個(gè)人信息保衛(wèi)戰(zhàn)

前言

現(xiàn)代化的小玩意兒為什么背叛我們?cè)谂聿剂_克郡—斯旺西列車(chē)飛馳而來(lái)之前，保拉?西利就已經(jīng)感覺(jué)到事情有些不妙。黃昏剛過(guò)，這位20歲的大學(xué)生在傾盆大雨中離開(kāi)了車(chē)子，打開(kāi)擋在前方的一扇門(mén)。西利使用借來(lái)的TomTom移動(dòng)GPS設(shè)備導(dǎo)航，從英國(guó)伍斯特郡的雷迪奇鄉(xiāng)間小路向位于威爾士卡馬森郡的男朋友父母家行駛了將近150英里。這是她第一次拜訪男朋友的父母。根據(jù)儀表板上明亮的GPS顯示判斷，西利離她的最終目標(biāo)只有幾英里了，而前方的路應(yīng)該已經(jīng)很清楚了。西利認(rèn)為面前的這扇門(mén)是英國(guó)鄉(xiāng)間常見(jiàn)的農(nóng)場(chǎng)主的家門(mén)，正當(dāng)她要打開(kāi)它時(shí)，并沒(méi)有意識(shí)到腳下是鐵路軌道，直到列車(chē)呼嘯著撞上她身后的雷諾克萊奧小汽車(chē)。不久，西利告訴BBC：“我能感覺(jué)到一陣風(fēng)刮過(guò)來(lái)，然后我的車(chē)子在鐵軌上轉(zhuǎn)了360°，被撞向了另一邊?！蔽骼⒉皇莾H有的例子。在2006年年末和2007年年初，全世界的頭條新聞上充滿著與移動(dòng)GPS相關(guān)的事故報(bào)道：德國(guó)布萊梅的一位43歲的男士在GPS指示下左轉(zhuǎn)，把他的奧迪汽車(chē)開(kāi)上了電車(chē)軌道；2英國(guó)的另一位20歲女性按照儀表板上GPS的指示，將她的奔馳SL500小轎車(chē)開(kāi)到了Sheepy Magna村莊外的一條封閉的道路，沖進(jìn)了森斯河邊漲起的大水中，3而澳大利亞的一位男性過(guò)早地在高速公路上轉(zhuǎn)向，穿過(guò)一個(gè)建筑工地之后，將他的SUV停在了一座新建筑物的混凝土臺(tái)階上?？吹竭@些報(bào)道，人們可能會(huì)總結(jié)道，消費(fèi)級(jí)的儀表板GPS系統(tǒng)都有問(wèn)題。實(shí)際上并非如此。5從20世紀(jì)90年代中期起，不同的供應(yīng)商已經(jīng)銷(xiāo)售了幾百萬(wàn)臺(tái)用于私人飛機(jī)、汽車(chē)和船只的具有GPS功能的小型設(shè)備。ABI Research預(yù)測(cè)到2013年為止，將會(huì)有超過(guò)9億人通過(guò)儀表板設(shè)備以及手機(jī)使用GPS導(dǎo)航程序。隨著這些商用的GPS設(shè)備更加流行，世界發(fā)生了一些更根本的改變。我們中的一些人不再像幾千年來(lái)一樣，抬起頭、環(huán)顧四周、獨(dú)自思考，而是簡(jiǎn)單地接受這些小玩意所告訴我們的信息。了解自己所在的位置是基本的需求，移動(dòng)設(shè)備給我們帶來(lái)在人類(lèi)過(guò)去的歷史上不可能出現(xiàn)的一種手段。對(duì)于許多人，包括我自己來(lái)說(shuō)，現(xiàn)在的人沒(méi)有技術(shù)就無(wú)法生存這種說(shuō)法都只能算輕描淡寫(xiě)。技術(shù)令人癡迷。但是為了得到大眾的接受，技術(shù)供應(yīng)商走了捷徑。軟件向?qū)б龑?dǎo)我們快速忽略復(fù)雜的配置，今天的界面上高級(jí)設(shè)置選項(xiàng)越來(lái)越少，消費(fèi)品被制造成最終用戶不了解其內(nèi)部結(jié)構(gòu)的魔盒。順著這條道路發(fā)展，我們已經(jīng)造成了一些預(yù)期之外的后果。如果儀表板GPS設(shè)備蓄意誤導(dǎo)我們，該怎么辦？我們車(chē)上的GPS設(shè)備不只提供導(dǎo)航；還警告我們即將出現(xiàn)的道路封閉或者事故，如果它們?nèi)隽酥e，又該怎么辦？2007年春天，在加拿大溫哥華舉行的CanSecWest安全會(huì)議上，安德雷?巴里薩尼和丹尼爾?比安科展示了一段視頻，視頻中巴里薩尼的2006年產(chǎn)本田思域汽車(chē)的GPS顯示了一段文字，警告他在意大利的里雅斯特市的家附近有恐怖主義威脅。7這段警告信息不是來(lái)自于地球同步軌道上的衛(wèi)星，交通警告是通過(guò)一種具有十年歷史的廣播協(xié)議從本地發(fā)送的，衛(wèi)星廣播站利用這種協(xié)議填寫(xiě)儀表板娛樂(lè)系統(tǒng)屏幕上的歌曲名稱和詳細(xì)情況。人們很快就知道如何操縱這種協(xié)議。研究人員的試驗(yàn)在很有限的范圍內(nèi)進(jìn)行，以免打擾附近公路上的其他車(chē)輛。該項(xiàng)目也并非都那么令人恐懼或者嚴(yán)重。由于路上的GPS警告沒(méi)有加密，因此任何具有合適的設(shè)備并了解儀表板設(shè)備使用信號(hào)的人都可以做到這一點(diǎn)。反之亦然：人們可以阻止緊急信息，這稱為拒絕服務(wù)攻擊。因此，任何擁有低功率無(wú)線電發(fā)射裝置并知道GPS使用頻率的人，都可以向路過(guò)的旅行者廣播（真實(shí)或者虛假的）信息。在美國(guó)這種臨時(shí)廣播是合法的，而在其他國(guó)家并非如此。較新的GPS設(shè)備使用基于衛(wèi)星的警報(bào)，這更難以偽造，但是它們?nèi)匀皇褂梅羌用艿男l(wèi)星信號(hào)。較老的GPS設(shè)備仍然依賴容易遭到這種攻擊的FM信號(hào)。考慮到現(xiàn)在我們有放棄常識(shí)而信任這些微型硅晶片的傾向，如果本書(shū)只能實(shí)現(xiàn)一個(gè)目標(biāo)，我希望是使你更多地對(duì)這些新的時(shí)尚玩意保持懷疑。