威胁模型与信任模型
思考匿名性时,首先需要决定一件事。
那就是,“想从谁那里保护什么”。
要把所有信息都从所有对象那里完全隐藏起来,并不现实。 而且,所需的对策会因人而异。
普通个人、记者、内部举报者、社会活动人士、企业负责人,需要保护的东西和假定的对象都不同。
整理这一前提的思路,就是威胁模型。 而整理要信任哪些服务或对象的思路,就是信任模型。
本文会把威胁模型和信任模型作为思考匿名性的前提来整理。
什么是威胁模型
威胁模型,是整理谁在瞄准什么、风险会通过什么手段产生的一种思路。
在匿名性中,会从下面这些问题开始。
- 想从谁那里保护
- 不想让对方知道什么
- 哪些信息被连接起来会造成问题
- 对方拥有多大程度的能力
- 能容忍到什么程度的风险
例如,不想让朋友知道另一个账号,与从拥有强大权限的组织那里保护信源,所需要的对策完全不同。
如果不建立威胁模型就选择对策,可能会做出过度复杂的处理,也可能反过来漏掉重要风险。
决定想保护什么
首先要考虑的是,想保护什么。
匿名性中要保护的对象,不只是本名。
| 想保护的东西 | 例 |
|---|---|
| 真实姓名 | 姓名、脸、身份证件、实名账号 |
| 所属 | 职场、学校、团体、部门 |
| 日常活动范围 | 住址、通勤范围、常去地点 |
| 信源或相关人员 | 信息提供者、协助者、同伴 |
| 活动内容 | 发帖、调查、举报、浏览历史 |
| 通信路径 | IP 地址、DNS、连接目标、通信时间 |
只说“想保持匿名”是不够的。 需要具体思考,什么和什么连接起来会造成问题。
决定想从谁那里保护
接下来,要考虑对象。
在匿名性中,不同对象能看到的信息和能使用的手段不同。
| 对象 | 可能看到的信息 | 注意点 |
|---|---|---|
| 连接目标网站 | IP 地址、、登录状态、请求内容 | 网站侧日志和账号信息会产生影响 |
| ISP、通信运营商 | 连接时间、连接目标 IP、通信量等 | HTTPS 的内容较难读取,但元数据可能会留下 |
| 服务商 | 与 VPN 用户连接相关的信息 | 使用 VPN 后,信任对象会转移到 VPN 服务商 |
| 同一 Wi-Fi 的使用者 | 未加密通信、连接状况 | 公共 Wi-Fi 尤其需要注意 |
| 职场、学校 | 设备、网络、日志、管理系统 | 可能拥有较强的管理权限 |
| 调查者、第三方 | 公开信息、发帖、图片、过去账号 | 可能通过 OSINT 进行关联 |
决定对象后,必要的对策会更容易看清。
估计对方的能力
不只要看对方是谁,还要看对方拥有多大程度的能力。
朋友只是会搜索社交媒体吗。 服务运营者能查看访问日志吗。 职场或学校的管理员能查看网络日志吗。 国家机构能要求通信运营商披露记录吗。
能力不同,必要的对策也会改变。
| 能力 | 可能做到的事 |
|---|---|
| 搜索公开信息 | 查找用户名、图片、过去发帖 |
| 确认服务内部日志 | 查看 IP 地址、登录历史、操作历史 |
| 网络管理 | 查看连接目标、通信量、DNS 查询 |
| 设备管理 | 查看浏览器历史、已安装应用、文件 |
| 法律权限 | 要求服务商披露记录 |
如果把所有对象都设想成最高能力,对现实行动会变得很困难。 另一方面,如果过低估计对方能力,也很危险。
需要根据目的,在现实范围内思考。
什么是信任模型
信任模型,是整理在使用某种机制时,前提是信任谁、不信任谁的一种思路。
使用匿名性工具时,能看到信息的对象会改变。 信息并不是消失了,而是有时会转移到另一个对象那里。
例如使用 VPN 时,连接目标网站可能较难看到家庭 IP。 但是,VPN 服务商可能看到与用户通信有关的信息。
使用 时,连接目标看到的可能是 Tor 出口节点。 不过,如果 Tor 的使用方式出错,登录状态和浏览器信息仍可能产生关联。
| 方法 | 信任的对象、机制 | 注意点 |
|---|---|---|
