美国》(USA Today)的所有者。据这些原告称,谷歌在某种程度上认识到,如果只扫描收件箱的内容,就会错失大量有潜在价值的内容。该诉讼声称谷歌不再只是扫描在谷歌服务器上存档的电子邮件,而...
有时候,这些公司还会出于自己的目的而秘密地扫描电子邮件。众所周知,微软就发生过这种事。微软曾因为怀疑某位Hotmail用户盗版了该公司软件的副本而对该用户的邮箱进行了扫描,事情披露之后引起了人们的强烈抵制。微软表示,未来将让执法部门处理这样的调查。
这些行为不只局限于你的个人电子邮箱。如果你通过自己的工作网络发送电子邮件,你公司的IT部门可能也会扫描和存档你的通信记录。IT员工或他们的管理者会决定是否让任何被标记的电子邮件通过服务器和网络,以及是否向执法部门报案。这包括含有商业机密或可疑材料(比如色情内容)的电子邮件,也包括扫描电子邮件检测到的恶意软件。如果你的IT同事在扫描和存档你的电子邮件,他们应该在你每次登录的时候提醒你他们的政策是什么,但大多数公司并不会这样做。
尽管大多数人可能会容忍为了检测恶意软件而扫描我们的电子邮件,也许有一些人还能忍受以广告为目的的扫描,但让第三方读取我们对特定邮件中特定内容的反应和行为则是完全让人不安的。
所以每当你写完一封电子邮件,不管多么无关紧要,甚至就算你从邮箱里删除了该邮件,也要记住这些文字和图像的副本很有可能会被扫描并继续存在——也许不是永远存在,但会持续相当长的一段时间。(一些公司可能有短时间的保存政策,但我们可以有把握地假设,大多数公司都会将电子邮件保存很长时间。)
现在你知道某些机构和企业都在阅读你的电子邮件了,至少你可以让他们做这种事的难度更大。
给你的邮件上锁
大多数基于网页的电子邮件服务在传输邮件时都会使用加密。但是,一些服务在邮件传输代理(Mail Transfer Agent,简称MTA)之间传输邮件时可能不会使用加密,因此你的信息就是公开的。比如说,在办公场所,老板也许有公司电子邮件系统的权限。为了隐身,你需要加密你的信息,也就是说要给你的邮件上锁,仅让收件人可以解锁和阅读它们。加密是什么?它是一种代码。
恺撒密码(Caesay Cipher)就是一种非常简单的加密方法,它是指将密码中的每个字母替换成字母表中相距一定距离的字母。举个例子,当使用恺撒密码时,如果这个距离是2,那么a就变成了c,c变成了e,z变成了b,以此类推。使用这种偏移2位的加密方案,“Kevin Mitnick”就会变成“Mgxkp Okvpkem”。
当然,大多数今天所使用的加密系统都比任何恺撒加密强大得多,因此要破解它们也就更加困难。所有形式的加密都有一个共同点:需要密钥,这可以用来锁定和开启加密信息。如果使用同样的密钥来加锁和解锁加密信息,那就是一种对称加密(symmetrical encryption)。但是,当双方彼此不认识或相距很远时,对称密钥就难以在他们之间共享。
大多数电子邮件加密实际上使用的是所谓的非对称加密(asymmetrical encryption)。这意味着我要生成两个密钥:一个保存在我的设备上并且永远不会被共享出去的私钥(private key)和一个我可以在互联网上随意张贴的公钥(public key)。这两个密钥是不同的,但在数学上是相关的。
举个例子,鲍勃想给艾丽斯发送一封安全的电子邮件。他在互联网上发现了艾丽斯的公钥或直接从艾丽斯那里得到了它,然后在向她发送信息时使用她的密钥对信息进行了加密。当且仅当艾丽斯使用一段密码短语解锁了她的私钥,然后再解锁这条加密信息之前,信息一直处于加密状态。
那么究竟应该如何加密你的电子邮件内容呢?