1人們不僅可以向我們的設(shè)備發(fā)送虛假信息，還可以在不為人知的時(shí)候獲取我們的個(gè)人數(shù)據(jù)。例如，iPhone不使用GPS作為其定位服務(wù)，蘋(píng)果公司確定，跟蹤電話到一個(gè)實(shí)際位置的Wi-Fi互聯(lián)網(wǎng)連接比GPS更有前途。8Microsoft和Google都有自己的Wi-Fi定位服務(wù)。但是，Wi-Fi在地理定位上不一定能超越GPS，只是更加方便。2008年，瑞士蘇黎世的一個(gè)研究團(tuán)隊(duì)發(fā)現(xiàn)了入侵蘋(píng)果公司W(wǎng)i-Fi定位網(wǎng)絡(luò)的方法。9iPad、iPhone和iPod Touch設(shè)備查詢最近的無(wú)線訪問(wèn)點(diǎn)（比如互聯(lián)網(wǎng)咖啡屋、公司或者本地住宅）并將信息傳遞給一個(gè)數(shù)據(jù)庫(kù)，在數(shù)據(jù)庫(kù)中與物理地址（經(jīng)度和緯度）關(guān)聯(lián)。但是瑞士研究人員為這個(gè)服務(wù)提供了不正確的信息，告訴蘋(píng)果公司服務(wù)這臺(tái)iPhone在紐約，而實(shí)際上它仍然在蘇黎世。如果有人惡意利用這一漏洞會(huì)怎么樣呢？?jī)赡昵?，安全研究人員特里?斯滕沃德在著名的流行黑客雜志《2600》上發(fā)表了相似的研究結(jié)果。10斯滕沃德發(fā)現(xiàn)，他可以竊取其他人的硬件規(guī)格——例如，手機(jī)的唯一ID或者便攜式電腦的唯一硬件ID——然后將該信息上傳給定位服務(wù)，使該服務(wù)告訴他這個(gè)人的當(dāng)前位置。11這種技術(shù)可以用于跟蹤。第三方已經(jīng)能夠捕捉我們的位置信息，并且無(wú)限期地存儲(chǔ)。我們有沒(méi)有考慮過(guò)長(zhǎng)期的后果？隨意經(jīng)過(guò)的一個(gè)破舊的小鎮(zhèn)十年以后會(huì)是什么樣子？如果不是隨意的地點(diǎn)呢？有了足夠的數(shù)據(jù)，會(huì)出現(xiàn)什么精心計(jì)劃的秘密行動(dòng)？或者，如果我們可以偽裝自己的當(dāng)前位置，使人覺(jué)得我們似乎始終在工作中，而實(shí)際上卻不是那么回事，這又會(huì)有什么后果？我們應(yīng)該信任這種位置數(shù)據(jù)嗎？如果本書(shū)能完成第二個(gè)目標(biāo)，我希望它能夠建立一種意識(shí)：常見(jiàn)的設(shè)備可能以各種方式泄露個(gè)人信息。2本書(shū)的其中一個(gè)主旨就是硬件破解——一個(gè)值得研究和關(guān)注的相對(duì)新穎的領(lǐng)域：我們的車(chē)子有多么容易遭到攻擊，我們的手機(jī)對(duì)話是如何被竊聽(tīng)的，我們的非接觸式信用卡、駕照和護(hù)照是怎樣在遠(yuǎn)離我們的地方被復(fù)制的。在大部分硬件上添加基本驗(yàn)證和強(qiáng)加密能夠顯著地降低本書(shū)描述的漏洞；但是硬件制造商目前對(duì)加強(qiáng)設(shè)備安全還沒(méi)有表現(xiàn)出濃厚的興趣。消費(fèi)者只有加強(qiáng)風(fēng)險(xiǎn)意識(shí)，才能做出明智的選擇。我們的智能手機(jī)、MP3播放器、數(shù)碼相機(jī)以及新的無(wú)線便攜式電腦都有隱秘的陰暗面，而在出現(xiàn)糟糕的事情之前，我們大部分人都沒(méi)有注意到這一點(diǎn)。我們從不在開(kāi)機(jī)之前閱讀說(shuō)明書(shū)；我們要求直觀的界面立即出現(xiàn)和運(yùn)行，而往往屏蔽了重要的安全設(shè)置。研究顯示，消費(fèi)者需要復(fù)雜性，認(rèn)為具有更多功能的設(shè)備更有價(jià)值，盡管我們并不理解它們的工作原理。但是，如何使用我們的設(shè)備只是問(wèn)題的一半；另一半是硬件本身。我們沒(méi)有認(rèn)識(shí)到這些相同的設(shè)備可能出現(xiàn)故障。它們也可能說(shuō)謊，或者跟蹤我們的每一個(gè)行動(dòng)?！拔也恍湃卧S多硬件設(shè)備，它們太可怕了，”喬?格蘭德說(shuō)道，他是舊金山的Grand Idea Studio公司總裁及發(fā)現(xiàn)頻道《Prototype This》節(jié)目的共同主持人?！艾F(xiàn)代人在使用產(chǎn)品時(shí)往往沒(méi)有思考這些小玩意實(shí)際上在做什么。這些產(chǎn)品可以幫助你做所希望的任何事情，但是它也可以監(jiān)視你，或者做一些壞事?！?2格蘭德年輕時(shí)曾經(jīng)是位黑客，現(xiàn)在成為了硬件設(shè)計(jì)師，這使他看到了問(wèn)題的兩個(gè)方面。例如，我們的臺(tái)式機(jī)在連接到互聯(lián)網(wǎng)之前不會(huì)泄露個(gè)人數(shù)據(jù)?！耙坏┠阕屜到y(tǒng)連接到網(wǎng)絡(luò)，”格蘭德說(shuō)，“接著它就為所有攻擊打開(kāi)了大門(mén)。你甚至不必是個(gè)硬件黑客。你可能是個(gè)網(wǎng)絡(luò)黑客或者軟件黑客。現(xiàn)在你身處在一個(gè)全新的世界里?！痹诳久姘鼨C(jī)中有一塊幫助制作出完美的烤面包片的小芯片，這是非常方便的，但是當(dāng)我們?yōu)榭久姘鼨C(jī)增加連接到互聯(lián)網(wǎng)訂購(gòu)更多面包的功能時(shí)，我們就要面對(duì)不可預(yù)知的后果。