NSA

6 文章

欧洲法院上的个人数据”历险记”

就在昨天,欧洲法院作出判决,裁定美国公司如能保证为个人隐私提供”充分程度”保护的情况下允许这些公司在美国保存和转移欧洲用户个人数据的《安全港协议》,无效。这对于各方而言,既是好消息又是坏消息。 好消息是,这一裁决表明了人们对于个人隐私问题关注程度的提升,并最终意识到个人数据的宝贵价值。此外,其中一些人正准备向欧洲最高法院提起诉讼,维护他们对于自己个人数据的权利。在”后斯诺登”时代,这样的事件早已不足为奇:各国情报部门不遗余力地侵犯民众隐私,只是现在比以往更明显一些而已。毕竟,目前全球各家IT公司的安全保护程度只能说是’远远不够充分’。 如此说来,欧洲法院的此次裁决并非是有关个人隐私诉讼的结束,而刚刚只是一个开始。爱尔兰当局(由于Facebook的欧洲总部设在都柏林,因此案件在爱尔兰审理)现在必须调查Facebook欧洲用户有关个人隐私遭侵犯的投诉案件,并最终裁决”是否应停止将Facebook欧洲用户的个人数据传输到美国”,原因是Facebook”对用户个人数据保护的程度不够充分。” 同样值得一提的是,欧洲法院此次所做的裁决是最终裁决,因此不能再进行上诉。 此次欧盟所做的有关数据隐私的裁决并非是全球首例。早在今年2月份,俄罗斯联邦就通过了一项法令,要求从2015年9月1日起俄罗斯公民的个人数据必须在俄罗斯本国保存。与欧盟不同的是,当时通过这一项法令无需任何法院裁定,原因是俄罗斯与美国之间不存在任何像《安全港协议》这样的类似协议。 由于俄罗斯往往颁布新法令的速度过快,因此生效截止日期推延到2016年1月,原因是大多数在俄外国公司无法迅速地转移用户数据。包括Facebook在内的一些公司很可能会无视这项新法令,相比在俄罗斯当地建造代价昂贵的数据中心,更倾向于支付罚金(因为金额不大)。 问题的关键在于,人们将数据看成了一种实物。’嗨,伙计,我们车停在那里不太安全,还是停到我们的私人车道上去吧。’但数据就是数据,本质来说就是一种转瞬即逝的信息。数据易于访问,易于传输同样也容易复制。但事实是对跨地区的数据流动的确难以彻底控制,这一点着实让我们感到吃惊。 对像Google、Facebook、维萨和万事达这些在全球各地拥有数十座数据中心的大型公司来说,他们根本毫不在乎,因为他们的所有用户数据事实上都已经被保存了。伙计,这可是互联网,你获取任何想要的信息只需几毫秒时间,还用在乎是在哪个国家吗? 这些公司只需花些时间整理所有的数据,并清楚知道哪些数据该保存在这里,哪些数据该保存在那里。坏消息是,人们正试图以一种过时的方法处理信息,就如同处理物质世界的实物一样。同时他们也正试图在虚拟世界中构筑一堵无形的墙,延绵不断且无边无界。 这最终将走进死胡同。所有人都终将意识到,IT公司将为此花费大量的精力和金钱来应付一个又一个的国家政府。首先是欧盟和俄罗斯。在这之后,将会有更多的国家政府”强赴后继”,不断”折磨”那些跨国IT公司。赶快拿出爆米花,准备看一场好戏。 我们依然将停车打比方。真正的问题不在于车到底停哪里?而是车门锁是否安全?盗窃车辆是否合法?或者你能对窃贼采取怎样的措施?而且最关键的问题可能是:究竟为什么每个人都有我车的钥匙?