最流行的电子邮件加密方法是PGP(Pretty Good Privacy),这个简写表示“相当好的隐私”。PGP不是免费的,而是赛门铁克公司的一款产品。其创造者菲尔·齐默尔曼(Phil Zimmermann)还编写了一个开源的版本——OpenPGP,这是免费的。第三个选择是GPG(GNU Privacy Guard),它是由维尔纳·科赫(Werner Koch)创造的,也是免费的。好在这三者是可以兼容的,这就意味着不管你使用的是哪个PGP版本,基本的功能都一样。
当爱德华·斯诺登决定开始披露他从NSA拷贝的敏感数据时,他需要分散在世界各地的志同道合的人的帮助。矛盾的地方在于,他既需要脱离搜索网,又需要一直活跃在互联网上。而他需要隐身。
即使你不用分享国家机密,你也可能有兴趣让你的电子邮件保密。斯诺登等人的经历说明:做到这一点虽然并不容易,但只要做出适当的努力,也是有可能实现的。
斯诺登使用了一家名叫Lavabit的公司提供的私人账号来与他人通信。但电子邮件不是点对点的(point-to-point),也就是说一封电子邮件在到达目标收件人的收件箱之前,可能会经过世界各地的好几台服务器。斯诺登知道,不管他写下什么,都可能会被这一路上在任何位置拦截这封电子邮件的任何人读到。
所以,他必须进行一套复杂的操作,以建立一个真正安全的、匿名的且完全加密的通信方式,以便与隐私倡导者和电影制作人劳拉·珀特阿斯(Laura Poitras)通信,她当时刚刚完成了一部关于揭秘者的生活的纪录片。斯诺登想要与珀特阿斯建立加密通信,但只有很少的人知道她的公钥。她没有完全公开她的公钥。
为了找到她的公钥,斯诺登必须接触一个第三方——支持网络隐私的组织“电子前线基金会”(Electronic Frontier Foundation,简称EFF)的迈卡·李(Micah Lee)。迈卡的公钥可以在网上找到,而且根据发表在网络杂志Intercept上的这个账号提供的信息,迈卡也有珀特阿斯的公钥,但他首先需要确认珀特阿斯是否允许自己分享它。她同意了。
那个时候,迈卡和珀特阿斯都还完全不清楚想要她的公钥的人是谁;他们只知道有人确实想要。斯诺登并没有使用他的个人电子邮箱账号,而是用了另一个账号来进行接触。但如果你不常使用PGP,可能会时不时忘记将自己的PGP密钥添加到重要邮件里,斯诺登就出了这种状况。他忘记将自己的公钥放进邮件里,这样迈卡就没法回复了。
迈卡没有任何安全的方式可以联系到这位神秘人,所以他别无选择,只能给斯诺登回了一封纯文本的未加密的电子邮件,询问他的公钥。斯诺登提供了自己的公钥。
迈卡,这个值得信赖的第三方不得不再一次面对这种情形。根据我的个人经历,我可以告诉你,一定要验证正与你进行秘密通信的人的身份,这是非常重要的,而且最好是通过一位共同的朋友——还要确保你确实在和那位朋友通信,而不是其他某个人伪装的。
我知道这件事的重要性,因为我之前就这样伪装过。当对方并不质疑我的真实身份或我发送的公钥时,就会出现被我利用的情况。有一次,我想和利兹大学的有机化学研究生尼尔·克利夫特(Neill Clift)通信,他是一个非常擅长在DEC公司(Digital Equipment Corporation)的VMS操作系统中寻找安全漏洞的人。我想让克利夫特向我发送他报告给DEC的所有安全漏洞。为此,我需要让他相信,我实际上是为DEC工作的。
首先,我伪装成一个名叫戴夫·哈金斯(Dave Hutchins)的人,并且用这个名字给克利夫特发送了一条具有欺骗性的信息。我之前假装成VMS工程开发部门的德里尔·派珀(Derrell Piper)给克利夫特打过电话,所以伪装成哈金斯的我在电子邮件里写道,派珀想与克利夫特就一个项目进行电子邮件通信。在检查DEC的电子邮件系统时,我知道克利夫特和真正的派珀曾经互相发送过电子邮件,所以这个新请求听起来不会那么奇怪。然后我又伪造了派珀的真实邮箱地址,并发送了一封电子邮件。
