捍卫隐私

作者简介

凯文·米特尼克 ● 1963 年 8 月 6 日出生于美国洛杉矶，是第一个被美国联邦调查局通缉的黑客，有评论称他为世界“头号电脑黑客”“地狱黑客”。 ● 曾凭借高超的黑客技术入侵北美空中防护指挥系统、美国太平洋电话公司系统，甚至入侵了联邦调查局的网络系统。 ● 现为网络安全咨询师，创立米特尼克安全咨询公司（Mitnick Security Consulting LLC），其客户包括数十位来自《财富》500强企业和全球许多国家的重要人士。 ●《时代周刊》封面人物，畅销书《反欺骗的艺术》《反入侵的艺术》作者，好莱坞电影《战 争游戏》《骇客追缉令》角色原型。 罗伯特·瓦摩西 信息安全专家，新思科技（Synopsys）安全战略官。

内容简介

詹妮弗·劳伦斯（Jennifer Lawrence）度过了一个艰难的周末。2014年的一个早上，这位奥斯卡金像奖得主与其他一些名人醒来后发现，他们最私密的照片正在互联网上掀起轩然大波，其中很多是裸体照片。 现在，花点时间回想一下当前保存在你的计算机、手机和电子邮件里的照片。当然，其中很多都是完全无害的。就算全世界都看到你那些日落照片、可爱的家庭快照和头发乱糟糟的滑稽自拍，对你来说也无关紧要。但你愿意分享你所有的照片吗？如果这些照片突然全都出现在网上，你会怎么想？所有照片都记录了我们的私密瞬间。我们应该能够决定是否、何时以及怎样分享它们，而云服务并不一定总是我们的最佳选择。 2014 年那个漫长的周末，媒体上充斥着詹妮弗·劳伦斯的故事。这是被称为“theFappening”的巨大泄露事件的一部分。在这一事件中，蕾哈娜（Robyn Rihanna Fenty）、凯特·阿普顿（Kate Upton）、凯莉·库柯（Kaley Cuoco）、阿德里安妮·库瑞（Adrianne Curry）及其他近 300 位名人的私密照片被泄露。这些名人中大多是女性，她们的手机照片通过某 种方式被人获取并共享出来。可以预见，尽管有些人会对查阅这些照片感兴趣，但对更多人来说，这是一个让人不安的警示，因为这样的事情也可能会发生在他们身上。 那些人究竟是如何获得了詹妮弗·劳伦斯等人的私密照片呢？ 这些名人都使用 iPhone 手机，人们最早的猜测集中于一次大规模数据泄露，这次泄露影响到了苹果公司的 iCloud 服务，而 iCloud 是 iPhone用户的一个云存储选择。当你的物理设备存储空间不足时，你的照片、新文件、音乐和游戏都会被储存到苹果的服务器上，而且通常只需要少量月费。谷歌也为安卓系统提供了类似的服务。 几乎从来不在媒体上评论安全问题的苹果公司否认这是他们的错误。苹果公司发表了一份声明，称该事件是一次“对用户名、密码和安全问题非常有针对性的攻击”，该声明还补充说“在我们调查过的案例中，没有一项是由苹果系统（包括 iCloud 和‘查找我的 iPhone’）的任何漏洞导致的”。 这些照片最早出现在一个以发布被泄露照片而出名的黑客论坛上。在那个论坛上，你可以看到用户在活跃地讨论用于暗中获取这些照片的数字取证工具。研究者、调查者和执法人员会使用这些工具从联网设备或云端获取数据，这通常发生在一场犯罪之后。当然，这些工具也有其他用途。 手机密码破解软件（Elcomsoft Phone Password Breaker，简称 EPPB）是该论坛中被公开讨论的工具之一，该工具的目的是让执法机构和某些其他机构可以进入 iPhone 用户的 iCloud 账号。而现在，该软件正在公开销售。这只是论坛中的众多工具之一，似乎也是最受欢迎的一个。EPPB 需要用户首先拥有目标 iCloud 账号的用户名和密码信息。但对使用这个论坛的人来说，获取 iCloud 用户名和密码并不是什么难事。在2014 年的那个周末就发生了这种事，某人在一家流行的在线代码托管库（Github）上发布了一个名叫 iBrute 的工具——这是一种专为获取 iCloud凭证而设计的密码破解系统，几乎可以用在任何人身上。 同时使用 iBrute 和 EPPB，就可以冒充受害者本人将其所有云存储的iPhone 数据全部备份下载到另一台设备上。这种功能是有用处的，比如当你升级你的手机时。但这个功能对攻击者也很有价值，他们可以借此查看你在你的移动设备上做过的一切。这会比仅仅登录受害者的 iCloud账号提供更多的信息。 