20亿人拥有SIM卡是现实中的”噩梦”

有关告密者爱德华•斯诺登揭秘美国国家安全局事件又有了新消息,且内容极度令人震惊:NSA(美国国家安全局)及其英国的”合作伙伴”- GCHQ(英国政府通讯总部)据称对金雅拓的网络进行了病毒感染,同时还窃取了用于保护数以亿计SIM卡的加密密钥。 如此大规模地对SIM卡进行病毒感染不禁让人对全球蜂窝通讯系统的安全性打上了一个大大的问号。这并不意味着你的通讯正在受到监视,但真要监视的话只需一个按键即可实现。 如果你不了解金雅拓是什么公司的话,在这里我可以告诉你,这是一家移动设备SIM卡的生产厂商。据《经济学人》杂志报道,事实上,该厂商所生产的SIM卡数量远超世界其它任何的SIM卡厂商。 刊登在The Intercept上的文章最先发出了”指控”,该文章估计金雅拓每年生产大约20亿张SIM卡。联系一下其他方面的数据,目前全球人口达71.25亿;而移动设备估计有71.9亿台。据报道,金雅拓的总共450家客户中,其中不乏知名的移动服务提供商:Sprint、AT&T、Verizon和T-Mobile等。公司在全球85个国家拥有业务,并运营着40家生产基地。 SIM是”用户识别模块”的缩写。SIM卡就是插入你移动设备的小型集成电路。其中内含唯一的”国际移动用户识别码”(IMSI)以及一个加密的验证密钥。该密钥由一串数字组成,主要用来验证你的手机是否真的是你的。这就好比是登录密码配对,但由于完全基于硬件因此无法更改。 一旦拥有了这些密钥,网络攻击者即能够监视移动设备的语音通话和数据通讯,但前提条件是知道这些设备所装SIM卡的加密密钥。如果这些指控属实的话,这意味着NSA和GCHQ的确能够在全球范围监视大量的蜂窝网络和数据通讯,且无需任何理由和司法认定。 你可能经常听说非技术媒体谈论大量有关NSA所开展与元数据相关的活动,但诸如此类的泄漏事件以及被揭秘的受感染伪随机数发生器的的确确是个麻烦。元数据是一系列敏感信息,可以告诉你受害人的位置、联系人名单及其一切个人信息。针对SIM卡或加密协议的大规模攻击能让网络攻击者实实在在地看到—以纯文本形式—我们与他人通讯的所有内容。尽管许多内容可以从受害人的位置和设备交互信息推断而得,但纯文本形式的通讯内容却无从推断。正如上文所说,这些通讯内容都可以实时获取,根本无需进行任何的分析。 据报道,The Intercept将NSA前承包商所窃取的一份机密文件公之于众,其中NSA是这样说的:”[我们]成功将病毒植入多台[金雅拓]计算机,相信我们已掌控了该公司的整个网络…” 隐私和蜂窝通讯并非是我们唯一关心的问题。伴随而来的还有大量财务问题的产生。正如美国民权同盟成员-技术专家Chris Soghoian以及约翰•霍普金斯大学译码者Matthew Green在The Intercept的这篇文章内所注意到的,SIM卡设计并非只为了保护个人通讯。其设计还为了简化账单流程,以及在蜂窝网络刚开始使用的阶段防止用户对移动服务提供商进行欺诈。而在一部分的发展中国家中,大部分人使用的都是过时且防范薄弱的第二代蜂窝网络,许多用户依然依靠其SIM卡进行转账和微型金融服务操作,就如同广泛流行的M-PESA支付服务。 针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。 不仅仅只有发展中国家会产生经济问题:金雅拓还是芯片以及使用PIN码或EMV支付卡内微芯片的大型制造商,此类支付卡则是欧洲最主要的支付方式。这些支付卡同样也有被感染的可能性。据the Intercept报道,金雅拓所生产的芯片还被广泛应用于大楼门禁、电子护照、身份证以及某几款豪华汽车品牌(宝马和奥迪等)的钥匙。如果你的芯片和PIN码银行卡是由维萨、万事达、美国运通、摩根大通或巴克莱发行的话,那你支付卡内的芯片很有可能就是金雅拓所生产,而里面的加密密钥也可能已经被病毒感染。 尽管受到一系列的指控以及在所谓的秘密文件中也被谈及,作为当事方的金雅拓却坚决否认其网络安全已受到病毒的感染。 “不论是在运行SIM活动的基础设施,还是安全网络的其它部分,我们都没有发现任何黑客入侵的迹象,因此不会对诸如银行卡、身份证或电子护照在内的其他产品产生危害。我们每一个网络都单独分开,也从未与外部网络连接。”公司在其声明中这样说道。 然而,公司此前的的确确曾挫败过多起黑客入侵尝试,有理由相信是NSA和GCHQ所为。 该事件以及许多斯诺登所揭秘的内容有一个重要问题并未引起注意,那就是这份文件注明的日期是2010年。换句话说,这一所谓的SIM卡计划已经实施了5年的时间,而该技术也是在5年开始使用的,而5年已经到了一台计算机使用寿命的期限。 除了个人以外,SIM卡密钥受病毒感染的风险还会将我们所有人的个人隐私暴露在危险之下,如果斯诺登揭露的文件属实的话,这一网络攻击将导致各国与美国国际关系的交恶。还记得两个月前吗,我们中的许多”激进派”都对朝鲜政府黑客攻击索尼影业的事件是否属于战争行为不置可否?该网络攻击很有可能是朝鲜政府所为,但事实上幕后却可能另有他人,对电影工作室进行了攻击并将一些电影剧本和电邮内容公布到了互联网上。针对金雅拓的网络攻击可能会对全球通讯基础设施的安全性产生影响,而这些通讯基础设施对于移动设备以及安装在内的SIM卡的依赖性越来越高。