你的烤面包機(jī)某天可能成為拒絕服務(wù)攻擊的受害者，因?yàn)槟承┻h(yuǎn)程方對(duì)它的固件重新編程，使其無(wú)法操作。這聽(tīng)起來(lái)很有趣，但是同樣的情況如果發(fā)生在植入式的醫(yī)療設(shè)備等其他設(shè)備上，就不是這么回事了。格蘭德引用了另一個(gè)例子：“汽車(chē)制造商監(jiān)控你的駕駛活動(dòng)可以改進(jìn)汽車(chē)的性能和安全性，但是這種監(jiān)控也可以讓保險(xiǎn)公司用來(lái)驗(yàn)證你撞上樹(shù)時(shí)有沒(méi)有超速。”格蘭德不是妄想狂，他是對(duì)的?！拔艺J(rèn)為你的微波爐可能不會(huì)記錄你的使用頻率，”他說(shuō)，“但是你的汽車(chē)可能會(huì)?！庇布I(yè)界反駁說(shuō)，本書(shū)描述的攻擊超出了一般犯罪分子擁有的資源，但是情況不再是如此。技術(shù)變得越復(fù)雜，設(shè)備就越容易破解。網(wǎng)絡(luò)犯罪分子對(duì)于某種技術(shù)所了解的并不一定要比我們多；他們只需要知道如何戰(zhàn)勝這種技術(shù)。例如，今天在布拉格街頭使用帶有從互聯(lián)網(wǎng)下載的軟件的便攜式電腦偷車(chē)的流氓，實(shí)際上并不比十年前使用螺絲刀和剪刀發(fā)動(dòng)汽車(chē)的偷車(chē)賊更能干。感謝摩爾定理（每?jī)赡晷酒系木w管數(shù)量將翻一番）以及時(shí)間的推移，硬件攻擊的成本顯著下降了。13例如，用Dell便攜式電腦上所具備的現(xiàn)代雙核處理器，加載合適的軟件，可以在幾分鐘（而不是幾天）內(nèi)就挫敗沿用20年的加密算法。硬件行業(yè)的另一個(gè)回應(yīng)是堅(jiān)稱來(lái)自安全研究人員的公開(kāi)漏洞曝光有助于犯罪。但是不管這些漏洞是否曝光，硬件缺陷都可能已經(jīng)為犯罪集團(tuán)所知。我們以前談到的計(jì)算機(jī)軟件供應(yīng)商所不知曉的漏洞——“零日漏洞”——就被犯罪分子在互聯(lián)網(wǎng)黑市上公開(kāi)交易；沒(méi)有一個(gè)善意的安全研究團(tuán)體發(fā)現(xiàn)和報(bào)告這些零日漏洞，硬件方面也是如此。但是，硬件制造商有時(shí)候威脅本書(shū)提到的研究人員：如果他們的工作曝光，就要采取法律措施。為了保護(hù)我們大家，應(yīng)該改變這種態(tài)度。最后，硬件行業(yè)提到挫敗他們的網(wǎng)絡(luò)需要相當(dāng)多的資源。但是今天的攻擊者并不需要高級(jí)的計(jì)算機(jī)編碼技巧；莫名其妙的代碼也可能使設(shè)備出現(xiàn)故障，在起搏器中這種故障可能致命。安全研究人員德維安?奧拉姆是一位開(kāi)鎖專家和物理安全顧問(wèn)，他對(duì)其他人的擔(dān)心予以贊同，認(rèn)為現(xiàn)在的硬件制造商正如20年前的軟件供應(yīng)商一樣需要關(guān)注安全性。鎖具制造商對(duì)他這樣的研究人員很不以為然，他們認(rèn)為：“如果你能夠制造一種無(wú)法破解的產(chǎn)品當(dāng)然很好，但是沒(méi)有人能做到這一點(diǎn)。每個(gè)人都有弱點(diǎn)，你仍然必須接受?！睂?shí)用與惡意的破解之間僅有一線之隔，這模糊了本書(shū)中“好”與“壞”的區(qū)別。像喬?格蘭德或者德維安?奧拉姆這樣的人，會(huì)依靠破解你我每天使用的設(shè)備來(lái)謀生的，這種看法似乎很荒唐；不過(guò)，非常有必要進(jìn)行研究和公開(kāi)討論各種網(wǎng)絡(luò)犯罪活動(dòng)的安全會(huì)議。如果本書(shū)能夠完成第三個(gè)目標(biāo)，我希望是啟動(dòng)制造商和安全研究團(tuán)體之間的建設(shè)性對(duì)話。3在現(xiàn)實(shí)世界中，我們相當(dāng)習(xí)慣于感知危險(xiǎn)。我們豎起耳朵聆聽(tīng)奇怪的聲音；我們的皮膚在某些情況不妙時(shí)會(huì)有刺痛感；我們會(huì)注意到可疑的陌生人微妙的肢體語(yǔ)言。我們通過(guò)對(duì)視或者握手來(lái)確認(rèn)另一個(gè)人的可靠性；但是，今天大部分的驗(yàn)證都是按照以光速移動(dòng)的亞原子微粒傳送的聲音、文本或者電子郵件，以數(shù)字的方式進(jìn)行的。我們不知道何時(shí)會(huì)有人嘗試從我們這里提取個(gè)人信息或者竊聽(tīng)我們的手機(jī)。不論何時(shí)，我們都使用技術(shù)去驗(yàn)證另一個(gè)人，太多的時(shí)候我們投資于簡(jiǎn)單的過(guò)濾器或者造成許多假陽(yáng)性的不健全生物測(cè)定設(shè)備。在最極端的情況下，這些有缺陷的生物測(cè)定系統(tǒng)甚至?xí)阅氂械淖锩褵o(wú)辜的人投進(jìn)監(jiān)獄。人們由于自信掌握了技術(shù)，而沒(méi)有提高生存技能。我們常常根據(jù)很少的幾條準(zhǔn)則，盲目地相信新技術(shù)。當(dāng)今的設(shè)備是如此復(fù)雜，以至于我們常常只是高興地啟用新的產(chǎn)品——不敢去改變其默認(rèn)的設(shè)置。然而，我們應(yīng)該改變這些配置。設(shè)備制造商對(duì)復(fù)雜技術(shù)的簡(jiǎn)化只給了我們一種控制的假象，這進(jìn)一步地向更大的風(fēng)險(xiǎn)打開(kāi)了大門(mén)。記得保拉?西利嗎？我們可能從沒(méi)有意識(shí)到這種危險(xiǎn)，就信任這些大大簡(jiǎn)化了現(xiàn)實(shí)世界的電子設(shè)備，把我們的命運(yùn)或者曾經(jīng)鎖在保險(xiǎn)箱里的個(gè)人信息托付給這些設(shè)備?？