信息安全案例教程:技术与应用
上QQ阅读APP看书,第一时间看更新

1.4 案例拓展:粉碎棱镜、躲避监控的方法

爱德华·斯诺登揭秘棱镜计划背后透露出的安全危机让我们深感不安。虽然我们无法完全躲避“棱镜”监视,但可以做到踏雪无痕、隐遁无形。本节介绍“粉碎棱镜”网站介绍的躲避网络监控的方法。

1.“粉碎棱镜”网站

电子前哨基金会在棱镜计划曝光后,建立了一个名为“粉碎棱镜”(http://prism-break.org)的网站,专门教授躲避网络追踪的方法,并推荐了众多非营利组织开发的自由软件和去中心化的网络服务,以替换参与“棱镜”的互联网服务商,躲避美国政府的监控。

网站针对移动设备、计算机设备以及网络应用,提供了一份非常详实的清单,从操作系统到社交网站再到云存储,列出了众多保护隐私的软件和服务,供人们选择。其列出的各种替代选择,全面涵盖了操作系统、浏览器、浏览器插件、搜索引擎、DNS服务、网络支付、电子邮件服务、桌面电子邮件客户端、电子邮件加密、地图服务、云存储、社交网站、即时通信、视频会议、媒体出版、文档协作、网页访问分析、谷歌安卓应用、苹果iOS应用等,几乎包括美国所有重要互联网公司的核心产品与应用。如图1-17所示为Android平台下的保护隐私的软件和服务列表。

图1-17 Android平台下保护隐私的软件和服务列表

本节将给出“粉碎棱镜”网站不同应用类别下部分软件及其替代产品。

2.几种替换软件及服务介绍

(1)替代微软、苹果、谷歌等操作系统的软件

Trisquel;Debian;Fedora;Linux Mint;Tails;Arch Linux;OpenBSD;Qubes OS;Gentoo;FreedomBox。

(2)替代Skype、脸谱等即时通信工具的软件

Pidgin,集多种聊天工具于一体的开源聊天程序,可用所有的即时通信账户登录;

Off-the-Record Messaging,开启OTR加密,可以让外人无法看到聊天信息,和自己确认的(而不是其他人伪装的)联系人联络,无法伪造聊天信息;

Adium,苹果OS X上的多方协议即时通信客户端,使用OTR加密信息;

ChatSecure,简单的多协议即时通信客户端iOS应用。可使用OTR加密发送信息;

Linphone,加密的跨平台音视频聊天客户端;

TextSecure,安卓的加密信息客户端,可增强用户和企业通信的安全性;

Gibberbot,免费开源加密聊天软件,使用OTR加密信息;

SurespotFree,开源、端到端的安卓通信工具;

XabberOTR,安卓即时通信工具,使用OTR加密信息;

Jitsi,加密的跨平台文本、语音、视频聊天工具;

(3)替代谷歌、雅虎、微软Bing等搜索引擎的软件

DuckDuckGo,匿名使用,保护用户隐私权,不监控、不记录用户搜索内容;

Startpage,私密、无记录的Web搜索;

Disconnect Search,匿名VPN服务,让用户隐秘地访问常用搜索引擎,如谷歌、雅虎和Bing;

Seeks Project,开放的去中心化协作搜索平台;

MetaGer,灵活的搜索引擎,将搜索请求经过代理发送到搜索服务提供商;

YaCy,引擎基于点对点连接,而不是通过中央服务器进行搜索查询,保证内容不被审查、搜索结果不会被中央服务器记录和分析;

(4)替代微软IE、苹果Safari、谷歌Chrome、Opera等浏览器的软件

Mozilla Firefox,非正式中文名称为火狐,是一个开源网页浏览器,使用Gecko引擎(即非IE内核),由Mozilla基金会与数百个志愿者所开发;

GNU IceCat,是一个Mozilla Firefox的分支;

Tor Browser Bundle,以加密、匿名的方式浏览;

JonDoFox,使用JonDo的IP隐匿服务和JonDoFox个人信息的火狐;

