面向初学者的威胁模型
威胁模型,是用来整理“要从谁那里、保护什么、保护到什么程度”的思考框架。
思考匿名性时,如果一开始就选择工具,很容易失败。
是否需要 。是否需要 。只做账号分离是否足够。或者根本不公开是否更好。这些判断会随着“要从谁那里保护什么”而改变。
越是初学者,越应该先做一个简单的威胁模型。
要从谁那里保护
首先,思考被谁看到会带来麻烦。
| 对象 | 例子 |
|---|---|
| 普通读者 | SNS 浏览者、通过搜索找到的人 |
| 熟人 | 家人、朋友、同事、学校相关人员 |
| 服务运营者 | 网站、SNS、云服务 |
| 组织 | 工作单位、学校、团体 |
| 强能力对象 | 有调查能力的组织、国家机构、攻击者 |
对象一变,对策也会改变。
不想让家人看到的发帖,和不想让组织知道信源的情况,需要的准备并不相同。
要保护什么
接下来,把想保护的信息分开。
思考是只保护姓名,还是连日常活动范围也要保护;是只保护自己,还是相关人员也要保护;通信路径是否也要保护。
| 要保护的东西 | 例子 |
|---|---|
| 身份 | 本名、脸、工作单位、学校 |
| 日常活动范围 | 最近车站、地区、常去的店 |
| 相关人员 | 家人、同伴、信源、同事 |
| 通信路径 | IP 地址、连接目标、通信时间 |
| 过去信息 | 旧网名、过去发帖、搜索结果 |
要保护的东西如果含糊不清,应该确认的项目也会变得含糊。
麻烦会有多大
风险强度也要分开。
只是有点尴尬,还是会影响工作单位或学校,或者会让家人和信源处于危险中,需要的谨慎程度并不一样。
| 风险 | 例子 |
|---|---|
| 低 | 不想让熟人看到兴趣账号 |
| 中 | 被工作单位或学校知道会有麻烦 |
| 高 | 信源、举报者、活动参加者会被怀疑 |
| 非常高 | 可能有法律、身体上的危险或强烈报复 |
高风险情况下,不要只靠文章自行判断,应考虑咨询专家或可信赖的咨询对象。
从哪里能看到
威胁模型不仅要考虑“谁会看”,还要考虑“从哪里能看到”。
即使是同一条信息,在网站侧、SNS 运营方、工作单位网络、家人、搜索引擎那里,可见方式也不同。
| 可见位置 | 可见信息的例子 |
|---|---|
| 网站侧 | IP 地址、、登录状态、访问时间 |
| SNS 上的读者 | 发帖内容、图片、回复、个人资料 |
| 搜索引擎 | 公开页面、图片、过去的个人资料 |
| 工作单位或学校网络 | 连接目标、通信时间、终端使用痕迹 |
| 身边熟人 | 口头习惯、日常活动范围、照片背景、过去的话题 |
初学者容易忽略的是身边熟人。
有些内容陌生人看不出来,但家人、同事、朋友可能看得出来。
用例子思考
威胁模型如果只有抽象词语,会很难理解。
通过几个例子来看,就能看出自己需要哪些对策。
| 情况 | 要防范的对象 | 注意事项 |
|---|---|---|
| 想创建兴趣账号 | 工作单位或熟人 | 不暴露旧网名、脸部照片、日常活动范围 |
| 想咨询家庭烦恼 | 家人和当地人 | 模糊家族构成、学校、地区、时间线 |
| 想发布活动通知 | 反对者或追踪者 | 保护会场、参加者、发布时间、联系网络 |
| 想提供资料 | 所属组织 | 确认文件元数据、访问历史、提交对象 |
情况不同,要查看的位置也不同。
因此,不做威胁模型,只用“先上 VPN”来处理是危险的。
决定不做什么
威胁模型不仅用于决定要做什么,也用于决定不做什么。
例如,在高风险情况下,需要判断不要用实名账号联系、不要从工作单位终端访问、不要从现场发帖、不要直接发送原文件。
| 应避免的行为 | 理由 |
|---|---|
| 用实名账号进行匿名活动 | 行为会直接连接到本人 |
| 使用工作单位或学校终端 | 会留下管理日志和网络历史 |
| 重复使用脸部照片 | 会通过图片搜索连接到过去账号 |
| 在判断不清时发帖 | 未确认风险会残留 |
| 情绪化回复 | 容易追加多余信息 |
匿名性在很多场景下不是靠“做什么”保护,而是靠“避开什么”保护。
面向初学者的问题
不需要一开始就想得太复杂。
先回答下面的问题。
| 问题 | 目的 |
|---|---|
| 被谁看到会困扰 | 决定对象 |
| 什么被看到会困扰 | 决定要保护的信息 |
| 现在这条发帖会和什么连接 | 查看关联 |
| 公开后如果删不掉会不会困扰 | 确认可逆转不了的信息 |
| 是否还剩判断不清的项目 | 找出未确认风险 |
只做这五项,公开前的判断也会有很大变化。
小规模建立并更新
威胁模型不是做一次就固定不变的东西。
一开始简单即可。写下被谁看到会困扰、什么被看到会困扰、哪些行为要避免。之后,如果活动内容或风险发生变化,就更新它。
| 变化 | 重新检查的内容 | 例子 |
|---|---|---|
| 发帖内容变了 | 要保护的信息 | 从兴趣发帖变成谈工作单位 |
| 对象变了 | 要防范的对象 | 不只考虑熟人,也考虑组织 |
| 使用环境变了 | 可见位置 | 从家里变成公共 Wi-Fi |
| 开始处理文件 | 元数据 | 需要确认 PDF 和照片 |
| 反应增加了 | 发布后的处理 | 不要在回复或 DM 中给出过多信息 |
不需要把威胁模型做成复杂资料。
重要的是,不忘记自己正在保护什么。
工具要在威胁模型之后选择
VPN、Tor、专用浏览器、元数据删除工具都有用。
但是应该使用哪一个,要在威胁模型之后决定。
| 情况 | 先考虑的事 | 只靠工具仍会留下的事 |
|---|---|---|
| 想改变连接来源 IP | 不想让谁看到 IP | Cookie 和登录状态 |
| 想隐藏通信路径 | 要向 ISP 或连接目标隐藏什么 | 发帖内容和 |
| 想公开文件 | 元数据和背景中有什么 | 正文里的个人信息 |
| 想创建别名账号 | 要和真实身份一侧分开什么 | 话题、时间、图片 |
不要只问“是否使用 VPN”,而要想“VPN 会改变什么,又会留下什么”。
遵守这个顺序,可以减少对工具的过度信任。
高风险时也可以选择不公开
做威胁模型后,也会看见有些场景最好不要公开。
候选人过少的内容、会卷入相关人员的内容、有法律风险的内容、涉及组织内部资料或信源的内容,不一定适合一般公开。
除了公开之外,还有咨询、记录、证据保全、联系专家等选择。 选择咨询对象时,也要确认身份核验、记录保留方式、联系路径、提交信息的范围。
匿名性不是为了公开一切的技术。它也是决定什么不拿出来的判断。
总结
威胁模型是匿名性的起点。
它决定要从谁那里、保护什么、保护到什么程度。
初学者在选择工具之前,先整理对象、要保护的信息和风险强度。
不是所有人都需要同样的对策。
建立适合自己情况的威胁模型,可以同时减少过度不安和危险的松懈。