墒牵渌藭?huì)利用我們的天真。有了這些設(shè)備，我們相信新的技術(shù)（例如車(chē)輛里的防盜保護(hù)電路）在某些方面勝過(guò)我們多年以來(lái)獲得的所有現(xiàn)實(shí)世界中的經(jīng)驗(yàn)。我們不應(yīng)如此輕信，而應(yīng)該加強(qiáng)防御的層次——例如在燈光明亮的空間停車(chē)，在方向盤(pán)或者剎車(chē)踏板上使用物理鎖，并且應(yīng)用防盜保護(hù)技術(shù)——增加而不是減少安全性。但是人的天性就是如此，我們喜歡方便，不愿意費(fèi)事。我們只鎖住房子最外面的一道門(mén)，因?yàn)?0%的威脅來(lái)自那里。傳感器可以告訴我們窗戶是否關(guān)上，但是它們不會(huì)告訴我們：犯罪分子是否可以利用它們的損壞進(jìn)入房間。同樣，我們只因?yàn)槁?tīng)到“嗶嗶”聲就相信我們的車(chē)子（除了房子以外我們所購(gòu)買(mǎi)的最貴的東西）是安全的。在無(wú)鑰匙進(jìn)入和遙控點(diǎn)火的車(chē)子里，物理鑰匙已經(jīng)變形為通過(guò)一個(gè)觸碰按鈕就能開(kāi)鎖并啟動(dòng)車(chē)子的設(shè)備。但是這種裝置能使車(chē)子更難被竊賊偷走嗎？雖然我們能修補(bǔ)計(jì)算機(jī)中的軟件缺陷，但是我們還不習(xí)慣于修補(bǔ)電視和DVD播放器中的安全性軟件缺陷。我們不斷要求使用的手機(jī)提供更多的服務(wù)——更快的互聯(lián)網(wǎng)連接、文本消息、應(yīng)用程序、電子郵件和Web瀏覽。然而，重復(fù)利用在過(guò)去已經(jīng)遭到攻擊的老式網(wǎng)絡(luò)協(xié)議和標(biāo)準(zhǔn)來(lái)滿足未來(lái)的要求，我們?nèi)匀环浅４嗳?。我們是否修補(bǔ)手機(jī)的新漏洞？我們是否將手機(jī)當(dāng)做小計(jì)算機(jī)看待？我們應(yīng)該意識(shí)到的不僅僅是這些攻擊。我們錯(cuò)誤地信任這些設(shè)備的結(jié)果是，丟棄了一堆的電子面包屑，把這些蛛絲馬跡集中起來(lái)，就能為其他人提供攻擊我們的模式。復(fù)印機(jī)記憶我們的敏感文檔，張貼到互聯(lián)網(wǎng)上的照片泄露了拍照時(shí)我們所在的位置，在我們渾然不知時(shí)侵犯了我們的隱私。我們大部分人可能都不在意，讓過(guò)路收費(fèi)亭的無(wú)線發(fā)射器監(jiān)控我們?nèi)粘３鋈肟赡茉斐傻暮蠊钡揭晃浑x婚的律師用那些相當(dāng)枯燥無(wú)味的數(shù)據(jù)，編造了我們?cè)谀硞€(gè)下午4：00～6：00有不正當(dāng)行為的一個(gè)故事時(shí)，我們才大夢(mèng)初醒。為我們的工作牌、駕照和護(hù)照添加非接觸的廣播系統(tǒng)，能夠加速驗(yàn)證的過(guò)程——但是我們也造成了新的身份盜竊方式。復(fù)制無(wú)線信號(hào)很容易。由于這種信號(hào)沒(méi)有驗(yàn)證、經(jīng)常沒(méi)有加密或者使用簡(jiǎn)單的加密，我可以在和你本人、你的文件及財(cái)物沒(méi)有物理接觸的情況下變成你。此外，零售商在我們購(gòu)買(mǎi)的產(chǎn)品上嵌入RFID標(biāo)記。雖然沒(méi)有泄露個(gè)人信息，這個(gè)標(biāo)記本身也只是序列號(hào)，但是這些產(chǎn)品標(biāo)記共同建立了一個(gè)獨(dú)特的電子代理，它可以代表一位實(shí)際的消費(fèi)者，而且現(xiàn)在可以在不同商店跟蹤它。這些電子代理有時(shí)候是在不為我們所知的情況下采用的，然而，它們并不比我們的生物學(xué)信息表示的內(nèi)容精確，這有時(shí)候是故意為之。指紋通常被認(rèn)為能夠提供一對(duì)一的匹配——但是指紋匹配是個(gè)神話。15正如GPS設(shè)備無(wú)法考慮到所有現(xiàn)實(shí)世界的路況，生物測(cè)定也可能錯(cuò)判許多我們的獨(dú)特?cái)?shù)據(jù)。處理所有這些技術(shù)上的更改的方法之一可能是將所有完全不同的電子設(shè)備合并成一個(gè)——即使在這樣一個(gè)設(shè)備上，我們也應(yīng)該首先構(gòu)建安全措施，而不是在以后進(jìn)行補(bǔ)救。我們似乎從來(lái)沒(méi)有忘記自己的手機(jī)；但是，我們有時(shí)候會(huì)忘記車(chē)鑰匙和錢(qián)包。這些手機(jī)如果設(shè)計(jì)得安全，可能可以保存我們的私人聯(lián)系人、工作安排、信用卡、音樂(lè)、照片等。當(dāng)今的智能手機(jī)就是這樣一種移動(dòng)設(shè)備。和實(shí)體的錢(qián)包不同，如果丟失或者被盜，智能手機(jī)能夠用附加的軟件遠(yuǎn)程鎖定或者刪除，使其對(duì)竊賊顯得沒(méi)有用處。但是在我們成功地將技術(shù)完全集成到我們的日常生活之前，必須改變我們圍繞設(shè)備的行為，總的來(lái)說(shuō)，要更加了解設(shè)備的工作原理及其各種漏洞。在接下來(lái)的7章中，我們將從柏林的大街開(kāi)始旅行，去往布拉格、約翰內(nèi)斯堡、洛杉磯、紐約和其他地方。我們將看到因技術(shù)設(shè)備而受傷的人們。我們的目的不是要大家驚恐地遠(yuǎn)離技術(shù)，而是推動(dòng)技術(shù)在我們?nèi)粘Ｉ钪械暮侠硎褂?，并且采取明智的措施使個(gè)人的風(fēng)險(xiǎn)降到最低。