取证顾问和安全研究者乔纳森·扎德尔斯基（Jonathan Zdziarski）告诉《连线》杂志，他对凯特·阿普顿等人泄露的照片进行了检查，结果与使用了 iBrute 和 EPPB 的情况一致。取得用于恢复 iPhone 的备份能给攻击者提供大量个人信息，这些信息之后可能会被用于敲诈勒索。 2016 年 10 月，36 岁的宾夕法尼亚州兰开斯特人瑞安·柯林斯（Ryan Collins）因“未经授权访问受保护的计算机获取信息”被判处 18 个月监禁。他被控非法访问超过 100 个苹果和谷歌电子邮件账号。 你必须设置一个强密码 为了保护你的 iCloud 和其他网络账号，你必须设置一个强密码（strong password）。然而，以我作为渗透测试员（靠入侵计算机网络和寻找漏洞赚钱的人）的经验，我发现很多人在设置密码方面都表现得很懒惰，甚至大公司的高管也是这样。比如索尼娱乐（Sony Entertainment）的 CEO迈克尔·林顿（Michael Lynton）就使用“sonyml3”作为自己的域账号密码。难怪他的电子邮件遭到黑客攻击并被传播到了互联网上，因为攻击者已经获得了访问该公司内部几乎所有数据的管理员权限。 除了与你工作相关的密码之外，还要注意那些保护你最私人的账号的密码。即使选择一个难以猜测的密码，也无法阻挡 oclHashcat（一种利用图形处理器即 GPU 进行高速破解的密码破解工具）这样的黑客工具破解你的密码，但这会让破解过程变得很慢，足以使攻击者转向更容易的目标。 我们可以大致猜到，2015 年 7 月阿什利·麦迪逊（Ashley Madison）被黑事件曝光的密码中有一些（包括银行账号甚至办公电脑密码）肯定也被用在了其他地方。在网上贴出的 1 100 万个阿什利·麦迪逊密码的列表中，最常见的是“123456”“12345”“password”“DEFAULT”“123456789”“qwerty”“12345678”“abc123”“1234567”。如果你在这里看到了自己的密码，那么你就很可能遭遇数据泄露，因为这些常见密码都被包含在了网上大多数可用的密码破解工具包中。你可以随时在 www.haveibeenpwned.com 网站上查看你的账号过去是否暴露过。 在 21 世纪，我们可以做得更好。我的意思是要好得多，这要用到更长和更复杂的字母与数字搭配。这可能听起来很难，但我会向你展示能做到这一点的一种自动方法和一种手动方法。 最简单的方法是放弃自己创造密码，直接自动化这个过程。市面上已经有一些数字密码管理器了。它们不仅可以将你的密码保存在一个加锁的保险箱中，还允许你在需要它们的时候一键访问，甚至可以在你需要时为每个网站生成一个新的、安全性非常强的独特密码。 但要注意，这种方法存在两个问题。一是密码管理器需要使用一个主密码进行访问。如果某人刚好用某种恶意软件侵入了你的计算机，而这个恶意软件可以通过键盘记录器（keylogging，一种能记录你的每一次按键的恶意软件）窃取你的密码数据库和你的主密码，那你就完蛋了。然后那个人就会获得你的所有密码。在参与渗透测试期间，我有时候会使用一个修改过的版本来替代密码管理器（当该密码管理器开源时），该版本会将主密码发送给我们。在我们获得客户网络的管理员权限之后，这个工作就完成了。然后我们就可以使用所有的专用密码了。换句话说，我们可以使用密码管理器作为后门，获取进入王国的钥匙。 ● 网络安全界传奇人物、世界头号黑客凯文·米特尼克重磅新作！极具震撼性与实用性，一本书传授毕生绝学，让你学会如何在网络上不留痕迹，成为隐身高手。 ● 大数据时代，“隐私刚需”已成为一种现实，捍卫隐私是人人都值得拥有和需要的技能。 ● 苹果公司联合创始人史蒂夫 · 沃兹尼亚克，电子科技大学教授, 成都市新经济发展研究院执行院长周涛，北京邮电大学教授、信息安全专家杨义先联袂推荐。 ● 湛庐文化出品。 [作者简介] 凯文·米特尼克 ● 1963 年 8 月 6 日出生于美国洛杉矶，是第一个被美国联邦调查局通缉的黑客，有评论称他为世界“头号电脑黑客”“地狱黑客”。 ● 曾凭借高超的黑客技术入侵北美空中防护指挥系统、美国太平洋电话公司系统，甚至入侵了联邦调查局的网络系统。 ● 现为网络安全咨询师，创立米特尼克安全咨询公司（Mitnick Security Consulting LLC），其客户包括数十位来自《财富》500强企业和全球许多国家的重要人士。 ●《时代周刊》封面人物，畅销书《反欺骗的艺术》《反入侵的艺术》作者，好莱坞电影《战 争游戏》《骇客追缉令》角色原型。