为了进一步说服克利夫特这全都是正当的行为,我甚至建议他使用PGP加密,这样像凯文·米特尼克(我的名字)这种人就无法读到这些电子邮件了。很快,克利夫特和“派珀”就交换了公钥并且加密了通信——但伪装成派珀的我可以阅读这些通信。克利夫特错在没有质疑派珀的身份。同样,当你的银行主动打电话来,要求你提供社会保障号码或账户信息时,你就应该挂断电话,然后自己打给银行,因为你永远不知道电话或电子邮件的另一边是什么人。
如果双方都是完全匿名的,他们如何知道谁是谁
考虑到斯诺登和珀特阿斯将要分享的机密的重要性,他们不能使用平常用的电子邮箱地址。为什么呢?因为个人电子邮箱账号包含能够鉴定出用户身份的特定关联线索,比如特定的兴趣、联系人列表。于是斯诺登和珀特阿斯决定创建新的电子邮箱地址。
唯一的问题是:他们如何知晓对方的新电子邮箱地址?换句话说,如果双方都是完全匿名的,他们如何知道谁是谁以及可以信任谁?比如说,斯诺登要怎样排除NSA或其他人伪装成珀特阿斯创建新电子邮箱地址的可能性?公钥很长,所以你无法拿起一部安全电话,然后把这些字符读给其他人听。你需要一次安全的电子邮箱通信。
再借迈卡·李之手,斯诺登和珀特阿斯可以在设置他们的新匿名电子邮箱地址时将信任托付给他人。珀特阿斯首先向迈卡分享了她的新公钥。但PGP加密密钥本身是相当长的(当然没有π那么长,但还是很长),而且同样需要注意,若是有人也在监视迈卡的电子邮箱账号呢?所以迈卡并没有使用真正的密钥,而是将珀特阿斯的公钥缩写到40个字符的长度(也被称为指纹,fingerprint)。然后,他将这段字符贴到了一家公开的网站——Twitter上。
有时候,为了隐身,你必须使用公开可见的东西。
现在,斯诺登可以匿名地浏览迈卡的推文,并且将缩短后的密钥与他收到的信息进行比较。如果两者不匹配,斯诺登就知道不能信任这封电子邮件。这条消息可能已经受损。或者他可能正在和NSA交谈。
在这个案例中,两者匹配上了。
现在,网上关于他们是谁以及身在世界何处的一些信息被移除了,斯诺登和珀特阿斯基本上就可以开始他们的安全匿名电子邮件通信了。斯诺登最后给珀特阿斯发送了一封仅称呼自己为“Citizenfour”(第四公民)的加密电子邮件。后来,珀特阿斯用这个签名命名了她导演的关于斯诺登的隐私权运动的纪录片,并且获得了奥斯卡金像奖。
看起来似乎一切都结束了,现在他们可以通过加密电子邮件安全地通信了。但事实并非如此,好戏才刚刚开始。
端到端加密
实际上,某些机构无须看到你加密的电子邮件内容,就能知道你在和谁通信以及频率如何。下面我们就会看到它们是如何办到的。
正如前面提到的那样,加密的目的是编码你的信息,这样的话只有拥有正确密钥的人才能解码它。加密的数学运算强度和密钥长度共同决定了没有密钥的人破解你的代码的难度。
今天所用的加密算法都是公开的。这也是你需要的。你应该担心那些专有的和不公开的加密算法。公开算法一直在经受弱点检查,也就是说,人们一直目的明确地想要攻破它们。每当一种公开的算法变弱或被攻破时,它就退休了,新的、更强的算法将取而代之。这些旧算法依然存在,但我强烈不推荐使用它们。
密钥(或多或少)在你的控制之下,所以你可能也猜到了,对它们的管理是非常重要的。如果你生成了一个加密密钥,那么除了你,没有其他任何人会将这个密钥存储在你的设备中。如果你让一家公司执行这种加密,比如在云端加密,那么该公司也可能在将密钥分享给你之后继续保留该密钥。真正让人担忧的是,可能会有法院命令强制该公司将该密钥分享给执法部门或某些机构——不管有没有搜查令。你需要阅读为加密使用的每种服务的隐私政策,并且了解这些密钥的所有者是谁。