內(nèi)容概要

　　隨著手機(jī)、MP3播放器、汽車(chē)和數(shù)碼相機(jī)的功能越來(lái)越高級(jí)，我們對(duì)其工作原理和鮮為人知的一面了解得越來(lái)越少。本書(shū)深入分析了現(xiàn)代技術(shù)如何在毫不知情的情況下采集個(gè)人信息，揭示數(shù)字功能和便捷性的陰暗面，旨在教會(huì)人們合理地利用現(xiàn)代設(shè)備，并采取明智的措施保護(hù)個(gè)人信息。通過(guò)發(fā)生在世界各地的具體案例，本書(shū)講述了各種設(shè)備的硬件原理和安全漏洞，包括：汽車(chē)防盜如何遭到盜車(chē)賊的濫用，手機(jī)通話如何無(wú)形中被竊聽(tīng)，汽車(chē)以及數(shù)碼相機(jī)、復(fù)印機(jī)和高速公路收費(fèi)站中的“黑盒”數(shù)據(jù)記錄技術(shù)如何用于秘密采集個(gè)人信息。
　　本書(shū)適合所有使用現(xiàn)代設(shè)備的讀者閱讀，也適合對(duì)信息安全感興趣的讀者閱讀。

作者簡(jiǎn)介

作者:（美國(guó)）羅伯特·瓦摩西（Robert Vamosi） 譯者：姚軍 等  Robert Vamosi（羅伯特·瓦摩西）是一位屢獲殊榮的記者和分析家，他近20年來(lái)一直堅(jiān)持報(bào)道數(shù)字安全問(wèn)題，他的專攻方向是：計(jì)算機(jī)安全、網(wǎng)絡(luò)犯罪和計(jì)算機(jī)病毒。他發(fā)表了大量關(guān)于計(jì)算機(jī)安全、犯罪偵查、漏洞分析、數(shù)據(jù)流失預(yù)防、僵尸網(wǎng)絡(luò)、惡意軟件、跨站點(diǎn)腳本攻擊的文章。他在無(wú)線網(wǎng)絡(luò)安全、攻擊者如何概述和利用社交工具和數(shù)字取證受過(guò)專業(yè)培訓(xùn)。他是Mocana（一家智能設(shè)備創(chuàng)業(yè)公司）的一名高級(jí)分析員，還是《PCWorld》的特約編輯，曾擔(dān)任CNET網(wǎng)站的高級(jí)編輯，其博客是Forbes.com。

書(shū)籍目錄

譯者序
前言 現(xiàn)代化的小玩意兒為什么背叛我們
第1章 虛假的安全感
第2章 方便性的黑暗面
第3章 看不見(jiàn)的威脅
第4章 電子面包屑
第5章 我，我不是
第6章 指紋的神話
第7章 0和1
結(jié)語(yǔ) 希望永存
注解

