《捍衛隱私》：世界頭號黑客教你如何保護隱私

作者：[美] 凱文·米特尼克（Kevin Mitnick），米特尼克安全谘詢公司創始人，被稱為世界“頭號電腦黑客”。

出版社：湛廬文化/浙江人民出版社

出版時間：2019年9月

經過前一段時間的發酵，一夜爆紅的換臉APP“ZAO”已經被推到了輿論的風口浪尖，在娛樂的同時，涉及的技術問題、隱私問題、安全問題備受關注。現在我們冷靜下來重新審視我們的隱私問題。

8月30日晚間，一個名為“ZAO”的APP一夜爆紅，有的人嘗鮮樂此不疲、有的人則對其中涉及到的隱私問題憂心忡忡。到了第二天，這個APP已經被推到了輿論的風口浪尖。目前，ZAO的微信分享鏈接顯示已停止訪問，頁面顯示“網頁存在安全風險，被多人投訴，為維護綠色上網環境，已停止訪問”。

ZAO是做什麽的？

“僅需一張照片，出演天下好戲”，正如這句廣告語，ZAO其實是一個換臉APP。用戶只需上傳一張面部照片，再選一個自己喜歡的影片片段和角色，就可以把這些角色的面孔換成自己的模樣，簡直是不費吹灰之力過了一把“明星”癮。

ZAO所引起的爭議，更多的是對人工智能以及網絡技術與個人隱私遭受侵犯的討論。對於這種建立在人臉識別技術基礎上的應用軟體來說，我們更關心的是在這個每點一次滑鼠就有可能泄漏隱私的時代，有哪些保護隱私安全的方法？在人工智能技術高度發達的未來，我們又該如何保護隱私？

《捍衛隱私》的作者凱文·米特尼克和羅伯特·瓦摩西從個人角度出發，並運用生活中真實的故事和生動的案例，描繪出與隱私最為相關的6大未來場景，教你防止隱私泄漏的安全之道。

一、無痕瀏覽，你的一切蹤跡都將消失

如果你無法防止別人監視你的電子郵件、電話和即時消息，無法合法地刪除你的瀏覽器歷史記錄，你還能怎麽辦?也許你可以從一開始就避開對這些歷史記錄的收集。

Mozilla 的火狐、谷歌的 Chrome、蘋果的 Safari、微軟的Internet Explorer 和Edge等瀏覽器全都提供了內置的匿名搜索選擇，不管你想使用什麽設備，傳統個人電腦還是移動設備，無論哪種搭配，瀏覽器都會開啟一個新窗口，並且不會記錄你在此會話開啟期間搜索的內容或瀏覽的互聯網位置，關閉隱私瀏覽窗口，你訪問過的所有地址痕跡都將從你的個人電腦或其他移動設備上消失。

為了隱私，你也要付出一些代價：除非你在隱私瀏覽時為網站保存了書簽，否則你將無法返回；因為沒有歷史記錄——至少你的機器上沒有。

使用火狐瀏覽器上的隱私瀏覽窗口或Chrome瀏覽器上的無痕模式，你可能就感覺自己牢不可破了，但你的隱私網站訪問請求(比如你的電子郵件)仍然必須經過你的ISP(Internet service provider)，即互聯網服務提供商，也就是你花錢購買互聯網服務或蜂窩服務的公司— 而你的提供商可以截取其中傳遞的任何未加密的信息。如果你訪問的網站使用了加密，那麽 ISP仍能獲取訪問的元數據，即某天某時你在某地訪問了某網站。

不管是在傳統的個人電腦上還是在移動設備上，當互聯網瀏覽器連接到一個網站時，它首先會確定是否存在加密，如果存在加密，又是哪一種加密。用於萬維網通信的協議被稱為 http。這個協議是在地址之前指定的，也就是說，一個典型的URL 11可能看起來是這樣的:http://www. mitnicksecurity.com，即使其中的“www”在某些情況下是多餘的。

當你連接的網站使用了加密時，協議會稍有變化，不再是“http”了，你會看到“https”。所以這個URL就變成了 https://www.mitnicksecurity.com，這種 https 連接更加安全。其中一個原因是它是點對點的，但只有你直接連接到網站本身才會這樣。

網上還有大量內容分發網絡(Content Delivery Network，簡稱 CDN)為它們的客戶緩存頁面，不管你在世界任何地方， CDN 都能實現更快速的分發，因此這就可能出現在你和目標網站之間。

還要記住，如果你登錄了你的谷歌、雅虎或微軟账號，這些账號可能也會記錄你的個人電腦或移動設備上的網絡流量——也許會用來構建你的網絡行為個人檔案，以便這些公司能更好地定位你看到的廣告。有一種方法可以避免這種情況，那就是在你用完谷歌、雅虎或微軟账號後，記得退出账號，在下次你需要使用它們的時候再重新登錄回來。