苹果是否保护用户免遭NSA的窥探?

不管你喜欢与否,就在我们居住的这个地球上,政府总能有大量的理由和机会控制整个数字空间,或至少能对本国居民进行严密监控。据传言,名声不佳的NSA(美国国家安全局)不仅资金充裕,并且为了能有效地进行监控,无所不用其极地进行各类研究、开发及贿赂活动。幸运的是,目前已有多种方法可防范此类组织的”侵扰”。 就目前而言,为防止政府机构的监控,我们可以借助的安全工具有虚拟私人网络和Tor网络。目前许多公司都具备让用户远离NSA及其它政府组织侵扰的能力,同时也能帮助保护我们的个人隐私。就在一年前,此类”保护措施”还只是停留在许多公司的口头承诺上,诸如”我们不隶属于NSA”或者”我们的一切经营都符合法律监管范围”这样不痛不痒的声明,但现在许多公司真正地开始行动起来了。 其中最显著的变化莫过于苹果公司,该公司就在最近发表了Tim Cook至全体用户的有关新用户数据政策的公开信,同时还发布了其它有关隐私和安全的文件。其中有一份文件是这样写:由于技术上的原因,公司无法提取所有运行最新iOS版本设备上的个人数据,因此也无从将这些数据交予包括执法机构在内的第三方。 苹果到底做了些什么? 简单地说,根据苹果官网所发布的文件来看,苹果的的确确舍去了影响个人安全的”备用钥匙”,从此只有你本人才能访问以下内容:iOS 8设备内包括照片、消息、邮件、联系方式和个人记录在内的所有个人数据都将受到用户密码的保护,苹果再也无法绕过密码直接访问。这同时也意味着苹果公司将无法访问用户设备上的所有数据,因此也无从将这些数据转交给任何机构。但现在棘手的问题是:所有这些声明未必就表示有关部门就真的无法再访问你的iPhone手机或iPad上所保存的信息。我会在下文中详细解释其中的原因。 除了最新iOS系统版本以外,还有更多安全和隐私功能值得一提。比如,一种全新功能可随机生成MAC地址,对于那些时刻监视Wi-Fi流量的窥探者而言,将无法持续追踪到设备。此外,常常被提及的虚拟私人网络选项极大方便了企业IT安全部门的工作。 #苹果宣称自己将无法访问用户个人数据,因此也无从将信息交予有关部门,但这并非是事实的全部真相。 在Tim Cook所传达的信息中,他一再声明苹果从未在其任何产品或服务中”与任何国家的任何政府机构合作建立后门”,并且也从未允许任何机构访问苹果的服务器,以后也绝对不会。 其实苹果是否曾与NSA合作都无关紧要,目前最重要的是苹果能否保护用户免遭政府的监控。 苹果做这一切的原因何在? 臭名昭著的”好莱坞艳照门事件”并不只是苹果决心强化用户隐私的唯一原因。还有更重要的深层次原因。当然,你可能还记得爱德华•斯诺登:在他去年所解密的大量NSA文件中曝光了许多与该部门合作的公司,其中就有苹果的名字。