章節(jié)摘錄

版權(quán)頁(yè)：   第1章 Chapter 1虛假的安全感對(duì)于大多數(shù)人來(lái)說(shuō)，經(jīng)過(guò)停車(chē)場(chǎng)或者車(chē)庫(kù)時(shí)會(huì)聽(tīng)到熟悉的“嗶嗶”聲，這足以讓我們確信自己的車(chē)上了鎖，并且是安全的。儀表板上閃爍的微光往往也能警告犯罪分子，該車(chē)是由最新的防盜安全裝置保護(hù)的。絕大多數(shù)情況下確實(shí)如此，車(chē)子里有高級(jí)的電子加密裝置。但是，如果你最新款的防盜保護(hù)汽車(chē)被盜也不足為奇。復(fù)雜的技術(shù)并不一定能提高網(wǎng)絡(luò)犯罪分子的進(jìn)入門(mén)檻；有時(shí)候恰恰相反。只要調(diào)查捷克出生的、混跡于大城市的職業(yè)盜車(chē)賊拉德克?索西克，就會(huì)發(fā)現(xiàn)他不可能屬于那種高技術(shù)罪犯。索西克現(xiàn)在30多歲，從11歲開(kāi)始在這個(gè)國(guó)家干起了偷車(chē)的勾當(dāng)，根據(jù)國(guó)際車(chē)輛盜竊調(diào)查員聯(lián)合會(huì)的報(bào)告1，捷克的車(chē)輛盜竊現(xiàn)象十倍于其他歐洲國(guó)家。捷克官方將每年5.1萬(wàn)起盜竊事件中的大部分歸因于結(jié)伙盜車(chē)、偽造牌照、拆卸零件的竊賊們——這又稱為團(tuán)伙犯罪。索西克則獨(dú)來(lái)獨(dú)往，他告訴《布拉格郵報(bào)》：“當(dāng)你離開(kāi)你的車(chē)子，上鎖后繞過(guò)汽車(chē)回家，在這段時(shí)間里我就能把車(chē)偷走?！?20世紀(jì)90年代，越來(lái)越多的歐洲汽車(chē)制造商開(kāi)始在昂貴的奔馳、寶馬、法拉利和保時(shí)捷汽車(chē)中加入了計(jì)算機(jī)技術(shù)，索西克意識(shí)到他可以破解制造商的防盜竊軟件。由于缺乏任何正式的計(jì)算機(jī)培訓(xùn)，因此他使用互聯(lián)網(wǎng)提供的軟件，這種軟件很快可以在布拉格和其他地方找到。在布拉格的盧茨內(nèi)監(jiān)獄里，索西克說(shuō)，在20年前，他只需要一把剪刀就可以偷走任何意大利跑車(chē)。“現(xiàn)在你需要更多的技術(shù)?！彼f(shuō)再也不使用廉價(jià)的工具了，現(xiàn)在使用一臺(tái)便攜式電腦。和在其他歐洲國(guó)家的街道上行竊一樣，罪犯往往尋找和偷竊特別高端品牌的汽車(chē)。經(jīng)過(guò)專門(mén)的研究，這些罪犯可以通過(guò)反復(fù)的試驗(yàn)猜測(cè)無(wú)鑰匙門(mén)禁系統(tǒng)中的電子防盜碼。另一種可能是，罪犯可能已經(jīng)知道供應(yīng)商的專用編碼算法（這可能是內(nèi)部人員或者代理機(jī)構(gòu)人員盜竊、購(gòu)買(mǎi)或者提供的）。這些防盜系統(tǒng)使用的編碼并不能讓我們更安全，卻讓我們沾沾自喜。我們非常相信它們，以至于連常識(shí)都忘了——比如要把車(chē)停在光線好的位置、隱藏貴重物品或者在輪子或者剎車(chē)上使用輔助鎖定機(jī)制。我們假設(shè)高技術(shù)的解決方案比過(guò)去的經(jīng)驗(yàn)更好。我們對(duì)自己的車(chē)子和安全意識(shí)都滿不在乎。有層次的安全措施最有效。正如我們將要看到的，汽車(chē)的防盜技術(shù)實(shí)際上是退步的；制造商沒(méi)有增加安全性，而是為司機(jī)提供更大的方便，從而降低了安全性。而我們也有責(zé)任，我們過(guò)分相信高技術(shù)好過(guò)常識(shí)，以至于忽略了我們停車(chē)的周?chē)鷹l件，也沒(méi)有利用Club防盜鎖和其他方向盤(pán)鎖定裝置。然而，汽車(chē)保險(xiǎn)業(yè)不同意這一點(diǎn)。很明顯，某種因素導(dǎo)致近幾年美國(guó)的汽車(chē)盜竊案件減少。美國(guó)司法部2009年的初步估算數(shù)字顯示，汽車(chē)盜竊案件下降了17.9%。3而在2008年下降了12.7%，2007年下降了8.1%，2006年下降了3.5%，2005年下降了0.2%，2004年下降了1.9%。關(guān)注汽車(chē)盜竊的非盈利組織——美國(guó)國(guó)家保險(xiǎn)犯罪局（National Insurance Crime Bureau，NICB）也發(fā)現(xiàn)了類(lèi)似的連續(xù)6年的下降。NICB的數(shù)據(jù)顯示，在美國(guó)的366個(gè)大都市統(tǒng)計(jì)區(qū)域中，83%的地區(qū)2009年的盜竊事件都少于2008年。4我認(rèn)為，這種減少是教育和執(zhí)法的結(jié)果，而不像保險(xiǎn)業(yè)所聲稱的，是因?yàn)榉辣I裝置的增加。盡管無(wú)法精確地說(shuō)出有多少起汽車(chē)盜竊案是用便攜式電腦模擬標(biāo)準(zhǔn)鑰匙牌發(fā)出的數(shù)字編碼的直接結(jié)果，但是肯定不在少數(shù)。5當(dāng)索西克在2006年被捕時(shí)，他的便攜式電腦上有150部被盜車(chē)輛的數(shù)據(jù)。他說(shuō)：“你可以從筆記本上刪除所有數(shù)據(jù)，但是這對(duì)你來(lái)說(shuō)不好，因?yàn)閾碛性蕉嗟臄?shù)字，就有越大的潛力。”6所以，使用便攜式電腦盜竊一輛新車(chē)有什么困難？首先，我們必須了解，現(xiàn)在我們打開(kāi)車(chē)門(mén)，把金屬鑰匙插入點(diǎn)火裝置啟動(dòng)車(chē)輛時(shí)發(fā)生了什么。7大部分汽車(chē)使用無(wú)鑰匙的遙控門(mén)禁裝置：你按下一個(gè)按鈕，發(fā)出的無(wú)線電信號(hào)鎖上或者打開(kāi)車(chē)門(mén)；在某些型號(hào)的車(chē)輛中，還會(huì)打開(kāi)后備箱。使用一塊微型電池，遙控器就能夠向100英尺外發(fā)射編碼的信號(hào)，與車(chē)輛聯(lián)系，在擁擠的停車(chē)場(chǎng)產(chǎn)生從聽(tīng)覺(jué)上和視覺(jué)上識(shí)別車(chē)輛的“嗶嗶”聲和車(chē)頭燈的閃爍。