此外，你的移動設備上還有內置的默認瀏覽器。這些瀏覽器都不好，因為它們只是台式電腦或筆電電腦瀏覽器的迷你版本，缺乏更穩健版本所具有的一些安全和隱私保護。比如說，iPhone預裝了Safari、更新版本的安卓系統默認預裝了Chrome，但你可能需要考慮在應用商店下載移動版的Chrome或火狐，這些瀏覽器是專為移動環境設計的，至少所有的移動瀏覽器都支持隱私瀏覽。

如果你使用的是Kindle Fire，那麽你無法通過亞馬遜下載火狐或Chrome。你就不得不使用一些手動操作，通過亞馬遜的Silk瀏覽器來安裝Mozilla的火狐或 Chrome。要在 Kindle Fire上安裝火狐，打開Silk瀏覽器並訪問Mozilla FTP網站，選擇“Go”，然後選擇以擴展名“.apk” 結尾的文件。

二、卸載工具欄

想跟蹤你的網絡活動情況的不只有網站和移動運營商。一個不再只是社交媒體的平台 — Facebook已經變得無處不在。你可以在登錄Facebook之後使用同一個账號登錄或注冊各種其他應用。

這種做法有多普遍?有不止一份行銷報告發現，88%的美國消費者都曾使用過來自 Facebook、Twitter和Google Plus等社交網絡的已有數字身份登錄其他網站或移動應用。

這種方便有利有弊。這種做法被稱為OAuth，即使在不輸入密碼的情況下，它也能讓網絡信任你的身份認證協議。

一方面，這很快捷，你可以使用已有的社交媒體密碼訪問新網站；另一方面，這讓社交媒體能夠收集關於你的信息以便構建行銷檔案。而且不只是單一的一個網站，它知道你使用其登錄信息訪問過的所有網站和所有品牌。使用OAuth時得到的便利讓我們放棄了大量隱私。

Facebook可能是所有社交媒體平台中“黏性”最高的。登出 Facebook可能會取消你的瀏覽器訪問Facebook及其網頁應用的權限。此外， Facebook還添加了用於監控用戶活動的跟蹤器，這種跟蹤器甚至在你登出之後還會繼續工作，能夠請求你的地理位置、你訪問的網站、你在每個網站的點擊情況和你的 Facebook 用戶名等信息。隱私團體已經表達了擔憂，稱 Facebook 意圖跟蹤其用戶正在訪問的一些網站和應用的信息，以便展示更加個性化的廣告。

這裡要表達的是，Facebook和谷歌一樣，想要關於你的數據。它們可能不會正大光明地索取，而是想方設法得到。如果你將你的Facebook账號和其他服務連接到一起，該平台就會獲得你在其他服務或應用上的信息，或許你會使用 Facebook來訪問你的銀行账號— 如果你這樣做了，它就會知道你使用的是哪家金融機構。

若僅使用一種授權認證，則意味著如果有人控制了你的Facebook账號，這個人就能訪問與該账號連接的所有其他網站，甚至是你的銀行账號。在安全業務中，最好永遠不要出現我們所說的單點故障。儘管要多花點時間，但僅在你需要時登錄 Facebook 並且單獨注冊你使用的每個應用是值得的。

此外，Facebook 還以“沒有行業共識”為由，故意不遵守 Internet Explorer 發出的“請勿追蹤”信號。Facebook 的跟蹤器都是經典類型: cookie、JavaScript、單像素圖像和 iframe。這能讓目標廣告商掃描並讀取特定的瀏覽器 cookie 和跟蹤器，從而在 Facebook 網站內和網站外提供產品、服務和廣告。

幸運的是，有一些瀏覽器擴展可以屏蔽第三方網站上的 Facebook 服務，比如用於 Chrome的Facebook Disconnect和Adblock Plus 的 Facebook Privacy List(火狐和Chrome 都可用)。最終，這些插件工具的目標是讓你能控制你在 Facebook 和其他任何社交網絡上分享的內容，而不是迫使你坐在一個次要位置上，讓你使用的服務主宰你的各種事物。

考慮到Facebook對其16.5億用戶的了解程度，這家公司的表現已經相當仁慈了— 到目前為止確實如此。它擁有海量數據，但就像谷歌一樣，它選擇不使用所有數據，但這並不意味著在未來也不會用。

