Skip to main content
 首页 » 其他资源

浅谈互联网隐私安全

2016年08月12日 20:20:4349412FreeBuf

前言

如今,互联网已经与我们的生活密切融合,我们的一举一动都会在网络上留下蛛丝马迹,而这些数据的泄露往往会带来很多麻烦事。本文将简要介绍大数据时代给个人隐私保护所带来的挑战,看看会有哪些环节泄露了我们自己的秘密。

什么是隐私?

隐私是一种与公共利益、群体利益无关,当事人不愿他人知道或他人不便知道的个人信息,(只能公开于有保密义务的人)当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。

《中国人权百科全书》中将隐私定义为:隐私即秘密,是指尚未公开的、合法的事实状态和一般情况。如果已经向公众公开或向无保密义务的特定人公开,即不属于隐私。

互联网时代的隐私

14704811251836.png

上世纪90年代,《纽约客》曾有一句俚语闻名全球:On the Internet, nobody knows you’re a dog(在互联网上,没有人知道你是一条狗)。也正是从那时候起,互联网开始兴起,其不但促进信息流动效率,而且以虚拟和高度匿名的优势吸引大批用户,任何用户都可以在网络上打造一个全新的完美的无懈可击的自我,屌丝瞬间逆袭成高富帅。似乎那时对匿名性的痴迷胜过了当今的美颜,在各种社交软件上以各种各样的目的侃侃而谈着不知从哪编造的各种经历。那时候,互联网在人们心里的功能可能就是:玩(玩游戏)、聊(聊天交友)、约(此处过滤)、骂(吐槽)。

进入21世纪以来,我国互联网快速发展,尤其是移动互联网进一步推动这种速度,很快我们发现,如今的互联网已经与当初的截然不同,电商购物、地图导航、移动支付、炒股理财、网络约车、政务办公、充值缴费等等,似乎一切都能在互联网上完成,出门不需要再带钱包,全靠一部手机即可。

但是这一切的背后也带来了很多问题,尤其在移动互联网时代似乎没有绝对意义上的隐私。很多产品为了用户体验搜集用户使用信息,而这些信息有时并不能明确鉴定是否属于个人隐私。原因在于,互联网的出现使得很多隐私不断公开化,而使得隐私失去了私密属性。当我们的账号密码被挂在“社工库”中,当我们接到假冒卖家打来的电话时,当我们手机每天收到“借款放贷、投资理财”的骚扰电话时,隐私似乎已经离我们越来越远。

隐私保护的线上与线下

14704811421830.png

“不要和陌生人说话”这句话想必大家都非常熟悉。为了保护自身安全,我们用简单粗暴的方法将社会群体划分为“熟人”和“陌生人”,而这两者则对应“安全”和“非安全”两种状态。在保护隐私方面,一般坚持最小化原则,即让尽可能少的人知道,最理想的状态是,不让与该隐私无关的人员知道任何信息。

但是互联网的生态环境完全改变了这一状态,有时隐私保护的主动权似乎不在你手中。由于之前网络的高度匿名带来的很多不好的现象,目前推出的各种网络实名制需要用户或多过少的提供个人信息进行身份认证,比如与金融理财相关的应用实名认证要求最为严格;另外,一些产品为了提升用户体验需要搜集一些个人信息,比如浏览记录等。而当“大数据”被炒的很热的时候,各大公司也越来越重视“数据”的重要性,个人数据则起到重要作用。就这样,有意无意中,原本属于个人的“数据”源源不断的输向云端,而云端的一切对于用户来说都是陌生的,因此之后所发生的各种问题,用户也不得而知,也不可控制。

快递单上的秘密

14704811556197.png

11月12日凌晨消息,2015天猫双十一全球狂欢节正式落下帷幕,最终交易额912.17亿元。成千上万的快递已经奔波在各个快递点,笔者当时就目睹了门口某快递点爆仓的火热情景,都快把马路给堵上了。。。但是有不少剁手党在拿到快递后,欣喜万分,拆开包装赶快瞧瞧自己淘的货是不是和“卖家秀”一样,而随手就把快递包装扔了。

1470481165103.png

你的姓名、住址、电话号码就这样随着垃圾飘向远方,你也不知道他下一站会到哪里。上半年,我国快递业务量累计完成132.5亿件,同比增56.7%,如此庞大的快递量给一些别有用心的人也创造了很大机会。因快递单号信息泄露而引发的入室抢劫案例已经不在少数。而笔者每次都是处理了快递单上的信息,却依然中招,上周自称某库的工作人员对笔者进行敲诈,只可惜对方行骗手段太低劣,逻辑思维混乱,说了没几句就识破了。下图是某库旗舰店首页图片,由于该品牌销售量可观,一直被不法分子盯着。

14704811762636.png

废旧手机不要扔

工信部最新数据显示,截至201512月底,我国手机用户数达13.06亿户,手机用户普及率达95.5/百人,比上年提高1/百人。201683日上午,中国互联网络信息中心(CNNIC)在京发布第38次《中国互联网络发展状况统计报告》,截至20166月,我国手机网民规模达6.56亿,网民中使用手机上网的人群占比由2015年底的90.1%提升至92.5%,仅通过手机上网的网民占比达到24.5%,网民上网设备进一步向移动端集中。

另外,各手机厂商都会频繁升级换代自身产品,根据报告显示,近7成用户更换手机的周期为1年半至两年。

14704812002004.png

那么被废弃的手机会被怎么处理呢?