遙控器和車(chē)輛之間無(wú)線交換一系列納秒級(jí)的查詢和響應(yīng)。如果車(chē)輛接收到預(yù)期的編碼，它就執(zhí)行相應(yīng)的功能。為了增加安全性，這些編碼經(jīng)過(guò)反轉(zhuǎn)——或者業(yè)界所稱的跳躍編碼。無(wú)鑰匙遙控裝置和車(chē)子使用相同的遵循某種專用算法的偽隨機(jī)碼生成器。當(dāng)你鎖上或者打開(kāi)車(chē)門(mén)時(shí)，汽車(chē)和遙控器都在內(nèi)存中存入下一塊編碼。如果你遠(yuǎn)離汽車(chē)時(shí)按下遙控器，汽車(chē)和遙控器將無(wú)法同步。汽車(chē)的接收器通過(guò)接受接下來(lái)的256種可能的編碼來(lái)解決這一問(wèn)題。但是，如果你在遠(yuǎn)離汽車(chē)的地方按下遙控器257次，你可能就沒(méi)辦法重新與汽車(chē)取得同步。重要的一點(diǎn)是，這種情況下遙控器只能控制車(chē)門(mén)。一旦進(jìn)入汽車(chē)，第二種防盜技術(shù)——鑰匙塑料基板中嵌入的一塊靜態(tài)車(chē)輛防盜固定器芯片就變得重要了。美國(guó)的防盜固定器近年來(lái)已經(jīng)被認(rèn)為是汽車(chē)盜竊案件急劇下降的原因。和無(wú)鑰匙門(mén)禁裝置不同，防盜固定器的無(wú)線射頻率識(shí)別（Radio Frequency IDentification，RFID）芯片必須由汽車(chē)從外部查詢或者“通電”。在你將固定器鑰匙插入點(diǎn)火裝置時(shí)，車(chē)子里的發(fā)射器（通常靠近駕駛桿）通電并且查詢金屬鑰匙里的芯片。作為交換，通電的固定器芯片廣播一個(gè)低頻編碼。鑰匙和固定器之間的廣播距離只有幾英寸，所以鑰匙必須在點(diǎn)火裝置里。一旦物理鑰匙中的芯片得到驗(yàn)證，防盜固定器系統(tǒng)解鎖車(chē)輛中的其他電子系統(tǒng)。老式的車(chē)輛使用所謂的固定鑰匙（每輛車(chē)一個(gè)編碼），而當(dāng)今的車(chē)輛在每次使用后生成和存儲(chǔ)新的固定器編碼。現(xiàn)在的防盜固定器系統(tǒng)不再是車(chē)輛的獨(dú)立組件，而是集成在電子子系統(tǒng)中。即使沒(méi)有防盜固定器芯片的驗(yàn)證，車(chē)輛也可以在上鎖之前開(kāi)出一段很短的距離。代理商提供的作為第三把鑰匙的遙控鑰匙缺少防盜固定器芯片。遙控鑰匙允許服務(wù)員將車(chē)停在近處，但不能開(kāi)到快車(chē)道上去。這兩種技術(shù)——無(wú)鑰匙門(mén)禁和車(chē)輛防盜固定器芯片——形成了當(dāng)今最高級(jí)的車(chē)輛防盜技術(shù)的基礎(chǔ)。兩種技術(shù)都依賴在空氣中交換的RFID編碼。缺陷就在于大部分車(chē)輛僅使用40位加密；在20世紀(jì)90年代時(shí)，這種加密已經(jīng)足夠了，但是現(xiàn)在它已經(jīng)不再適用。加密位數(shù)越多，猜測(cè)或者破解編碼就越難。位數(shù)越多，猜測(cè)或者破解所需要的處理時(shí)間和資源也就越多。40位加密曾經(jīng)需要花費(fèi)數(shù)天才能破解，現(xiàn)在花費(fèi)的時(shí)間則要少得多。現(xiàn)在，256位加密被認(rèn)為是強(qiáng)加密，但是你很難在街上找到一輛具有這種加密級(jí)別的汽車(chē)。對(duì)加密強(qiáng)度看法的改變是因?yàn)楝F(xiàn)在的芯片比以前快得多。早在1965年，Intel的戈登?摩爾在《Electronics Magazine》中寫(xiě)下了著名的一段話：?jiǎn)螇K芯片上的晶體管數(shù)量每?jī)赡昃蜁?huì)翻一番。8計(jì)算機(jī)處理能力的這種指數(shù)級(jí)增長(zhǎng)已經(jīng)造就了今天我們所擁有的更強(qiáng)大但卻更便宜的計(jì)算機(jī)。而且，由于某些數(shù)字簽名轉(zhuǎn)發(fā)器（Digital Signature Transponder,DST）設(shè)備或者遙控鑰匙（制造商或者第三方提供的）的基礎(chǔ)設(shè)計(jì)中固有的缺陷，有些汽車(chē)比其他汽車(chē)更容易被擁有便攜式電腦的偷車(chē)賊盜走。正如索西克所闡述的那樣，做到這一點(diǎn)并不需要天才。在拉德克?索西克最喜歡的電影《極速60秒》（英文名《Gone in Sixty Seconds》）中，尼古拉斯?凱奇所扮演的人物有一個(gè)最高目標(biāo)——他所渴望的卻永遠(yuǎn)沒(méi)有被盜的一輛車(chē)。9對(duì)索西克來(lái)說(shuō)，這輛車(chē)是奔馳邁巴赫。這種汽車(chē)單價(jià)接近50萬(wàn)美元，在捷克只有少數(shù)幾輛。索西克知道在哪里能找到這種車(chē)。如果有機(jī)會(huì)，索西克無(wú)疑能夠破解邁巴赫中的防盜系統(tǒng)，但是他沒(méi)來(lái)得及。2006年，他因?yàn)榘肽陜?nèi)在布拉格至少盜竊了150輛汽車(chē)而被判有罪?，F(xiàn)在他正在服刑中?？紤]到索西克在便攜式電腦的硬驅(qū)上保存了所有以前的防盜鑰匙編碼，他的多產(chǎn)和成功就不令人驚訝了。每當(dāng)他成功地破解一輛汽車(chē)的編碼，就使用以前成功的序列來(lái)計(jì)算來(lái)自相同制造商的下一輛車(chē)的編碼。對(duì)于索西克這樣獨(dú)立于團(tuán)伙工作的職業(yè)罪犯來(lái)說(shuō)，建立自己的數(shù)據(jù)庫(kù)，然后通過(guò)反復(fù)試驗(yàn)預(yù)測(cè)每輛新車(chē)的單獨(dú)編碼序列，這是很聰明的做法。但是這種做法也非常危險(xiǎn)，當(dāng)局最終捉住索西克時(shí)，在他的便攜式電腦的硬盤(pán)上找到了足以逮捕他的證據(jù)。索西克對(duì)于出獄之后已經(jīng)有了計(jì)劃，他告訴《布拉格郵報(bào)》他在捷克已經(jīng)無(wú)法容身；他可能會(huì)到法國(guó)或者西班牙作案。他的目標(biāo)也可能是美國(guó)。他說(shuō)道：“我想到外國(guó)活動(dòng)，讓他們見(jiàn)識(shí)一下我的手段?！?/pre>