该事件对苹果公司的声誉造成了极大的损害,苹果迄今为止所做的一切就是为了极大地转变其在人们心中的印象。苹果是否曾与NSA合作其实都无关紧要,目前最重要的是苹果是否能保护其客户免遭政府的监控。这些天的形势发展也正好说明了这一点:如果公司无法对用户隐私和个人数据引起足够重视的话,那公司自身就将出现问题从而将无法获得用户的信任。苹果要么站在用户的一边,要么只能被用户所抛弃。 显然,苹果依旧还是市场的宠儿,并被成千上万的”果粉”所敬仰,因此也不太可能立即就被数百万用户所抛弃,但这并不能成为苹果不立刻采取措施的理由。尤其是公司即将推出的智能手表和支付系统—这两项新开发产品受到众多安全领域专家的诟病。 对于消费者意味着什么? 新版本iOS系统除了加强数据保护的一些改进外,还加入了许多更为重要的积极因素。通过更改用户数据政策,苹果还鼓励业内其它公司一道向同一个方向努力,例如:对客户安全与隐私给予更多关注。当然没有一家公司会公开与NSA或其它政府机构作对,事实上也根本没有这个必要:他们需要做的只是提升个人数据安全性,增加这些机构收集或窃取信息的难度。 针对用户数据政策的改变仅限于提升个人数据安全性使信息使之难以被他人所访问,但对警察或其它的执法机构依然无效。 苹果将如何应对相关部门的要求? 要回答这个问题,首先你需要明白两件重要的事情。与其他所有公司一样,苹果永远将企业的利润放在第一位。因此苹果一定会在当地法律允许范围内经营业务,因为一旦违反相关法律即会对自身业务造成不必要的损害。因此,只要有当地政府部门合法要求获取某一名用户的个人数据,公司几乎没有选择的余地,不听从的结果只会惹上一身的麻烦。绝大多数公司都会选择听从,这早已不是什么秘密,而苹果也绝不会成为那个特例。 苹果新的用户数据政策看似不错,实则依旧无法阻止有关部门在必要时访问个人信息。 首先,新版本的iOS系统所做的一切改变只是让你的数据更难以被他人所获取,但并不是代表警察或其它的执法机构就真的无法访问这些信息。所增加的安全性仅适用于iOS设备本身,但对云存储则毫无作用可言。(目前采用双重认证形式)。因此,只要你的数据在iCloud内备份,也就意味着这些信息已经复制到苹果服务器,那政府部门还是有合法权限进行访问。获取过程可能需要耗费不少时间和精力,但最终还是能获得信息。其次,Tim Cook对于服务器完整性的声明表示苹果不会让任何人访问存储在内的信息,但并不代表苹果不会将这些数据进行内部备份以及必要时与有关部门共享。就好像你的银行账户:安全且可靠,但只要你允许,任何人都可以从中取走钱款。 那苹果到底有没有提升你个人数据的安全性?答案是肯定的。那NSA及相关政府机构是否从此就无法访问这些信息了呢?绝对不会。

