找回密码
 注册
搜索
热搜: 活动 交友
查看: 676|回复: 1

警惕中国的“棱镜门”

[复制链接]

1万

主题

1万

回帖

25万

积分

管理员

热心会员

积分
256412
发表于 2013-6-20 07:43:14 | 显示全部楼层 |阅读模式
随着思科的卷入,“棱镜门”事件再次升级。斯诺登揭露美国国家安全局通过思科路由器监控中国网络和电脑,而除了以思科为代表的基础设施外,微软、Google和苹果则掌握了中国的操作系统份额,这让中国的互联网显得脆弱甚至不堪一击。

更值得警惕的是,中国网民处于内忧外患的隐私环境之中。笔者日前已撰文《中国的“棱镜计划”会叫啥》分析国内潜在的监控问题。但也是点到为止,无法深入。中国的斯诺登还未出现,估计也永远不会出现。

在斯诺登的爆料里,谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube等九大公司遭到参与间谍行为的指控,这些公司涉嫌向美国国家安全局开放其服务器,使政府能轻而易举地监控全球上百万网民的邮件、即时通话及存取的数据。

从涉事互联网公司的情况来看,国内也有大量公司因为掌握着中国网民的核心数据,值得警醒。将九互联网公司与棱镜门相关的产品分门别类,可以分为IM聊天工具(PalTalk、Skype、Gtalk、MSN、iMessage,Yahoo!Messager)、邮箱(雅虎、美国在线、GMAIL、HOTMAIL、AOL)、社交网络(Facebook)、存储分享服务(Youtube、iCloud等)。他们都具备以下特征:

1、掌握海量用户。除了PalTalk外,其他公司都具有亿级别的用户。Paltalk因为国际化和跨平台的特征,虽然只有300万用户,也被卷入其中;

2、掌握个人数据。IM、邮箱、社交网络、存储分享服务等都涉及到大量的与人和账户关联的私密信息。相关部门对隐私数据的觊觎正是互联网公司卷入棱镜门的根源;

3、全球化的市场。由于棱镜门的监视的主要目标是境外用户。因此九大互联网公司无一不是国际化颇为成功的公司。

看回国内的互联网公司,具有海量用户的互联网巨头屈指可数。

老三大门户新浪、网易和搜狐;新三大被称为BAT即百度、阿里巴巴和腾讯;360依靠安全业务强势崛起成为与QQ对立的另一个桌面帝国。不过社交网络Facebook在中国的对应产品也依然是QQ,存储分享服务在中国也是对应这几个巨头。

优酷土豆与Youtube不同,优酷土豆更多是一个视频媒体,而不是分享社区。因此优酷土豆不太需要考虑。

还有一个产品无法缺席:YY语音。在多次社会热点事件中起到聚集的作用而崭露头角。例如淘宝卖家集会声讨等。YY语音拥有4亿注册用户,是一个不小的体量。

再看第二点隐私的个人数据。

新浪的微博一直是重点监控对象;

网易有占有率极高的邮箱和新闻评论系统;

搜狐旗下的搜狗则具备输入法、浏览器等最靠近用户的客户端,搜狐自身也有邮箱、微博(基本可忽略)。

百度因为账号体系建设不够完善进而缺少个人私密数据,但仍然有大量的用户行为数据,你搜索过什么,点击过什么,搜索一下,百度知道。另外百度云的发力则让其拥有更多的云存储数据,包括文件、照片。

阿里巴巴则拥有涉及到国计民生的电商购物数据和信用数据,你买过什么,阿里知道。但从美国九大涉事公司不包括Amazon以及eBay,也可以看出电子商务数据的监控价值没有其他几类数据大。但一个人的购买情况、支付宝账号、关联银行卡和收货地址,也是可以追溯到人的极度私密数据。

而腾讯则是极为恐怖的掌握用户极度核心私密数据的公司。你什么时候上过网、与谁沟通过视频过、沟通的内容是啥、你的好友关系、你感兴趣的群、甚至你有几个QQ马甲,QQ比你记得还清楚。除了QQ这一基础IM外,与新浪微博已成抗衡之势的腾讯微博、中国最大的社交网络QQ空间、足有对传统通信业务取而代之的微信、与QQ号天然绑定的QQ邮箱、与拍拍易迅等关联的电商数据,都足以定位一个人并清查其历史,分析其特征、了解其喜好。远不止已于,QQ的账号开放策略已让其成为最大的第三方账号体系。你在腾讯的生活被记录,你在腾讯之外的生活,至少你何时通过QQ账号登录了什么网站,QQ也知道。QQ强大的账号体系,让其为用户提供一站式生活的同时,也掌握了最多最私密的用户数据。