媒體關(guān)注與評(píng)論
“本書(shū)揭露了人們一味信任電子設(shè)備的危險(xiǎn)性。并且揭示了安全問(wèn)題的普遍性。讀完本書(shū)之后，你絕不會(huì)再像過(guò)去一樣看待技術(shù)……你也不應(yīng)該像過(guò)去那樣！”    ——喬·格蘭德  電子工程師，《Hardware Hacking：Have Fun While Voiding’Your Warranty》的作者    “就像夢(mèng)幻仙境一樣，各種設(shè)備有時(shí)以意想：；FYJJl的方式影響我們的生活。本書(shū)開(kāi)闊你的眼界，并闡述了對(duì)設(shè)備的過(guò)分依賴會(huì)導(dǎo)致什么后果?！?   ——杰夫·摩斯  Black Hat和DEFCON創(chuàng)始人


編輯推薦
《個(gè)人信息保衛(wèi)戰(zhàn):高科技時(shí)代的隱私擔(dān)憂與防護(hù)策略》揭露大量鮮為人知的安全威脅，掌握個(gè)人信息保衛(wèi)戰(zhàn)的基本武器；獨(dú)特視角、專家經(jīng)驗(yàn)，解讀日常生活中的信息安全準(zhǔn)則?！秱€(gè)人信息保衛(wèi)戰(zhàn):高科技時(shí)代的隱私擔(dān)憂與防護(hù)策略》適合所有使用現(xiàn)代設(shè)備的讀者閱讀，也適合對(duì)信息安全感興趣的讀者閱讀。


名人推薦
是誰(shuí)動(dòng)了我們的個(gè)人信息？為何看似先進(jìn)的電子設(shè)備卻會(huì)出賣(mài)我們？本書(shū)通過(guò)發(fā)生在世界各地的真實(shí)案例，講述了各種設(shè)備的原理和安全漏洞，揭示現(xiàn)代技術(shù)如何在我們毫不知情的情況下采集個(gè)人信息，危害我們的生活。本書(shū)旨在教會(huì)人們合理地利用現(xiàn)代設(shè)備，并采取明智的措施保護(hù)個(gè)人信息。 “本書(shū)揭露了人們一味信任電子設(shè)備的危險(xiǎn)性，并且揭示了安全問(wèn)題的普遍性。讀完本書(shū)之后，你絕不會(huì)再像過(guò)去一樣看待技術(shù)……你也不應(yīng)該像過(guò)去那樣！” ——喬·格蘭德 電子工程師，《Hardware Hacking:Have Fun While Voiding Your Warranty》的作者 “就像夢(mèng)幻仙境一樣，各種設(shè)備有時(shí)以意想不到的方式影響我們的生活。本書(shū)開(kāi)闊你的眼界，并闡述了對(duì)設(shè)備的過(guò)分依賴會(huì)導(dǎo)致什么后果。” ——杰夫·摩斯 Black Hat和DEFCON創(chuàng)始人




圖書(shū)封面



圖書(shū)標(biāo)簽Tags
無(wú)




評(píng)論、評(píng)分、閱讀與下載



還沒(méi)讀過(guò)(94)
勉強(qiáng)可看(686)
一般般(117)
內(nèi)容豐富(4855)
強(qiáng)力推薦(398)


 


    個(gè)人信息保衛(wèi)戰(zhàn) PDF格式下載