天创培训:您身边的信息安全培训专家!
行业动态
世界顶级黑客Kevin D.Mitnick教你如何在数字世界中真正隐形

  世界顶级黑客Kevin D.Mitnick教你如何在数字世界中真正隐形。对计算机历史有一定了解的人,相信对kevin Mitnick一定不会陌生,可以说他是黑客的代名词。他的黑客生涯可谓充满传奇,已被翻拍成电影,并成为很多黑客的偶像。美国国防部、五角大楼、中央情报局、北美防空系统、美国国家税务局、纽约花旗银行、Sun、摩托罗拉,这些美国防守最严密的网络系统都曾是他闲庭信步的地方。在他15岁时入侵北美空中防务指挥系统,翻遍了美国指向前苏联及其盟国的所有核弹头的数据资料。一个具有极度危险性格特征的罪犯。由于窃取国家核心机密,因此受到美国联邦调查局FBI的通缉,并于1995年被逮捕,受了五年牢狱之灾,2000年重获自由。它所推崇的“社会工程学”也成了后来黑客模仿的典范,无数的黑客书籍以敬畏的口吻崇拜着他。

世界顶级黑客Kevin D.Mitnick教你如何在数字世界中真正隐形

  如果你像kevin Mitnick一样,习惯检查你的电子邮件,你可能就会对邮件的隐私性产生很多关注,比如你可能会好奇除了你之外还有谁读过你的电子邮件,这并不是什么好笑的问题,因为如果你使用基于Web的电子邮件服务,如Gmail或Outlook 365,则你的邮件应该早已经被无数人看过无数次了。

  即使你在计算机或手机上把看完的电子邮件删掉,也不一定会删除掉其中的内容。因为在网络世界中还有另一个存储你邮件的地方。Web邮件是基于云的,因此为了能够随时随地从任何设备上访问你的邮件,必须有冗余副本。例如,如果你使用Gmail,那么通过你的Gmail帐户发送和接收的每封电子邮件的副本都会保留在Google的服务器上。如果你使用由Yahoo, Apple, AT&T,Comcast,Microsoft或你们公司所提供的电子邮件系统,道理也是如此。如果你们公司没有自己的服务器的话,那你发送的任何电子邮件就会由托管公司随时检查,这些第三方虽然口口声声说是为了过滤掉恶意软件,但其实,我们的电子邮件已经毫无保密性可言了。

  从加密开始

  大多数基于Web的电子邮件服务在电子邮件传输时都会加密。但是,在有些时候,利用邮件传输代理(MTA)之间传输邮件时,你的邮件不会被加密而是处于开放状态。这时,你就需要加密你的邮件了。

  大多数电子邮件加密使用的是非对称加密。这意味着你的邮件会生成两个密钥:一个私人密钥和一个公共密钥,私人密钥只会留在你的设备上,而公共密钥则会发布在互联网上。

  那么如何加密你的电子邮件的内容呢?

  最流行的电子邮件加密方法是Symantec的PGP,不过它不是免费的,但是它的创建者Phil Zimmermann也开发了一个开源版本的OpenPGP,是免费的。不过,由Werner Koch创建的开源电子邮件加密软件Gnu Privacy Guard(GPG)也是免费的。无论你使用哪一个,基本功能都是一样的。

  当电影制作人Laura Poitras在拍摄纪录片《Citizenfour》时,Poitras是第一位与Snowden建立联系的记者,他们在邮件联系时,就使用的是加密的交换,因为只有少数人知道Poitras的公钥。

  Snowden首先要获得Poitras的公钥,鉴于他们即将分享的秘密的重要性,Snowden和Poitras无法使用他们的常规电子邮件地址。因为他们的个人电子邮件帐户包含有自己的私密信息,如联系人等,为了对邮件进行保密,Snowden和Poitras创建了一个新的电子邮件地址。

  然后他们双方交换了新的电子邮件地址之后,Poitras与Snowden分享了她的新公钥。现在,斯诺登可以就可以把他发给Poitras的邮件添加她公钥之后发出去了。经过这么一番加密后,你可能觉得电子邮件就非常安全了,但其实后面还有很多要做。

  选择加密服务

  数学运算的强度和加密密钥的长度决定了别人破解你邮件的难易程度。

  目前使用的加密算法都是公共算法,很不安全,随时又被破解的危险,每当一个公共算法变弱或被破解的时候,就会有许多使用它的应用遭殃。就在本月的23号,来自Google的研究人员宣布完成第一例SHA-1哈希碰撞。也就是说使用SHA-1算法的消息摘要的唯一性就被破坏,这个算法也不再安全,同时Chrome浏览器就不再推荐SHA-1算法的浏览器证书了,微软Edge浏览器、Firefox浏览器都在计划逐步淘汰SHA-1算法。Google还建议大家切换到更安全的SHA-256和SHA-3算法。

  另外,你的这些加密密钥都需要你本人管理,如果你的加密密钥,由公司保管,那可能公司就会迫于法院的强制命令与执法部门或政府机构共享你的密钥。

  如果你觉得使用端到端加密非常麻烦,可以使用Chrome和Firefox浏览器的PGP插件,例如Mailvelope是一款Chrome应用,能很好地管理PGP的公共和私有加密密钥,对目前各主流邮件服务中的信息进行加密与解密。只需在Mailvelope中输入一个密码,就会生成公钥和私钥。然后,每当你编写基于Web的电子邮件时,只需要选择收件人,如果收件人具有可用的公钥,则可以自动选择向该其发送加密邮件。