三、移除cookie

cookie 危險嗎？不危險——至少它本身並不危險。但是cookie能向第三方提供關於你的账號和特定偏好的信息，例如你在氣象網站上最偏愛的城市或在旅行網站上的航空公司偏好。如果已經有了cookie，當你的瀏覽器下一次連接到該網站時，該網站就會記起你是誰，然後可能會說“你好，朋友”。而如果這是一家電商網站，它可能還記得你最近購買的一些東西。

cookie 並不會真正在你的傳統個人電腦或移動設備上保存這些信息。就和使用 IMSI 作為代理的手機一樣，cookie 包含位於網站後端的數據的代理，當你的瀏覽器加載了一個附帶cookie的網頁時，你還會收到專屬於你的額外數據。

cookie不僅能保存你個人的網站偏好，還能為它所在的網站提供有價值的跟蹤數據。比如，你是一家公司的潛在客戶，並且之前為了獲取一份白皮書輸入過你的電子郵箱地址或其他信息，那麽你的瀏覽器中很可能就會有一個cookie，它可以在後端將關於你的信息與某個客戶記錄管理(CRM)系統(比如 Salesforce或HubSpot)進行匹配。現在，每當你訪問該公司的網站時，網站都可以通過cookie識別出你的身份，並且這次訪問會被記錄在CRM中。

cookie是分開使用的，也就是說，網站A沒有必要查閱網站B的cookie的內容。也存在例外，但通常這些信息是分開的，並且相當安全。但從隱私的角度看，cookie的隱身效果並不好。

你只能存取同一個域中的cookie，域是指分配給特定人群的一組資源。廣告代理商往往會將多個網站組成更大規模的網絡，通過加載一個可以跟蹤你在這些網站上的活動的 cookie而做到這一點。但一般而言，cookie不能訪問其他網站的cookie。

現代瀏覽器為用戶提供了控制cookie的方式，如果使用匿名或隱身瀏覽功能上網，你的瀏覽器就不會保存你訪問特定網站的歷史記錄，你也不會為該會話獲得新的cookie。但如果你有之前訪問的 cookie，那這個cookie仍然會在隱身模式中使用。另一方面，如果你一直使用常規瀏覽模式，你可能時不時需要手動移除過去幾年累積的一些或全部cookie。

應當指出，移除全部cookie可能並不可取。有選擇性地移除那些你不在乎的、隻訪問了一次的網站的cookie將有助於清除你在互聯網上的痕跡。你再次訪問該網站時，這些網站將無法認出你。但對一些網站，比如氣象網站而言，每次訪問都輸入郵政編碼是很讓人厭煩的，而一個簡單的cookie可能就足夠了。

你可以通過使用附加組件移除cookie，也可以進入瀏覽器的設置或偏好選項部分，這裡通常有刪除一個或多個(甚至全部)cookie的選項。 你可能也想根據具體案例決定你的cookie 的命運。

有些廣告商會使用cookie跟蹤你在它們投放了廣告的網站上停留的時間。有的cookie 甚至還能記錄你之前的訪問情況，即所謂的參照網址，你應當立即刪除這些cookie。

你可能只會識別出其中一些，因為這些cooki的名稱並不包含你所訪問的網站的名稱。比如，一個參照網站的cookie可能顯示為“Ad321”，而非“CNN”。你可能也需要考慮使用cookie清理軟體工具來幫你輕鬆管理cookie，比如 piriform.com/ccleaner的工具。

但是，有一些cookie不會受到你在瀏覽上做的任何決定的影響。這些cookie被稱為超級cookie，它們存儲在你的計算機上，但在瀏覽器之外。超級cookie可以在你使用任何瀏覽器(今天用Chrome，明天用火狐) 時存取網站偏好並跟蹤數據。你應該刪除瀏覽器中的超級 cookie，否則你的傳統個人電腦會在你的瀏覽器再次訪問該網站時試圖從記憶體中重建 http cookie。

你可以刪除瀏覽器之外兩種特定的超級cookie—來自Adobe的Flash和來自微軟的 Silverlight。這兩個超級cookie都不會過期，而且通常刪除它們是安全的。

九個步驟， 成功實現匿名的實踐指南

讀完這些之後，你可能會思考以你的經驗水準讓自己在網上隱身會有多簡單或多困難。或者你可能會問自己，你應該做到哪種程度，發布哪些內容才是安全的，以下9個匿名成功實現匿名的步驟提供給您。

匿名第一步：購買一台單獨的筆電電腦

匿名第二步：匿名購買一些禮品卡

匿名第三步：連接 Wi-Fi 時修改你的MAC地址

匿名第四步：匿名購買一個個人熱點

匿名第五步：匿名創建電子郵箱

匿名第六步：將禮品卡換成比特幣，並進行清洗

匿名第七步：如果匿名性受損，那就再匿名一次

匿名第八步：隨機改變你的正常打字節奏

匿名第九步：時刻保持警惕

【鈦媒體作者介紹：本文內容來源於《捍衛隱私》作者[美] 凱文·米特尼克（Kevin Mitnick），他是米特尼克安全谘詢公司創始人，也是第一個被美國聯邦調查局通緝的黑客，有評論稱他為世界“頭號電腦黑客”“地獄黑客”。曾憑借高超的黑客技術入侵北美空中防護指揮系統、美國太平洋電話公司系統，甚至入侵了聯邦調查局的網絡系統。】