问卷调查:美国人深度关切自己的数字化信息安全

于今夏所进行的一次问卷调查中,其结果显示美国人对自己的在线隐私表示深度关切,并愈来愈多地要求享有自己数字财产的所有权。 据安全软件公司WP Engine所发布的7月问卷调查结果显示,71%的美国人对自己的在线隐私表示’深表关切’。 令人大吃一惊:美国人对自己的数字隐私相当关注#数据隐私 对数字安全的高度关切很大程度上源于去年曝光的美国国家安全局国内监控事件,而此次调查研究结果与今年早些时候美联社和GFK市场调查机构所发布的调查报告完全吻合,当时的结果显示有超过60%的受访者表示自己对个人隐私的关切程度更甚于对恐怖袭击的防范。据美国商业资讯报道,WP Engine首席执行官Heather Brunner在其集团进行的问卷调查中这样说道:”有如此数量众多的个人资料可以通过在线互访,因此讨论哪些信息是真正属于个人隐私比以往任何时候都显得重要。”99%的美国人表达了对在线隐私的担忧,当你想到一些共享数据的敏感程度—从银行记录到情感关系—有时甚至在公共平台上就能直接访问,那如此多的人表示对这一问题的担心也完全可以理解。” “有如此数量众多的个人资料可以在线进行互访,因此讨论哪些信息是真正属于个人隐私比以往任何时候都显得重要。” –来自WP Engine的Heather Brunner表示。 在WP的调查中,受访者表示最关切的问题依次是社交媒体、电子邮件以及搜索引擎,分别占到了总受访人数的66%、56%和52%。这些调查结果无不体现了受访者对通过这些媒介泄露隐私的担忧。此外,资金安全也同样是受访者最关切的问题:71%的美国人表示最担心在访问网银账户或其它资金数据时的在线隐私安全;网购成为仅次于网银的第二令人担心的资金安全问题,有57%的受访者表达了对这些在线交互安全的担忧。 与此同时,还有93%的受访者表示认为对至少一部分自己的数字信息拥有绝对的所有权。云存储网络安全问题并未在本次调查中提及,但如果本次调查是在”大量好莱坞明星隐私照片泄露事件”之后几周进行的话,那么对使用像iCloud这样的在线服务来备份隐私照片将深有感受。 问卷调查:71%的美国人’深度关切’自己的#数字隐私

Tor与一般互联网用户

Tor作为一种免费程序,旨在让用户能以完全匿名的方式浏览互联网。”棱镜门”事件以来,社会舆论对于提倡隐私的呼声日渐高涨,即使是一般用户也越来越意识到问题的严重性,并对政府和企业利益集团收集基于网络浏览活动的信息给予强烈的关切。 使用Tor,实现匿名上网#隐私#美国国家安全局#窥探 Tor依靠匿名中继全球网络为用户提供免费的流量分析在线体验。在该视频采访中,Tor项目倡导者Runa Sandvik解释了Tor越来越多为日常用户所使用的根本原因。 “我想其中原因归根到底就是有谁会愿意让自己每日的在线活动被他人所记录?” –Tor项目倡导人Runa Sandvik如是说。 “普通用户可以使用Tor来隐藏他们所有的在线活动,”Sandvik说道。”当他们访问网站时,无论是互联网服务提供商、共用一台电脑的同事、公司老板或其他任何人都无法看见他们所访问的网站。” Tor的意义在于人们对于个人隐私的基本需求。尽管过去只有记者、人权活动家以及那些希望躲避政府审查制度的人才会特别关注这一问题,而随着Tor的出现,越来越多的普通用户也开始对这一问题予以了关注。 “我想其中原因归根到底就是有谁会愿意让自己每日的在线活动被他人所记录?” – Sandvik这样说道。”为什么就有人能看到你在网上的一举一动呢?” Tor和你:为什么匿名互联网不再是隐私极客的专属。#美国国家安全局#隐私