360与QQ处于同等水平。如果说腾讯只是掌握了用户的上网情况,360则掌握了用户的一切数字生活。从你开机便殷勤地提醒你开机情况,上网有浏览器和360安全套装为你保驾护航,360也有推出搜索引擎并正在大力建设自己的账号体系鼓励用户登录。当然,360的数字野心远不止于此。最新消息则是360将发布其第一款硬件,有人说是360路由器,也有人说是360无线网卡。不论如何,360的数据野心已经从桌面延伸到设备了。一方面,360从设备层面保障用户的安全,一方面,360也从设备层面获得用户的数据。最要命的是,360也曾多次被爆出收集并上传用户数据、泄露用户隐私的行为。例如《每日经济新闻》对此便进行了长篇报道。此前其他媒体也曾曝光了360涉嫌泄露隐私的行为。笔者对此事持保留意见,但值得警醒的是:360具备这个能力。需要明确的是其有无动机和约束。

YY语音则有着大量的语音通信数据,与Skype相仿。而其聊天室功能带来的集会功能则会加大其被监控的几率。

层层剥开,可以看到国内在类似棱镜门事件中,对几大互联网公司进行一个排名的话,腾讯和360极有可能成为重点对象。其次便是新浪和网易。接下来可能是YY语音。而搜狐、百度、阿里数据的监控价值则会小一些。

当然,笔者自始自终都没说这些公司参与了类似棱镜门的计划。但互联网公司应该警醒的是:一边是强权,一边是用户;一边是集体利益(如国家安全、社会治安、维稳任务),一边是个人利益,企业的底线在哪里,又该如何守住底线?

国外互联网公司虽然难脱干系,但部分做法仍然值得借鉴。

1、是时候修改用户协议了。数据的所有权和使用权的问题仍然很模糊。但至少用户应该具备数据使用的知情权:我的哪些信息被收集了、都被用在何处、我对数据有哪些控制权限、我的数据被可能被哪些人看到、我的数据究竟有多安全。但腾讯的注册协议仅仅包括“未经您的同意,腾讯不会向腾讯以外的任何公司、组织和个人披露您的个人信息,但法律法规另有规定的除外。”百度等公司的注册协议也是类似的简单说明。除了过于简单外,腾讯等公司自身如何使用和利用我们的数据,不得而知。而Google则在用户注册协议之外指定了专门的近五千字的《隐私权政策》。对于用户数据和隐私相关的政策进行了周到详尽的说明。

这背后体现的是Google等公司对用户隐私的敬畏之心。有人说这是矫揉造作,不值得。但这如同消防问题,当你被要求参加消防演练时,可能觉得小题大做极不情愿,但不出事则已,一出事则后果不堪设想。

2、你们真的需要那么多数据吗?有专家说用户向互联网公司贡献更多的数据将获得更好的服务。不无道理。可悲的是,用户很多时候根本不知道自己的哪些数据被互联网公司以何种方式收集了。例如Cookie、软件使用数据、浏览器历史记录、LBS获得的位置数据、手机通讯录等。往往都是悄无声息地被收集。连一个简单的电子书App也要贪婪地获得手机的所有权限并收集数据。你们真的需要那么多数据吗?就算需要,何不公布你们都收集了用户的哪些数据?

3、公布数据的分享和使用情况。我们的数据都给了谁?什么情况会给?这应该是所有用户关心的问题。Google会记录棱镜及其他政府组织的每一次请求,以及Google是否授予信息、授予的信息内容、影响到的账号数量。谷歌在每年出版两期的《透明度报告》中发布按照相关法规被要求提供的用户数据的相关情况。这一报告中,谷歌会列出它收到了多少要求其提交用户数据的请求。这些请求来自世界各国政府。棱镜门时间后,Google、Facebook和微软等公司还在推动政府允许他们空开更多信息。在国内,似乎并无相关的涉及到透明度的报告。若要摒弃猜疑获得信任,有且只有一种途径:透明。同样,也只有透明才可以起到监督的作用。

4、政府部门的双重身份。有趣的是,政府部门在这个过程中扮演的角色往往是亦正亦邪。棱镜门让奥巴马政府深陷舆论漩涡。但对企业的监管往往也需要政府相关部门出手。

期望以逐利为目标的企业的自我监管是天方夜谭。企业之间的互相监管、行业协会的第三方监管、社会媒体的舆论监管都不可或缺。例如360与金山便多次互相指责对方泄露或侵犯隐私,但除了引发口水战甚至官司,或者成为竞争手段外,似乎并未推动整个隐私保护体系的建立。政府的参与,通过顶层设计,通过不断完善法律法规,才可以从根本上起到监管的作用,避免企业对数据的收集、使用和分享太过膨胀。

例如美国加州早于2004年便已《网络隐私保护法》。去年美国加州总检察长卡马拉·哈里斯(Kamala Harris)还与亚马逊、苹果、谷歌、微软、RIM和惠普等6家大公司达成协议,以便更好地向消费者披露移动App相关的隐私保护措施。我们可以看到政府往往也起到了监督和推动隐私保护的作用。

