网络活动中离线保护很强的场景
学习匿名性和安全性时,会遇到 、、加密、浏览器设置、元数据删除等许多技术。
但是,有些场景中,最强的对策并不是最新的软件设置。
而是从一开始就不连接网络。
重要的私钥、恢复短语、采访备忘、内部资料、本人确认文件、未公开原稿、危险联系人。这些信息一旦放进在线环境,就会受到 OS、应用、云同步、恶意软件、浏览器、备份、共享设置、登录状态的影响。
互联网看起来像抽象空间。
但是实际上,它运行在终端、摄像头、麦克风、磁盘、线缆、无线电波、服务器、数据中心这些物理事物之上。
正因如此,物理上切离、物理上遮挡、物理上保管的对策,在某些场景中很强。
本文通过加密资产私钥、摄像头遮盖、重要资料保管,整理“离线保护”为什么强,以及为什么并不完美。
离线会减少攻击面
离线,是指从网络中切离。
攻击面,是攻击者能够触碰的入口。在线终端有浏览器、应用、OS、Wi-Fi、Bluetooth、云同步、通知、扩展功能、远程管理、与外部服务的连接。
离线后,这些入口中的许多都会消失。
| 状态 | 主要入口 | 在匿名性和安全性中的含义 |
|---|---|---|
| 在线终端 | 网络、应用、浏览器、同步 | 远程可攻击入口很多 |
| 云端保存 | 账号、共享链接、运营者日志 | 依赖服务侧管理和日志 |
| 离线终端 | 物理访问、带出、USB | 远程攻击减少,但物理管理变重要 |
| 纸质、金属备份 | 遗失、盗窃、拍摄 | 不容易经由网络泄漏,但保管成为问题 |
离线不是消除所有风险的万能对策。
但是,从减少远程攻击入口的意义上说,它非常强。
加密资产私钥以离线保护为基本
加密资产中最重要的是私钥和种子短语。
加密资产本身在区块链上。并不是钱包把“币装在里面”。钱包管理的是用于移动资产的私钥和签名功能。
持有私钥的人可以移动资产。
因此,不让私钥上网,成为安全保护的核心。
| 保管方法 | 特点 | 注意点 |
|---|---|---|
| 放在交易所 | 方便 | 需要信任交易所 |
| 热钱包 | 可以马上使用 | 容易受终端或应用侵害影响 |
| 硬件钱包 | 容易把私钥放在终端外部 | 购买来源、初始设置、备份管理很重要 |
| 纸质备份 | 可以从网络切离 | 容易受遗失、火灾、盗窃、拍摄影响 |
| 金属备份 | 更容易抵抗灾害 | 保管地点和被发现风险成为问题 |
长期保管或高额资产中,不应把私钥或种子短语留在在线备忘、截图、云端、邮箱、聊天、照片中。
这些地方很方便,但越方便的地方越连接网络。
Bitcoin.org 汇总了安全处理钱包的基本注意事项。
URL : https://bitcoin.org/en/secure-your-wallet
不过,加密资产保管会因金额、使用频率、继承、遗失风险、法律状况而改变判断。
离线保护很强,但如果失去私钥,自己也无法移动资产。
物理遮盖摄像头
PC 和手机摄像头可以通过软件设置禁用。
但是,如果重视匿名性和安全性,物理遮盖是非常清楚且很强的对策。
只要摄像头被物理遮住,即使 OS、浏览器或应用有漏洞,也很难输出通过镜头得到的有效影像。
这很简单,但很强。
| 对策 | 能保护什么 | 限制 |
|---|---|---|
| 用 OS 设置禁用 | 抑制普通应用使用 | 可能弱于漏洞或设置变更 |
| 拒绝浏览器权限 | 防止网站使用 | 其他应用或整个 OS 是另一问题 |
| 摄像头遮盖 | 物理阻挡影像 | 无法防止麦克风或屏幕共享 |
| 把终端放到别的房间 | 让摄像头和麦克风都远离 | 便利性下降 |
对于 PC 和手机内置摄像头,物理遮盖是尤其容易理解的对策。
OS 权限设置、浏览器摄像头许可、应用权限管理、更新都是必要的。这些在通常使用中是重要防御。
但是,摄像头镜头接收光线并生成影像。只要物理遮住镜头前方,就无法生成影像。这不是设置,而是物理。
针对笔记本电脑 Web 摄像头和麦克风的远程隐私攻击,也成为研究对象。
例如,名为 TickTock 的研究在提到恶意软件远程访问 Web 摄像头和麦克风的风险后,以市售隐私遮盖已经作为 Web 摄像头防御被广泛使用为前提展开讨论。
URL : https://arxiv.org/abs/2209.03197
还需要理解,摄像头影像泄漏已经成为现实问题。
例如,FTC 公布过 TRENDnet 案例:关于联网家用安防摄像头,由于软件缺陷,许多用户的摄像头影像处于可在线查看状态。
这里重要的是,这并不是说物理对策会取代软件对策。
更新、权限管理、不打开可疑链接、恶意软件对策仍然必要。
但是,对于 PC 和手机内置摄像头,最后遮住镜头这一物理对策是有效的。
物理阻断这一思路
摄像头通过光进入镜头来生成影像。
那么,只要遮住镜头就看不到。
这不是复杂的安全理论。
让麦克风远离,就更难拾取声音。