网友1 :送也没人要扔了又可惜,只好收藏咯

网友2 :拿去二手市场卖,只卖到原来十分一的钱

网友3:家里实在放不下,扔掉是最好的选择

网友4 :送给亲戚朋友

网友5:注重环保,参加废旧手机回收活动

据手机市场一位多年从事手机销售的吴先生说,目前市场上回收的旧手机主要有3种去向,一是翻新后当新机卖;二是对于损坏严重,无法翻新或再售的手机,商贩一般会将手机拆解开,销售零件;三是有些保存较好的手机直接流入二手市场。一些舍不得扔在回收平台上又评估不了高价的手机,最后就有可能流入了上图,以机换盆的地摊活动中,笔者不能确定这种活动中回收手机的最终去向,但是这些手机一旦流入骗子手中,可凭借恢复手机信息获得的机主姓名、身份证号等修改支付软件的密码从而让旧手机成为他们的“自助取款机”……

今年年初,一个名为“聂小刚”的网友在微博发布的《我用十天追回支付宝盗刷款25000元的奇葩经历》成为网络热帖,讲述了自己支付宝被盗刷而又重新追回的详细过程。支付宝官方对此回应,该账户被盗的关键原因,或为该网友在1月份转卖手机时,曾将自己的开机密码和手机云账户密码等重要信息告诉了买家,而这些信息很可能和支付宝信息高度雷同,导致盗用者利用这些信息破解了账户。

另外在废弃手机前一定要把该设备在支付宝设备管理留下的记录清除,否则该设备将不需要重新输入密码即可登录支付宝。

14704812295175.png

指纹密码

据一些公开的数据统计,互联网用户平均每人拥护26个账号、6.5个密码,每天需要密码登录8次。很多用户为了记忆的便利,很多账户使用同一密码,或者密码之间具有关联性,导致一个账户被盗全部遭殃的局面。为了解决用户记忆门槛,提升安全性,目前很多支付应用都加入指纹支付功能,而这一功能似乎成了目前智能机的标配。

14704812408587.png

截至20166月,我国使用网上支付的用户规模达到4.55亿,较2015年底增加3857万人,增长率为9.3%,我国网民使用网上支付的比例从60.5%提升至64.1%。手机支付用户规模增长迅速,达到4.24亿,半年增长率为18.7%,网民手机网上支付的使用比例由57.7%提升至64.7%

手机支付规模的增加势必带动指纹支付市场,但是指纹毕竟作为个体生物特征,具有高度隐私性,在法律上也具备极强的证据性。曾经也发生过利用他人“指纹套”在犯罪现场伪造痕迹,企图嫁祸于人的案例。

按照支付宝、华为推出的指纹支付标准,指纹支付采用“硬件厂+服务商”的模式,用户录入的指纹数据将保存在本地的安全硬件中,不会存储到任何服务器和云端。且手机并不保存完整图像,只存储指纹关键信息,并进行加密处理。

安全没有绝对的,如果硬件出现漏洞,一样会发生指纹的泄露,和文本密码不同的是,指纹具有终身不变性,且每个人只拥有10枚指纹,因此指纹被盗后,损失将是终生的。在中国的文化乃至法律中,摁指纹就是许可、同意、授权的凭证。一旦指纹泄露被非法使用(比如冒充你的身份贷款或者抵押房子),后果不堪设想!

指纹泄露的场景还可能是:

1——指纹考勤机

2——指纹门锁

3——指纹套

4——自拍“剪刀手”