加密一条消息(电子邮件、短信或电话)时,你要使用端到端(end-to-end)加密。这意味着你的消息在到达目标接收方之前一直都是无法读取的。使用端到端加密,只有你和你的接收方具有解码该消息的密钥。你的电信运营商、网站所有者或应用开发者都没有——执法部门或某些机构会要求它们转交关于你的信息。如何知道你使用的加密服务是不是端到端加密呢?用谷歌搜索一下“端到端加密语音电话”吧。如果这个应用或服务没使用端到端加密,那就选择另一个。
如果说所有这些听起来很复杂,那是因为它们确实很复杂。Chrome和火狐浏览器都有PGP插件,可以让加密变得更轻松简单。Mailvelope就是其中之一,它能够干净利落地处理PGP的公开和私有加密密钥。只需简单输入密码短语,就可以使用它来生成公钥和私钥。然后每当你在网页上写电子邮件时,选择了收件人后,如果该收件人有一个公钥可用,你就可以选择向那个人发送一条加密的消息。1
即使用PGP加密了你的电子邮件内容,但邮件中仍有一小部分内容可以被几乎任何人读到;而且这部分虽然小,但信息丰富。在斯诺登揭秘之后,美国政府在自我辩护时反复声明他们没有获取我们电子邮件的实际内容,而且在使用了PGP加密的情况下也无法读到这些内容。相反,美国政府说他们只收集电子邮件的元数据。
电子邮件元数据是什么?它是发件人和收件人字段中的信息,以及在发件人和收件人之间处理电子邮件的各个服务器的IP地址。另外,它也包含主题行,有时候这能非常清晰地揭示信息中加密的内容。元数据是互联网早期沿袭下来的遗产,仍然包含在人们发送和接收的每一封电子邮件中,但现代电子邮件阅读器却把这些信息隐藏起来,不予显示。2
不管你使用哪种“风味”的PGP,都不会加密元数据——收件人和发件人字段、主题行和时间戳信息。不管你能否看见,这些数据都被保存为纯文本格式。第三方仍然可以看到你的加密消息的元数据;它们会知道你在某个时间给某个人发送了一封电子邮件,而且两天之后你又向同一个人发送了一封电子邮件,等等。
听上去也许并无大碍,因为第三方并没有真正读到内容,而且你大概也不在意递送这些电子邮件的部件——各种服务器地址和时间戳。然而,光是从电子邮件的传递路径和频率得到的信息就能多到让你惊讶。
回到20世纪90年代,在逃避FBI的追捕之前,我在各种手机记录上执行过我所谓的元数据分析。首先,我黑入了洛杉矶一家名叫PacTel Cellular的蜂窝通信提供商,以获取某个所谓线人的呼叫详细记录(call detail record,简称CDR),FBI当时正用这个人来收集关于我的活动信息。
CDR和我在这里讨论的元数据非常像,它们给出了通话发生的时间、被呼叫的号码、通话时长及某个特定号码被呼叫的次数——全都是非常有用的信息。
通过搜索经过PacTel Cellular到达该线人的座机电话,我可以得到呼叫过他的人的手机号码清单。再分析一下这些人的账单记录,我可以识别出这些呼叫者就是FBI白领犯罪(8)小组的成员,他们听命于洛杉矶办事处。当然,有一些号码每个人都拨打过,它们是FBI洛杉矶办事处的内部号码、美国检察官办公室和其他政府办事处的号码。其中有些通话时间相当长,而且通话相当频繁。
每当他们将这个线人转移到一处新的安全屋时,我就可以获得这个安全屋的座机号码,因为特工们在尝试通过寻呼机接触该线人之后会呼叫这部座机。一旦我得到了该线人的座机号码,就可以通过社会工程取得他的真实地址,也就是说,通过假装成为这处安全屋提供服务的Pacific Bell公司的某个人的方式。
社会工程是通过操控、欺骗和影响某个人来使其遵从某个要求的黑客技术,通常用于骗取人们的敏感信息。在这个案例中,因为我已经从电话公司那里知道了其内部号码,所以我假装成一位现场服务技术人员,说着正确的术语和行话——这有助于取得敏感信息。
因此,尽管记录电子邮件的元数据不等同于获取实际内容,但从隐私的角度看也仍然是侵入性的。
人人都处在监控之下