一周要闻:Black Hat与DEF CON大会预览

全球黑客和安全领域两个最重量级的会议:Black Hat和DEF CON大会将于下周在内达华州的拉斯维加斯举行。在本周新闻综述,我们将展望这两个会议的同时,对本周发生的新闻进行一番回顾。 黑客大会抢先预览 Black Hat与DEF CON安全大会将于下周召开,我们将首先展望这两个会议来开始我们的本周新闻综述: 卡巴斯基实验室安全专家Vitaly Kamluk的演讲是我们最为期待的,他将在大会上再次提及Absolute Computrace漏洞问题,在之前2月份举办的安全分析师峰会期间我们曾有写到过。 此外,安全研究员Joshua Drake也将展示他所建造的工具,这一工具足以彻底颠覆目前全球对安卓系统安全性的研究。从本质上说,这一工具集中了所有他能找到的各种安卓设备,且各自适合的操作系统稍有不同。他们认为只有通过这样的方式,安全研究员们才能对目前众多的安卓操作系统有一个更加全面的了解。来自Bluebox Security的Jeff Forristal将作另一场有关安卓系统的有趣演讲,他的研究显示数百万台的安卓设备内存在一种关键漏洞,可使恶意应用伪装成受信任的应用,让攻击者能够将恶意代码植入合法应用,甚至直接控制受感染的设备。 而在今年的DEF CON大会上,主办方将举办一场以黑客入侵路由器为主题的比赛。选手们需要入侵SOHO Wi-Fi路由器,比赛规则公布在SOHOpelessly遭到入侵的网站上。参赛选手必须在DEF CON大会举办期间说明并展示他们如何利用零日漏洞来入侵路由器的。届时将向获胜选手颁发奖品,具体奖品类型尚不得知。 全球最大社交网络遭遇麻烦 接下来,我们将一一回顾本周已发生的新闻事件:本周有关Facebook的新闻可以说是喜忧参半。 首先是本周一,来自欧美的一个隐私倡导团体要求Facebook推迟实施全新针对性广告政策。此前,Facebook的广告几乎全部基于用户所钟意的页面。就在上个月,这家社交网络公司发布了一条令人不解的声明,表示他们将赋予用户更多对所见广告的控制权,同时还将开始收集用户更广泛的网络冲浪行为信息。 众多用户团体向美国联邦贸易委员会提出抗议,希望延迟或者完全阻止Facebook进一步采集用户在Facebook域名以外的上网信息。这些团体表示Facebook的这一计划直接反驳了与此前所做出的有关隐私和用户跟踪方面的声明。就在上个月,Facebook还表示”用户将能自主控制网页上所看到的广告”,此前的声明明显欺骗了用户。 破坏性巨大的攻击迫使组织重建整个系统。 据Threatpost报道,在周二,Facebook修复了其安卓应用内的漏洞,这一漏洞能够让攻击者在受害人设备上造成拒绝服务的情况,或通过在设备上传输大量数据导致受害人手机账单飙升。因此,如果你在安卓系统运行Facebook的话,确保安装了最新的更新补丁。 另外,Facebook颇为流行的照片共享服务Instagram的移动版本并未部署完全加密。因此,用户不得不面临暴露浏览行为及会话cookie被窃的风险,这可能最终导致安卓和iOS系统的账户同时被盗。Facebook和Instagram都意识到了这一问题,并表示将修复这一漏洞,但修复的具体时间尚未给出。访问Threatpost和Kaspersky Daily,阅读更多内容。 高级持续性威胁 本周还曝出了中国高级持续威胁(APT)黑客入侵的事件,入侵对象则是曾参与以色列臭名昭著的”铁穹”导弹防御系统开发的国防承包商。据报道,在2011年至2012年期间,他们先后从以色列的三家国防承包商手中盗窃了一种特定型号反弹道导弹的详细原理图、火箭相关信息以及成页成页的其他机械文件。 据报道,另一个中国APT小组也入侵了加拿大一家主要的技术研究组织,最终迫使他们脱机下线。Threatpost的Chris Brook在其文章中写到此次攻击破坏性巨大,最终迫使该组织重建其整个系统。加拿大方面并未表示攻击发生的时间以及被盗资料的信息。