14704812676702.png

黑客从公开图片中获得德国国防部长指纹

公众号小游戏的陷阱

14704822145558.png

前段时间,朋友圈一度被这类“性格标签图”刷屏,后来一些朋友关注相关公众号时便出现如下情况,公众号被官方封号。

14704812896239.png

该公众号因存在“诱导分享”被微信官方封号。之后,性格测试的热度并没有完全减退,有些公众号在模仿着做这个小测试,在朋友圈不间断的看到这些性格测试图片。但有用户分析出这个测试设定的变化参数只有生日一项。也就是说,不管什么名字,只要同月同日生,测试结果就一样,就算把全部测试结果都加起来也不到400种,根本就是不靠谱的事儿。其实这类游戏在朋友圈里面已经屡见不鲜,类似“测测你今后能开什么车”,“测测你未来年薪”,“你未来的老公/老婆是什么样子”,“你的新年签”等等都是换汤不换药。这些游戏为了降低用户警惕,并非在一款游戏中让用户输入过多个人信息,而是采用“分布式”采集战术,在一款游戏中,只让用户输入一条或两条信息(如姓名、性别、电话、职业、邮箱、QQ号等),这些信息会和微信串号进行绑定,汇总关联,整理出完整信息。最终将个人网络上的虚拟账号和现实的个人身份进行绑定,相关信息可能拿去做大数据分析、精准营销。一年前,微信官方就发布《微信公众平台关于禁止发布签类测试信息的公告》明确了这种获取信息的方式属于违规行为。并从去年7月1号起,开始对违规公众号进行删除粉丝及封号处理。

不安全的链路

随着智能手机的普及,大多应用都是联网应用,且为了提升用户体验,常常会加载很多多媒体元素,使得用户常感觉流量不够,所以就会出现去哪都是先找wifi的现象。笔者曾将写的《WinPcap开发(三):欺骗与攻击》一文也曾分析过这类免费公共wifi的安全隐患,这便是一种不安全链路的类型。

下图是某网站首页上的邮箱地址:

14704813044818.png

可以看到默认的入口地址是http页面,非https页面,且点击进入后并没有跳转到https页面。

14704813137721.png

我们手动输入网站访问https页面,可正常访问。

14704813237619.png

因此在一些涉及密码登录的页面,一定要注意地址栏中是否为https地址,这样可一定程度上保护信息不被链路上截取。

网络节点搜索引擎

ShodanZoomEye等检索网络空间节点的搜索引擎,通过后端的分布式爬虫引擎对全球节点的分析,对每个节点的所拥有的特征进行判别,从而获得设备类型、固件版本、分布地点、开放端口服务等信息。

因为其威力强大,大大降低了casual hacker的攻击门槛,对于很多中小单位是比较严峻的攻击。笔者之前很少接触硬件设备,但是可以借助这类引擎,轻松进入别人的监控。下图为搜索结果。

14704813349201.png

随便选取一些节点,登录管理页面,输入该设备默认的用户名和密码。

1470481349537.png

14704813555200.png

网络上很多类似设备都是出厂设置,密码采用默认密码,给隐私泄露留下巨大隐患。

精准广告定向技术

我们常常会有这种经历:在淘宝、百度或者美团搜了某件商品,然后在浏览其他网页时会发现相关的广告。这边是精准广告定向技术的典型场景,其中有四个要素共同发挥作用:商家,广告运营商,浏览器厂商以及用户的Cookie

14704813689086.png

但是这在一定程度上也泄露了个人的隐私,比如你搜索过什么羞羞的东西,却发现怎么清理cookies都去不掉,这岂不是很尴尬。

一般浏览器默认所清理的cookie只是Http Cookie,而FlashCookie依然没有被清除。FlashCookie是由FlashPlayer控制的客户端共享存储技术。通过使用JavaScriptActionScript可以将Http CookieFlash Cookie进行互通。

Flash cookie的优势在于:

1、跨浏览器:不管用户的计算机上安装了多少个浏览器或者浏览器的不同版本,使用Flash Cookie能够使所有的浏览器共用一个Cookie

2、不易删除:所有的浏览器均提供了清除Http Cookie的快捷方式,但Flash Cookie并没有此种方式,并且其保存位置非常隐蔽,网民难以删除。

3、容量更大:Flash Cookie可以容纳最多100千字节的数据,而一个标准的HTTP Cookie只有4千字节。

如何关闭定向广告?

1.清除http cookieFlash Cookie

2.将相关工具的个性化配置关闭。

14704813833620.png

https://www.baidu.com/duty/safe_control.html

“大数据”卖披萨的时代会来吗?

网上流传着一个关于大数据时代顾客购买披萨的段子,虽然剧情略显夸张,但事实是我们的衣食住行现在都被互联网所入侵,你所有的个人信息和偏好都被保留且共享。

14704813953770.png

下面是KK在《必然》一书中列出的美国对公民进行常规追踪的清单:

汽车活动——当你发动汽车时,车内芯片就开始记录车速、刹车、过弯、里程、事故等状况。高速公路交通——高速公路上的柱子和测速器上安装的摄像头通过车牌和快速追踪标志记录汽车的位置。