检查一下近期任意一封电子邮件的元数据,你可以看到递送你的电子邮件的服务器的IP地址;这些服务器分布在世界各地,你的邮件要经过它们才会抵达目标。每台服务器就像每个接入互联网的人一样,都有一个独特的IP地址,这是根据你所在的国家和你的互联网提供商而计算出的一个数值。IP地址被分段分配给了各个国家,而且每家提供商都有自己的子段,这又会进一步划分出不同类型的服务——拨号上网、有线上网或移动上网。如果你购买了一个静态IP地址,它就会关联到你的订阅账号和家庭地址,否则你的外网IP地址会从分配给你的互联网服务提供商的地址池里生成。某个给你发电子邮件的人的IP地址可能是27.126.148.104,这个地址位于澳大利亚维多利亚州。
或者IP地址也可能是175.45.176.0,这是一个朝鲜的IP地址。如果真是如此,那么你的电子邮箱账号可能已经被标记并且要进行审查了。美国政府的工作人员可能想知道为什么你在和朝鲜的某个人通信,即使邮件主题行中写着“生日快乐”。
就服务器地址本身来说,你可能仍然认为它不太重要。但通信的频率能说明很多问题。此外,如果你能确定每个元素(发件人和收件人以及他们的位置),你就可以开始推测到底在发生什么。比如说,与电话呼叫相关的元数据(持续时间、通话时间等)能让你了解关于一个人心理健康的大量信息。一个晚上10点拨打家庭暴力热线的电话持续了10分钟,或者一个午夜从布鲁克林大桥打到自*预防热线的电话持续了20分钟,这种情况就能揭示很多信息。达特茅斯学院开发了一个可以匹配用户数据中压力、抑郁和孤独模式的应用。这种用户活动也与学生成绩有关。
你仍然没看到暴露电子邮件元数据的危害吗?麻省理工学院开发的一个名叫Immersion的程序仅需使用元数据,就可以绘制出你邮箱中所有电子邮件的发件人和收件人之间的可视化关系图。这个工具可用于可视化地量化出谁对你最重要。程序甚至包含一个滑块式的时间标度,可以让你看到你认识的人对你的重要性随时间推移发生的起起伏伏。尽管你可能认为你了解自己的关系,但用图形化的方式表达出来也许会给你带来清醒的认识。你可能没意识到自己给不认识或了解不多的人发了如此多的电子邮件,却很少给你非常熟悉的人发邮件。使用Immersion工具,你可以选择是否上传数据,而且在图形绘制出来后,你也可以删除这些信息。3
据斯诺登说,NSA和其他机构正在收集人们的电子邮件、短信和电话的元数据。但它们没法收集每个人的元数据——或者也许可以?从技术角度来看,这办不到。但是自2001年以来,“合法”的收集行为一直在迅猛增长。
根据美国1978年的《外国情报监控法案》(Foreign Intelligence Surveillance Act,简称FISA),美国外国情报监控法庭(简称FISA法庭)负责监管针对美国境内外国人的所有监控授权的申请。表面上看,在执法机构和个人之间放一道法庭命令似乎很合理,但现实有些不一样。光是在2012年,该法庭就收到了1 856份申请,也批准了1 856份申请,这说明今天这个程序很大程度上已经成了帮美国政府盖橡皮章批准的过程。4在FISA法庭批准了一项申请后,执法机构可以强迫私营公司上交所有关于你的数据——更何况它们可能在被强迫之前就已经上交了。
你需要一个洋葱路由器
若想真正在数字世界里隐身,你不仅需要加密自己的信息,还需要:
• 移除自己真实的IP地址:这是你与互联网的连接点,你的指纹。它能显示出你的位置(具体到你的实际地址)和你使用的提供商。
• 掩饰你的硬件和软件:当你连接到一个在线网站时,该网站可能会收集你使用的硬件和软件的快照信息。它们可以使用一些技巧来确定你是否安装了特定的软件,比如AdobeFlash。你的浏览器软件会告诉网站你使用的是什么操作系统、你的操作系统是什么版本,而且有时候还能显示你的桌面上运行的其他软件。