凡事都有两面性,隐私保护也不例外。公权力会敦促隐私保护,也会将触角伸到用户的隐私空间;企业可以利用数据来改进服务,也可能会将数据泄露甚至售卖。唯有透明化和配套的管理、监督制度,才可形成一个自我完善的平衡系统。这,也是这个社会运作良好的基础。

2636

主题

1万

回帖

7万

积分

论坛元老

热心会员

积分
73816
发表于 2013-6-22 07:45:51 | 显示全部楼层

我所了解的中国“棱镜”情况

“棱镜”这个事情出了,不少人哗然说美国政府也会如此。其实真正业内人士反而会觉得莫名其妙,因为从理论上说每个人都应该知道政府肯定会监控通信网络,如果美国政府没有这么做反而是不负责任,纳税人的钱交给政府就是换取政府的安全保证的。所谓被监控的一点点不便或者受侵犯的感觉,实在是没人在乎的。从这个角度来说,美国人要么是在装傻,要么是天真的不可理喻。

从另一个方面说,对通信系统的监控系统,或者叫LI系统,早就不是什么秘密。在电信联盟的技术规范里面,通信侦听有一整套公开的技术规范。任何一个通信系统设备如果不满足这个规范是无法投入市场的。对语音通信网络的侦听,录音从来就不是一个秘密,绝大多数国家的相关部门可以在自己的终端上直接监听任何一个号码的通话。目前引起轩然大波的,可能主要还是数据通信网络,或者说互联网通信。人们总是有一个莫名其妙的感觉,似乎Email,SNS,IM通信内容更加隐秘一些,所以就应该更加安全,不能说不是一种感知错位。

在中国的电信网络里面,所有通信光缆都要有一个镜像接口复制所有内容给相关部门,这是公开的。至于有关部门是不是检查所有的内容则看他们的需要。美国国土安全部(好像叫HLS)的要求更加变态,要求能够短时间内获取通信内容发送方的详细位置。这是一个浩大的工程,对于一个可能四处移动的设备来说,跟踪起来难度极大。国内政府控制力度要强一些,所以对技术手段的依赖不是那么高,这就是为什么我们现在走到哪里,用Wifi上网总是要输入手机号码的原因。

问题在于,目前越来越多的通信手段,你获取了数据包也无法复原。例如Gmail使用了SSL加密通信,截取数据包是无法恢复文件内容的。Google和中国政府闹翻的导火索,就是国安部门用“中间人攻击”的方法去获取一些藏独分子的Gmail内容。例如一个监控目标A用Gmail发送信息,安全部门虽然有他通信的数据包,但是恢复不回来。但是相关部门可以全权控制网络,所以他们做了一个网关,这位A君以为自己在用Gmail,实际是先登到安全部门的服务器上,然后再转发给Google的服务器的,这样就获取的相关内容。这种方法存在一个问题,就是Gmail采用端到端SSL加密,如果中间插入网关进行劫持,会导致安全证书弹出。比较低级的做法是伪造一个安全证书,例如伪造一个Gooogle公司的安全证书,比较粗枝大叶的人也许就会忽略这个不同。但是安全部门应该不会采用这种低劣的手段,也许他们攻破了MD5或者SHA-1,能够真正伪造出一个证书来。但是最后Google还是发现了这种行为,所以就有了几年前退出中国市场大义凛然的举动,因为这种对Gmail邮箱的工具”突破了Google的底线”。

现在美国棱镜计划的曝光让google最为尴尬的是,我们现在知道了为何美国政府不需要用这种“中间人攻击”的方法了。原来美国政府可以直接命令Google交出Gmail的内容。相比之下,Google对中国政府的指责就显得有些可笑了。

对于现在越来越多的通信应用来说,美国政府最大的优势其实不是思科或者IBM这样的硬件制造商,而在于Google,Facebook,Twitter这些大型ICP都要听从美国政府的命令。从这点说,除了中国以外,其他所有国家的信息命脉都掌握在美国人手里。中国政府的态度很明确,一个ICP如果不肯被监控,就不要进入中国。这方面Skype就是一个例子。Skype是P2P语音应用,刚开始监听和跟踪起来极难。FBI甚至专门有一个funding对支持对Skype监听的研究,这方面有不少的论文发表。中国政府的做法则是,如果不给我监听,你就不能在中国顺利的应用,不要说落地,连顺畅的通话都做不到。Skype虽然很难监听,但是却很容易干扰。最后的结果大家都看到了,在国内你要下载一个Tom Skype才行,这可是特制的版本哦。

我们公司原来有一个LI的事业部,后来解散了,因为这一行实在不好做。没想到后来阿拉伯之春一来,我们收到很多邮件,都是中东地区的各个国家发来的,问我们能否提供我们的产品,重点就是Twitter,Facebook和Youtube。所以说在这个方面,没有哪个国家是干净的,也没有哪个国家是特别邪恶的。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|阿波罗网

GMT+8, 2024-11-25 02:28

快速回复 返回顶部 返回列表