拼车软件——优步、Lyft和其他零散的打车软件记录你的旅程。

长途旅行——你的航空和铁路行程被记录。

无人侦察机——“捕食者”无人侦察机监控美国边境的活动。

邮政信件——你寄出或收到的每封信的表面信息都被扫描并数字化了。

公用设施——你的用水和用电模式都被公共设备记录了。

手机位置和通话记录——你通话的时间、地点和对象(元数据)会被储存数月,有些手机供应商通常会把信息和电话的内容储存几天到几年不等。

民用摄像头——在大多数美国城市的中心地带,摄像头24小时不间断地记录你的活动。

商业和私人空间——如今,68%的公立机构主管、59%的私人企业主、98%的银行工作人员、64%的公立学校人员以及16%的业主在摄像头下生活或工作。

智能家居——智能恒温调节器(如Nest)检测你是否在家,同时记录你的行为模式,并将这些数据传输到云端。智能插座(如Belkin)监控你的用电量和用电时间并把数据分享到云端。

家居监控——视频摄像头记录你在家里或四周的活动,将数据储存在云端服务器。

互动设备——你传达给手机(Siri,Now,Contana)、主机(Kinect)或环境话筒(亚马逊Echo)的语音命令和信息在云端被记录和处理。

商场会员卡——超市能追踪你购买的物品。

电子零售商——亚马逊之类的零售商不仅追踪你购买的东西,还有你浏览或想买的东西。

美国国家税务局(IRS)——国税局追踪你一生的财务状况。

信用卡——购买行为都被追踪了。信用卡和复杂的人工智能相结合形成模式,揭示你的人格、种族、癖好、政治观点和爱好。

电子钱包和电子银行——诸如Mint一类的信息采集组织追踪你的贷款、房贷以及投资等完整的财务状况。类似Square和Paypal这样的钱包软件追踪你的购买情况。

人脸识别——脸谱网能在他人上传的照片中辨认(标记)你的头像。照片的拍摄地点代表了你过去所处的位置。

网络活动——网页广告cookie追踪你上网时的举动。上千家顶尖网站中有80%利用网页cookies追踪你在网上的行踪。通过与广告网络(adnetworks)的合约,你没有访问过的网站也能得到你的浏览历史。

社交媒体——它们能辨认你的家庭成员、朋友以及朋友的朋友,还能追踪你以前的老板以及现在同事,也能了解你如何度过闲暇时间。

搜索浏览器——谷歌默认永久记录你查询过的所有问题。

流媒体服务——他们能追踪你看过哪些电影(Netflix)、音乐(Spotify)、视频(YouTube)以及你的评论时间和内容。有线电视公司会记录你的观看历史。

读书——公共图书馆会保存你的借书记录一个月。亚马逊永久储存你的购买历史。Kindle监控你的电子书阅读模式,包括你的阅读进度、阅读每页的耗时以及停止阅读的位置。

健康追踪——你进行身体活动的时间、地点通常会被24小时不间断记录,其中还包括每天睡觉和起床的时间。

14704814101656.png

在这样一个IoT和大数据的时代,我们每个个体无时无刻的产生着各种数据,而这些数据被以不同形式收集记录着,每个人似乎变得更加透明。有人提出,大数据时代,个人隐私会逐渐失去意义,隐私更趋向于公开化和共享。但无论怎样,这都是一个逐渐演变的过程,而不是一蹴而就,那么在这个漫长演变过程中必将产生各种各样的问题。由于互联网相关技术的迭代速度进一步加剧,保护隐私方面的博弈也必将激烈,所以一定程度上还是需要相关的完善法律来进行强制性约束。《个人信息保护法》至今仍“只听楼梯响,不见人下来”。早在2003年,国务院信息办就委托中国社科院法学所承担相关课题及草拟一份专家建议稿,课题组于2005年提交《个人信息保护法》专家意见稿。时至今日,这部法律仍处于草案提交阶段。法律的制定总是具有滞后性的,再加上互联网领域发展速度极快,这也给相关制定者带来了不少困难挑战,毕竟法律不可能随着互联网三天两头得改来改去,所以制定者对此很谨慎。

结尾

在进入21世纪时,网购平台开始进入普通老百姓的生活,刚开始人们都持有怀疑的态度,害怕遇到假货、骗子,但是如今我国的网购规模已经让世界瞠目结舌。新科技的出现往往会让人感到威胁,未知的事物往往往会使人恐惧。但当我们寻找到科技运用的平衡点和较佳解决方案后,这种紧张与焦虑便会消逝。也许有一天,我们畅游网络时,不再担心个人隐私的泄露问题,而是全身心的享受其中的乐趣。

评论列表2条评论
凯迪海运
凯迪海运回复 1.很多账户使用同一密码,或者密码之间具有关联性,有关联性也会被破解?
2.指纹为什么会用来作为密码,和凭证,太容易暴露了。
3.清除httpcookie和FlashCookie```
4.人工智能有利有弊,
跨境电商运营
跨境电商运营回复 太厉害啦!值得我们学习
发表评论
新浪微博
微信