• 保护你的匿名性:在网络上确定归属是很困难的。要证明当一件事发生时你正在敲键盘也很困难。但是,如果你在上网之前经过了星巴克的一个摄像头,或者你刚刚在星巴克使用你的信用卡购买了一杯拿铁,这些行为就可以和你不久之后的上网行为联系在一起。
我们已经知道,每当你的设备连接到互联网时,都有一个与这次连接关联的IP地址。5如果你想在网上隐身,这就是个问题:你也许可以改变你的名字(或完全不给出名字),但你的IP地址仍然会揭示出你在世界的位置、你使用的提供商的名字以及为该互联网服务付费的人(可能是你,也可能不是你)的身份。所有这些信息都包含在电子邮件元数据中,可以用来确定你的独特身份。任何通信,不管是不是电子邮件,都可以基于其互联网协议(Internal Protocol,简称IP)地址来确定你的身份;当你在家里、办公室或朋友的地盘使用网络时,这个地址被分配给了你使用的路由器。
当然,电子邮件中的IP地址可以被伪造。有些人可能会使用代理地址——不是他的真实IP地址,而是其他人的地址。这样电子邮件看起来就像是来自另一个地方。代理就像一台外语翻译器,你对它说话,然后这台翻译器对另一个说外语的人说话,消息仍然保持不变。也就是说,某个在朝鲜发送电子邮件的人可能会使用中国甚至德国的代理来避开侦查。
除了托管你自己的代理,你也可以使用一种被称为匿名邮件转发器(anonymous remailer)的服务,它会掩盖你的电子邮件的IP地址。匿名邮件转发器提供保护的方式很简单,就是在将消息发送给目标收件人之前修改发件人的电子邮箱地址。收件人也可以通过这个转发服务回复。这是最简单的版本。
但也存在其他变体。一些一型和二型邮件转发器不允许你回复电子邮件;它们只是单向通信。三型(或称Mixminion)邮件转发器确实提供了一整套服务:回复、转发和加密。如果选择这种匿名通信方法,你需要了解你的邮件转发器会提供哪些服务。
掩盖你的IP地址的一种方法是使用洋葱路由器(Tor),这也是斯诺登和珀特阿斯的做法。
Tor开源程序是由美国海军研究实验室在2004年开发的,以便军事人员能在不暴露他们实际位置的前提下开展搜索。自那以后,Tor已经得到了扩展。Tor可以用于帮人们避开大众媒体和服务的审查,并防止任何人追踪他们使用的搜索词。Tor一直是免费的,任何地方的任何人都可以使用。
Tor是如何工作的?它将访问网站的一般模式颠倒了过来。
一般来说,你上网的时候,会打开一个互联网浏览器,然后输入你想访问的网站名称。该网站就会收到一个请求,几毫秒后会有一个带有其网站页面的响应传回你的浏览器。根据IP地址,这个网站可以知道你用的是哪家服务提供商,而且有时候还可以根据服务提供商的位置或从你的设备到该网站的跳(9)知晓你在世界的什么地方。比如,你的设备说它在美国,但你的请求到达目标之前所用的跳的时间和数量表明你在世界的其他地方,一些网站(尤其是赌博网站)会检测这种行为,以防备可能的欺诈。
使用Tor时,你和你的目标网站之间的直接线路会被其他额外的节点掩盖,而且每10秒钟,连接你和你访问的任何网站的节点链就会发生改变,但不会给你造成中断。连接你和网站的各种节点就像洋葱里面一层层的结构。换句话说,如果有人想从目标站点循迹追踪,试图找到你,路径的不断变化将让他们无能为力。通常你的连接可以被认为是匿名的,除非你的入口和出口节点不知为什么关联起来了。
当你使用Tor时,你打开mitnicksecurity.com页面的请求不会直接发送给目标服务器,而是会先发送给另一个Tor节点。而且为了让情况更加复杂,这个节点又会把该请求传递给另一个节点,最后再连接到mitnicksecurity.com。所以这个过程涉及一个入口节点、一个中间节点和一个出口节点。如果我要了解是谁访问了我公司的网站,我只能看到出口节点的IP地址和信息,这是这个链条的最后一个节点,而非第一个节点,即你的入口节点。你可以配置Tor,使其使用一个特定国家(比如西班牙)的出口节点,甚至可以指定一个在火奴鲁鲁的特定出口节点。