  对电子邮件的元数据加密

  即使你使用PGP加密了你的电子邮件,你的邮件的信息仍有可能被人读取。根据Edward Snowden泄露的机密文件,英国情报机构GCHQ及美情报机构NSA大规模的收集英国所有议员电子邮件元数据,包括发送者、接收者以及邮件标题,这些信息对于了解邮件内容已经足够了。

  在数字世界中真正隐形,你需要做的不仅仅是加密你的消息。你将需要隐藏那些与你电子邮件相关的元数据:

  1.删除你的真实IP地址:这是你的互联网连接点相当于你的指纹,它可以根据你的物理地址,显示你在哪里出现过。

  2.模糊你的硬件和软件,当你在线时,你所使用的硬件和软件的快照都可能会被网站收集。

  3.保护你的匿名性。

  你的IP地址会泄露你的位置信息,你使用的邮件供应商等。所有这些信息都包含在电子邮件元数据中,只要把这些元数据收集齐了,就可以对你进行唯一标识,以后不管你上网来做什么,也不管你在家中,公司或其他地方,都可以使用分配给你的路由器的内部协议(IP)地址来识别定位你。

  与其把邮件代理的控制权交给别人,还不如自己做一个呢?如何定制一个专门为发送匿名EMAIL而存在的邮件代理服务器呢?你可以使用称为匿名remailer的服务,匿名remailer在将邮件发送到其预期收件人之前,只是会更改发件人的电子邮件地址。收件人可以通过remailer进行回复。

  屏蔽IP地址的另外一种方法就是使用洋葱路由器(Tor),这就是Snowden和Poitras所使用的隐藏方法。

  Tor是如何工作的呢?它颠覆了网站访问的通常模式。当你使用Tor时,你和目标网站之间的直接线路会被其他节点遮挡,每10秒钟一次,你正在查看的任何站点的节点链接就会更改。将你连接到网站的各个节点就像洋葱一样保护起来。换句话说,如果有人从目的地网站回溯,并试图找到你,因为路径的不断变化,他们是不会找到你的。除非你的入口点和你的退出点以某种方式关联,否则你的连接被就是是匿名的。

  Tor浏览器是基于Firefox ESR版,其95%的代码来自Firefox,建议大家不要使用第三方网站。对于Android操作系统来说,Orbot是来自Google Play合法免费的Tor应用程序,它会加密流量并隐藏你的IP地址。在iOS设备(iPad,iPhone)上,安装Onion Browser,这是iTunes应用商店中的合法应用。

  除此之外,Tor允许你访问暗网。这些网站不会解析为常用名称(例如Google.com),而是以。onion扩充名结尾。这些隐藏的网站会提供,销售非法的项目和服务。

  然而,应当注意,Tor有几个缺点:你不能控制可能受政府或执法机构控制的退出节点;你仍然可以被剖析及确定;用 Tor上网是非常缓慢。

  所以kevin Mitnick建议,如果你仍然决定使用Tor,建议不要在同一个物理设备使用。换句话说,当你用一台笔记本电脑浏览网页时要单独使用一个运行Tor软件的设备。在这种情况下,即使有人要窃取你的浏览数据,因为Tor运行在一个单独的物理设备上,他们仍然不能剥离你的Tor传输层。

  创建新的匿名帐户

  传统电子邮件帐户可能会以各种方式联系到你生活中的其他信息比如和你的朋友圈连接,与你的工作联系人连接。要对这些相关联的信息进行保密通信,你就需要使用Tor创建新的电子邮件帐户,以便设置帐户的IP地址不会以任何方式与你的真实身份相关联。

  创建匿名电子邮件地址具有挑战性但也是可能的。因为如果你使用常用私人电子邮件工作时,你将留下使用痕迹,Gmail,Microsoft,Yahoo和其他要求你提供电话号码以验证身份的服务商都会留存你的真实个人信息。显然,你不能使用你的真正的手机号码,因为它可能连接到你的真实姓名和真实地址。你可以设置一个Skype电话号码,它支持语音认证,而不是文本信息认证。

  有些人认为只有恐怖分子,皮条客和毒贩才会使用burner phones(一种一次性手机),但burner phones完全有有很多完全合法的用途,比如为需要保密的人提供语音,文本和电子邮件服务。

  使用Tor随机化你的IP地址后,会创建与你的实际电话号码无关的Gmail帐户,这时Google会向你的电话发送验证码或语音电话,现在你的Gmail帐户就几乎无法追踪了。

  这时我们就可以生成相当安全的电子邮件了,不过邮件的接受者也要在Tor中进行查收,以便你的IP地址永远不会与其关联。此外,为了保证隐秘性,你不应在登录到匿名Gmail帐户时执行任何的其他的互联网搜索,因为这些操作可能会暴露你的真实地址。

  kevin Mitnick所展示的这四种方法一样,我们以前或多或少都接触过,不过我们没有把它们整理成一套完整而详细的方法,所以应对互联网的隐私问题需要我们一直不断地更新自己的思维,紧跟时代发展的步伐。另外从这四种方法中我们也看到了,维护匿名是一件很辛苦的事情,我们要时刻谨记这些预防措施,用好它们。