不把纸质备忘上传到网络,就不会从云端泄漏。
不把私钥保存在在线终端中,就会减少被恶意软件或云同步盗取的入口。
不在屏幕上显示机密信息,就不会进入截图或屏幕共享。
像这样,物理阻断、远离、不放置、不连接这类对策,具有不同于在线设置的强度。
在匿名性中,重要的是不要试图用软件解决一切。
互联网运行在物理之上
互联网不是云一样的抽象空间。
通信运行在终端、Wi-Fi 路由器、基站、光纤、海底电缆、数据中心、电源、冷却设备、服务器、存储装置之上。
也就是说,网络活动的安全性最终会回到物理。
| 看起来抽象的东西 | 实际依赖的东西 | 在匿名性中的含义 |
|---|---|---|
| 云端 | 数据中心、服务器、运营者 | 有保存地点和运营者日志 |
| 加密资产 | 私钥、终端、备份 | 持有密钥的人可以移动资产 |
| Web 摄像头 | 镜头、传感器、麦克风 | 物理遮盖即可阻止影像 |
| 通信 | 线缆、无线电波、基站 | 路径上有观察点 |
| 匿名账号 | 终端、浏览器、输入内容 | 与实名环境混杂就会被关联 |
这个视角对于思考匿名性很重要。
无论软件上怎样设置,只要把私钥放到云端,就会引入云端风险。
即使拒绝摄像头权限,如果屏幕共享中拍进通知,信息也会泄露。
即使使用 VPN,如果本人确认文件放在同一终端中,身份也可能从另一条路径暴露。
重要信息不要放在线上
越重要的信息,越要严格审视把它放在线上的理由。
经常使用的信息容易想放在线上。可以马上打开、同步、搜索、共享。很方便。
但是,便利会扩大攻击面。
| 信息 | 在线保存的问题 | 离线管理的思路 |
|---|---|---|
| 私钥、种子 | 被盗会导致资产被移动 | 用纸、金属、硬件分离 |
| 信源列表 | 相关人员会陷入危险 | 加密,必要时离线保管 |
| 内部举报资料 | 来源和相关人员可见 | 分开原本和公开用 |
| 本人确认文件 | 可用于冒名 | 除必要场景外不要保存 |
| 未公开原稿 | 发信者和相关人员会被推测 | 缩小共享范围和保存位置 |
离线管理需要花费工夫。
但是,在高风险信息中,这种工夫有意义。
离线也不完美
离线是很强的对策,但并不完美。
存在被物理盗走、遗失、在火灾中失去、被家人或同住者看到、被拍照、忘记保管地点、无法继承等风险。
此外,也存在所谓 5 美元扳手攻击这类不针对密码或技术,而是对本人施压迫使其交出秘密的攻击。
也就是说,离线保护在“防网络”方面很强,但并不防御“现实世界的一切威胁”。
| 风险 | 例子 | 对策思路 |
|---|---|---|
| 盗窃 | 纸质私钥被偷 | 分开保管地点 |
| 遗失 | 失去种子短语 | 确认恢复步骤 |
| 灾害 | 火灾、水灾 | 考虑耐久性强的保管 |
| 强迫 | 让本人交出秘密 | 高风险时咨询专家 |
| 无法继承 | 本人以外无法恢复 | 考虑法律和家庭层面的设计 |
在匿名性中,不能只看网络上的对手。
还需要把现实地点、物理保管、周围的人、法律风险、身体安全也包含进来思考。
使用离线保护的场景
离线保护并不是所有作业都需要。
如果连日常轻量发帖都每次完全离线化,就无法持续。
要选择应该使用的场景。
| 场景 | 离线保护的含义 |
|---|---|
| 加密资产长期保管 | 把私钥从网络切离 |
| 内部举报资料保管 | 不轻率暴露原本或来源 |
| 信源列表 | 不把相关人员信息放进云端 |
| 高风险发帖准备 | 与实名环境和同步切离后起草 |
| 不需要摄像头、麦克风的作业 | 物理遮盖、远离 |
离线保护是匿名性的最后基础。
不需要连接网络的东西,就不连接。
不需要展示的东西,就物理隐藏。
需要保存的东西,要思考谁、在哪里、如何可能看到,然后再保管。
这种简单思路,在某些场景中比复杂技术更强。
总结
在网络活动中,离线有时会成为最安全的选择。
加密资产的私钥和种子短语,不上网是安全保护的核心。
PC 和手机摄像头只要物理遮盖,就更难输出通过镜头得到的有效影像。
互联网运行在物理限制之上。
因此,重要信息不要放在线上,不需要的摄像头要遮盖,私钥要离线保护,这种思路很重要。
不过,离线保护并不完美。
盗窃、遗失、灾害、强迫、无法继承等现实世界的风险仍然存在。
匿名性和安全性不仅要考虑在线设置,也要包括物理保管和现实安全。
相关工具
Tails
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://tails.net/
Whonix
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://www.whonix.org/
Qubes OS
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。