要使用Tor,你需要从Tor网站(torproject.org)下载修改过的火狐浏览器。请记得,始终要从Tor网站上寻找适合你操作系统的正规Tor浏览器,不要使用第三方的网站。对于安卓操作系统,Orbot是一款可以从Google Play获取的正规免费Tor应用,它既能加密你的流量,也能隐藏你的IP地址。在iOS设备(iPad、iPhone)上,你可以从iTunes应用商店安装正规的应用Onion Browser。
你可能会想,为什么不在Tor内部建立一个电子邮件服务呢?有人已经这样做过了。Tor Mail是托管在一个仅能通过Tor浏览器访问的网站上的服务。但是,FBI因为一个不相关的案子而没收了该服务器,因此获得了所有存储在Tor Mail中的加密电子邮件。这个警示性的故事表明,即使你认为你的信息是安全的、万无一失的,事实也可能并非如此。6
尽管Tor使用了一个特殊的网络,你仍然可以通过它访问互联网,但网页的加载速度会慢得多。然而,除了能让你浏览那些可以搜索到的网站,Tor还能让你访问很多通常搜索不到的网站。这些网站不能解析成Google.com这样常见的名称,而是在结尾冠以“.onion”的扩展名。有一些隐藏的网站在发布、销售或供应涉嫌违法的商品和服务。
应当说明一下,Tor也有一些弱点:
• 你无法控制出口节点,它们可能处于某些机构的控制之下。
• 你仍然可以被分析并被识别出来。
• Tor非常慢。
也就是说,如果你仍然决定使用Tor,就不应该在你用于浏览的同一物理设备上运行它。换句话说,用一台笔记本电脑来浏览网页,再用另一台设备(比如一台运行Tor软件的树莓派小型计算机)来配置Tor。这样做的话,就算有人攻陷了你的笔记本电脑,也无法攻破你的Tor传输层,因为它运行在另一台物理设备上。7
在斯诺登和珀特阿斯的案例中,正如我说的那样,只是通过加密电子邮件连接彼此还不够好。在珀特阿斯为她的匿名电子邮箱账号创建了一个新公钥之后,她本可以将其发送给斯诺登之前的电子邮箱地址,但如果有人正在监视那个账号,那么她的新身份就将暴露。这里有一个非常基本的原则:必须将你的匿名账号和任何与你真实身份相关的东西完全隔离。
如何创建匿名电子邮箱
若想隐身,你就需要为每个新的安全通道重新开始建立联系。已有的电子邮箱账号可能与你生活的其他部分(朋友、爱好、工作)有各种各样的联系。为了秘密地通信,你需要使用Tor来创建新的电子邮箱账号,这样,设置该账号的IP地址就不会以任何方式与你的真实身份关联到一起。
创建匿名电子邮箱地址难度很大,但也是可以办到的。
你可以使用私人电子邮件服务。因为你在为这些服务付费时会留下痕迹,所以实际上最好还是使用免费的网页服务。但也有一个小麻烦:Gmail、微软和雅虎等服务需要你提供一个电话号码来验证你的身份。显然你不能使用真实的手机号码,因为这可能会泄露你的真实姓名或真正地址。如果它支持语音认证而不是SMS认证,你就可以设置一个Skype手机号码,但你仍需要一个已有的电子邮箱账号和一张预付费的礼品卡来设置Skype号码。如果你认为使用预付费的手机本身就能保护你的匿名性,那可就错了。如果你曾经使用这个预付费电话进行过与你的真实身份有关的通话,那么发现你是谁简直是小菜一碟。
相反,你需要使用用后即抛的一次性手机。一些人认为只有坏人才会使用一次性手机,但一次性手机也有很多完全合法的正当用途。比如,曾经有一位商业记者丢的垃圾都会被惠普公司雇用的私家侦探检查翻找,因为这家公司急于知道是谁泄露了关键的董事会信息;于是这位记者转而使用一次性手机,让这些私家侦探更难识别她的电话。这段经历之后,她就只使用一次性手机与她的信息来源通话了。8