| 普通连接 | ISP、连接目标服务 | 家庭或职场的 IP 可能可见 |
| VPN | VPN 服务商 | 需要信任 VPN 服务商的日志方针和运营 |
| Tor | Tor 网络的设计、Tor Browser 的使用方式 | 使用方式出错时会留下其他线索 |
| 公共 Wi-Fi | Wi-Fi 运营者、设施环境 | 可能与现场日志和监控摄像头关联 |
| 云服务 | 服务运营者 | 账号、日志、保存数据会产生影响 |
思考匿名性时,不只要看“这个工具安全吗”,还需要看“这是信任谁的设计”。
没有威胁模型,对策会偏离目的
没有威胁模型时,对策容易偏离目的。
例如,如果只是想避免连接目标网站看到家庭 IP,VPN 可能已经足够。 但是,如果把 VPN 服务商视为不能信任的对象,只靠 VPN 可能不符合目的。
如果不想让实名账号和匿名账号连接起来,比起通信路径,Cookie、登录状态、浏览器分离、、发帖时间有时更重要。
内部举报者处理组织内部资料时,不仅网络路径重要,文档元数据、访问权限、分发历史、咨询对象的可信度也很重要。
对策会根据想保护的东西和对象而改变。
按风险阶段思考
威胁模型并不是为了每次都假定最大级别危险。
风险有不同阶段。想用别名发布兴趣内容的人,和想举报职场不正当行为的人,虽然都使用匿名性这个词,需要的准备却不同。
| 状况 | 主要对象 | 重视的对策 |
|---|---|---|
| 低风险的别名发帖 | 熟人、会搜索的第三方 | 避免复用用户名、文体、图片 |
| 不想被职场知道的咨询 | 职场相关人员、服务运营者 | 避免使用职场设备,模糊内容和时间 |
| 信源保护 | 相关组织、调查者 | 查看联系路径、资料、公开文章中的反推线索 |
| 内部举报 | 组织、拥有法律权限的对象 | 谨慎处理文档元数据、访问历史、提交目标 |
| 审查环境下的信息访问 | ISP、国家机构、服务运营者 | 分开考虑通信路径、设备、现实安全 |
风险越高,就越重要的是不要只凭文章做判断。
使用律师、支援团体、新闻机构安全负责人等可信咨询对象,也是威胁模型的一部分。
首先应建立的简单威胁模型
一开始不需要建立复杂的威胁模型。
先把下面这张表填到一定程度就足够了。
| 问题 | 例 |
|---|---|
| 想保护什么 | 真实姓名、职场、信源、日常活动范围、匿名账号 |
| 想从谁那里保护 | 连接目标网站、职场、学校、第三方、国家机构 |
| 什么连接起来会有问题 | 实名账号和匿名发帖、IP 和发帖时间、文档和作者 |
| 对方能看到什么 | 公开信息、服务器日志、通信日志、设备信息 |
| 信任谁 | VPN 服务商、发帖目标服务、咨询对象、设备环境 |
| 能容忍到什么程度 | 是低风险匿名发帖,还是高风险举报 |
只要思考这些,必要的对策就会清楚很多。
总结
威胁模型,是整理想从谁那里保护什么的思路。 信任模型,是整理以信任哪些对象或服务为前提行动的思路。
在匿名性中,从所有对象那里隐藏一切并不现实。 需要把想保护的东西、假定的对象、对方的能力、残留线索、信任对象分开思考。
VPN、Tor、公共 Wi-Fi、加密、账号分离等对策,会根据目的而改变意义。
首先决定“想从谁那里、保护什么、保护到什么程度”,是思考匿名性的出发点。
相关工具
WhatIsMyIP
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Tor Project
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
Proton VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://protonvpn.com/
Mullvad VPN
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://mullvad.net/