Onion Browser,iOS平台上的开源浏览器,基于Tor;

Orbot,是代理服务器软件Tor推出的安卓手机版;

(5)可用的浏览器插件

Adblock Edge,屏蔽网页广告;

Disconnect,阻止第三方网站跟踪;

HTTPS Everywhere,电子前哨基金会发布,加密保护功能支持超过1500个网站,可在支持网站中强制使用HTTPS方式加密浏览;

NoScript,只允许受信任网站启用JavaScript、Java或Flash内容;

Requestpolicy,可以过滤第三方内容,白名单功能强大,可为每个域名单独设定第三方内容许可,还可以设定全局的允许目标地址;

Mailvelope,让网页邮件通过OpenPGP加密;

Cryptocat,是一个基于网页的开源即时聊天程序,确保通信是加密的;

WebPG,在浏览器中支持GnuPG/PGP加密。

3.基本原理分析

从网站提供的各种替代软件的功能来看,最主要的做法就是加密。比如,在即时通信工具中增加一个名为Off-the-Record(OTR,意为“不公开记录”)的插件,可以加密聊天会话的数据,而且能让部分对话内容无法用来验证相关对话的其余内容。现在,很多免费的即时通信工具都支持OTR,包括使用安卓和苹果手机的即时通信工具。但AOL(American On-line)、Skype等禁止使用OTR,这就需要寻找其他替代产品和服务。例如,Pidgin和它的OS X系统版本Adium,可以作为替代品。

越来越多的网民担忧谷歌搜索的安全性,开始使用不储存用户隐私资料的搜索引擎。以如下两个软件为代表的搜索引擎在免追踪方面给予了用户很多的帮助。

1)DuckDuckGo匿名搜索引擎。传统搜索引擎为优化搜索结果,必须对用户数据进行尽可能全面的收集和分析。DuckDuckGo却很明确不记录用户IP地址、搜索行为等任何数据,默认情况下也不会使用Cookie来记录用户数据。此外,DuckDuckGo还对用户点击搜索结果后跳转到目标网页的过程进行重定向处理,目标网站无法获知用户是通过输入哪些搜索词跳转到自己的网站。同时,DuckDuckGo鼓励用户使用Firefox浏览器的强制https扩展和托尔(Tor)匿名网络等方式保护隐私。托尔是一种允许用户匿名访问互联网的服务,通过将通信数据在分布于全球各地的网络节点间中转来躲避追踪以保护用户隐私,可实现匿名访问和传输信息,把访问和传输的痕迹完全抹掉,让人无法获知所浏览的网站,让网站无法获知用户的物理位置。

2)Disconnect Search匿名VPN服务。它可以让用户隐秘地访问常用搜索引擎而不留下任何痕迹,如Google、Bing和Yahoo等。

完善搜索引擎的反监控功能后,用户还可以通过为浏览器安装必要的插件来逃离“棱镜”和所有其他类似的监控。

●Disconnect.me。隐藏网上身份的浏览器扩展工具Disconnect.me可以监控和阻止网站收集用户数据,目前可以监控超过2000个网站。一旦发现某个网站试图获取用户数据,它将把数据进行加密处理。在没有得到用户允许的情况下,Disconnect.me不会搜集用户的IP地址和任何个人信息。

●Requestpolicy。它可以过滤一切第三方内容,白名单功能强大,可为每个域名单独设定第三方内容许可,还可以设定全局的允许目标地址。

当然,“粉碎棱镜”网站提供的“反棱镜”服务与替代软件不只有以上列出的部分,还给用户提供了其他躲避监控的方法,例如,停止使用微软、苹果和谷歌的操作系统。但是,对很多人来说,更换操作系统是一个艰难的抉择。但如果考虑到微软已经承认向美国国家安全局提交全球客户数据,操作系统“后门”已成为现实而严峻的问题,或许我们就可以下决心了。开发具有自主知识产权的国产操作系统已成为当前我国从事信息安全研究人员的机遇和挑战。