再比如,一个需要躲避有暴力倾向的前任的妇女选择使用无需合约的电话或谷歌、苹果账号,这样可能会让她更安心一点。一次性手机通常只有很少的、非常有限的互联网功能,基本上只提供语音、短信和电子邮箱服务,但一些人只需要这些就足够了。而你也应该用它获取数据,因为你可以将这部一次性手机连接到你的笔记本电脑上,然后使用它来上网。在后面的章节中,我会告诉你在笔记本电脑上修改媒体访问控制(media access control,简称MAC)地址的方式,这样每当你将一部一次性手机接入这台电脑时,它看起来都像是一台新设备。
但是匿名购买一次性手机会很困难。现实世界发生过的事情可以被用于识别虚拟世界中你的身份。当然,我可以走进沃尔玛,用现金购买一部一次性手机和100分钟的通话时间。谁会知道呢?事实上,很多人都知道。
首先,我是如何到达沃尔玛的?我搭了一辆优步(Uber)的车吗?还是坐的出租车?这些记录都可以被传讯取证。
虽然我也可以自己开车去,但执法部门在大型公共停车场使用了自动车牌识别技术(automated license plate recognition,简称ALPR)来寻找失踪和被盗的车辆以及仍有效的通缉令上的人。这些ALPR记录可以被传讯取证。
就算我步行去沃尔玛,一旦走进店里,我的脸也会被安全监控摄像头拍到。这些视频可以被传讯取证。
好吧,那假设我让另外一个人去店里买——一个我也不认识的人,可能是我当场雇的一个流浪者。那个人走进店里,然后用现金买下手机和一些数据充值卡。这是最安全的方法。也许你安排好了,你们会在远离这家店的地方碰头。这有助于拉开你和实际销售交易位置的物理距离。在这种情况下,你叫去买手机的人就成了其中最薄弱的环节——他值得信赖的程度如何是未知的。如果你给他的钱超过手机的价值,他可能才乐意按承诺的那样把手机交给你。
想激活预付费的手机,你要么需要拨打对应移动运营商客服部门的电话,要么需要在该运营商的网站上激活。为了避免因“资格认证”而被记录数据,通过网络激活更加保险。修改MAC地址后,在公开的无线网络上使用Tor应该能做到最低程度的保护。你应该编造你输入该网站的所有订阅者信息。对于地址,只需要用谷歌搜一家主流酒店的地址,然后使用它就行了。再编造一个生日和PIN码,但你要记住它们,以防以后出现需要联系客服的情况。
也有一些电子邮件服务不需要验证,而且如果你无须担心当权者,Skype号码就可以很好地用来注册谷歌账号等应用。但为了说清楚,让我们假设在使用Tor让你的IP地址变得随机之后,你创建了一个与你的真实电话号码毫无关联的Gmail账号,之后谷歌给你的电话发送了一条验证码或进行了一次语音呼叫。现在你就有了一个基本上无法被追踪的Gmail账号。
所以,我们已经使用我们熟悉和常见的服务建立了一个匿名电子邮箱地址。那么我们就可以发送足够安全的电子邮件了,它的IP地址在Tor的帮助下匿名了(尽管你无法控制出口节点),它的内容也在PGP的帮助下无法被收件人之外的人读取。
请注意,要保持这个账号的匿名性,只能使用Tor来访问这个账号,这样你的IP地址才永远不会与之发生关联。此外,在登录了这个匿名Gmail账号之后,一定不要执行任何互联网搜索,因为你可能会在无意中搜索与你的真实身份相关的事物。即使搜索天气信息,也可能暴露你的位置。9
如你所见,实现隐身和保持隐身需要严格的规行矩步和持续不断的持之以恒。但为了隐身,这都是值得的。
最重要的总结是:首先,始终要清楚,就算你执行了我前面描述的部分预防措施,只要不是全部,就有可能被人识别出你的身份。如果你确实执行了所有这些预防措施,还要记住,每次使用你的匿名账号时都要毫不遗漏地执行这些操作,不能有例外。
另外,值得重申一下,端到端加密是非常重要的,也就是说,要让你的消息在到达收件人之前一直都保持不可读取的安全状态,而不只是简单的加密。端到端加密也有其他用途,比如加密电话和即时消息,这是我们将在接下来两章里讨论的内容。